在这种情况下,我可以通过哪些方式保护我的隐私?
使用VPN是否足以隐藏我的所有流量或其他方法?
#1 楼
请勿将其证书安装在您要用于私人活动的任何设备/操作系统上。完成后,即使您不使用大学的网络,您的流量也会受到MITM攻击。这种攻击需要为您安装的证书拥有私钥,但是在实践中,这很容易,因为这些“安全产品”设计得很糟糕,并且经常使用非常弱的密钥生成或使用固定的私钥来与之相同。所有部署,并可供任何客户使用。自从开始聊天以来,TOOGAM在一条评论中写道:有关此特定供应商证书的特定问题“因此,有可能利用任何方式拦截来自Cyberoam设备的任何受害者的流量其他Cyberoam设备-或从设备中提取密钥并将其导入其他DPI设备”
如果您的网络上不需要资源,只需在手机上使用wifi绑定或在校园内使用专用的3G USB加密狗或类似产品。或者,如果非HTTP流量不受MITM的限制,则可以在不安装证书的情况下使用VPN。在这种情况下,只要有便宜的VPN提供商或VPN到您的家庭网络就可以。
如果您确实需要访问只能从园区网络获得的资源,请在仅在VM中安装了MITM CA的虚拟机,并使用VM中的浏览器访问这些资源。
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
15年11月12日在20:17
学院是否有能力监视通信(在安装了证书的设备上)特定于此SSL证书的功能,还是所有证书提供者都可以执行的功能?例如。许多大学提供的Eduroam?
– P A N
15年11月14日在18:40
@Winterflags:每次安装自定义CA证书时,都是在告诉浏览器/系统接受由该CA签名的证书,就像它们是由默认受信任的“真实” CA之一签名一样。具有自定义CA私钥的任何人都可以为任何站点颁发伪造的证书,并且您的浏览器将像真实证书一样接受它们。
–R .. GitHub停止帮助ICE
2015年11月14日23:37
据我所知,Eduroam与自定义CA证书无关,而是(作为一种选择)使用客户端证书作为身份验证方法。但是,如果您担心,最好就Eduroam的工作提出一个新问题,而不要在对此问题的评论中进行讨论。
–R .. GitHub停止帮助ICE
2015年11月14日23:38
#2 楼
VPN当然也是一个很好的解决方案,只要它们也不会阻止它。保护您的隐私的最佳解决方案可能是尽最大的努力来推翻该策略。这是绝对令人讨厌的“安全”政策。实际上,这是对校园中每个人的内置中间人攻击。如果防火墙受到威胁,攻击者便可以拦截校园中任何人通过Internet发送的任何信息,包括密码,信用卡号等。
事实证明,这些设备比起最初的设备更差听起来。正如TOOGAM在评论中指出的那样,Tor项目的人们发现,至少在2012年之前,所有这些设备都使用相同的CA证书!这意味着可以从Cyberoam访问这些深包检查设备之一或从其中之一导出的CA证书的任何人都可以拦截来自安装了该根CA证书的任何人的通信。即使在过去3年中对此问题进行了补救,这也使该设备制造商保护其能力的能力受到极大怀疑。这就是所有您绝对不应该安装此证书的原因,并且应该尽可能多地为从校园中删除此设备提供更多的支持。
此外,如前所述在经过清理的评论中,使用此设备违反了地球上几乎每个网站的服务条款,因为它向第三方(大学)公开了您的登录凭据。这意味着您不能在法律上遵守这两项政策以及几乎所有网站的服务条款。
如果这是美国的一所公立大学,并且他们没有立即删除该设备,那么对于一个如此大的安全漏洞,我会强烈考虑与当地的FBI联系网络工作队,他应该愿意给大学一个很严厉的谈话。他们有充分的理由非常认真地对待这种事情。
评论
为“ +1”表示“如果防火墙受到威胁,攻击者便可以拦截校园中任何人通过Internet发送的任何内容”!这所大学真的需要改变他们在做什么!
