V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
showkin
V2EX  ›  宽带症候群

如何绕过单位网控系统

  •  
  •   showkin · 2018-04-13 09:23:43 +08:00 · 10413 次点击
    这是一个创建于 2418 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近单位 IT 做了件挺恶心得事儿,要求每个人安装他们提供得证书,然后才能访问网页,如果不装访问所有网页都提示证书错误,从 IE 显示来看,貌似所有网页都是使用他们得证书。怎么做到的?

    而且感觉这样有很大风险,请问有没有方法绕过这种机制,不然太烦了。目前知道得是可以通过 VPN 等工具直接绕过,有没有除此之外更简单一点得方法,或者有没有人知道这种机制是怎么运作得?

    51 条回复    2018-05-09 05:01:24 +08:00
    goodryb
        1
    goodryb  
       2018-04-13 09:29:45 +08:00
    中间人了解一下?
    msg7086
        2
    msg7086  
       2018-04-13 09:30:01 +08:00   ❤️ 1
    辞职大概一分钟
    catinsnow
        3
    catinsnow  
       2018-04-13 09:31:58 +08:00   ❤️ 1
    安装证书是为了 https 介入. 这样 https 加密流量也能明文扫描管控了. 就是你信任了它的证书, 它就可以在网关上解密 https 流量再用自签发的证书加密给你,而你的浏览器依然信任,你不查证书看不出来不是网站原来的.
    showkin
        4
    showkin  
    OP
       2018-04-13 09:42:43 +08:00
    @catinsnow 原来如此,这么一说就全明白了。真恶心。我通过 VPN 得流量应该不能从网关解密吧?另外 SS 得呢?
    nianbo2001
        5
    nianbo2001  
       2018-04-13 09:45:15 +08:00
    公司电脑进行监控挺好的啊
    MikuM97
        6
    MikuM97  
       2018-04-13 09:49:17 +08:00
    HTTPS 流量解密,深信服 PA 都在推这个功能,这样防火墙、行为管理就能针对 https 加密的流量进行识别阻断。最好的绕过方法就是,s-s s-s-r 一类的非标准 SSL 协议加密的代理
    dianso
        7
    dianso  
       2018-04-13 09:49:31 +08:00 via Android   ❤️ 1
    上班就好好工作。别有坏心眼,觉得这样不行就找上司给你解决或者辞职
    xuan880
        8
    xuan880  
       2018-04-13 09:56:53 +08:00 via Android   ❤️ 1
    辞职吧,瞎弄小心被开除。
    est
        9
    est  
       2018-04-13 09:58:47 +08:00
    ssl 里再套一层 ssl。
    ybbswc
        10
    ybbswc  
       2018-04-13 10:00:05 +08:00 via iPhone   ❤️ 1
    公司电脑别搞事情。要么忍,要么滚。😂
    showkin
        11
    showkin  
    OP
       2018-04-13 10:01:22 +08:00
    @dianso 不明白你的逻辑在哪里,我们是咨询机构不是 IT 企业,平时要花大量时间上网查资料以及与人沟通,有些资源是私有的,不是公司的。啥叫坏心眼?另外电脑是自带得笔记本,我当然不希望装一些乱七八糟得东西。如果找上司有用或者不爽辞,我闲的蛋疼发帖子?
    showkin
        12
    showkin  
    OP
       2018-04-13 10:01:47 +08:00
    @ybbswc 自己电脑。。。。。。。
    mandymak
        13
    mandymak  
       2018-04-13 10:04:37 +08:00
    winneis
        14
    winneis  
       2018-04-13 10:07:02 +08:00 via Android
    买个日租卡,自带电脑上班
    showkin
        15
    showkin  
    OP
       2018-04-13 10:11:41 +08:00
    @mandymak 不用那么复杂,我不依赖公司内网得内容,直接整个日租卡解决问题~~~~
    @winneis 也刚想到这个方法,直接整个大王卡之类得搞定~~~~
    ioriwong
        16
    ioriwong  
       2018-04-13 10:13:12 +08:00 via iPhone
    无限量 4G 卡 + 4G 路由器,用自己的网
    maskerTUI
        17
    maskerTUI  
       2018-04-13 10:17:22 +08:00
    上联通冰激凌套餐吧
    zw
        18
    zw  
       2018-04-13 10:56:19 +08:00
    @showkin 或许公司的目的就是要将你的私有资源转变为公司资源呢。。。那样的话,如果你不顺从,比如自己带电脑,用 4G 上网的话,最终结果就是被辞退。。。
    stanjia
        19
    stanjia  
       2018-04-13 11:03:32 +08:00
    辞职大约 1 分钟
    showkin
        20
    showkin  
    OP
       2018-04-13 11:06:36 +08:00 via Android
    @zw 本来就是自己带电脑。另外我觉得没有一个公司敢明目张胆的说要求将私有资源转化成公司资源吧,你给我的薪水不包括这部分。就像你自己用私有时间做了一个发展不错的开源项目,结果公司说你要把这玩意儿给公司,你啥感受?
    honeycomb
        21
    honeycomb  
       2018-04-13 11:13:03 +08:00 via Android
    @showkin
    @zw 的意思应该是说公司要明目张胆地进行联网流量监控,现在这个是技术手段,自然可以用技术手段绕过,但是它上行政手段呢?直接给你扣个帽子,说楼主不服从公司管理的时候,有什么好办法?
    nisnaker
        22
    nisnaker  
       2018-04-13 11:19:22 +08:00
    用某钥匙试试能不能用隔壁公司的 Wi-Fi
    ioriwong
        23
    ioriwong  
       2018-04-13 11:37:06 +08:00 via iPhone
    @zw 辞退好啊,本来就要走,拿补偿走爽歪歪
    j2001588
        24
    j2001588  
       2018-04-13 12:33:33 +08:00
    j2001588
        25
    j2001588  
       2018-04-13 12:34:37 +08:00
    这个问题一般来说 如果是公司的电脑 公司这么做 无可厚非 如果是 私人的电脑干公家的事可以让公司发终端补偿
    j2001588
        26
    j2001588  
       2018-04-13 12:35:31 +08:00   ❤️ 1
    最近我的单位要开始用钉钉了 我的原则就是接受公司管理 但是请提供办公专用手机
    j2001588
        27
    j2001588  
       2018-04-13 12:36:54 +08:00
    最近我的单位要开始用钉钉了 我的原则就是工作时间范围内接受公司管理 但是请提供办公专用手机,如果公司不能接受我的要求也简单 给补偿 我走人就是了
    wplct
        28
    wplct  
       2018-04-13 12:58:48 +08:00
    这种情况只能跑路
    x7395759
        29
    x7395759  
       2018-04-13 14:07:26 +08:00
    @j2001588 据我所知 ss 暂时只能监听少数几个加密方式。
    taresky
        30
    taresky  
       2018-04-13 14:08:53 +08:00 via iPhone
    不用公司的网
    geeklian
        31
    geeklian  
       2018-04-13 14:08:53 +08:00 via Android
    这玩意我们单位都用了 7 年了..

