La administración de mi universidad nos está obligando a instalar el certificado SSL del Firewall de Cyberoam para que puedan ver todo el tráfico cifrado para "mejorar nuestra seguridad". Si no instalo el certificado, no podré usar su red.
¿Cuáles son las formas en que puedo proteger mi privacidad en tal situación? ¿El uso de una VPN será suficiente para ocultar todo mi tráfico o hay otras formas?
No instale su certificado en ninguna instalación de dispositivo / SO que quiera usar para actividades privadas. Una vez que lo haga, su tráfico estará sujeto a ataques MITM incluso si no está utilizando la red de su universidad . Tal ataque requiere tener la clave privada para el certificado que instaló, pero en la práctica esto es bastante fácil porque estos "productos de seguridad" están muy mal diseñados y, a menudo, utilizan una generación de claves muy débil o usan una clave privada fija que es la misma para Todos los despliegues y disponibles para cualquiera de sus clientes. En un comentario que ya se ha movido al chat, TOOGAM escribió:
Problema específico conocido sobre el certificado de este proveedor específico "Por lo tanto, es posible interceptar el tráfico de cualquier víctima de un dispositivo Cyberoam con cualquier otro dispositivo Cyberoam, o extraer la clave del dispositivo e importarla a otros dispositivos DPI"
Si no necesita recursos en su red, solo use el anclaje a red wifi en su teléfono u obtenga un dongle USB 3G dedicado o similar para usar cuando esté en el campus. Alternativamente, si el tráfico no HTTP no está sujeto al MITM, es posible que pueda usar una VPN sin instalar el certificado. En este caso, simplemente obtenga un proveedor de VPN barato o VPN para su red doméstica si tiene uno.
Si necesita acceder a recursos que solo están disponibles en la red del campus, instale otro sistema operativo en una máquina virtual con la CA MITM instalada solo en la VM, y use el navegador en la VM para acceder a estos recursos.
Una VPN es ciertamente una buena solución, siempre que no bloqueen eso también.
Sin embargo, la mejor solución para proteger su privacidad es, probablemente, esforzarse al máximo para anular esta política. Esta es una política de "seguridad" absolutamente abominable. Es, literalmente, un ataque integrado de hombre en el medio contra todos en el campus. Si su firewall se ve comprometido, el atacante puede interceptar cualquier cosa que alguien en el campus haya enviado a través de Internet, incluidas contraseñas, números de tarjetas de crédito, etc.
Resulta que estos dispositivos son incluso peores de lo que sonaban por primera vez. Como señaló TOOGAM en un comentario, las personas del Proyecto Tor encontraron que, al menos a partir de 2012, ¡todos estos dispositivos usaron el mismo certificado de CA! Esto significa que cualquiera con acceso a una de estas inspecciones de paquetes profundos los dispositivos de Cyberoam o un certificado de CA exportados de uno de ellos pueden interceptar el tráfico de cualquier persona que tenga ese certificado de CA raíz instalado. Incluso si esto ha sido remediado en los últimos 3 años, esto arroja dudas extremas sobre la competencia de los fabricantes de este dispositivo para garantizarlo. Esta es una razón más por la que definitivamente no debe instalar este certificado y debe reunir todo el apoyo posible para la eliminación de este dispositivo de su campus.
Además, como se ha señalado en comentarios que desde entonces se han limpiado, el uso de este dispositivo viola los Términos de servicio de casi todos los sitios web del planeta porque revela sus credenciales de inicio de sesión a un tercero (la universidad). Esto significa que no puede cumplir legalmente con esta política y los Términos de Uso de casi cualquier sitio web.
Si se tratara de una universidad pública en los EE. UU. y no eliminaran este dispositivo de inmediato, por un agujero de seguridad de esta magnitud, consideraría seriamente contactar a mi local FBI Cyber Task Force , que deberían estar dispuestos a darle a la universidad un Hablando muy severo. Se toman este tipo de cosas muy en serio y por una buena razón.