– Numeri说恢复莫妮卡
2015年11月5日14:16
@whatsisname是的,但是我在CTF中与之交谈过的FBI特工实际上是相当认真地对待大型机构(包括公共机构和私人机构)的安全漏洞,因为他们(正确地是IMO)认为它们是对以下人员的严重威胁国家安全。许多APT使用受感染的家用系统来发动其更复杂的攻击,因为入侵检测系统通常不会对这些攻击进行仔细检查,尤其是如果受感染的系统属于大型信誉良好的组织。
– reirab
2015年11月6日下午5:52
@JonBentley:他们没有“有充分的理由假设是安全的”;实际上,恰恰相反。他们明确地安装了别人指示他们安装的后门。
–R .. GitHub停止帮助ICE
15年11月8日在1:35
@JonBentley我以为这所大学至少清楚地表明了他们在监视加密的流量。如果他们没有明确说明,那么很可能存在对隐私的合理期望,这将在法律责任方面(至少是民事责任,甚至是刑事责任)为该大学开辟一条全新的蠕虫罐头。明天编辑一些TOS摘录。举个简单的例子,StackExchange自己的TOS声明,用户应赔偿StackExchange对于用户或使用其帐户的任何其他人引起的任何责任。
– reirab
2015年11月8日在8:11
@JonBentley我认为所有reirab都想说的是,许多站点都要求您在其TOS中保持凭据安全,而大学的要求明确违反了这一要求。您或学院是否负有责任并不重要;关键是您不能同时遵守这两种政策,如果您的帐户因此而受到损害,那将是一团糟。
– jpmc26
2015年11月10日,下午2:18
#3 楼
您的大学在某些情况下会提供“网络连接”服务,其中之一就是大学系统管理员可以检查所有流量。虽然试图通过一些技术手段(例如,在另一个答案中建议使用VPN)来打败此类sysadmins的烦恼,但这显然是在打败大学网络的“安全系统”,这可能使您着陆在大麻烦中。然后,最明智的做法是不这样做,而是使用自己的Internet(例如,通过个人电话)。评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
2015年11月4日在19:01
@PaulDraper“解决方法”在这里是同义词。
–djechlin
15年11月6日在6:49
除非条件禁止使用VPN,否则您可能不会破坏它们。安全系统可能在那里,因此如果执法人员想知道谁正在访问特定页面或站点,则可以找到它们。如果您要通过VPN,则执法不会终止于University的连接,而是只要您的VPN终止于任何地方,这意味着University无需执行任何操作。
–马修·斯蒂夫斯(Matthew Steeples)
2015年11月9日在11:44
@immibis VPN提供商不需要。如果执法部门去找VPN提供商并询问谁在使用该IP地址,则他们已经有了用户的详细信息,因为他们将使用用户名和密码。他们不会将身份识别的责任转移给其他人。如果执法人员在追您,那么违反大学规定的可能性就很低!
