¿Cómo evitar que el servidor proxy de la inspección de paquetes HTTPS?

3

Los servidores proxy a menudo inspeccionan paquetes HTTPS. Descifran el tráfico HTTPS del cliente, lo inspeccionan, lo cifran de nuevo y lo envían al servidor de destino.

El servidor proxy inyecta su propio certificado de CA a la PC del cliente para rastrear su tráfico de Internet cifrado. Así que, básicamente, no queda ningún punto para enviar / recibir paquetes a través de sockets seguros, ya que de todos modos serán descifrados y leídos en el medio.

También significa que el servidor proxy puede realizar ataques Man-In-The-Middle e invadir la privacidad de los clientes.

¿Cómo se puede evitar esto y bloquear ese servidor proxy para inyectar esos certificados a las PC del cliente?

Básicamente, quiero que el servidor proxy se vuelva inútil cada vez que envío / reciba tráfico HTTPS. Ese certificado inyectado es el agujero clave para ese proxy.

    
pregunta defalt 11.09.2016 - 10:45
fuente

4 respuestas

1

Un cliente no confía ciegamente en un envío de CA dentro de la conexión TLS. Confía solo en la CA raíz almacenada localmente y cualquier certificado / CA debe ser emitida directa o indirectamente por estos CA confiables. Eso significa que no funcionará si un proxy simplemente crea un nuevo certificado y envía su propia CA raíz junto con el certificado. En su lugar, esta CA de proxy debe instalarse explícitamente en el navegador / sistema operativo.

Por lo tanto, si bien no puede hacer un proxy para no interceptar y modificar la conexión TLS, esta modificación se detectará de inmediato y la conexión se detendrá antes de que se transfieran los datos. Solo si confía explícitamente en el proxy al importar el CA de proxy, es posible la intercepción TLS.

Si, en cambio, pregunta cómo omitir la intercepción de SSL en el proxy o cómo omitir el proxy en absoluto, la pregunta sobre cómo evitar las políticas de seguridad existentes está fuera de tema aquí.

    
respondido por el Steffen Ullrich 11.09.2016 - 11:34
fuente
2

Lo único que se me ocurre es crear un túnel SSH a través del servidor proxy. Algunos proxies podrían permitir esto, otros no. Así que esta no es una solución para todo tipo de servidores proxy.

Por ejemplo:

  1. Configure el demonio SSH para que se ejecute en el puerto TCP 443 y realice una recarga del servicio.
  2. Configure Putty para usar una sesión en su máquina doméstica o VPS. Asegúrate de usar 443 como puerto.

  3. ConfigurePuttyparaconectarsemedianteelservidorproxy,serequierequeconozcaestaconfiguración.

  4. AhoraconfigureunTúnel,estoesnecesarioparaenrutartodosutráficodeInternetatravésdeltúnel.Usemoselpuerto8080paraenlazarasumáquinalocal.Asegúratedequelosbotonesderadioseparecenalaimagendeabajoyhazclicen"Agregar".

Ahora configure su navegador para usar el servidor proxy local que está escuchando en TCP / 8080. Todo el tráfico HTTP se reenviará ahora a través del túnel, sin pasar por la inspección. Sin embargo, es posible que vean que el tráfico SSH se está transmitiendo.

NOTA: En los casos en que se aplican políticas de grupo y no se pueden modificar las configuraciones del servidor proxy, se recomienda descargar (o traer una memoria USB) una versión portátil de Firefox.

    
respondido por el Jeroen - IT Nerdbox 11.09.2016 - 11:57
fuente
1

No intente omitir la seguridad establecida por el propietario de la red.

En su lugar, no uses esa red. Si, por ejemplo, tiene una cobertura móvil decente y un buen plan de datos, úselo cuando necesite hacer algo que el propietario de la red no permita.

    
respondido por el Julian Knight 11.09.2016 - 12:11
fuente
0

El certificado solo llega a su sistema operativo / navegador si usted (u otra persona) lo acepta manualmente, o lo carga (por ejemplo, como una Política de grupo). No es tan simple como el servidor lo "inyecta".

Tenga cuidado con las PC donde otra persona tiene o ha tenido acceso de administrador.

Si aparece una gran advertencia roja que dice que alguien podría estar intentando interceptar su tráfico ... no haga clic en "continuar".

    
respondido por el Someone Somewhere 11.09.2016 - 11:31
fuente

Lea otras preguntas en las etiquetas