Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Kan skolen se at man bruker VPN?

Nordmann3

Av Nordmann3
i Internett og nettverk

Anbefalte innlegg

Nordmann3

Nordmann3

Skrevet
Skrevet

På skolen vår er det mange sider som er blokkert. Blant annet facebook. twitter, instagram, snapchat osv. 

I fjor da nesten alle elevene lastet ned "Browsec" som er en VPN utvidelse i nettleseren, fikk vi en advarsel at man måtte slette dette programmet. 

 

For ikke så lenge siden fant jeg et program som heter "Softether VPN" som er et program man laster ned på PC slik at man kan koble seg opp mot en vpn adresse man velger. Ettersom dette er et VPN program på pc, isteden for at det er i nettleseren, er det vel slik at trafikken er blokkert?

 

Og da kan vel ikke skolens ikt greier vite at man bruker VPN?

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Gjest

Gjest

Skrevet
Skrevet

Nå vil jeg ikke tro at skolen monitorere trafikken aktivt da det kan være brudd på personvernhetsloven.

 

VPN trafikk er kryptert, man vil kunne se at det går trafikk mot en spesifikk IP-adresse, men innholdet vil være kryptert for de som lytter på trafikken.

 

 

Anbefaler også alltid bruk av HTTPS, gjerne bruk av nettleser tillegg som tvinger nettsider til å bruke HTTPS. F.eks til Chrome: HTTPS Everywhere. HTTPS trafikk er kryptert ;)

Se forøvrig https://serdeg.no/

Lenke til kommentar
Nordmann3

Nordmann3

Skrevet
  • Forfatter
Skrevet (endret)

Nå vil jeg ikke tro at skolen monitorere trafikken aktivt da det kan være brudd på personvernhetsloven.

 

VPN trafikk er kryptert, man vil kunne se at det går trafikk mot en spesifikk IP-adresse, men innholdet vil være kryptert for de som lytter på trafikken.

 

 

Anbefaler også alltid bruk av HTTPS, gjerne bruk av nettleser tillegg som tvinger nettsider til å bruke HTTPS. F.eks til Chrome: HTTPS Everywhere. HTTPS trafikk er kryptert ;)

Se forøvrig https://serdeg.no/

Takk for svar.

Det er ikke skolen som monitorerer, men det er dems ikt selskap som lagde en liste over elever som brukte dette Browsec programmet i fjor. Vi må nemlig logge inn med brukernavn og passord for å komme på nettet.

 

Nå logger jeg inn som vanlig med brukernavn og passord, tar på Softether, og deretter kan jeg gå inn på hva jeg vil.

 

Skal prøve å bruke det https også!

:D

Endret av Summerbravo
Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

Ja, du vil kunne se at det er VPN trafikk om du aktivt inspiserer trafikken som reiser igjennom nettverket.

Det er slik Kineserne tar de som prøver å gå rundt "veggen" der nede... Svaret  er da å pakke inn VPN pakkene i ett SSL lag med for eksempel stunnel.

Da vil trafikken se mer ut som vanlig HTTPS trafikk kontra VPN for de som ser raskt over trafikk typen.

Lenke til kommentar
covah

covah

Skrevet
Skrevet

Ja, du vil kunne se at det er VPN trafikk om du aktivt inspiserer trafikken som reiser igjennom nettverket.

Det er slik Kineserne tar de som prøver å gå rundt "veggen" der nede... Svaret  er da å pakke inn VPN pakkene i ett SSL lag med for eksempel stunnel.

Da vil trafikken se mer ut som vanlig HTTPS trafikk kontra VPN for de som ser raskt over trafikk typen.

Dagens "next-gen" brannmurer (feks. Palo Alto) dekrypterer SSL trafikken og ser med en gang at det er VPN trafikk.

Ditt tips funker bare på "gårsdagens" type brannmurer (selv om jo disse fortsatt er svært utbredt).

Lenke til kommentar
Twinflower

Twinflower

Skrevet
Skrevet

Ja, du vil kunne se at det er VPN trafikk om du aktivt inspiserer trafikken som reiser igjennom nettverket.

