首頁猿問企業(yè)防火墻背后的網(wǎng)絡(luò)流量

企業(yè)防火墻背后的網(wǎng)絡(luò)流量

Python

幕布斯7119047 2023-02-15 15:31:33

我在公司防火墻后面工作，該防火墻阻止了 Windows 和 Ubuntu 上除網(wǎng)絡(luò)瀏覽器和系統(tǒng)更新之外的幾乎所有應(yīng)用程序的網(wǎng)絡(luò)流量。當(dāng)我嘗試使用 curl、git、python 等連接到外部資源時(shí)，出現(xiàn) SSL/TLS 錯(cuò)誤。我能夠成功地忽略這些應(yīng)用程序的 SSL/TLS，并且它們按預(yù)期工作（例如curl -k成功）。關(guān)于此類問題的工作原理，我有幾個(gè)問題：由于忽略 SSL/TLS 有效，這是否意味著相關(guān)端口對(duì) TCP/HTTP 流量開放，而不對(duì) TLS/HTTPS 流量開放？為什么瀏覽器能夠apt install <package>通過 HTTPS 連接，而其他應(yīng)用程序卻不能？是否有一個(gè)不損害安全性且不涉及訪問防火墻設(shè)置的通用解決方案？

查看完整描述

1 回答

眼眸繁星

TA貢獻(xiàn)1873條經(jīng)驗(yàn) 獲得超9個(gè)贊

由于忽略 SSL/TLS 有效，這是否意味著相關(guān)端口對(duì) TCP/HTTP 流量開放，而不對(duì) TLS/HTTPS 流量開放？

不，這意味著有一些（可能是透明的）代理可以攔截 HTTPS，也可能攔截 HTTP 流量。使用SSL 攔截， HTTPS 流量在代理上被解密，可能是為了檢查它是否受到威脅或數(shù)據(jù)泄漏。

這個(gè)中間人“攻擊”的工作原理是將原始 HTTPS 連接分成兩部分：一個(gè)在客戶端和代理之間，一個(gè)在代理和目標(biāo)服務(wù)器之間。由于代理無法訪問原始證書私鑰，它將使用由代理特定 CA 簽名的動(dòng)態(tài)創(chuàng)建的證書。如果此代理 CA 受信任，訪問將順利進(jìn)行。但如果它不受信任，它就會(huì)崩潰——這就是你所看到的。如果您簡(jiǎn)單地禁用證書驗(yàn)證，它似乎可以工作，盡管它也會(huì)盲目地接受攻擊者的惡意 SSL 攔截。

為什么瀏覽器和 apt install 可以通過 HTTPS 連接，而其他應(yīng)用程序卻不能？

不幸的是，沒有一個(gè)信任庫(kù)。瀏覽器有自己的，Python 可能有自己的，Java 有自己的，應(yīng)用程序可能有自己的等等。因此，雖然代理 CA 可能已添加到某些信任存儲(chǔ)中，但它可能沒有添加到其他信任存儲(chǔ)中。

是否有一個(gè)不損害安全性且不涉及訪問防火墻設(shè)置的通用解決方案？

解決方案是將受信任的代理 CA 添加到所有必要的信任庫(kù)中。但同樣，沒有單一的，所以需要做什么在很大程度上取決于系統(tǒng)的確切設(shè)置和所使用的應(yīng)用程序。有一些標(biāo)準(zhǔn)位置可供查找（取決于操作系統(tǒng)和瀏覽器），但這些位置通常不包括系統(tǒng)上使用的所有可能的信任庫(kù)。

反對(duì) 回復(fù) 2023-02-15