登录
  • 人们都希望被别人需要 却往往事与愿违
  • 将愚人从他们所敬拜的锁链下解放出来是非常困难@伏尔泰 (启蒙思想家)

如何防范网络审计

信息安全 Benny小土豆 1564次浏览 3981字 3个评论
文章目录[显示]
这篇文章在 2017年06月29日10:13:25 更新了哦~

 

咳咳,怎么会写起这个话题呢?起因是某个小伙伴发给了我知乎的链接让我提提神。

本来是想给写到总结里,结果一口气就写了2000来字,已经不适合在总结里出现啦,所以就单独拎出来好了!

事先声明,俺呀,不是什么大牛,也不是安全圈的业内人士,更不是密码学专家。我只是来科普下科普下……当然了是原创的科普。

另外,本篇文章是应对"审计"的哟……社会工程学等等不在此列。

 

一。网络审计是什么?

这里我指的是"上网行为管理审计"。在某些企业、学校里,会在网关部署一个设备(当然也有可能是旁路),所有进出网关的东西都会被记录下来。简而言之就是,理论上你看了什么网页,听了什么歌,下了什么电影都是可以在审计工具里看到的。

如何防范网络审计

当然审计的程度是不同的,有的可能不会部署这类工具,有的可能会对某些端口进行屏蔽(比如屏蔽BT端口来禁止下载),有的可能会特殊关照某些端口(比如HTTP的80)。

防范之心不可无。

当然你可以说,我们处在运营商这一个大的"公司"之中,无论怎么防范都是没用的。对待这种言论,我只想说,滚犊子!人活着早晚得死,那就现在死了呗。防范是有针对性的,你在公司里主要的防范对象是公司领导,关电信CEO什么事?况且,互联网的存在使得匿名真正成为了可能。

有人可能会问,有这么坏的公司/学校吗?就引用鲁迅老人家的那句话:我向来不惮以最坏的恶意揣测中国人。

二。如何防范网络审计

想要避开网络审计工具,那就要从多个方面来避免,这还是要借鉴编程随想的《如何保护隐私》系列和《如何隐藏你的踪迹,避免跨省追捕》系列。此两系类博文堪称经典,隐匿/匿名必看!看了他那两个系类博文,就可以直接×了我这个了。

拿着和国家机器隐匿的办法来对付区区一个公司显然大材小用。尽管不同人对匿名有不同的需求,但是这种意识应该得到提高、加强。

对待网络审计工具,首先是无法避免要通过网关了,所以只能在通信手段上进行保护。相信现代密码学,相信科学。

编程随想的博客搭建于Blogspot,被墙——因为Blogspot是Google的

1.网络层面的防范:

毫无疑问你的所有数据都得有一个网关一样的设备转发出去,这是无法避免的。也就是说,所有明文传输的东西都会被记录下来。想当然的那么就不明文传输,直接密文传输就好了。

那么应对措施就来了:

(1).VPN工具

我们可以使用VPN协议来创建加密隧道,所有的数据都会在这个隧道里传播,网关只能知道你的VPN服务器的IP和你在使用VPN,却比较难解密你的VPN通信。当然,推荐使用OpenVPN这种可以防止中间人攻击的证书体系VPN,当然L2TP+IPSec也可以做到一定程度的防护,PPTP还是免了吧。

(2).加密代理

除了VPN这种加密隧道之外,还可以使用代理工具,比如非常著名的加密socks5代理Shadowsocks。当然要注意选择一个比较健壮的加密算法,比如说aes256cfb而不是RC4——尽管我们有理由怀疑,一个公司的网络审计有那么多时间和计算能力来破解RC4吗?