Det er slik Kineserne tar de som prøver å gå rundt "veggen" der nede... Svaret  er da å pakke inn VPN pakkene i ett SSL lag med for eksempel stunnel.

Da vil trafikken se mer ut som vanlig HTTPS trafikk kontra VPN for de som ser raskt over trafikk typen.

 

Hva mener du "Det er slik Kineserne tar de som prøver å gå rundt "veggen" der nede"?

 

Jeg er i Kina nå (og har vært her noen år sammenlagt siden 2011), og opplever at det er en heftig blokkering av veldig mange sider (google, facebook, NRK, osv) - men at VPN er enkelt å skaffe seg og at det gir ubegrenset tilgang til alt man er ute etter. Tilsynelatende uten struping.

 

De fleste kineserene jeg kjenner har også egen VPN, og alle telefoner med utenlandske nummer kan surfe fritt på nettet uten begrensing.

Lenke til kommentar
Horrorbyte

Horrorbyte

Skrevet
Skrevet

 

Ja, du vil kunne se at det er VPN trafikk om du aktivt inspiserer trafikken som reiser igjennom nettverket.

Det er slik Kineserne tar de som prøver å gå rundt "veggen" der nede... Svaret  er da å pakke inn VPN pakkene i ett SSL lag med for eksempel stunnel.

Da vil trafikken se mer ut som vanlig HTTPS trafikk kontra VPN for de som ser raskt over trafikk typen.

Dagens "next-gen" brannmurer (feks. Palo Alto) dekrypterer SSL trafikken og ser med en gang at det er VPN trafikk.

Ditt tips funker bare på "gårsdagens" type brannmurer (selv om jo disse fortsatt er svært utbredt).

 

Kan du gi meg ett eneste eksempel på et elevnettverk ved en ordinær, norsk skole, der dette er normal praksis for å hindre elever i å surfe på Facebook i timene?

Lenke til kommentar
Nordmann3

Nordmann3

Skrevet
  • Forfatter
Skrevet

Glad jeg ikke går på skole lengre.

Om det var meg, så ville jeg brukt mobilt bredbånd.

Jeg bruker mest mobilen i friminuttene, men man kan jo ikke bruke det i timen. Da blir man lett avslørt.

Derfor lurte jeg på VPN på PC, ettersom pc-en har vi oppe hele tiden

Lenke til kommentar
ARJ

ARJ

Skrevet
Skrevet

 

Ja, du vil kunne se at det er VPN trafikk om du aktivt inspiserer trafikken som reiser igjennom nettverket.

Det er slik Kineserne tar de som prøver å gå rundt "veggen" der nede... Svaret  er da å pakke inn VPN pakkene i ett SSL lag med for eksempel stunnel.

Da vil trafikken se mer ut som vanlig HTTPS trafikk kontra VPN for de som ser raskt over trafikk typen.

Dagens "next-gen" brannmurer (feks. Palo Alto) dekrypterer SSL trafikken og ser med en gang at det er VPN trafikk.

Ditt tips funker bare på "gårsdagens" type brannmurer (selv om jo disse fortsatt er svært utbredt).

 

 

Ikke helt riktig at den "dekrypterer" ssl trafikken. 

Du vil se den som SSL, men det er null problem å se at det er en vpn og hvor trafikken går fra -> til. 

Jeg jobber med Palo Alto så det vet jeg :)

Lenke til kommentar
Horrorbyte

Horrorbyte

Skrevet
Skrevet

 

 

Ja, du vil kunne se at det er VPN trafikk om du aktivt inspiserer trafikken som reiser igjennom nettverket.

Det er slik Kineserne tar de som prøver å gå rundt "veggen" der nede... Svaret  er da å pakke inn VPN pakkene i ett SSL lag med for eksempel stunnel.

Da vil trafikken se mer ut som vanlig HTTPS trafikk kontra VPN for de som ser raskt over trafikk typen.

Dagens "next-gen" brannmurer (feks. Palo Alto) dekrypterer SSL trafikken og ser med en gang at det er VPN trafikk.