–马修·斯蒂夫斯(Matthew Steeples)
2015年11月11日上午10:05
@immibis是的,但是我正在假设VPN提供商不是免费的,因此,除了您的用户名之外,您对您的了解更多。当然,您可能曾经使用过失窃的卡详细信息,预付信用卡或其他任何方式,但我并不是从如何逃避某些事情的角度来考虑这一问题,仅说明该大学可能只是为了掩盖自己的情况而已背面
–马修·斯蒂夫斯(Matthew Steeples)
15年11月12日在22:30
#4 楼
不要将他们的网络用于任何私人用途。这是保护您的隐私免受其侵害的最佳方法。如果您别无选择,请使用虚拟机,然后将证书安装在虚拟机而非主机上。它可以让您保护自己的隐私。
就这些问题而言,我个人始终使用单独的计算机。除非我计划以后再从轨道上对其进行核对,否则我不允许公司/教育机构在自己的设备上安装任何东西。
评论
+1,尽管“完全不使用网络,您可以避免它”可能是更好的建议。
– reirab
15年11月4日在16:44
这是个坏建议。一旦安装了证书,即使不使用其网络,您也很容易受到攻击。这些MITM产品中的大多数产品到处都使用相同的私钥,或者生成的密钥很弱,这意味着您连接到的任何第三方网络上的攻击者都可能利用您的浏览器信任您大学的恶意CA证书来使您成为MITM 。
–R .. GitHub停止帮助ICE
2015年11月4日在17:11
对于住在校园的学生来说,这实际上是不可行的。
– Michelle
2015年11月4日在17:13
使用基于ssh的VPN并首次从其他网络进行连接,并建立密钥身份验证。他们不能违反。
–约书亚
2015年11月4日20:00
+1百万用于虚拟机构想。将证书安装在此处,仅用于学校作业,切勿使用!在里面做任何敏感的事情。您也可以(而不是相反)对敏感活动(例如银行业务)采取相同的技巧-拥有仅用于保护安全性的VM,并仅在校园外使用VPN进行引导。
– Willoller
2015年11月4日在22:30
#5 楼
如果未滤除ssh,则可以使用ssh生成在ssh隧道上运行的SOCKS代理。您无需安装任何软件即可完成此工作。您不需要VPN软件。以下内容将在Linux机器或Mac上运行(并且可能可以在Windows上运行):获取Shell帐户(或VM),但这是在顶部)
检查您是否可以从机构外部使用
ssh登录并接受主机密钥(机构外部,以确保它们不是MTiM'ing ssh-不太可能)在终端中
ssh -D 8080 -N username@host.name.here(请注意,这似乎会挂起)现在使用
127.0.0.1:8080作为您的SOCKS代理一旦成功,您可以(可选)使用
autossh代替ssh,它将保持隧道畅通-您可能需要安装它。未经测试的Windows指令(需要下载PuTTY)在此处。
起作用的原因是HTTPS流量不再流过端口443。它在端口22上流动(重新加密)。假设,它们没有拦截
ssh协议。如果是的话,您就可以知道。您的流量看起来像ssh流量(因为它是ssh流量)-尽管详细的流量分析可能表明它是ssh流量,承载了代理的Web请求。因此,不能立即将其识别为VPN流量。此外,您的大学很可能不会阻止ssh流量,因为CS学生会使用它。另一种方法是束缚至手机并使用数据计划。
评论
我将命令更改为ssh -f -D 8080 -N username@host.example.com。 -f会将其放在后台,这样该命令就不会挂起。
–卡巴斯德
2015年11月5日在22:38
“通过假设,它们不会拦截ssh协议。如果确实如此,您就可以知道。” -您能解释一下如何确定他们是否在SSH流量上执行MiTM吗?
–花
2015年11月9日在21:36
@Floris完全有可能知道它们是否在拦截SSH,但是在尝试通过受感染的网络连接之前,您必须知道服务器密钥的指纹。这称为“首次使用信任”,SSH会保存首次连接到服务器时看到的密钥的指纹(当然可以禁用)。在随后的连接中,如果指纹发生变化,它将打印出非常讨厌的通知。
–三十三十四
2015年11月9日在22:26
@thirtythreeforty啊,是的-我已经看到了那个通知...绝对会让您坐起来并引起注意。因此,诀窍是在没有MiTM攻击的可能性时首先建立此连接,然后再盲目地消除警告。感谢您的澄清!
–花
2015年11月9日在23:04
#6 楼
阅读条款和细则。查看是否被允许使用VPN(某些协议可能被禁止,VPN也可能被使用)。
如果允许,请使用VPN ,切勿直接通过其网络连接到任何站点。 (除非您使用证书固定,但是由于证书不匹配,连接很可能会失败)。精确的路由表可以帮助您解决问题。
您甚至不必安装证书(但是,连接到网络时,可能需要安装证书来登录某些东西)。
如果不允许,请...
