Kann mein Arbeitgeber Websites sehen, die mit dem Unternehmens-WLAN auf dem privaten Telefon angezeigt werden

4872
Jim D

Ich habe eine Frage, die niemand im Internet richtig beantworten konnte. Wenn ich ein persönliches iPhone verwende, das mit dem WLAN meines Unternehmens verbunden ist, und browse https://google.com/newsmein Arbeitgeber:

  1. https://google.com(dh das /newsist versteckt)
  2. die vollständige URL

In einigen Antworten wurde angegeben, dass HTTPS einen Teil der URL verschlüsselt. In anderen Fällen wird die vollständige URL im Routerprotokoll abgefangen.

Die meisten Leute, die mir geantwortet haben, sagen, dass Szenario 1 am wahrscheinlichsten ist, dh, dass die URL-Details nach dem „/“ aufgrund der HTTPS-Verbindung unsichtbar bleiben und daher nicht im Router-Protokoll hängen bleiben. Andere sagen, dass der Netzwerkadministrator alles sehen und aufnehmen kann (was für mich einer der Hauptpunkte von HTTPS zu besiegen scheint). Auch dies ist ein persönliches IPhone, auf das niemand Zugriff hat.

1
Sie müssen davon ausgehen, dass die Administratoren eines Netzwerks den gesamten Datenverkehr in ihrem Netzwerk überwachen können. Ron Maupin vor 6 Jahren 4
Danke, Ron. Hier gibt es widersprüchliche Ansichten. Einige sagen, dass die bestimmte Webseite verborgen ist (und nicht die Domäne, von der jeder zustimmt, dass sie sichtbar ist), andere sagen, dass dies nicht der Fall ist. Jim D vor 6 Jahren 0
Glauben Sie mir, es gibt Möglichkeiten, wie Administratoren von Unternehmensnetzwerken alles überwachen können, was im Netzwerk passiert, und sie sind dumm, wenn sie das nicht tun. Ein Unternehmen kann verklagt werden und sein Netzwerk kann beschlagnahmt werden, wenn illegale Aktivitäten festgestellt werden. Zum Beispiel: Ein Mitarbeiter nutzt es, um Kinderpornografie anzusehen. Die Feds kommen und schließen das Netzwerk. Aus diesem Grund lagern inzwischen so viele Unternehmen Gastnetzwerke an Unternehmen aus, die sich mit illegalen Aktivitäten befassen und das Risiko eingehen. Ron Maupin vor 6 Jahren 0
Danke, Ron. Sicher nichts so extremes, aber ich nehme den Punkt an! Jim D vor 6 Jahren 0
Höchstwahrscheinlich gibt es nicht eine Person, die alles beobachtet, aber es gibt automatisierte Möglichkeiten, um alle Aktivitäten zu überwachen, und eine lebende Person zu kennzeichnen, wenn etwas unpassend erscheint. Es gibt Software und Dienste, die Unternehmen abonnieren können, die ständig aktualisiert werden. Mein Unternehmen verfügt über einen solchen Dienst, und dieser ist meiner Meinung nach zu restriktiv, was legitime Versuche von Internetanfragen blockiert, und wir müssen ein paar Papiere ausfüllen, in denen detailliert beschrieben wird, warum eine Website oder ein Dienst legitim ist, wenn er auf der Serviceliste steht. Ron Maupin vor 6 Jahren 0
Danke, Ron. Würden Sie es Ihrer IT melden / das Problem vorab leeren? Dies war nur eine leicht geweckte Twitter-Seite ohne irgendetwas in dem Seitennamen, der risqué war. Oder schlafende Hunde liegen lassen? Jim D vor 6 Jahren 0
Wenn Sie nichts gehört haben, sind Sie wahrscheinlich in Ordnung. Ron Maupin vor 6 Jahren 0

3 Antworten auf die Frage

6
Attie

Hier ist mehr als nur HTTP zu beachten ...