Ditt tips funker bare på "gårsdagens" type brannmurer (selv om jo disse fortsatt er svært utbredt).

 

 

Ikke helt riktig at den "dekrypterer" ssl trafikken. 

Du vil se den som SSL, men det er null problem å se at det er en vpn og hvor trafikken går fra -> til. 

Jeg jobber med Palo Alto så det vet jeg :)

 

Hovmod står for fall, for Palo Alto har faktisk utstyr som kan dekryptere trafikk. Selvsagt ikke uten videre, men det er heller ikke poenget. Det man ikke får dekryptert, kan man droppe – en praksis som er vanlig i visse miljøer (SCADA osv.)

  • Liker 1
Lenke til kommentar
Nordmann3

Nordmann3

Skrevet
  • Forfatter
Skrevet

Kan du ikke opprette en WiFi sone med mobilen, og koble laptopen til den?

Da bruker du mobilt bredbånd fra mobilen, men på laptopen.

 

Jeg vel ikke om skolen kan oppdage dette. Pass i så fall på å opprette et skjult nett med kryptering og passord, så ikke hele klassen koblet seg til nettet ditt.

Åja...  visste ikke at det gikk an.

Det skal jeg nok gjøre! Takk for tips! :D

 

Er det det som heter "Delt nettverk" på iphone?

Lenke til kommentar
tHz

tHz

Skrevet
Skrevet

 

Hovmod står for fall, for Palo Alto har faktisk utstyr som kan dekryptere trafikk. Selvsagt ikke uten videre, men det er heller ikke poenget. Det man ikke får dekryptert, kan man droppe – en praksis som er vanlig i visse miljøer (SCADA osv.)

 

 

Ingen kan dekryptere TLS trafikk videre. De må ha tilgang til et sertifikat som klienten stoler på. Enkelte firma (og andre) kan tvinge installasjon av et sertifikat på klientene i nettverket og dermed kunne "selv-signere" sidene du aksesserer. Da kan de se på all trafikk, selv https tilkoblinger. Noe du enkelt kan verifsere ved å inspisere cert-kjeden.

 

Noe ala det Lenovo presterte å installere på sine maskiner :)

  • Liker 1
Lenke til kommentar
Nordmann3

Nordmann3

Skrevet
  • Forfatter
Skrevet

 

 

Hovmod står for fall, for Palo Alto har faktisk utstyr som kan dekryptere trafikk. Selvsagt ikke uten videre, men det er heller ikke poenget. Det man ikke får dekryptert, kan man droppe – en praksis som er vanlig i visse miljøer (SCADA osv.)

 

 

Ingen kan dekryptere TLS trafikk videre. De må ha tilgang til et sertifikat som klienten stoler på. Enkelte firma (og andre) kan tvinge installasjon av et sertifikat på klientene i nettverket og dermed kunne "selv-signere" sidene du aksesserer. Da kan de se på all trafikk, selv https tilkoblinger. Noe du enkelt kan verifsere ved å inspisere cert-kjeden.

 

Noe ala det Lenovo presterte å installere på sine maskiner :)

 

Hele skolen med over 2000 elever har Lenovo pc-er

Lenke til kommentar
Horrorbyte

Horrorbyte

Skrevet
Skrevet

 

 

 

Hovmod står for fall, for Palo Alto har faktisk utstyr som kan dekryptere trafikk. Selvsagt ikke uten videre, men det er heller ikke poenget. Det man ikke får dekryptert, kan man droppe – en praksis som er vanlig i visse miljøer (SCADA osv.)

 

 

Ingen kan dekryptere TLS trafikk videre. De må ha tilgang til et sertifikat som klienten stoler på. Enkelte firma (og andre) kan tvinge installasjon av et sertifikat på klientene i nettverket og dermed kunne "selv-signere" sidene du aksesserer. Da kan de se på all trafikk, selv https tilkoblinger. Noe du enkelt kan verifsere ved å inspisere cert-kjeden.