不要在用于个人物品的任何计算机上安装证书。使用其他计算机或VM。永远不要在该计算机/ VM上进行任何个人操作。
与同学讨论这个问题。提高对您周围这个问题的认识。
将这个问题交给任何有权限的主管。可以在http://law.stackexchange.com上询问有关您是否可以对此进行抗议的建议。
不要对T&C采取任何措施,这是被禁止的最佳方式网络,或更糟糕的是。
#7 楼
不要使用网络。这几乎是您唯一的选择。任何试图绕过其“安全”措施的企图很可能会被CFAA(假设美国管辖)视为“未经授权的进入”,并可能导致多年的服刑时间。
您可以尝试采取这些措施。上法庭,但您的机会很小。公共和私人机构多年来一直在进行此类网络监视和拦截,而没有违反法律。
评论
我真的不认为您会因为在美国使用VPN或SSH隧道而入狱。在其他一些辖区(例如,阿联酋),也许。
– ximaera
19年5月28日在10:15
#8 楼
迫使我们安装Cyberoam Firewall SSL证书,以便他们可以查看所有加密的流量以“提高我们的安全性”。
恶意软件也是通过HTTPS发送的,因此实际上,他们的意图是通过分析恶意软件的加密流量来提高安全性。如果他们只想阻止对某些站点的访问,则可以在没有SSL拦截的情况下进行访问。
出于完全相同的原因,SSL拦截在公司中非常普遍,例如,保护公司免受恶意软件的侵害。 />
使用VPN是否足以隐藏我的所有流量或其他方法?
取决于他们的网络配置。如果他们足够聪明,将会阻止VPN等的使用。我可以想象他们明确禁止使用此类技术绕过防火墙,因为这意味着绕过保护并降低网络的安全性。因此,如果使用VPN,则期望断开网络连接。
如果我不安装证书,则无法使用它们的网络。
如果您拥有网络,则即使没有使用SSL拦截,也有足够的方法来攻击计算机或侵犯用户的隐私。如果您不信任他们,请不要使用他们的网络,无论他们是否使用SSL拦截。
评论
恶意软件不仅通过HTTPS发送,而且其中一些还将使用SSL进行电话回拨。
– Iszi
2015年11月4日在17:48
除非大学也提供计算机,否则将其与公司对自己的设备进行的比较将苹果与橙子进行比较-除非您有公司在个人计算机上安装证书的示例?
–user2813274
2015年11月4日23:05
我认为与阻止恶意软件相比,他们更有可能使用内容过滤器来阻止“禁止”的内容,例如盗版电影,音乐和软件。如果他们想阻止恶意软件,他们可以提供免费的防病毒软件,即使用户不在大学网络中也可以保护用户。
–约翰尼
2015年11月5日,0:34
@ user2813274大学确实提供计算机,但也允许学生使用他们的个人设备(作为不需要的个人“奖励功能”)。在这种情况下,如果请求者不希望大学网络的策略适用于他/她的个人设备,则他/她应仅不将其个人设备连接到大学网络,而使用提供的计算机。
–user253751
2015年11月5日在4:02
@Johnny:通常可以在没有SSL拦截的情况下完成对可访问主机的过滤。在提供免费的防病毒软件和确保每个人都在使用它之间,这是一个巨大的区别。除此之外,当今的许多防病毒软件还具有自己的SSL拦截功能。
– Steffen Ullrich
2015年11月5日在5:24
#9 楼
他们将如何验证您是否已经安装了SSL证书?他们还在您的本地计算机上运行软件吗?否则,我会认为不利的影响只是您必须处理很多证书错误。如果您是双引导或虚拟化,我该怎么办。安装不安全的操作系统,在其中安装所有“安全工具”和证书,以及(不要使用您不希望别人看到的任何东西),然后在需要私密性时,移回安全操作系统。如果您住在校园里并且几乎总是使用他们的网络,那么默认情况下,让您的安全操作系统使用VPN,这可以满足他们的要求。他们可以通过多种方式注意到这一点,但是您总是可以告诉他们您有工作或某件事,并且需要工作才能工作,他们可能会相信您,让您独自一人。
