Может ли мой работодатель видеть веб-сайты, просматриваемые на личном телефоне с использованием корпоративного Wi-Fi?

7369
Jim D

У меня есть вопрос, который никто не смог правильно ответить в сети. Если я использую персональный iPhone, подключенный к гостевому WiFi моей компании, и просматриваю, скажем, https://google.com/newsвидит ли мой работодатель / log:

  1. https://google.com(то /newsесть скрыто)
  2. полный URL

В некоторых ответах говорилось, что HTTPS шифрует часть URL, другие говорят, что полный URL будет зафиксирован в журнале маршрутизатора.

Большинство ответивших мне людей говорят, что сценарий 1 наиболее вероятен, т. Е. Детали URL после «/» остаются невидимыми из-за соединения HTTPS и поэтому не фиксируются в журнале маршрутизатора. Другие говорят, что администратор сети может видеть и записывать что угодно (что для меня, кажется, побеждает один из главных пунктов HTTPS? Опять же, это личный IPhone, к которому никто не имеет доступа.

1
Вы должны предположить, что администраторы сети могут контролировать весь трафик в своей сети. Ron Maupin 5 лет назад 4
Спасибо Рон. Здесь есть противоречивые взгляды. Некоторые говорят, что конкретная веб-страница скрыта (а не Домен, с которым все согласны, видно), другие говорят, что это не так. Jim D 5 лет назад 0
Поверьте, есть способы, которыми администраторы корпоративных сетей могут отслеживать все, что происходит в сети, и они глупы, если не делают этого. Бизнес может быть привлечен к ответственности, и его сеть может быть конфискована, если установлено, что она имеет незаконную деятельность. Например, работник, используя его для просмотра детской порнографии. Федералы придут, закроют и захватят сеть. Вот почему так много предприятий сейчас передают гостевые сети компаниям, которые будут заниматься нелегальной деятельностью и брать на себя риск. Ron Maupin 5 лет назад 0
Спасибо Рон. Конечно, нет ничего более экстремального, но я принимаю точку! Jim D 5 лет назад 0
Скорее всего, не кто-то наблюдает за всем, но есть автоматические способы контролировать все действия и сигнализировать живому человеку, если что-то кажется неуместным. Существуют программы и сервисы, на которые могут подписаться компании, которые постоянно обновляются. У моей компании есть такая услуга, и она (я думаю) слишком ограничительна, блокируя законные попытки интернет-запросов, и мы должны заполнить кучу документов, в которых подробно объясняется, почему сайт или служба являются законными, если они есть в списке услуг. Ron Maupin 5 лет назад 0
Спасибо Рон. Не могли бы вы пометить его на свой IT / предварительно очистить проблему? Это была просто слегка рискованная страница в Твиттере, в названии которой не было ничего рискованного. Или пусть спящие собаки врут? Jim D 5 лет назад 0
Если вы ничего не слышали, значит, вы в порядке. Ron Maupin 5 лет назад 0

3 ответа на вопрос

6
Attie

Здесь нужно рассмотреть не только HTTP ...

Wi-Fi

WiFi по своей природе является невероятно открытой технологией. Любой человек с антенной и радио в вашей близости может собирать трафик.

Сама сеть WiFi может быть зашифрована, но есть много способов обойти это. Если вы подключаетесь к корпоративной сети, вероятно, что другие пользователи также имеют пароль.

Захват и архив

Помните - администратор сети может видеть весь трафик, который проходит по их сети, и ничто не мешает им захватывать и архивировать его.

Если в « безопасном » сеансе была обнаружена уязвимость, то любые собранные данные могут быть скомпрометированы и потенциально расшифрованы.

Если вычислительная мощность возрастает в достаточной степени, грубое принуждение может стать жизнеспособным вариантом для получения данных в виде простого текста.

Маловероятно, что средняя компания будет регистрировать значительные учетные записи трафика «по проводам».

приписывание

Трафик может быть привязан непосредственно к вашему телефону, основываясь на MAC-адресе вашего устройства .

« Рандомизация MAC-адресов » была предоставлена ​​совсем недавно ... однако в некоторых случаях этого недостаточно для правильной анонимности трафика.

DNS

При стандартной настройке телефона DNS- запросы легко видны оператору сети и вашим соседям. Например, ваш телефон запрашивает IP-адрес для google.comили mail.google.com.

Это возможно, но я бы предположил, что маловероятно, что компания будет регистрировать DNS-запросы - если они не имеют разумного размера.

IP-адресация

Для связи с другой системой в сети / Интернете требуется, чтобы пакеты направлялись соответственно с использованием IP-адреса удаленной системы .

Во многих случаях это идентифицирует сайт или компанию, с которой вы общаетесь напрямую (то есть: на серверах Google размещаются только службы Google). Однако многие небольшие сайты используют общий хостинг (то есть: несколько веб-сайтов на одном сервере), что делает менее очевидным, какой веб-сайт вы просматривали.

