私の大学では、SSL証明書のインストールを強制しています。プライバシーを保護する方法は?
私の大学の管理部門は、Cyberoam Firewall SSL証明書をインストールするように強制しているため、暗号化されたすべてのトラフィックを表示して「セキュリティを向上」させることができます。証明書をインストールしないと、ネットワークを使用できなくなります。
このような状況でプライバシーを保護するにはどうすればよいですか? VPNを使用しても、すべてのトラフィックを非表示にできますか、それとも他の方法がありますか?
プライベートアクティビティで使用するデバイス/ OSインストールに証明書をインストールしないでください。一度実行すると、大学のネットワークを使用していなくても、トラフィックはMITM攻撃の影響を受けます。このような攻撃には、インストールした証明書の秘密鍵が必要ですが、実際には、これらの「セキュリティ製品」は設計が非常に悪いため、非常に簡単であり、非常に弱い鍵生成を使用するか、同じ秘密鍵を使用します。すべての展開で、顧客が利用できます。チャットに移動したコメントで、TOOGAMは次のように書いています。
この特定のベンダーの証明書について知られている特定の問題 "Cyberoamデバイスの犠牲者からのトラフィックを他のCyberoamデバイスで傍受したり、デバイスからキーを抽出して他のDPIにインポートしたりすることが可能ですデバイス」
ネットワークにリソースが必要ない場合は、スマートフォンでWi-Fiテザリングを使用するか、キャンパスにいるときに使用する専用の3G USBドングルなどを入手してください。または、HTTP以外のトラフィックがMITMの影響を受けない場合は、証明書をインストールしなくてもVPNを使用できる場合があります。この場合、安価なVPNプロバイダーを入手するか、ホームネットワークがある場合はVPNを入手してください。
キャンパスネットワークからのみ利用可能なリソースにアクセスする必要がある場合は、VMにのみインストールされているMITM CAを使用して仮想マシンに別のOSをインストールし、ブラウザでVM forこれらのリソースへのアクセス。
VPNもブロックしない限り、VPNは確かに優れたソリューションです。
ただし、プライバシーを保護するための最善の解決策は、このポリシーを覆すために最善を尽くすことです。これは絶対に忌まわしい「セキュリティ」ポリシーです。これは、文字通り、キャンパス内の全員に対する組み込みの中間者攻撃です。ファイアウォールが危険にさらされた場合、攻撃者は、パスワード、クレジットカード番号など、キャンパス内の誰でもインターネット経由で送信したものを傍受できます。
これらのデバイスは、最初に聞こえたよりもさらに悪いことがわかりました。 TOOGAMがコメントで指摘したように、Tor Projectの人々は、少なくとも2012年の時点で、これらのデバイスのすべてが同じCA証明書を使用していることを発見しました ! これは、Cyberoamからこれらのディープパケットインスペクションデバイスのいずれかにアクセスできる誰でもまたはいずれかからエクスポートされたCA証明書がからのトラフィックを傍受できることを意味しますそのルートCA証明書がインストールされている人。これが過去3年間で修正されていたとしても、これはextremeを確保するこのデバイスのメーカーの能力に疑問を投げかけます。これは、間違いなくこの証明書をインストールすべきではなく、キャンパスからこのデバイスを削除するためのサポートをできる限り多く提供する必要がある理由です。
さらに、クリーンアップされたコメントで指摘されているように、このデバイスの使用は、ログイン資格情報を第三者(大学)に開示するため、地球上のほとんどすべてのWebサイトの利用規約に違反します。このポリシーとほとんどすべてのWebサイトのToSの両方を法的に遵守することはできません。