我也想说得到蜂窝热点。但是我知道,当我上大学时,我买不起所需的那种数据计划。
评论
如果它的工作方式与我的雇主使用的Bluecoat监控系统相同;如果未安装其证书,则将无法访问未列入白名单的任何HTTPS网站。自上次我不得不加载新证书以来已经足够长的时间了,我不记得失败模式是BC阻止出站请求,还是拦截握手MITM并返回受BC证书保护的结果,而不是站点正常证书并在浏览器中触发无效证书错误。
–丹在火光中摆弄
2015年11月4日在16:57
“不利的影响只是您必须处理许多证书错误。” -是的,您会遇到每个网站的证书错误,并且绕过证书错误与安装证书具有相同的效果。
–user253751
2015年11月5日,0:47
证书错误是最小的麻烦。如果他们将设备配置为阻止所有不兼容的SSL,则没有SSL站点将起作用。如果他们走得更远,并要求所有网络流量通过SSL进行代理,则可能会阻止所有网络流量。基本上,如果您想使用他们的网关,则必须遵循他们的规则。
–GuitarPicker
2015年11月5日,19:40
#10 楼
建议的解决方案:当您要使用虚拟机的网络时,请使用已安装证书的虚拟机。这样,当您使用或不使用他们的网络时,对您将非常清楚。当不再需要使用虚拟机的网络时,也可以丢弃该虚拟机。评论
这并不能防止他/她被窃取他的电子邮件密码,他的银行详细信息,他的私人对话,或,或,或...
–J.J
2015年11月4日在20:23
@ J.J-是的,但是这可以防止他在连接到他们的网络时意外访问他的email / bank / privateInfo。这是一个非常清晰的UX触发器,它将提醒用户不要访问私有数据。
–sixtyfootersdude
2015年11月5日,19:45
#11 楼
不要绕过防火墙。其他一些答案已经涵盖了技术选项,但这是不可取的-我见过的所有过滤产品都将阻止旁路,或者允许旁路,但通知管理员,这将使您陷入麻烦。似乎不允许您做某事,这似乎是一个聪明的办法,但当局会脚-禁止您进入网络,这将使您的学习困难,或将您驱逐出大学。无论哪种方式,对您的长期寿命的潜在影响都不值得在大学获得未经过滤的互联网连接的短期收益。唯一真正的技术选择是通过网络使用自己的互联网连接。 3G移动或类似技术。您可以安装本地代理,并通过3G链接路由您的HTTPS连接,并通过大学网络路由其他所有路由。
在教育机构中,互联网过滤器对SSL的拦截正在成为一种普遍的做法。如果您要对此表示反对,请调查您的法律选择。在许多司法管辖区中,未经双方同意而截取私人通讯是违反窃听法的行为。即使该论点表明您故意通过安装SSL证书来同意进行拦截,但远程网站肯定是这种情况。据我所知,没有任何一个学生曾在此基础上对SSL拦截提出过挑战,但必须有人是第一个。一家过滤公司的高级职员曾经告诉我,如果SSL拦截是非法的,这不是他们的问题-违反法律的是客户,他们必须提供这种选择,否则他们将失去销售。
这些Internet筛选器/防火墙的安全性通常非常糟糕:
一些人为其所有客户使用相同的SSL证书。借助管理员或物理访问权限可轻松提取。如果一个防火墙受到威胁,那么每个防火墙都会受到威胁。
使用具有已知安全漏洞的旧软件。我知道一家商业提供商拥有一个基于2004年发布的软件的最新产品线。如果可以获取用户访问权限,则root用户访问权限微不足道。
不安全的远程访问。支持团队通常为所有客户使用相同的安装和远程维护密码。知道密码可以远程访问任何客户系统的攻击者。
有一些“白名单”站点不应该在其上进行SSL拦截(例如,大型银行)。但是,如果您有权访问系统,则修改软件以忽略或删除白名单很容易。
我知道至少有一种情况,外部攻击者设法获得了持有源代码的开发服务器的访问权主要防火墙产品的代码。首席开发人员告诉我,“我们不知道它们进入内部网络有多远,或者一旦进入它们就干了什么。”