 

Noe ala det Lenovo presterte å installere på sine maskiner :)

 

Hele skolen med over 2000 elever har Lenovo pc-er

 

Det er ikke særlig relevant, for Superfish-skandalen var tross alt ikke noe som ble gjort for at arbeidsgiver skulle kunne overvåke trafikken. Du kan være ganske så trygg på at skolen ikke dekrypterer trafikken.

Lenke til kommentar
process

process

Skrevet
Skrevet (endret)

 

 

 

 

Hovmod står for fall, for Palo Alto har faktisk utstyr som kan dekryptere trafikk. Selvsagt ikke uten videre, men det er heller ikke poenget. Det man ikke får dekryptert, kan man droppe – en praksis som er vanlig i visse miljøer (SCADA osv.)

 

 

Ingen kan dekryptere TLS trafikk videre. De må ha tilgang til et sertifikat som klienten stoler på. Enkelte firma (og andre) kan tvinge installasjon av et sertifikat på klientene i nettverket og dermed kunne "selv-signere" sidene du aksesserer. Da kan de se på all trafikk, selv https tilkoblinger. Noe du enkelt kan verifsere ved å inspisere cert-kjeden.

 

Noe ala det Lenovo presterte å installere på sine maskiner :)

 

Hele skolen med over 2000 elever har Lenovo pc-er

 

Det er ikke særlig relevant, for Superfish-skandalen var tross alt ikke noe som ble gjort for at arbeidsgiver skulle kunne overvåke trafikken. Du kan være ganske så trygg på at skolen ikke dekrypterer trafikken.

 

 

Holdt på å svare selv tidligere, da det høres ut som at det beskrives at SSL/TLS kan dekrypteres uten videre ved et å kontrollere et nettverkshopp, noe som ikke er mulig hvis drift har gjort jobben sin med tanke på de siste tiders svakheter.

 

Superfish er svært relevant, selv om det ikke var hensikten at det var en arbeidsgiver som skulle overvåke trafikken.  Nøyaktig samme fremgangsmåten benyttes for brannmurer med SSL/TLS inspeksjon, bortsett fra at dette skjedde lokalt. 

 

Fremgangsmåten består i at du installerer et CA sertifikat generert av brannmuren på klienten.  Dette gjør at brannmuren kan utstede sertifikater som ser ut som de representerer motparten, men det er trivielt å se at det ikke er det. Disse er ikke selvsignert som sådan, de er signert av overnevnte CA sertifikat, men er ikke forhåndsdistribuert (forstår dog ordbruken).  Du terminerer den første SSL/TLS sesjonen fra klient mot brannmuren.  Trafikken blir her dekryptert, men kun fordi det er brannmuren du kjører SSL/TLS mot. Deretter oppretter brannmuren en TLS/SSL sesjon videre til sluttsite.

 

Dersom man ikke har kontroll på klienten kan ikke brannmuren selv dekryptere noen trafikk, kun mulighet for å droppe den (dvs. med mindre brukeren klikker forbi den store blinkende advarselen).

 

For å svare på det orginale spørsmålet kan brannmurer som gjør DPI skille på krypterte protokoller selv om de kjører på samme port (trafikken oppfører seg annerledes), så svaret er vel 'ja, i teorien, men antageligvis ser de ikke etter det'.  Dette er dog en signaturbasert deteksjon som man kan manipulere dersom man er klar over at det skjer, men ikke uten litt innsats.

 

Faren er nok heller større at de ser deg på facebook, enten på skjermen eller PÅ FACEBOOK, eventuelt at de observerer installert programvare på din bruker.

Endret av process
Lenke til kommentar
Horrorbyte

Horrorbyte

Skrevet
Skrevet

 

 

 

Superfish er svært relevant, selv om det ikke var hensikten at det var en arbeidsgiver som skulle overvåke trafikken.  Nøyaktig samme fremgangsmåten benyttes for brannmurer med SSL/TLS inspeksjon, bortsett fra at dette skjedde lokalt. 

Jeg har ikke sagt at Superfish ikke er relevant. Det er ikke relevant for trådstarters spørsmål at de bruker Lenovo.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...