これが米国の公立大学であり、このデバイスをすぐに削除しなかった場合、この規模のセキュリティホールのために、地元の FBI Cyber Task Force に連絡することを強く検討します。大学に非常に厳しい話をさせます。彼らはこの種のことを非常に真剣に、そして正当な理由でとっています。
あなたの大学は、いくつかの条件下で「ネットワーク接続」サービスを提供しています。その1つは、大学のシステム管理者がすべてのトラフィックを検査する機能です。このようなシステム管理者のうるささをいくつかの技術的な仕掛け(たとえば、VPN、別の回答で提案されている)で打ち負かそうとするのは魅力的ですが、これはカレッジネットワークの「セキュリティシステム」を打ち破ろうとする明示的な試みであり、これにより、膨大なトラブルの中で。その場合、最も賢明な行動方針はそれを行わず、代わりに自分のインターネットを使用します(たとえば、個人の電話を通じて)。
何のためにもネットワークを使用しない個人。それは彼らからあなたのプライバシーを保護するための最良の方法です。
選択肢がない場合は、仮想マシンを使用して、メインマシンではなく仮想マシンに証明書をインストールします。それはあなたがあなたのプライバシーを保護することを可能にするかもしれません。
個人的には、私はいつもこの種の問題に別のコンピューターを使用しました。後で計画を立てない限り、会社/教育機関が自分の機器に何かをインストールすることを許可する方法はありません軌道からそれを起動する後で。
sshがフィルターで除外されない場合は、sshを使用して、sshトンネル上で実行されるSOCKSプロキシを生成できます。これを機能させるためにソフトウェアをインストールする必要はありません。 VPNソフトウェアは必要ありません。以下は、LinuxマシンまたはMacで動作します(おそらくWindowsで動作させることができます)。
シェルアカウント(またはVMですが、それは上にあります)をどこかで取得します
機関の外部から
sshを使用してログインできることを確認し、ホストキーを受け入れます(機関の外部でsshがMTiMしていないことを確認します-可能性は低いです)端末で
ssh -D 8080 -N [email protected](これがハングしているように見えることに注意してください)127.0.0.1:8080SOCKSプロキシとして
これが機能したら、(オプションで)autosshの代わりにsshを使用できます。これにより、トンネルが稼働し続けます。おそらく、インストールする必要があります。
テストされていないWindowsの手順(PuTTYのダウンロードが必要) ここ 。
これが機能する理由は、HTTPSトラフィックがポート443を介してフローしないためです。ポート22を介して(再暗号化されて)フローします。想定では、sshプロトコルをインターセプトしていません。そしてもしそうなら、あなたは言うことができます。あなたのトラフィックはsshトラフィックのように見えます(sshトラフィックであるため)-詳細なトラフィック分析は示唆するかもしれませんがプロキシされたWebリクエストを運ぶsshトラフィック。したがって、VPNトラフィックとしてすぐに識別できません。さらに、CSの学生が使用するため、大学がsshトラフィックをブロックしない可能性があります。
別のルートは、携帯電話にテザリングし、データプランを使用することです。
T&Cをお読みください。
VPNの使用が許可されているかどうかを確認します(禁止されているプロトコルやVPNも禁止されている場合があります)。
その場合は、VPNを使用し、ネットワークを介して直接サイトに接続しないでください。 (証明書の固定を使用している場合を除き、証明書が一致しないために接続が失敗する可能性があります)。正確なルーティングテーブルは、そのために役立ちます。証明書をインストールする必要がない場合もあります(ただし、ネットワークに接続するときに何かにログインするために証明書をインストールするために必要になる場合があります)。
あなたが許可されていない場合は、まあ...