回家的消息是这些设备很容易受到攻击。坚定的黑客,一旦获得访问权限,他们就可以轻而易举地拦截成千上万用户的每个SSL连接的每个密码。令我们感到惊讶的是,我们还没有听到有关这种攻击的消息,但是也许这种攻击已经发生了,黑客们正忙于清空银行帐户,以至于对此吹牛。公众对这种攻击的了解将对任何防火墙/过滤器供应商造成巨大破坏,他们将竭尽所能掩盖该攻击。
2015年12月更新:自2012年以来在Juniper防火墙中发现后门。
评论
“首席开发人员告诉我,“我们不知道他们进入内部网络有多远,或者一旦进入它们就做什么。” <-是的,大概网络安全不是他们的工作。
–user253751
2015年11月10日23:32
@immibis如“公司”中的“我们”,而不是“我个人”
–贝恩
2015年11月11日12:29
#12 楼
您可以使用其证书,然后在其上使用VPN。您可以创建自定义路由表,通过VPN路由除内部网络流量以外的所有路由。这样,他们只能解密您与大学网络上系统之间的连接。其他所有内容都将通过您的VPN连接进行路由,并且将是安全的。
但是使用VPN将使您的所有流量都定向到单个服务器(您的VPN提供商)上,并且肯定看起来非常可疑在日志上。如果您的大学不允许VPN连接,则最好不要使用它,或仅将其用于特定任务(例如,电子邮件检查)。在Firefox上使用FoxyProxy可以帮助您。
评论
我在一个类似的限制性学校里学习,并求助于VPN,他们不喜欢它,但是其中一位网络人员指出,VPN通信不再是他们的问题。
–Logarr
15年11月4日在16:02
任何涉及安装其证书的解决方案,即使不使用其网络,也使您容易受到攻击。这是个坏建议。
–R .. GitHub停止帮助ICE
2015年11月4日17:12
您不必在系统范围内安装证书。仅将其安装在备用浏览器上。
–ThoriumBR
2015年11月4日在17:43
@ThoriumBR:这也是一个合理的想法。
–R .. GitHub停止帮助ICE
2015年11月5日,0:36
限制他们可以检查的范围是一个好主意,但不要期望其他浏览器和应用程序具有任何连接。
–GuitarPicker
2015年11月5日,19:42
#13 楼
我相信您可以安全地使用带有专用于学校网络的专用“学校” Google帐户的Chrome操作系统设备。切换到其他帐户(例如您的个人帐户)将不再使用学校的证书或该用户的任何设置,Chrome OS旨在安全隔离帐户。此帮助文章(针对域编写管理员(而不是用户))提到了这是可能的,并且还指出这仅在域用户登录时才适用。
#14 楼
当我初读您的问题时,我寻找了一种在HTTP上使用Tor的方法(不使用proxyCONNECT命令),但是较旧的答案都表示,目前尚不可能(我只发现了2013年的一项提案,从未提出过建议)。现在我偶然发现了这个,不确定它是否是您所需要的,但看起来却像这样:https://trac.torproject.org/projects/tor/wiki/doc/meek
meek是一种可插拔的传输,它使用HTTP承载字节并使用TLS进行混淆
评论
评论不作进一步讨论;此对话已移至聊天。同样,评论不适合聊天。我已删除了从最初迁移到聊天以来发布的所有评论。请转到聊天室并在此处进行评论以进行讨论。
一种不破坏计算机,使用受到破坏的网络且不费吹灰之力的简单方法(例如安装VM):安装使用其自己的证书存储区(而非系统存储区)的单个浏览器,并仅在该浏览器中安装证书。用户使用该浏览器只能在受感染的网络中工作,而不能使用任何私有软件或任何软件下载。
如果您确实安装了他们的证书(例如在VM中),并且使用Firefox,建议您将about:config中的security.cert_pinning.enforcement_level设置为2(严格)。这将防止他们绕过公钥固定(即,防止他们进入已建立公钥固定脚的MITMing站点)。有关原因,请参见Mozilla错误1168603。
你上哪所大学?