我在学校担任 IT 工程师。我们接到政府 ISP 的合法命令,收集用户网络行为日志,识别受感染的 PC 等等。
我需要过滤所有流量,尤其是大部分 80 和 443 端口。
我知道如何过滤 80 端口,但是如何过滤 SSL 流量而不在客户端浏览器中抛出错误,也不摆弄学生的设备?
我可以访问我可以获得的 DigiCert 证书。从受信任的 CA 获得真正的证书是否有助于避免出现任何错误?
目标是拥有具有 SSO(AD)的透明日志代理,无需在计算机上安装证书,无需在 PC 中设置代理,不会出现任何错误。
答案1
如何在不摆弄学生设备的情况下过滤 SSL 流量而不在客户端浏览器中引发错误?
幸运的是你不能!
因为如果你能做到,任何人都能做到,那样就不会有我们现在所知道的互联网了。
获得来自受信任的 CA 的真实证书是否有助于避免出现任何错误?
不会,因为 DigiCert 会为您拥有并可以证明所有权的域名签署证书(并且他们会验证这一点)。
然后可以使用此证书来保护任何浏览器和学校服务器(可使用颁发该证书的域名访问)之间的传输,而不必担心某个地方的某些 IT 工程师拦截通信”无需在电脑上安装证书,无需在电脑上设置代理,不会出现任何错误“。
换句话说:HTTPS 检查是可能的,但是需要在客户端机器上安装根证书。
例如,请参阅 Microsoft 的 TechNet 文章HTTPS 检查的工作原理(请注意下面的“因为”这个词):
由于 HTTPS 检查证书先前放置在客户端计算机的受信任的根证书颁发机构证书存储中,因此计算机信任由此证书签名的任何证书。
但是您在问题中包含的条件是:
无需在电脑上安装证书,无需在电脑上设置代理,不会出现任何错误
确定答案:你无法做到这一点。
答案2
使用证书需要您为用户访问的每个网站创建至少一个证书(证书包含域名)。DigiCert 似乎被安装(至少在 Windows 中)为受信任的根 CA,因此可以工作,并且需要在非 Windows 计算机上进行验证。
然而,我建议你重新评估一下他们对你的要求。他们真的要求你记录整个有效载荷的流量?即使对于小型实体而言,这也代表着天文数字般的数据量。
我是一名大学生,在我的大学里,所有的互联网连接都会被记录下来,但他们只记录我连接到的 IP、我使用的协议等等。他们不收集实际的有效载荷,我们现场有大约 10,000 名用户,全天候...据我所知,他们不使用模拟,因为在这种情况下它是无用的。
仅收集此类元数据不需要 MITM,您只需分析通过路由器的数据即可。即使在安全连接上,目标 IP 和端口也未加密。您还可以拦截 DNS 查找(未加密,在端口 53 IIRC 上)以将其与使用的 IP 进行交叉引用。
编辑回复评论:
关于攻击的投诉:这是登录我大学网络的主要目的:一旦他们收到投诉,他们就可以知道哪个用户做了这件事。
阻止非法网站:您可以在连接到您网络的计算机使用的默认 DNS 上执行此操作以阻止域名。此外,您还可以使用防火墙将这些网站的 IP 的出站流量列入黑名单。
代理:这与证书概念无关。只有当您的代理模拟网站时,您才需要证书,如果您想解密或修改有效负载本身,它就会这样做。根据实际请求的内容,这可能不需要。仅转发流量的代理(即使它记录了流量)不需要模拟网站
身份验证:与代理一起使用,您可以使用它来交叉引用用户的身份和他们所做的事情。
“每个网站一个证书”:数字证书通常包含网站的名称,这意味着您不能使用同一个证书冒充几个不同的网站。否则,用户每次尝试使用 HTTPS 访问网站时都会看到一个大红色警告“此连接不安全”。