    你私人信息,可以自带电脑用 4G,也可以手机。

    单位外网电脑就是办公用的。
    geeklian
        32
    geeklian  
       2018-04-13 14:13:37 +08:00 via Android
    @x7395759

    监听 ss 干啥,阻断就行了。

    只要代理网关上禁用 https connect,就好啦。
    wr410
        33
    wr410  
       2018-04-13 15:37:07 +08:00
    也就只有深信服的设备才会干得出这种事。

    解决办法:
    买个无限流量卡+开热点

    1、能用 USB:USB 无线网卡
    2、不能用 USB:便携式路由器
    torbrowserbridge
        34
    torbrowserbridge  
       2018-04-13 15:44:19 +08:00
    什么公司吸引力这么大?通过酸酸乳上网吧。
    whileFalse
        35
    whileFalse  
       2018-04-13 17:00:22 +08:00
    @j2001588 期待你的后续故事。精神可嘉,可行性不看好。
    hatw
        36
    hatw  
       2018-04-13 17:52:00 +08:00
    @j2001588 #27 这个估计。。。。我以前的公司现在用钉钉。。。一天打卡 4 次。。。。早上一来,中午吃饭,午休开始上班、晚上下班。。。。少一次扣钱
    唉。。。
    zhuanzh
        37
    zhuanzh  
       2018-04-13 18:00:46 +08:00 via Android
    @j2001588 我比较好奇 你这个深信服还是啥设备真的能做到阻断 ss ?如果可以,换 ssr 用其他混淆算法呢?或者自己魔改一个专用混淆算法呢
    TonyGong
        38
    TonyGong  
       2018-04-13 18:01:48 +08:00 via Android
    @hatw 这种早找下家吧,这种管理早晚要出问题的
    WordTian
        39
    WordTian  
       2018-04-13 18:08:47 +08:00 via Android
    @j2001588 这截图真吓人,我得考虑换成 vmess 了
    Liqianyu
        40
    Liqianyu  
       2018-04-13 18:20:51 +08:00
    cdkey51
        41
    cdkey51  
       2018-04-13 20:38:30 +08:00 via iPhone
    @showkin 以前不装证书的时候 没有被网控么?
    cdkey51
        42
    cdkey51  
       2018-04-13 20:39:05 +08:00 via iPhone
    @mandymak 这要加的东东太多了 会疯的
    thetast
        43
    thetast  
       2018-04-13 23:55:32 +08:00
    bluecoat 也可以做相类似的事情。在公司的电脑上装这个很多公司都这么搞,其实也不止是这样子,很多公司都会有其它的包括 DLP 软件等等,根本不需要在网络上下手。
    tonyaiken
        44
    tonyaiken  
       2018-04-14 05:17:34 +08:00
    @cdkey51 如果是 HTTPS 就监控不了内容,因为有加密,最多知道你在访问某个网站或者 ip。
    bombless
        45
    bombless  
       2018-04-14 11:16:59 +08:00
    其实现在无限流量的手机卡挺好搞的,甚至有一些免月租的。正规的也是 99 块一个月。
    cdkey51
        46
    cdkey51  
       2018-04-15 08:33:44 +08:00 via iPhone
    @tonyaiken 你本机信任了证书 是可以被解密的
    vipcloos
        47
    vipcloos  
       2018-04-15 11:05:45 +08:00
    虚拟机了解一下
    qwvy2g
        48
    qwvy2g  
       2018-04-15 18:33:56 +08:00 via Android
    怎么不单独搞个特殊的拨号客户端?从客户端上来记录。
    dada0627
        49
    dada0627  
       2018-04-16 18:16:53 +08:00 via Android
    电脑里头装虚拟机,虚拟机上网,不想搞虚拟机下个安卓模拟器也行
    gamecreating
        50
    gamecreating  
       2018-04-17 16:09:09 +08:00
    中间人攻击....没办法 辞职吧
    tonyaiken
        51
    tonyaiken  
       2018-05-09 05:01:24 +08:00
    @cdkey51 前提当然是本机没有安装不可信的证书啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3579 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:57 · PVG 12:57 · LAX 20:57 · JFK 23:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.