V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
momo12
V2EX  ›  职场话题

公司的网络使用网络接入控制系统可以查到代理么?

  •  
  •   momo12 · 262 天前 · 2246 次点击
    这是一个创建于 262 天前的主题,其中的信息可能已经有所发展或是发生改变。
    新换了一家公司
    每天都要重新连 Wi-Fi ,通过网络接入控制系统,登录自己的账号才能上网
    不知道 clash 等软件会不会被监控到
    33 条回复    2024-04-04 12:25:25 +08:00
    momo12
        1
    momo12  
    OP
       262 天前


    每次登陆 Wi-Fi 就是这个界面
    peterli427
        2
    peterli427  
       262 天前
    能看到你一直在访问你的节点,但是不知道你具体干了啥,你真实的浏览内容是加密的。
    IvanLi127
        3
    IvanLi127  
       262 天前
    你用啥代理软件,正常来说是看不到,但是是不是代理那是有可能能识别得到。不是很多协议特征都是明确的了么。蹲个大佬个截后台看看
    momo12
        4
    momo12  
    OP
       262 天前
    @IvanLi127 #3 软件就是 clashX 咯
    momo12
        5
    momo12  
    OP
       262 天前
    @peterli427 #2 所以还是知道我翻了
    luoyide2010
        6
    luoyide2010  
       262 天前
    主流 VPN 协议都是标榜自己是无特征,要这么容易识别翻墙这种行为早就灭绝了,管控设备想解密 https 目前都是不可能的
    momo12
        7
    momo12  
    OP
       262 天前
    @luoyide2010 #6 哈哈,我也是这样想的,主要是这边刚入职,怕触碰红线,但是确实没 Google 和 GPT 不太方便写代码了
    xumng123
        8
    xumng123  
       262 天前 via iPhone
    能查到
    xumng123
        9
    xumng123  
       262 天前 via iPhone
    @xumng123 数据越大,难度越大,公司没那么多数据,很容易查
    momo12
        10
    momo12  
    OP
       262 天前
    @xumng123 #9 这玩意是用自己的工号登录的,等于实名上网了
    peterli427
        11
    peterli427  
       262 天前
    @momo12 如果公司想知道,那不难知道,但是知道你翻墙干了什么是不可能的。正常来说,他只看到你访问了一些非主流网站或者 IP ,也就是你节点对应的域名、IP ,那就太多了,自动化监控不可能的。但是如果主动分析你的访问记录,发现经常访问某个境外 IP 且流量不小,那基本也能判断你翻了。搞开发的翻墙太正常了,一般公司都是睁一只眼闭一只眼。
    petercui
        12
    petercui  
       262 天前
    只能查到你一直在访问你所用的节点的 IP ,但是不知道再具体的了。
    ik
        13
    ik  
       262 天前 via iPhone
    我觉得都装了客户端了,客户端扫浏览器历史记录和程序列表啥的不是难事吧? 之前不是腾讯系有过例子了。


    dns 用公司提供的话也会泄漏访问了哪些站点。 不知道客户端有没有添加自签证书的能力,可以的话中间人一下,多数都能看了。
    ik
        14
    ik  
       262 天前 via iPhone
    @ik 错了,看起来是 macos ? 上面说的是基于 win 系统,mac 下哪些能实现,不清楚抱歉
    7VO54YYGvw3LOF9U
        15
    7VO54YYGvw3LOF9U  
       262 天前 via iPhone
    只是浏览文字类网站套层 tor 吧
    leconio
        16
    leconio  
       262 天前 via iPhone
    用摄像头不是更好查在干什么吗
    lifekevin
        17
    lifekevin  
       262 天前
    给你的客户端看起来只是验证入网,实际功能应该不止,找 IT 部门提个海外网络访问需求问一下,如果没有可申请途径再问问能不能自己连 vpn ,不然就是不合规,属于是留下了一个把柄
    Jirajine
        18
    Jirajine  
       262 天前
    @luoyide2010 #6 严重错误,主流的代理软件并不会尝试隐藏特征,它们只关心连不连得上,不关心暴露多少信息给链路。广泛部署的管控设备要么在终端直接采集信息,要么进行 tls mitm 代理。
    qwerz
        19
    qwerz  
       262 天前
    这个就看你有没有在电脑上装客户端软件之类的,没装的话,只能看到 dns 记录的,如果套一层 vpn 的话,基本就安全了。如果装了客户端,那基本就是裸奔状态。
    GeekGao
        20
    GeekGao  
       262 天前
    如果是通过公司内部的网关,技术角度可以分析出来,不难。不过必要性就不知道有多大了。
    GeekGao
        21
    GeekGao  
       262 天前
    @luoyide2010 域控下发根证书,结合内部 DNS 服务,试问阁下如何应对 😛
    Joshuahui
        22
    Joshuahui  
       262 天前 via Android
    学校组织在我们在某公司上课,公司的网不让用阿里云盘,我开全局代理上传文件会被发现😂
    SenLief
        23
    SenLief  
       262 天前
    你们有 it 部门,直接问啊,尽量不要尝试用公司的网络做些出格的事情。
    momo12
        24
    momo12  
    OP
       262 天前
    @ik #13 没有客户端,只是连上 Wi-Fi 后弹出来的
    momo12
        25
    momo12  
    OP
       262 天前
    @lifekevin #17 不是客户端,是连上 Wi-Fi 后弹出来的,说了不让用🪜,但是没🪜的话工作确实不方便了
    luoyide2010
        26
    luoyide2010  
       262 天前
    @GeekGao 虚心请教下目前有什么办法能分析出他在用代理?( PPTP 这类没考虑过隐藏特征除外)
    我一开始也想限制公司使用代理,拿公司的几十万的奇安信管控和分析设备,识别不了,也手动抓过包,没解密只能拿到的就 IP 域名 端口号 加密协商的信息,解密了很多协议也是带混淆和加密的,后面想想国家想搞都搞不好,就放弃了,听你这么说我好奇心就来了,求教下你的思路
    israinbow
        27
    israinbow  
       261 天前 via Android
    @luoyide2010 #26 证书解码 https, dns 判断目标地址, 这个思路不是关注流量的内容, 只关注有没有进行代理, 一般来说逆向这些协议拿到的也只有消息头. 功夫网并不关心你流量内容, 因为看一眼你访问的网站就知道你在干嘛了, 真想知道你的流量具体内容的时候就请走喝茶了.
    GeekGao
        28
    GeekGao  
       261 天前
    @luoyide2010 IP 情报库+流量行为啊。 “识别” 与 “解密流量” 不是一个概念啊,不要混淆。