HTTP (без SSL)

Обычно фактический веб-трафик будет зашифрован с использованием SSL / HTTPS. Но помните, что все еще существуют сайты, которые не обеспечивают или даже не обеспечивают поддержку HTTPS, поэтому в этих случаях весь трафик можно « увидеть ».

HTTPS

Для веб-сайтов, использующих HTTPS (игнорируя приведенную выше информацию о DNS), теперь можно размещать несколько доменов на одном сервере, используя указание имени сервера . Это позволяет серверу отвечать на рукопожатие правильным SSL-сертификатом, в зависимости от того, с какого домена клиент запросил информацию.

В этом случае имя хоста все еще отправляется в виде простого текста как часть рукопожатия и, следовательно, является видимым.

Человек посередине

В случае, когда HTTPS это используется, есть еще возможности для сетевого оператора для расшифровки трафика. Многие компании используют прокси-сервер, устанавливая сертификат на устройствах сотрудников (ноутбуки, телефоны и т. Д.).

В этом случае вы уязвимы для атаки « Человек посередине » - ваш работодатель может расшифровать весь трафик, предложить услуги прокси-типа (например, фильтрация содержимого, кэширование и т. Д.), А затем потенциально переслать ваш запрос. на целевой сервер, используя « правильный » сертификат.

Это вряд ли для личного устройства.

Это также несколько смягчается авторизацией центра сертификации DNS ... если только оператор не подделывает ответы DNS для этого тоже. Я не знаю, кэшируют ли браузеры ответы DNS CAA вообще ...

VPN

Если вы используете VPN, где все настроено правильно, то, вероятно, локальная утечка будет иметь только DNS-запись VPN-сервера (при условии, что вы не используете прямой IP-адрес), но мое утверждение выше о захваченном и архивированном трафике остается в силе. Вы также должны доверять своему провайдеру VPN.

Однако, если ваша настройка VPN не настроена правильно, DNS-запросы все равно могут легко просочиться.

В итоге предположим, что:

  • Оператор сети (и любой, кто находится поблизости) может видеть весь трафик.
  • Оператор сети может определенно видеть IP-адрес удаленного сервера, с которым вы общаетесь.
  • Почти наверняка оператор сети увидит имя хоста сайта, с которым вы общаетесь (например:) google.com.
    • Имя хоста будет просачиваться через DNS.
    • Имя хоста, вероятно, будет также просачиваться через SNI (часть рукопожатия SSL)
  • Схема может быть выведена (например:) https://.
  • Весьма вероятно, что трафик на корпоративных устройствах расшифровывается через прокси. В противном случае маловероятно, что другие могут легко « увидеть » ваш расшифрованный трафик.
  • Любые захваченные данные могут быть ценными в будущем - шифрование действительно является временной мерой - до тех пор, пока не будет обнаружена уязвимость, или пока вычислительные мощности не вырастут настолько, чтобы сделать грубое вмешательство тривиальным.
Благодарю. Так должно ли мое базовое предположение, что они видели полный URL? Я случайно ненадолго подключился к твиттер-странице NSFW, не понимая, что мой личный телефон был подключен к гостевому Wi-Fi на работе. Jim D 5 лет назад 0
Я бы предположил, что ты в порядке ... просто будь осторожен, чтобы не делать это снова. Тем более что это, вероятно, нарушает их политику использования. Attie 5 лет назад 0
Благодарю. Вы очень полезны Вы говорите, что это должно быть «хорошо», потому что URL похоронен в тысячах других, или потому что есть вероятность, что они не смогут увидеть полный URL, т.е. ничего после twitter.com? Jim D 5 лет назад 0
Понижающее голосование, поскольку этот ответ не только слишком сложен, но и не отвечает на вопрос и предлагает несколько других «возможностей», которые либо абсолютно не имеют отношения к делу, либо настолько маловероятны, что даже не стоит упоминать. Appleoddity 5 лет назад 1
@Appleoddity, что из этого совершенно маловероятно? Вы имеете в виду следующее: «Любой, у кого рядом есть антенна и радио, может собирать трафик». ? Nordlys Jeger 5 лет назад 0
@NordlysJeger был задан очень конкретный вопрос. Может ли мой работодатель видеть информацию после доменного имени? Покрытие всего этого лишнего материала не является неточным, а только приводит к путанице, так как большая часть этого даже не относится к очень конкретному вопросу. Вы можете видеть, что это смутило ОП, который указал, что он все еще не понимает. Appleoddity 5 лет назад 1
@NordlysJeger специально для вас, предположение, что другие могут увидеть зашифрованный трафик, неактуально и очевидно, и человек в средней атаке практически неосуществим, если это устройство не было модифицировано или пользователь не был обманут каким-либо образом, что само по себе может оказаться незаконным со стороны компании. Appleoddity 5 лет назад 0
@Appleoddity Вы говорите, что атака MITM невозможна, если iPhone OP не был модифицирован? Я и mitmproxy поспорим против этого, в зависимости от того, как настроена сеть. confetti 5 лет назад 0
@Appleoddity только потому, что я догадался о том, что случилось с OP до того, как написать свой ответ, не означает, что я должен пропустить технические (и соответствующие) детали. «_Может ли работодатель видеть полный URL-адрес? _» - см. Выше способы, с помощью которых они могут определить, что вы сделали. Я добавил раздел "_in summary_", чтобы сделать его менее запутанным. Attie 5 лет назад 0
Вы можете устранить мониторинг на основе DNS, используя сервер «DNS-over-HTTPS», такой как Google Public DNS (8.8.8.8/8.8.4.4), или используя Cloudflare 1.1.1.1 (1.1.1.1/1.0.0.1). Ultrasonic54321 5 лет назад 0
@ Ultrasonic54321 Действительно, но [это не просто вопрос направления DNS-запросов на эти хосты] (https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/) ... Attie 5 лет назад 0
0
Christopher Hostage