- 個人用のコンピュータに証明書をインストールしないでください。別のマシンまたはVMを使用します。そのコンピューター/ VMで個人的なことは絶対に行わないでください。
- これについて他の学生と話し合ってください。あなたの周りのこの問題についての意識を高めます。
- 管轄権のある当局に問題を提起してください。 http://law.stackexchange.com でこれに抗議できるかどうかのアドバイスを求められるかもしれません。
T&Cに対して何もしないでください。これは、ネットワークから単に禁止する、またはさらに悪い方法です。
ネットワークを使用しないでください。
それはほとんどあなたの唯一の選択肢です。彼らの「セキュリティ」対策を回避しようとする試みは、CFAA(米国の管轄区域を想定)の下で「不正アクセス」と見なされる可能性が高く、何年にも及ぶ刑期につながる可能性があります。
あなたはそれらを法廷に連れて行くことを試みることができますが、あなたの可能性はかなりスリムです。公的機関と民間機関は、このようなネットワークの監視と傍受を、法律に違反することなく長年にわたって行ってきました。
は、Cyberoam Firewall SSL証明書をインストールして、暗号化されたすべてのトラフィックを表示して「セキュリティを向上させる」ことができるようにしています。
マルウェアもHTTPSを介して送信されるため、暗号化されたトラフィックのマルウェアを分析してセキュリティを向上させるのが、おそらく彼らの意図です。一部のサイトへのアクセスをブロックするだけの場合は、SSLインターセプトなしで行うことができます。
SSLインターセプトは、まったく同じ理由、つまりマルウェアから企業を保護するために、企業で非常に一般的です。
VPNを使用しても、すべてのトラフィックを非表示にできますか、それとも他の方法がありますか?
それは彼らのネットワーク構成に依存します。それらが十分に賢い場合は、VPNなどの使用をブロックします。また、保護をバイパスしてネットワークの安全性を低下させることを意味するため、このようなテクノロジーを使用してファイアウォールをバイパスすることを明示的に禁止すると思います。したがって、VPNを使用する場合は、ネットワーク接続が失われることを期待してください。
証明書をインストールしないと、ネットワークを使用できなくなります。
ネットワークを所有している場合、SSLインターセプトを使用しなくても、コンピュータを攻撃したり、ユーザーのプライバシーを侵害したりするのに十分な方法があります。信頼できない場合は、SSLインターセプトを使用するかどうかに関係なく、ネットワークを使用しないでください。
SSL証明書がインストールされているかどうかを確認するにはどうすればよいですか?また、ローカルマシンでソフトウェアを実行していますか?そうでなければ、私はあなたの側で多くの証明書エラーに対処しなければならないだけの悪影響があると思います。
私があなただったらどうするかは、デュアルブートか仮想化のどちらかです。すべての「セキュリティツール」と証明書をインストールし(そして、他人に見られたくないものは一切使用しないでください)、---プライバシーが必要な場合は、前に戻ってnsafe OSを用意します。安全なOSに。キャンパスに住んでいて、ほとんど常にネットワークを使用している場合は、セキュアOSにデフォルトでVPNを使用させるだけで、要件を回避できます。彼らがそれに気づく方法はいくつかありますが、あなたはいつでも自分に仕事や何かがあることを伝え、仕事にそれを必要とすることができます。
あるいは、セルラーホットスポットを取得します。しかし、私が大学にいたとき、必要な種類のデータプランを買う余裕がなかったことを知っています。
提案されたソリューション:ネットワークを使用する場合は、証明書がインストールされた仮想マシンを使用します。このようにして、ネットワークを使用しているときと使用していないときが非常に明確になります。また、ネットワークを使用する必要がなくなったときに、VMを破棄することもできます。
ファイアウォールをバイパスしないでください。他のいくつかの回答はすでに技術的なオプションをカバーしていますが、これはお勧めできません-私が見たすべてのフィルタリング製品はバイパスをブロックするか、許可しますが、トラブルに巻き込まれる管理者に通知してください。許可されていないことをするのは賢いハックのように思えるかもしれませんが、当局はあなたを踏みつけます-ネットワークからのあなたのアクセスを禁止することであなたの研究を困難にするか、あなたを大学から追放します。いずれにせよ、あなたの長期的な生活への潜在的な影響は、大学でフィルタリングされていないインターネット接続を持っていることの短期的な利益の価値はありません。