W-lan

WiFi ist von Natur aus eine unglaublich offene Technologie. Jeder, der eine Antenne und ein Radio in Ihrer Nähe hat, kann Verkehr sammeln.

Das WLAN-Netzwerk selbst kann zwar verschlüsselt werden, es gibt jedoch viele Möglichkeiten, dies zu umgehen. Wenn Sie sich mit einem Firmennetzwerk verbinden, ist es wahrscheinlich, dass auch andere Personen in der Nähe das Kennwort haben.

Erfassen und Archivieren

Denken Sie daran - der Netzwerkadministrator kann den gesamten Datenverkehr in seinem Netzwerk sehen und nichts hindert ihn daran, ihn zu erfassen und zu archivieren.

Wenn in einer " sicheren " Sitzung eine Schwachstelle entdeckt wurde, könnten die gesammelten Daten gefährdet und möglicherweise entschlüsselt werden.

Wenn sich die Rechenleistung ausreichend verbessert, könnte Brute-Forcing eine praktikable Option sein, um die Klartextdaten zu erhalten.

Es ist unwahrscheinlich, dass ein durchschnittliches Unternehmen signifikante Konten von "on the wire" -Verkehr protokolliert.

Zuschreibung

Der Verkehr kann basierend auf der MAC-Adresse Ihres Geräts direkt an Ihr Telefon gebunden werden .

" MAC Address Randomization " wurde in jüngerer Zeit bereitgestellt ... dies reicht jedoch in manchen Fällen nicht aus, um den Verkehr ordnungsgemäß zu anonymisieren.

DNS

Bei einer Standardtelefoneinrichtung sind DNS- Abfragen für den Netzbetreiber und Ihre Nachbarn leicht sichtbar. Ihr Telefon fragt beispielsweise nach der IP-Adresse für google.comoder mail.google.com.

Es ist möglich, aber ich würde unwahrscheinlich vorschlagen, dass ein Unternehmen DNS-Abfragen protokolliert - es sei denn, sie haben eine angemessene Größe.

IP-Adressierung

Die Kommunikation mit einem anderen System im Netzwerk / Internet erfordert, dass die Pakete mit der IP-Adresse des Remote-Systems entsprechend geleitet werden .

In vielen Fällen wird dadurch die Site oder das Unternehmen identifiziert, mit dem Sie direkt kommunizieren (z. B. Google-Server hosten nur Google-Dienste). Viele kleinere Websites verwenden jedoch Shared Hosting (dh mehrere Websites auf einem einzigen Server), sodass die von Ihnen besuchte Website weniger implizit ist.

HTTP (kein SSL)

Normalerweise wird der tatsächliche Webverkehr mit SSL / HTTPS verschlüsselt. Denken Sie jedoch daran, dass es immer noch Websites gibt, die keine HTTPS-Unterstützung erzwingen oder gar bieten, sodass in diesen Fällen der gesamte Datenverkehr " gesehen " werden kann.

HTTPS

Für Websites HTTPS (ohne Berücksichtigung der DNS - Informationen oben) verwendet wird, ist es nun möglich, mehrere Domänen auf einem einzigen Server mit Host Server Name Indication . Dadurch kann der Server mit dem richtigen SSL-Zertifikat auf den Handshake antworten, abhängig davon, von welcher Domäne der Client Informationen angefordert hat.

In diesem Fall wird der Hostname immer noch im Klartext als Teil des Handshakes gesendet und ist daher sichtbar.

Der Mann in der Mitte

In dem Fall, dass HTTPS wird verwendet, gibt es immer noch Möglichkeiten für den Netzbetreiber Ihren Traffic zu entschlüsseln. Viele Unternehmen betreiben einen Proxy, der ein Zertifikat auf den Geräten der Mitarbeiter (Laptops, Telefone usw.) installiert.