(3).加密的通信协议

加密的通信协议,而且是公认的加密协议。时刻记住,尽可能使用加密连接,而且是使用了强大的加密算法和健壮的安全体系的强加密。越是公开的加密算法,它的健壮性也就越强,封闭的算法反而越弱,这是密码学的违反常识的理论之一。常见的安全的加密协议有,VPN中的OpenVPN,L2TP+IPSec, Shadowsocks,HTTPS,POP3S,IMAPS,SMTPS等,SSH和基于SSH的SFTP ,SCP等。

最常见的莫过于HTTPS了,你看这篇博文的时候, 右上角是不是绿色的小锁头?你打开淘宝的时候,是不是也是小锁头?甚至某些还会显示Certificate Transparency

如何防范网络审计

我可没钱……不过需要注意的是,即使访问了https网站,审计工具也依旧能够知道你访问了某个网站,因为在DNS查询,密钥协商交换证书的时候是一定会泄漏域名的;但是网络审计工具无法得知你具体看了某个文章以及其内容。想要避免此种泄漏,那么最好的方式是使用shadowsocks,或者VPN+远程DNS解析(DNSCrypt也行),这样审计工具就只能看到你和代理服务器的加密通信了。

此网络层面的防范乃是比较全能的办法。可是也别天真的以为,用了VPN就不会泄露你的IP,开了全局模式就不会泄露IP——有一种东西叫Flash和WebRTC的,这就是隐匿的内容了。

2.软件层面的防范

编程随想把这部分分成了"操作系统的防范"、"个人软件的防范"、"通讯工具的防范",我觉得在应对公司的审计工具有点大材小用。

(1).IM软件:

即时通信工具,比如说QQ,飞信等这是存在国家级监控的,小小公司应该管不到。但是QQ客户端是否加密传输聊天记录、加密程度、是否可以防范中间人至今还是未知数。

我们可以使用Skype、Google环聊等工具。请注意是国际版Skype哟,绝对的加密安全和保障。

(2).CA证书:

CA证书对于整个HTTPS的安全体系有多么重要,不了解的人可能完全无法理解。为此,我大家伙可以同样去看看编程随想的系列博文:《扫盲 HTTPS 和 SSL/TLS 协议》

如果公司在各位预装的系统上植入了自签名的CA证书,那么毫无疑问所有HTTPS都存在被劫持的风险。

如图,被签发了伪证书的GitHub

如何防范网络审计

说到CA,就得提到臭名昭著的CNNIC Root和12306的SRCA根证书。那么大的铁道部买不起一个证书?我只能再次引用并改编鲁迅老人家的那句话:我向来不惮以最坏的恶意揣测党国。

(3).邮件的防范

目前QQ邮箱是默认开启https的,如果在QQ面板直接打开邮箱,是https的web页面,这样审计工具只能知道你访问了QQ邮箱,却没办法知道你的邮件内容。

如果使用邮件客户端,那么可以设置相应的SSL连接。

比如QQ邮箱的帮助里是这样的:

如何防范网络审计

(4).客户端监控软件:

有些变态公司可能会在员工的电脑中安装监控工具,好似当初绿坝,有些甚至可能是驱动级监控工具。最简单的办法就是重装系统——怕啥BIOS密码,大部分电脑都可以在启动的时候按F8、ESC之类按键选择启动设备。哪怕不能选择,你都看这篇文章了,难道不会拆机箱抠电池么~顺手重建MBR来防范MBR病毒吧……好像现在都是GPT了耶。

可能重装系统会被发现或者引起怀疑,那么也有一个替代的办法,使用一些Linux发行版的LiveCD,制作成启动U盘,随插随用。当然这就有点技术门槛了,大部分人还是不太能适应各种Linux发行版吧!

对待不截屏的监控软件,也可以使用虚拟机隔离之。

(5.)浏览器的防范:

大概不会有公司会无聊到给员工的电脑装上自己开发的“监控浏览器”吧,但是依旧要注意一点,电脑被收走了,浏览器的历史记录不也就"公之于众"了吗?

Chrome有隐身模式。

3.硬件层面的防范:

电脑又被收走了,那平时下的小黄片不就被发现了吗?

