Kann mein Arbeitgeber Websites sehen, die auf einem persönlichen Telefon über Unternehmens-WLAN angezeigt werden?

Ich habe eine Frage, die niemand im Netz richtig beantworten konnte. Wenn ich ein persönliches iPhone verwende, das mit dem Gast-WLAN meines Unternehmens verbunden ist, und beispielsweise zu https://google.com/news navigiere, sieht/protokolliert mein Arbeitgeber:

  1. https://google.com (dh das /news ist ausgeblendet)
  2. die vollständige URL

Einige Antworten haben gesagt, dass HTTPS einen Teil der URL verschlüsselt, andere sagen, dass die vollständige URL im Router-Protokoll abgefangen wird.

Die meisten Leute, die mir geantwortet haben, sagen, dass Szenario 1 am meisten ist wahrscheinlich dh, dass das URL-Detail nach dem " / " aufgrund der HTTPS-Verbindung unsichtbar bleibt und daher nicht im Routerprotokoll erfasst wird. Andere sagen, dass der Netzwerkadministrator alles sehen und aufzeichnen kann (was für mich einen der Hauptpunkte von HTTPS zu besiegen scheint? Auch dies ist ein persönliches iPhone, auf das niemand Zugriff hat.

Author: Jim D, 2018-08-25
Source

3 answers

Hier gibt es mehr als nur HTTP zu beachten...

WiFi -

WiFi ist von Natur aus eine unglaublich offene Technologie. Jeder mit einer Antenne und Radio in Ihrer Nähe kann Verkehr sammeln.

Das WiFi-Netzwerk selbst kann verschlüsselt werden, aber es gibt viele Möglichkeiten, dies zu umgehen. Wenn Sie eine Verbindung zu einem Unternehmensnetzwerk herstellen, haben wahrscheinlich auch andere in der Nähe das Kennwort.

Erfassen und Archivieren

Denken Sie Daran - das Netzwerk der Administrator kann den gesamten Datenverkehr sehen, der in seinem Netzwerk weitergegeben wird, und es gibt nichts, was ihn daran hindert, ihn zu erfassen und zu archivieren.

Wenn eine Schwäche in einer Sitzung "secure" entdeckt wurde, können alle gesammelten Daten kompromittiert und möglicherweise entschlüsselt werden.

Wenn die Rechenleistung ausreichend voranschreitet, könnte Brute-Forcing eine praktikable Option sein, um die Klartextdaten abzurufen.

Es ist unwahrscheinlich, dass ein durchschnittliches Unternehmen signifikante Konten von " on der Draht " Verkehr.

Zuschreibung

Der Datenverkehr kann direkt an Ihr Telefon gebunden werden, basierend auf der MAC-Adresse Ihres Geräts .

"Randomisierung der MAC-Adresse" wurde in jüngerer Zeit bereitgestellt... in reicht dies jedoch in einigen Fällen nicht aus, um den Datenverkehr ordnungsgemäß zu anonymisieren.

DNS -

Für ein Standard-Telefon-Setup sind DNS-Abfragen [[12]}für den Netzbetreiber und Ihre Nachbarn leicht sichtbar. Zum Beispiel, Ihr Telefon fragen Sie nach der IP-Adresse für google.com oder mail.google.com.

Es ist möglich, aber ich würde vorschlagen, dass ein Unternehmen DNS-Abfragen protokolliert - es sei denn, sie sind von angemessener Größe.

IP-Adressierung

Die Kommunikation mit einem anderen System im Netzwerk / Internet erfordert, dass die Pakete entsprechend unter Verwendung der IP-Adresse des entfernten Systems geleitet werden.

In vielen Fällen identifiziert dies die Website oder das Unternehmen, mit dem Sie direkt kommunizieren (z. B. Google-Server hosten Sie nur Google-Dienste). Viele kleinere Websites verwenden jedoch Shared Hosting (dh mehrere Websites auf einem einzigen Server), wodurch es weniger implizit ist, welche Website Sie durchsuchen.

HTTP (kein SSL)

Normalerweise wird der tatsächliche Webverkehr mit SSL / HTTPS verschlüsselt. Denken Sie jedoch daran, dass es immer noch Websites gibt, die HTTPS nicht erzwingen oder sogar unterstützen, sodass in diesen Fällen der gesamte Datenverkehr "oder"sein kann.

HTTPS -

Für websites mit HTTPS (ignorieren die DNS-Informationen oben), ist es jetzt möglich, mehrere Domänen auf einem einzigen Server mit Servername Angabe zu hosten. Dadurch kann der Server auf den Handshake mit dem richtigen SSL-Zertifikat antworten, je nachdem, von welcher Domäne der Client Informationen angefordert hat.

In diesem Fall wird der Hostname weiterhin im Klartext als Teil des Handshakes gesendet und ist daher sichtbar.

Mann in der Mitte

In dem Fall, in dem HTTPS verwendet wird, gibt es noch Möglichkeiten für den Netzbetreiber, Ihren Datenverkehr zu entschlüsseln. Viele Unternehmen führen einen Proxy aus und installieren ein Zertifikat auf Mitarbeitergeräten (Laptops, Telefone usw.)...).

In diesem Fall sind Sie anfällig für a "Mann in der Mitte" angriff - Ihr Arbeitgeber kann den gesamten Datenverkehr entschlüsseln, Proxy-Dienste anbieten (z. B. Inhaltsfilterung,Caching usw...), und leiten Sie dann möglicherweise Ihre Anfrage an den Zielserver weiter, indem Sie die "richtiges " Zertifikat.

Dies ist für ein persönliches Gerät unwahrscheinlich.

Dies wird auch durch DNS Certification Authority Authorization etwas gemildert... es sei denn, der Operator fälscht auch die DNS-Antworten dafür. Ich weiß nicht, ob Browser die DNS-CAA-Antworten überhaupt zwischenspeichern...