In diesem Fall sind Sie anfällig für einen Angriff " Man in the Middle " - Ihr Arbeitgeber kann den gesamten Datenverkehr entschlüsseln, Proxy-Typ-Dienste anbieten (z. B. Inhaltsfilterung, Zwischenspeicherung usw.) und Ihre Anfrage möglicherweise weiterleiten auf dem Zielserver mit dem " korrekten " Zertifikat.

Dies ist für ein persönliches Gerät unwahrscheinlich.

Dies wird auch durch die DNS-Zertifizierungsstellen-Autorisierung etwas gemildert ... es sei denn, der Betreiber fälscht auch hier die DNS-Antworten. Ich weiß nicht, ob Browser die DNS-CAA-Antworten überhaupt zwischenspeichern ...

VPN

Wenn Sie ein VPN verwenden, bei dem alles korrekt konfiguriert ist, ist es wahrscheinlich, dass nur der DNS-Eintrag des VPN-Servers lokal ausläuft (vorausgesetzt, Sie verwenden keine direkte IP-Adresse). Meine Aussage über den erfassten und archivierten Verkehr bleibt jedoch bestehen. Sie müssen auch Ihrem VPN-Anbieter vertrauen.

Wenn Ihr VPN-Setup jedoch nicht ordnungsgemäß konfiguriert ist, können DNS-Abfragen dennoch recht leicht ausfallen.

Zusammenfassend nehmen Sie an, dass:

  • Ein Netzbetreiber (und jeder, der sich in der Nähe befindet) kann den gesamten Verkehr sehen.
  • Ein Netzbetreiber kann auf jeden Fall die IP-Adresse des Remote-Servers sehen, mit dem Sie kommunizieren.
  • Es ist fast sicher, dass der Netzbetreiber den Hostnamen der Site sehen kann, mit der Sie kommunizieren (z google.com. B. ).
    • Der Hostname wird über DNS auslaufen.
    • Der Hostname wird wahrscheinlich auch über SNI auslaufen (Teil des SSL-Handshakes)
  • Das Schema kann abgeleitet werden (zB:) https://.
  • Es ist sehr gut möglich, dass der Datenverkehr eines Unternehmens auf einem Proxy entschlüsselt wird. Ansonsten ist es unwahrscheinlich, dass andere Personen Ihren entschlüsselten Datenverkehr leicht " sehen " können.
  • Alle erfassten Daten könnten in Zukunft wertvoll sein - Verschlüsselung ist wirklich eine vorübergehende Maßnahme - bis eine Schwachstelle gefunden wird oder sich die Rechenleistung so weit entwickelt, dass Brute-Forcing trivial wird.
Vielen Dank. Sollte meine Grundannahme die vollständige URL sein? Ich habe aus Versehen eine kurze Verbindung zu einer NSFW-Twitter-Seite hergestellt, ohne zu merken, dass mein persönliches Telefon bei der Arbeit mit dem Gast-WLAN verbunden war. Jim D vor 6 Jahren 0
Ich würde davon ausgehen, dass es dir gut geht. Sei nur vorsichtig, es nicht noch einmal zu tun. Zumal dies wahrscheinlich gegen ihre Nutzungsrichtlinien verstößt. Attie vor 6 Jahren 0