Чтобы ответить на конкретный вопрос, предполагая, что у вас нет обходных путей ... после подключения к гостевому Wi-Fi GenericCo вы открываете браузер и пытаетесь перейти по адресу https://google.com/news .

А) DNS-запрос отправляется в открытом виде, спрашивая DNS-сервер, каков IP-адрес. DNS обычно не шифруется, поэтому системный администратор с WireShark может легко это увидеть. Этот видимый DNS-запрос выполняется для всех доменов и поддоменов, поэтому mail.google.com и google.com видны как два отдельных запроса.

Б) запрос HTTPS-соединения отправляется на этот IP-адрес. Произошло рукопожатие, и ваш компьютер пытается загрузить эту конкретную страницу / новости. Теоретически, у вас есть безопасное HTTPS-соединение на этом этапе, так что шпиону гораздо сложнее его увидеть.

В общем, предположим, что ваш работодатель может видеть все, что вы делаете в своей сети. В конце концов, это их интернет-соединение. Вы можете скрыть это, используя VPN и другие методы, которые будут отображаться в других ответах. Тем не менее, имейте в виду, что другие лица, кроме вашего работодателя, тоже могут его увидеть. Использование VPN уменьшит количество отслеживаний, которые могут выполнять близлежащие люди, но тогда вам придется доверять поставщику VPN.

Благодарю. Означает ли это, что вы (в целом) согласны с моим сценарием 1, то есть существует запрос DNS, который просто google.com, а затем рукопожатие, и только принимающий сервер видит запрос на «/ news»? Т.е. «/ новости» не регистрируются в логах роутера? Jim D 5 лет назад 0
Может быть. Ознакомьтесь с WireShark и другими инструментами и узнайте, что говорят настоящие пакеты с вашего ПК. Я только что попробовал это в Chrome и Firefox на ПК и Mac, чтобы подтвердить, что сценарий № 1, кажется, имеет место. Но не верьте мне на слово - проверьте сами, используя несколько инструментов. Посмотрите на инструмент Mac / * nix "копать", а также. И помните мой оригинальный ответ - предположим, что ваш работодатель может видеть все. Christopher Hostage 5 лет назад 0
0
Appleoddity

Простой ответ на этот вопрос заключается в том, что ваш сценарий 1 правильный.

Соединение - HTTPS, никто не может видеть, что вводится после части имени домена в URL, кроме вас и другой стороны, к которой вы подключаетесь. Ваш работодатель знает только следующую информацию:

  1. Ваше имя устройства, ваш MAC-адрес и IP-адрес
  2. Точка доступа, к которой вы подключены, и приблизительное местоположение вашего устройства.
  3. Ваш логин, если вам нужно было ввести его для подключения к WiFi
  4. Доменные имена сайтов, к которым вы обращаетесь и когда и как долго
  5. Все детали трафика, которые не зашифрованы.

Это предполагает, что вы не разрешили вашему работодателю установить что-либо на ваше устройство. И это предполагает, что ваш работодатель действительно предпринял дополнительные шаги, необходимые для того, чтобы собрать некоторую информацию. Наконец, да, эти 5 пунктов предполагают, что они могут даже не знать, чей это телефон в их сети.

Этот объем информации позволяет вашему работодателю многое сделать для определения модели вашего телефона, приложений, установленных на вашем телефоне, и вашего поведения в Интернете.

С учетом вышесказанного очевидный отказ от ответственности заключается в том, что вы не должны использовать WiFi своего работодателя для действий, которые нарушают политику компании. Так что, если вы обеспокоены, просто не входите в компанию WiFi.

Спасибо, Эппл. Это очень полезно. Таким образом, маршрутизатор компании не «видит» и, следовательно, регистрирует что-либо после имени домена? Jim D 5 лет назад 0
@ JimD да, это правильно. Appleoddity 5 лет назад 0
Благодарю. Это полезно и успокаивает (в некоторой степени). Меняется ли анализ, если компания использует веб-прокси? Jim D 5 лет назад 0

Похожие вопросы