唯一の真の技術的オプションは、3Gモバイルまたは同様のテクノロジーを介して独自のインターネット接続を使用することです。ローカルプロキシをインストールして、3Gリンクを介してHTTPS接続をルーティングし、その他すべてを大学のネットワークを介してルーティングすることができます。
教育機関でのインターネットフィルターによるSSLインターセプトは、広く普及しつつあります。これに対抗したい場合は、法的オプションを調べてください。多くの管轄区域では、両当事者の同意なしにプライベート通信を傍受することは盗聴法違反です。 SSL証明書をインストールすることで傍受に故意に同意したという主張があったとしても、リモートWebサイトがそうではなかったのは確かです。私の知る限り、これに基づいてSSLインターセプトに異議を申し立てたことのある学生はいませんが、誰かが最初である必要があります。私はかつてフィルタリング会社の上級スタッフから、SSL傍受が違法であるならばそれは彼らの問題ではない-法律を破っているのは顧客である-と彼らはオプションとしてそれを提供しなければならないか、そうでなければ売り上げを失うだろうと言われました。
これらのインターネットフィルター/ファイアウォールのセキュリティは、しばしば恐ろしく悪いです:
一部の顧客は、すべての顧客に同じSSL証明書を使用しています。管理者または物理的なアクセスで抽出するのは簡単です。 1つのファイアウォールが侵害された場合、すべてのファイアウォールが侵害されます。
既知のセキュリティ脆弱性を持つ古いソフトウェアの使用。 2004年にリリースされたソフトウェアに基づいた現在の製品ラインの商用プロバイダーを1人知っています。ユーザーアクセスを取得できる場合、ルートアクセスは簡単です。
安全でないリモートアクセス。サポートチームは通常、すべての顧客に対して同じインストールパスワードとリモートメンテナンスパスワードを使用します。そのパスワードを知っている攻撃者は、任意の顧客のシステムにリモートでアクセスできます。
SSLインターセプトが実行されないはずのサイト(大手銀行など)の「ホワイトリスト」があります。ただし、システムにアクセスできる場合は、ソフトウェアを変更してホワイトリストを無視または削除するのは簡単です。
主要なファイアウォール製品のソースコードを保持している開発サーバーに外部の攻撃者がなんとかアクセスした例を少なくとも1つ知っています。 「内部ネットワークにどれだけ到達したか、またはいったん入ったときに何をしたかはわかりません」
持ち帰りメッセージは、これらのデバイスは特定のハッカーに対して非常に脆弱であり、アクセスが取得されると、数十万のユーザーのすべてのSSL接続のすべてのパスワードを簡単に傍受する可能性があるということです。この種の攻撃が行われていることについてまだ何も聞いていないことに驚いていますが、おそらくハッカーは銀行口座を空にするのに忙しく、それを自慢することはできません。このような攻撃に関する一般の知識は、ファイアウォール/フィルターのサプライヤーに大きな損害を与える可能性があり、彼らはそれをカバーするためにできる限りのことをします。
2015年12月更新: 2012年以降、ジュニパーのファイアウォールで見つかったバックドア
あなたは彼らの証明書を使うことができ、その上にVPNを使うことができます。
VPNを介して内部ネットワークトラフィック以外のすべてをルーティングするカスタムルーティングテーブルを作成できます。このように、彼らはあなたと大学のネットワーク上のシステムとの間の接続のみを解読できます。それ以外はすべてVPN接続経由でルーティングされ、安全です。
ただし、VPNを使用すると、すべてのトラフィックが単一のサーバー(VPNプロバイダー)に向けられ、ログで疑わしいと思われます。大学でVPN接続が許可されていない場合は、VPN接続を使用しないか、特定のタスク(電子メールのチェックなど)にのみ使用することをお勧めします。 FirefoxでFoxyProxyを使用すると、それが可能になります。
私は信じているChrome OSデバイス、専用の「学校」のGoogleアカウントでのみ使用できます)学校のネットワークにアクセスできるようにします。別のアカウント(個人アカウントなど)に切り替えると、学校の証明書やそのユーザーの設定は使用されなくなり、Chrome OSはアカウントを安全に分離するように設計されています。
これは ヘルプ記事 (ユーザーではなくドメイン管理者向けに書かれています)は、これが可能であり、ドメインユーザーがログインしている間のみ適用されることを述べています。