VPN -

Wenn Sie ein VPN verwenden, bei dem alles richtig konfiguriert ist, ist es wahrscheinlich, dass nur der DNS-Datensatz des VPN-Servers lokal ausläuft (vorausgesetzt, Sie sind es nicht mit einer direkten IP), aber meine obige Aussage über erfassten und archivierten Datenverkehr steht immer noch. Sie müssen auch Ihrem VPN-Anbieter vertrauen.

Wenn Ihr VPN-Setup jedoch nicht richtig konfiguriert ist, können DNS-Abfragen [[12]} immer noch recht leicht auslaufen.

Zusammenfassend davon ausgehen, dass:

  • Ein Netzbetreiber (und jeder in der Nähe) kann alle Verkehr sehen.
  • Ein Netzbetreiber kann definitiv die IP-Adresse des entfernten Servers sehen, auf dem Sie sich befinden kommunikation mit.
    • google.com Es ist fast sicher, dass der Netzbetreiber den Hostnamen der Site sehen kann, mit der Sie kommunizieren (z. B. google.com).
    • Der Hostname wird über DNS undicht.
    • Der Hostname wird wahrscheinlich auch über SNI (Teil des SSL-Handshakes)
  • Das Schema kann abgeleitet werden (z. B. https://).
  • Es ist sehr gut möglich, dass Unternehmensgeräte ihren Datenverkehr an einem Proxy entschlüsseln lassen. Es ist ansonsten unwahrscheinlich, dass andere können leicht" siehe " Ihren entschlüsselten Datenverkehr.
  • Alle erfassten Daten könnten in Zukunft wertvoll sein - Verschlüsselung ist wirklich eine vorübergehende Maßnahme -, bis eine Sicherheitsanfälligkeit gefunden wird oder die Rechenleistung so weit fortgeschritten ist, dass Brute-Forcing trivial wird.
 6
Author: Attie,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-08-26 08:42:38

Um Ihre spezifische Frage zu beantworten, vorausgesetzt, Sie haben keine Problemumgehungen... nachdem Sie eine Verbindung zum Gast-WLAN von GenericCo hergestellt haben, öffnen Sie einen Browser und versuchen, zu zu navigieren. https://google.com/news.

A) Eine DNS-Anfrage wird im Klartext gesendet und fragt den DNS-Server nach der IP-Adresse. DNS ist normalerweise nicht verschlüsselt, sodass ein Snoopy-Systemadministrator mit WireShark es leicht sehen kann. Diese sichtbare DNS-Anforderung tritt für alle Domänen und Subdomains auf, sodass mail.google.com und google.com sichtbar sind als zwei separate Anfragen.

B) Eine HTTPS-Verbindungsanforderung wird an diese IP-Adresse gesendet. Handshaking tritt auf und Ihr Computer versucht, diese bestimmte Seite /Nachricht herunterzuladen. Theoretisch haben Sie zu diesem Zeitpunkt eine sichere HTTPS-Verbindung, sodass es für einen Snoop viel schwieriger ist, sie zu sehen.

Nehmen Sie im Allgemeinen an, dass Ihr Arbeitgeber alles sehen kann, was Sie in seinem Netzwerk tun. Es ist schließlich ihre Internetverbindung. Sie können es mit VPN und anderen Methoden verschleiern, die wird in anderen Antworten angezeigt. Beachten Sie jedoch, dass andere Personen neben Ihrem Arbeitgeber es möglicherweise auch sehen können. Die Verwendung eines VPN verringert die Anzahl der Schnüffeleien, die Personen in der Nähe ausführen können, aber dann müssen Sie dem VPN-Anbieter vertrauen.

 0
Author: Christopher Hostage,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-08-25 23:41:54

Die einfache Antwort auf diese Frage ist, dass Ihr Szenario 1 korrekt ist.

Die Verbindung ist HTTPS, niemand kann sehen, was nach dem Domänennamenteil der URL eingegeben wird, außer Ihnen und der anderen Partei, mit der Sie eine Verbindung herstellen. Ihr Arbeitgeber kennt nur die folgenden Informationen:

  1. Ihr Gerätename, Ihre MAC-Adresse und IP-Adresse
  2. Der AP, mit dem Sie verbunden sind, und der ungefähre Standort Ihres Geräts.
  3. Ihr Anmeldename, wenn Sie ihn eingeben mussten, um eine Verbindung herzustellen WiFi -
  4. Die Domain-Namen der Websites, auf die Sie zugreifen, und wann und wie lange
  5. Alle Details des Verkehrs, der unverschlüsselt ist.

Dies setzt voraus, dass Sie Ihrem Arbeitgeber nicht erlaubt haben, etwas auf Ihrem Gerät zu installieren. Und es geht davon aus, dass Ihr Arbeitgeber tatsächlich die zusätzlichen Schritte unternommen hat, um tatsächlich einige dieser Informationen zu sammeln. Schließlich, ja, diese 5 Elemente deuten darauf hin, dass sie möglicherweise nicht einmal wissen, wer das Telefon ist, das sich in ihrem Netzwerk befindet.

Diese Menge an Informationen ermöglicht es Ihrem Arbeitgeber, viele Dinge über das Modell Ihres Telefons, auf Ihrem Telefon installierte Apps und Ihr Internetverhalten abzuleiten.

Der offensichtliche Haftungsausschluss hier ist, dass Sie das WLAN Ihres Arbeitgebers nicht verwenden sollten, um Dinge zu tun, die gegen die Unternehmensrichtlinie verstoßen. Also, wenn Sie besorgt sind, bleiben Sie einfach weg von der Firma WiFi.

 0
Author: Appleoddity,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-08-26 01:44:39