我的学院使用代理身份验证来监控个人浏览活动。这通常意味着我需要输入用户名和密码才能使用任何与互联网相关的东西。
但最近我在 Windows 7 上使用虚拟机(VMware 上的 Ubuntu),发现我可以在虚拟机内浏览而无需输入任何密码。我使用干净的系统反复测试,以避免密码缓存或保存的可能性。
这怎么可能?我记得虚拟网络设备配置为使用 NAT。即使这样,这也不可能吧?
这背后到底发生了什么?如何加强身份验证来弥补这样的漏洞?
答案1
我想到两种可能性(第二种可能性更大):
1) 您的代理策略可能仅针对浏览器配置,但 Internet 访问不受限制(即,如果在 Windows 域中,则通过组策略对象)。在这种情况下,浏览器将使用代理,但许多其他应用程序(包括在虚拟机内运行的应用程序)也会使用代理。这令人惊讶,因为在网络内提供代理时,您通常会过滤 HTTP 流量。
2) 如果您的代理身份验证是通过某些 Web 界面完成的,甚至通过 Windows 域登录,或通过其他单点登录策略(即由 Fortigate 等设备实现的策略);那么您可能处于一个根据您的动态 IP 授予访问权限的系统上。在这种情况下,由于您的虚拟机网络使用 S-NAT,因此源地址将相同,并且一旦您通过一次身份验证,就会授予访问权限。在这种情况下,浏览器选项中可能需要或不需要配置代理。