Vielen Dank. Du bist sehr hilfreich. Wollen Sie damit sagen, es sollte "in Ordnung" sein, weil die URL in Tausenden von anderen vergraben ist oder weil die Chance besteht, dass sie die vollständige URL nicht sehen, dh nichts nach twitter.com? Jim D vor 6 Jahren 0
Das Downvoting dieser Antwort ist nicht nur übermäßig kompliziert, sie beantwortet die Frage nicht und schlägt mehrere andere "Möglichkeiten" vor, die entweder völlig irrelevant sind oder so unwahrscheinlich sind, dass sie nicht einmal erwähnt werden sollten. Appleoddity vor 6 Jahren 1
@Appleoddity was davon ist völlig unwahrscheinlich? Meinen Sie das so: "Jeder, der sich in der Nähe einer Antenne und einem Radio befindet, kann Verkehr sammeln." ? Nordlys Jeger vor 6 Jahren 0
@NordlysJeger wurde eine sehr spezifische Frage gestellt. Kann mein Arbeitgeber grundsätzlich die Informationen nach dem Domainnamen sehen? Es ist nicht falsch, all diese zusätzlichen Dinge zu behandeln, sondern führt nur zu Verwirrung, da das meiste davon nicht einmal für die ganz spezifische Frage gilt. Sie können sehen, dass es den OP verwirrt hat, der angegeben hat, dass er immer noch nicht versteht. Appleoddity vor 6 Jahren 1
@NordlysJeger speziell für Sie, der Vorschlag, dass andere Benutzer möglicherweise verschlüsselten Datenverkehr sehen, ist irrelevant und offensichtlich, und ein mittlerer Angriff ist nahezu unmöglich, wenn dieses Gerät nicht geändert wurde oder der Benutzer nicht in irgendeiner Weise betrogen wurde könnte sich als illegal erweisen. Appleoddity vor 6 Jahren 0
@Appleoddity Wollen Sie damit sagen, dass ein MITM-Angriff nicht möglich ist, wenn das iPhone von OP nicht geändert wurde? Ich und mitmproxy würden dagegen argumentieren, je nachdem wie das Netzwerk eingerichtet ist. confetti vor 6 Jahren 0
@Appleoddity, nur weil ich ahnte, was für OP passiert ist, bevor ich meine Antwort schrieb, heißt das nicht, dass ich technische (und relevante) Details auslassen sollte. "_Kann die vollständige URL von meinem Arbeitgeber eingesehen werden? _" - siehe oben, auf welche Weise sie möglicherweise feststellen könnten, was Sie getan haben. Ich habe den Abschnitt "_in summary_" hinzugefügt, um zu versuchen, es weniger verwirrend zu machen. Attie vor 6 Jahren 0
Sie können die DNS-basierte Überwachung durch den Einsatz eines "DNS-over-HTTPS" -Servers wie Google Public DNS (8.8.8.8/8.8.4.4) oder mit Cloudflares 1.1.1.1 (1.1.1.1/1.0.0.1) verhindern. Ultrasonic54321 vor 6 Jahren 0
@ Ultrasonic54321 In der Tat, aber es geht nicht nur darum, DNS-Anfragen an diese Hosts zu richten. (Https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/) ... Attie vor 6 Jahren 0
0
Christopher Hostage