没关系,只要我们做好了预防措施,那么就可以让监管人员欲哭无泪。

我们可以用BitLocker(Windows 7就自带了哦)、GnuPG、VeraCrypt(或许大家还记得TrueCrypt)这类工具加密文件、乃至于整个分区,而且保证是让NSA都欲哭无泪的加密。

GPG和VC的简要使用方法可以参考《加密技术的科普以及GnuPG和VeraCrypt教程》

或许有人要抬杠了,领导说不给他密码,就给我开除让我喝西北风,我没办法啊就给了密码。这再次印证了一个安全圈的俗话:越是安全的系统,最大的弱点往往就越在于人。

对待这种胁迫,我们可以使用VeraCrypt的隐藏卷,或者干脆死无对证——销毁数据。千万别天真的以为清空回收站、任何格式化(低级格式化、快速格式化、完全格式化)可以保护你的数据不被恢复,请使用粉碎工具或者完全物理销毁掉你的存储设备。

关于TrueCrypt更多更牛逼的介绍以及使用技巧等方法,我就不瞎说了,参考随想的牛逼哄哄的《TrueCrypt——文件加密的法宝》

以及《扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品》

 

4.物理层面的防范:

老板就在你身后呢,你就别看小黄片了;身后就亮着一个摄像头呢,就悠着点……这种物理层面的防范,只能靠各位自己了……

 

三。话外:

 

密码学

要不是密码学的发展,哪能给一个普通人和国家机器、哪怕是全世界的人斗争的可能?

在信息时代之前,就几乎已经注定了个人几乎无法匹敌政府,个人往往在任何一个方面都是非常渺小的……

举个例子,一个人能造什么武器?顶多是把枪,而政府却能制造出飞机坦克甚至是核武器。

不光是"武器",其它领域(比如交通工具)也差不多。在信息时代之前,个人吖那个渺小。

信息时代之后,其实大部分领域也并没有什么变化。你现在能造出来坦克?能玩的出来高铁?别逗了。

但是密码学是个例外。

多亏了当初PGP创始人Philip Zimmermann的抗争,他抵着被无数爱国者们骂成卖国贼的心理压力、抵着被FBI抓走坐牢的压力,义无反顾的发布了PGP——当然,靠着宪法修正案第一条他出口了一本书,书里的内容就是PGP的源代码。(二战以来,密码学一直被大部分国家认作军事机密,所以是禁止出口的。大家晓得图灵不)

如今,随意一个人都可以在网上下载到一些非常优秀的加密工具,稍微学习几分钟,就可以进行高高高高高强度加密。而政府方面即使用上超级计算机,也只好干瞪眼。

当然了这无法解密是说,在有意义的时间内无法解密,比如说一百年一千年。

在密码学上,俺们屁民,是和政府们平起平坐的。

再说一句,别以为保密的加密算法就是牛逼的……反而是越开放的加密算法越健壮。

隐私权

有没有这种意识,隐私权就是基本人权,是不可以被侵犯的。如果隐私是非法的,那也就非法之徒才能够有隐私。

 

四。抽风

最后,我的新规则是,编辑结束发表之前,贴上当前的壁纸,耶。

 

如何防范网络审计

 


文章版权归原作者所有丨本站默认采用CC-BY-NC-SA 4.0协议进行授权|
转载必须包含本声明,并以超链接形式注明原作者和本文原始地址:
https://www.bennythink.com/prevent-from-network-audit.html
喜欢 (7)
分享:-)
Benny小土豆
关于作者:

If you have any further questions, feel free to contact me in English or Chinese.

发表我的评论
取消评论

表情 代码 加粗 删除线 居中 斜体 链接 换行 签到

去你妹的实名制!

  • 昵称 (必填)
  • 邮箱 (必填,不要邮件提醒可以随便写)
  • 网址 (选填)
(3)个小伙伴在吐槽
  1. 企业定制的计算机……万一主板上有东西呢……
    TJM2016-12-14 16:32 回复
    • Benny小土豆
      这种情况下....我还是拿着自己的小本本吧!
      Benny小土豆2016-12-14 16:35 回复
      • 问题的关键是……乃并不资道他主板上有东东……
        TJM2016-12-14 17:20 回复