    国家不这么细致的搞,是因为国际出口路由需要允许国际流量且需要允许各种标准协议和非标准协议啊。所以无法解密、DPI 分析不出、黑名单也没命中,自然要放行了。

    但是企业没那么大的流量,就可以很精细化的做 sniffer 。比如我公司一般员工如果没有国际通讯的需求,如果我发现他的 dns 解析异常(比如有 youtube.com 的记录) 我就知道,大概率是翻墙了( dns 泄露导致)。

    当然你也可以说你用落地机。比如你连接到某机场 xxxx.yyyyyyy.com:69001 ,又不是标准的 443 端口,流量占比比较大(例如每 10 分钟,通过这个连接你要传输 100MB ),持续时间也较长(每天都有这类行为),我有理由的认为这就是机场啊(或者你的终端中毒了)。
    luoyide2010
        29
    luoyide2010  
       261 天前
    @israinbow 你是以公司有能力搞中间人为前提,大部分公司都不会这样搞,如果你解密不了你怎么知道我访问的真实网站是什么,DNS 解析走翻墙隧道的,你能看到我 DNS 解析的内容?
    luoyide2010
        30
    luoyide2010  
       261 天前
    @GeekGao
    我了解也不深入,之前公司提供这个需求,稍微研究下,说的不一定全对,讨论讨论
    我认为不解密能拿到比较直观的信息就 IP/域名/端口号,就这些基础信息你怎么识别,还是绕不开的解密
    IP 情报库接触不多,只接触过威胁情报,IP 还能有什么情报?
    DNS 可以走隧道的,不好获取?
    用常见端口搭的翻墙也很多,你说的方法可以筛选出部分可以流量,但不全面,最重要的是我接触的管控设备奇安信,深信服都实现不了你说的功能,手搓一个不现实,而且分析这个需要大量情报支持,动动嘴是一回事,实际操作又是另外一回事
    结论:普通公司基本没能力识别出翻墙行为
    GeekGao
        31
    GeekGao  
       261 天前
    @luoyide2010 对于你的结论:普通公司基本没能力识别出翻墙行为 。
    我是认同的。

    我的回复只是想说明: 如果公司内有专职安全 team 要是硬去做的话,还是可以做到八九不离十的。

    关于“奇安信,深信服都实现不了你说的功能” 你忽略了一个事实: 国内行为管控设备,并不想做代理检测这种耗费计算资源的事情(甲方老板也不关心,毕竟还可以客户端上部署 DLP )。 这并不意味着厂商在局域网内没有技术可以实现它。例如我可以强行 SNI 识别+DPI+白名单啊,你可疑流量的 IP 一律被通报出来。 当然如果你想说 DNS 不在本地解析,那是无法获知 SNI 了,但是你的翻墙 IP (或国内的落地鸡 IP+固定端口)网管也可以拉黑了。


    补充你的疑问:IP 还能有什么情报? 15 分钟内 ipv4 全网代理端口扫描检测不是什么新鲜事儿了。公共 vpn 服务的 ip 已经被扫的(画像)八九不离十了。 5 年前我们就做过类似的风险数据业务了。
    luoyide2010
        32
    luoyide2010  
       261 天前
    @GeekGao 学习了
    HankAviator
        33
    HankAviator  
       260 天前 via Android
    没特征就是特征啊,gfw 最近一次升级就是看信息熵,无特征的信息熵太高,直接封掉也不会有很高的误封率。同理公司网络里排除掉已知协议,长连接的未知协议很容易就看到是翻墙的了。

    这其实不是什么技术问题,问题是楼主被告知不许翻墙还是没商量就做了,公司后面可以拿这个搞事情。公司内部这么做事情可大可小,但是涉及到外部如果还这么做了视客户性质和难缠程度,是有可能被捕的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2727 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 04:07 · PVG 12:07 · LAX 20:07 · JFK 23:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.