Gehen Sie zur Beantwortung Ihrer spezifischen Frage davon aus, dass Sie keine Problemumgehungen haben. Nachdem Sie eine Verbindung zum GenericCo-WLAN hergestellt haben, öffnen Sie einen Browser und versuchen, zu https://google.com/news zu navigieren .

A) Eine DNS-Anfrage wird im Klartext gesendet und fragt den DNS-Server nach der IP-Adresse. DNS wird normalerweise nicht verschlüsselt, sodass ein Snoopy-Sysadmin mit WireShark dies leicht erkennen kann. Diese sichtbare DNS-Anforderung tritt für alle Domänen und Subdomänen auf, sodass mail.google.com und google.com als zwei separate Anforderungen sichtbar sind.

B) Eine HTTPS-Verbindungsanfrage wird an diese IP-Adresse gesendet. Beim Handshake wird versucht, diese bestimmte Seite / diese News herunterzuladen. Theoretisch haben Sie zu diesem Zeitpunkt eine sichere HTTPS-Verbindung, daher ist es für einen Snoop viel schwieriger, dies zu erkennen.

Angenommen, Ihr Arbeitgeber kann in Ihrem Netzwerk alles sehen, was Sie tun. Es ist immerhin ihre Internetverbindung. Sie können es mithilfe von VPN und anderen Methoden verschleiern, die in anderen Antworten angezeigt werden. Beachten Sie jedoch, dass andere Personen als Ihr Arbeitgeber dies möglicherweise auch sehen können. Durch die Verwendung eines VPNs wird das Ausmaß des Schnüffelns, das in der Nähe befindliche Personen möglich ist, verringert. Sie müssen jedoch dem VPN-Anbieter vertrauen.

Vielen Dank. Bedeutet das, dass Sie (im Allgemeinen) mit meinem Szenario 1 einverstanden sind, dh es gibt eine DNS-Anforderung, die nur google.com und dann ein Handshake ist und nur der empfangende Server die Anforderung für "/ news" sieht? Dh das "/ news" ist nicht in Routerprotokollen angemeldet? Jim D vor 6 Jahren 0
Könnte sein. Machen Sie sich mit WireShark und anderen Tools vertraut und erfahren Sie, was die Pakete sind, die Ihren PC verlassen. Ich habe es gerade in Chrome und Firefox auf PC und Mac ausprobiert, um zu bestätigen, dass Szenario 1 der Fall zu sein scheint. Aber nehmen Sie mein Wort nicht dafür - testen Sie es selbst mit mehreren Tools. Schauen Sie sich auch das Mac / * nix-Tool "dig" an. Und denken Sie an meine ursprüngliche Antwort - gehen Sie davon aus, dass Ihr Arbeitgeber alles sehen kann. Christopher Hostage vor 6 Jahren 0
0
Appleoddity

Die einfache Antwort auf diese Frage ist, dass Ihr Szenario 1 richtig ist.

Die Verbindung ist HTTPS. Niemand kann sehen, was nach dem Domainnamen-Teil der URL eingegeben wird, außer Sie und der andere Teilnehmer, zu dem Sie eine Verbindung herstellen. Ihr Arbeitgeber kennt nur die folgenden Informationen:

  1. Ihr Gerätename, Ihre MAC-Adresse und IP-Adresse
  2. Der AP, mit dem Sie verbunden sind, und den ungefähren Standort Ihres Geräts.
  3. Ihr Anmeldename, wenn Sie ihn eingeben mussten, um eine Verbindung zu WLAN herzustellen
  4. Die Domainnamen der Sites, auf die Sie zugreifen, wann und wie lange
  5. Alle Daten des unverschlüsselten Datenverkehrs.

Dies setzt voraus, dass Sie Ihrem Arbeitgeber nicht erlaubt haben, irgendetwas auf Ihrem Gerät zu installieren. Es wird davon ausgegangen, dass Ihr Arbeitgeber tatsächlich die zusätzlichen Schritte unternommen hat, um einige dieser Informationen zu sammeln. Schließlich, ja, diese 5 Elemente deuten darauf hin, dass sie möglicherweise nicht einmal wissen, wer das Telefon in ihrem Netzwerk ist.

Diese Menge an Informationen ermöglicht es Ihrem Arbeitgeber, eine Reihe von Informationen zum Modell Ihres Telefons, zu auf Ihrem Telefon installierten Apps und zu Ihrem Internetverhalten abzuleiten.

Der offensichtliche Haftungsausschluss hier ist, dass Sie das WLAN Ihres Arbeitgebers nicht dazu verwenden sollten, Dinge zu tun, die gegen die Unternehmensrichtlinien verstoßen. Wenn Sie also besorgt sind, bleiben Sie vom WiFi des Unternehmens fern.

Danke, Apple. Das ist sehr hilfreich. Der Router des Unternehmens würde also nach dem Domainnamen nichts "sehen" und deshalb nicht protokollieren? Jim D vor 6 Jahren 0
@JimD Ja, das stimmt. Appleoddity vor 6 Jahren 0
Vielen Dank. Das ist hilfreich und beruhigt mich (etwas). Ändert sich die Analyse, wenn das Unternehmen einen Web-Proxy verwendet? Jim D vor 6 Jahren 0

Verwandte Probleme