Su universidad está proporcionando el servicio de "conexión de red" bajo algunas condiciones, una de ellas es la capacidad de los administradores del sistema de la universidad para inspeccionar todo el tráfico. Si bien es tentador vencer la curiosidad de tales administradores de sistemas con algunos trucos técnicos (por ejemplo, una VPN, como se sugirió en otra respuesta), este sería un intento explícito de derrotar los "sistemas de seguridad" de la red de colegios y esto puede aterrizar. en un enorme montón de problemas. El curso de acción más inteligente sería no hacerlo y, en su lugar, utilizar su propia Internet (por ejemplo, a través de su teléfono personal).
No uses su red para nada personal . Esa es la mejor manera de proteger su privacidad de ellos.
Si no tiene otra opción, use una máquina virtual e instale el certificado en la máquina virtual en lugar de su máquina principal. Puede permitirle proteger su privacidad.
Personalmente, siempre usé una computadora separada para este tipo de problemas. De ninguna manera permitiría que una empresa / institución educativa instale nada en mi propio equipo, a menos que haya planeado matarlo desde la órbita más adelante.
Si ssh no se filtra, entonces puede usar ssh para producir un proxy SOCKS que se ejecute sobre un túnel ssh . No necesitas instalar ningún software para que esto funcione. No necesitas el software VPN. Lo siguiente funcionará en una máquina Linux o Mac (y probablemente se pueda hacer funcionar en Windows):
Obtenga una cuenta de shell (o una VM, pero eso está por encima) en alguna parte
Compruebe que puede iniciar sesión con ssh desde fuera de su institución y acepte la clave de host (fuera de la institución para asegurarse de que no están MTiM'ing ssh - improbable)
En un terminal ssh -D 8080 -N [email protected] (tenga en cuenta que parece que se cuelga)
Ahora use 127.0.0.1:8080 como su proxy SOCKS
Una vez que esto funcione, puedes (opcionalmente) usar autossh en lugar de ssh y mantendrá el túnel arriba - probablemente deberás instalarlo.
Instrucciones de Windows no probadas (que requieren la descarga de PuTTY) aquí .
La razón por la que esto funciona es que su tráfico HTTPS ya no fluye sobre el puerto 443. Fluye (se vuelve a cifrar) sobre el puerto 22. Suponiendo que no están interceptando el protocolo ssh . Y si lo son, se puede decir. Su tráfico se ve como ssh traffic (porque es ssh traffic), aunque el análisis detallado del tráfico podría sugerir que es tráfico ssh que transporta solicitudes web con proxy. Por lo tanto, no es inmediatamente identificable como tráfico VPN. Además, es probable que su universidad no bloquee el tráfico ssh ya que será utilizado por los estudiantes de CS.
Una ruta alternativa sería conectarse a su teléfono celular y usar un plan de datos.
Lee las T & C's.
Vea si tiene permiso para usar una VPN (algunos protocolos pueden estar prohibidos, las VPN también lo son).
Si es así, use una VPN y nunca se conecte a ningún sitio directamente a través de su red. (A menos que esté utilizando la fijación de certificados, pero es probable que la conexión falle porque el certificado no coincide). Las tablas de enrutamiento precisas pueden ayudarte con eso. Es posible que ni siquiera tenga que instalar el certificado (aunque puede necesitarlo para instalar el certificado para iniciar sesión en algo al conectarse a la red).
Si no tienes permiso para hacerlo, bueno ...
No hagas nada en contra de las T & Cs, esa es la mejor manera de simplemente ser excluido de la red, o peor.
nos está obligando a instalar el certificado SSL del Firewall de Cyberoam para que puedan ver todo el tráfico cifrado para "mejorar nuestra seguridad".
El malware también se envía a través de HTTPS, por lo que probablemente sea su intención mejorar la seguridad analizando el tráfico cifrado en busca de malware. Si solo quieren bloquear el acceso a algunos sitios, probablemente podrían hacerlo sin la intercepción de SSL.
La intercepción SSL es muy común en las empresas por la misma razón, es decir, para proteger a la empresa contra el malware.
