はじめに
皆さん社内で5chみてたりyoutubeみてたり遊んだりしてたらバレる可能性がありますよっというお話です。
「HTTPは通信が暗号化されていないから内容がバレるのはしってるけど、HTTPS通信は暗号化されてるからバレないんじゃないの?」と思ったアナタ!
この記事を読んでみて誤解を解消しましょう!
想定環境
- 社内
- インターネットに出るにはProxyが必要
皆さん職場で使用しているPCはご自分でセットアップされたでしょうか。
IT系の企業ならいざしらず、他の業種ならばなぜか知らんがすでに職場においてあるPCを使ってるとか
すでにセットアップされたPCを受け取ったとかが多いと思います。
それか大企業なら社内環境構築用のCDが準備されているかもしれませんね。
皆さんが把握しているしていないに関係なく、社内PCからインターネットに出る際にはプロキシを経由することが多いと思います。
理由はいろいろありますが、主に2つの理由からです。
- 社内から社外にでるHTTP/HTTPS通信の経路を限定でき、守りやすい
- プロキシ内にキャッシュを保持しており、過去にアクセスしたページにはキャッシュで応答することによって高速化を図ることができる
実験環境
- Squid
- CentOS7
今回はプロキシとして定評のあるSquidを用いて環境を作っていきます。
結果
インストール方法や設定方法は他の記事に委ねるとして早速結果です。
対象のURLはqiitaトップのタイムラインとしましょう。(https://qiita.com/timeline)
HTTP
ログ結果
1555247311.535 136 ::1 TCP_MISS/301 401 GET http://qiita.com/timeline yamada - HIER_DIRECT/54.168.202.35 text/html
キャプチャ結果
もちろんHTTP通信ですのでドメイン名やパス名はおろかやり取りした内容もすべて確認することができます。
HTTPS
ログ結果
1555247249.034 615 ::1 TCP_TUNNEL/200 6133 CONNECT qiita.com:443 yamada - HIER_DIRECT/13.230.107.52 -
キャプチャ結果
あれ・・・みえてる??
そーなんです。たとえHTTPS通信であってもドメイン名まで(qiita.com)はわかるんです!!
よくよく考えればプロキシに接続する先のサーバを教えなきゃいけないですもんね。。。
まぁ暗号化されているのでドメイン名以降のパスまではわかりません。
でも社内のサーバ管理者にはyamadaさんはqitaにアクセスしているんだなまではわかることになります。
したがって。。。
youtubeであればwww.youtube.com
5chであれば5ch.net
でプロキシサーバのログでフィルタリングをかければあなたが具体的に何を見ているかまでわからなくても明らかに業務に関係ないサイトを見てる場合はわかることになります。
結論
業務に関係のないサイトを見る場合は自己責任で!