¿El uso de una VPN será suficiente para ocultar todo mi tráfico o hay otras formas?
Eso depende de su configuración de red. Si son lo suficientemente inteligentes, bloquearán el uso de VPN, etc. Y me imagino que prohíben explícitamente eludir el firewall con dichas tecnologías, porque esto significa evitar la protección y hacer que la red sea menos segura. Por lo tanto, espera perder la conexión de red si usas una VPN.
Si no instalo el certificado, no podré usar su red.
Si es propietario de la red, existen suficientes formas de atacar la computadora o invadir la privacidad de los usuarios, incluso sin el uso de la intercepción SSL. Si no confía en ellos, no use su red, no importa si usan la intercepción SSL o no.
No uses la red.
Esa es prácticamente tu única opción. Cualquier intento de eludir sus medidas de "seguridad" probablemente se consideraría "acceso no autorizado" bajo la CFAA (asumiendo la jurisdicción de los EE. UU.) Y podría resultar en muchos años de prisión.
Puedes intentar llevarlos a la corte, pero tus posibilidades son muy escasas. Las instituciones públicas y privadas han estado realizando este tipo de monitoreo e interceptación de redes durante muchos años sin infringir la ley.
¿Cómo podrían verificar si usted tenía o no ha instalado su certificado SSL? ¿También están ejecutando software en su máquina local? De lo contrario, creo que los efectos adversos serían simplemente que tuvieras que lidiar con una gran cantidad de errores de certificados en tu final.
Lo que haría si fuera usted es un arranque dual o virtualizar. Tenga su SO inseguro donde instale todas sus "herramientas de seguridad" y certificados y (y no use nada que no quiera que vea alguien), y luego, cuando quiera privacidad, vuelva a a su sistema operativo seguro. Si vives en el campus y casi siempre estarás usando su red, entonces simplemente haz que tu sistema operativo seguro use una VPN por defecto, lo que debería cumplir con sus requisitos. Hay formas en que pueden darse cuenta de eso, pero siempre puede decirles que tiene un trabajo o algo y que lo necesita para el trabajo, y pueden creerle y dejarlo solo.
Alternativamente, yo diría que consiga un punto de acceso celular. Pero sé que cuando estaba en la universidad no podía pagar el tipo de plan de datos que necesitaría.
Solución propuesta: use una máquina virtual con el Certificado instalado cuando desee usar su red. De esta manera, será muy claro para usted cuándo está utilizando su red y cuándo no. También puede descartar la máquina virtual cuando ya no necesite usar su red.
Puedes usar su certificado y usar una VPN para eso.
Puede crear una tabla de enrutamiento personalizada, enrutando todo menos el tráfico de la red interna a través de la VPN. De esta manera solo pueden descifrar las conexiones entre usted y los sistemas en la red de la universidad. Todo lo demás se enrutará a través de su conexión VPN y será seguro.
Pero el uso de una VPN hará que todo su tráfico se dirija a un solo servidor (su proveedor de VPN), y seguramente se verá muy sospechoso en los registros. Si su universidad no permite conexiones VPN, es mejor no usar una, o usarla solo para tareas específicas (como la verificación de correo electrónico, por ejemplo). Usar FoxyProxy en Firefox puede ayudarte con eso.
Yo creo que puede usar de manera segura un dispositivo Chrome OS, con una cuenta de Google "escolar" dedicada que usa únicamente para acceder a la red escolar. Cambiar a una cuenta diferente (por ejemplo, su cuenta personal) ya no usará el certificado de la escuela ni ninguna de las configuraciones de ese usuario, y Chrome OS está diseñado para aislar las cuentas de manera segura.
Este artículo de ayuda (escrito para administradores de dominio, no para usuarios) ) menciona que esto es posible, y también señala que solo se aplica mientras el usuario del dominio está conectado.
No omita el firewall. Algunas otras respuestas ya cubrieron las opciones técnicas, pero esto no es aconsejable: todos los productos de filtrado que he visto bloquearán la omisión o lo permitirán, pero lo notificarán a un administrador, que te metirá en problemas. Puede parecer un truco inteligente para hacer algo que no se le permite hacer, pero las autoridades lo pisotearán, ya sea prohibiéndolo de la red, lo que dificultará sus estudios o lo expulsará de la universidad. De cualquier manera, el impacto potencial en su vida a largo plazo no vale la pena a corto plazo de tener una conexión a Internet sin filtro en la universidad.
La única opción técnica real es utilizar su propia conexión a Internet a través de un móvil 3G o tecnología similar. Podría instalar un proxy local y enrutar sus conexiones HTTPS a través del enlace 3G y todo lo demás a través de la red de la universidad.
La intercepción de SSL por los filtros de Internet en las instituciones educativas se está convirtiendo en una práctica generalizada. Si quiere tomar una posición en contra de esto, investigue sus opciones legales. En muchas jurisdicciones, la interceptación de comunicaciones privadas sin el consentimiento de ambas partes es una violación de la ley de escuchas telefónicas. Incluso si el argumento sostiene que usted consintió voluntariamente a la interceptación instalando el certificado SSL, es cierto que el sitio web remoto no lo hizo. Por lo que sé, ningún estudiante ha cuestionado la intercepción SSL sobre esta base, pero alguien tiene que ser el primero. Una vez el personal directivo de una empresa de filtrado me dijo una vez que si la intercepción de SSL es ilegal, no es su problema, es su cliente quien está infringiendo la ley, y tienen que ofrecerlo como una opción o de lo contrario perderán sus ventas. p>
La seguridad en estos filtros / firewalls de Internet es a menudo terriblemente mala:
Algunos usan el mismo certificado SSL para todos sus clientes. Trivial para extraer con la administración o el acceso físico. Si un servidor de seguridad está comprometido, todos los servidores de seguridad lo están.
Uso de software antiguo con vulnerabilidades de seguridad conocidas. Sé de un proveedor comercial con una línea de productos actual basada en software lanzado en 2004. Si puede obtener acceso de usuario, el acceso de raíz es trivial.
Acceso remoto inseguro. Los equipos de soporte suelen utilizar la misma contraseña de instalación y mantenimiento remoto para todos los clientes. Un atacante que conoce esa contraseña puede acceder de forma remota a cualquier sistema del cliente.
Hay una "lista blanca" de sitios en los que se supone que no se debe realizar la intercepción de SSL (como los principales bancos). Sin embargo, si tiene acceso al sistema, es trivial modificar el software para ignorar o eliminar la lista blanca.
Sé de al menos un caso en el que un atacante externo logró obtener acceso al servidor de desarrollo que tiene el código fuente de un producto de firewall importante. El desarrollador principal me dijo, "no tenemos idea de lo lejos que llegaron a la red interna ni de lo que hicieron una vez que estuvieron dentro".
El mensaje para llevar a casa es que estos dispositivos son bastante vulnerables a un pirata informático determinado, y una vez que se obtiene el acceso, podrían interceptar cada contraseña de cada conexión SSL de cientos de miles de usuarios. Me sorprende que todavía no hayamos oído nada sobre este tipo de ataque, pero quizás ya lo haya hecho y los piratas informáticos están demasiado ocupados vaciando cuentas bancarias para presumir de ello. El conocimiento público de tal ataque sería sumamente perjudicial para cualquier proveedor de firewall / filtro, y harían todo lo posible para encubrirlo.
Actualización de diciembre de 2015 : Las puertas traseras se encuentran en el firewall de Juniper, presente desde 2012.
Busqué una forma de usar Tor sobre HTTP (sin el comando proxy CONNECT ) cuando leí tu pregunta por primera vez, pero las respuestas anteriores decían que era actualmente imposible (solo encontré una propuesta de 2013 que nunca llegué a ninguna parte) . Ahora que acabo de encontrarme con esto, no estoy seguro de que sea lo que necesitas, pero se ve así:
meek es un transporte conectable que utiliza HTTP para transportar bytes y TLS para ofuscación