V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
a1996
V2EX  ›  问与答

偶然看到了学校信息中心的采购记录,赫然有个“深信服上网行为管理”,搜了一下好怕怕,怎么办

  •  
  •   a1996 · 2015-01-08 10:53:49 +08:00 via Android · 13845 次点击
    这是一个创建于 3633 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这玩意还花了十好几万呢

    69 条回复    2015-01-10 09:43:51 +08:00
    learnshare
        1
    learnshare  
       2015-01-08 10:58:26 +08:00
    当然会被扒光了看,国内用网络都是如此吧。安全有保障
    zhangshine
        2
    zhangshine  
       2015-01-08 10:59:53 +08:00
    没错,目前在做xx上网行为管理系统
    zj299792458
        3
    zj299792458  
       2015-01-08 11:00:48 +08:00 via iPhone
    有多信服
    wy315700
        4
    wy315700  
       2015-01-08 11:00:49 +08:00   ❤️ 2
    涉密不上网,上网不涉密。
    SeanChense
        5
    SeanChense  
       2015-01-08 11:01:01 +08:00
    学校的网络都有监控啊
    具体到哪个寝室哪个端口的啊
    582033
        6
    582033  
       2015-01-08 11:03:09 +08:00 via Android
    小GFW...
    a1996
        7
    a1996  
    OP
       2015-01-08 11:04:43 +08:00 via Android
    @SeanChense 一直是听说,没想到我也在受监视,shit
    hx1997
        8
    hx1997  
       2015-01-08 11:15:59 +08:00 via Android
    公共网络当然有监控了。。。公共场所哪有隐私
    mindcat
        9
    mindcat  
       2015-01-08 11:31:33 +08:00
    真可怕,以后只能爬梯子了喵
    dndx
        10
    dndx  
       2015-01-08 11:33:50 +08:00
    shadowsocks 全程加密,目测深信服还没有实时破解 AES 256 的能力。
    xenme
        11
    xenme  
       2015-01-08 11:36:24 +08:00
    只要不在电脑上装agent,监视还是有限度的。
    nptwz
        12
    nptwz  
       2015-01-08 11:39:14 +08:00 via Android
    miniGFW
    wavingclear
        13
    wavingclear  
       2015-01-08 11:47:08 +08:00   ❤️ 2
    上网记录都是有监控存档的……简单的和记日志差不多,复杂点的是这种系统
    一般没人看,但是某些政策要求就是要存几个月,万一出大事要查水表了能落实到户
    平时有关部门一般没心情在海量日志里面翻你的那一条

    话说深信服到底是干什么的监视到什么程度,是跟公安部门接口的还是和学院辅导员看,这是一个问题
    zxy
        14
    zxy  
       2015-01-08 12:34:21 +08:00 via iPhone   ❤️ 1
    每个高校都有,公安强制要求的
    herozzm
        15
    herozzm  
       2015-01-08 12:41:00 +08:00
    罪恶的软件
    bibizhang
        16
    bibizhang  
       2015-01-08 12:44:06 +08:00
    怕就别上,上就别怕。脑袋掉了碗大个疤,二十年后又是一条好汉。
    cxe2v
        17
    cxe2v  
       2015-01-08 12:45:50 +08:00
    还好我以前上大学是直接电信营业厅开户poppe拨号上网的
    Keng
        18
    Keng  
       2015-01-08 12:48:39 +08:00
    学校现在开始禁止拉外网了,感觉要出事!~
    copriwolf
        19
    copriwolf  
       2015-01-08 12:49:19 +08:00
    有一次3389到学校的校长办公室服务器,忘记擦屁股,然后隔天上英语课睡觉就被打电话查水表了。。。。
    ihciah
        20
    ihciah  
       2015-01-08 12:59:29 +08:00
    搭梯子吧~学校应该有v6网络的
    Nyanpasi
        21
    Nyanpasi  
       2015-01-08 13:01:57 +08:00 via Android
    這個比起大GFW還是弱爆了,
    VPN就能破? 😦😦
    snipes
        22
    snipes  
       2015-01-08 13:02:14 +08:00   ❤️ 1
    哎,想想我们比北朝鲜也好不了多少,妈蛋,以后再也不笑人家了。
    nonozone
        23
    nonozone  
       2015-01-08 13:19:32 +08:00
    所有的高校,政府机构,事业单位,甚至一些国有的企业单位都必须安装这些设备。请搜索 等级保护。
    rockpine
        24
    rockpine  
       2015-01-08 13:23:19 +08:00   ❤️ 1
    这么跟你说,我们公司用的就是深信服,我现在给你发的这个评论的每个字,会完完整整的记录在公司深信服的服务器上
    hahastudio
        25
    hahastudio  
       2015-01-08 13:26:33 +08:00
    @rockpine 即使 v2ex 是 https?
    honeycomb
        26
    honeycomb  
       2015-01-08 13:31:13 +08:00
    @rockpine
    可是v2ex有全程HTTPS
    而且是PFS特性的密钥交换

    在全程HTTPS下,你们公司的后台只能看到你访问了v2ex但无法知道你在这个域名做了什么
    icedx
        27
    icedx  
       2015-01-08 13:39:39 +08:00
    还好我们学校只是普通的联通网
    ChangeTheWorld
        28
    ChangeTheWorld  
       2015-01-08 13:43:11 +08:00
    学校的算什么,我会告诉是个运营商机房就有一台,断电了很快会有专人过来处理
    lshero
        29
    lshero  
       2015-01-08 13:47:49 +08:00
    话说你们学校多少学生? 十好几万感觉应该只能保护一下办公室的网络吧
    深信服只要不安装客户端都好说
    hjxx
        30
    hjxx  
       2015-01-08 14:22:10 +08:00
    前公司就用的深信服。。然后没有然后了
    a1996
        31
    a1996  
    OP
       2015-01-08 15:59:40 +08:00
    @lshero 3w-
    @icedx 好像那也跑不了
    geeklian
        32
    geeklian  
       2015-01-08 16:18:22 +08:00 via iPhone
    我用单位发到v2ex的每个字,单位也都有监控...

    @hahastudio
    @honeycomb

    单位的域环境会在每个加域电脑上装上域的根证书,然后所有https网站的证书都是网关代理服务器签发的。

    我们的网关代理服务器就是cisco的。
    lshero
        33
    lshero  
       2015-01-08 16:23:48 +08:00   ❤️ 1
    @a1996 你可以看一下淘宝里面关于深信服的价格和所管理网络用户的数量十几万的采购真的覆盖不到学生宿舍的样子
    mahone3297
        34
    mahone3297  
       2015-01-08 16:35:28 +08:00
    @geeklian 什么意思?就是说,即使https,也会被监控?能看到原文?
    hahastudio
        35
    hahastudio  
       2015-01-08 16:43:32 +08:00
    @geeklian cisco 的= =那就没辙了= =
    yfdyh000
        36
    yfdyh000  
       2015-01-08 16:45:53 +08:00
    @mahone3297 中间人攻击,强制替换证书,本地必须安装伪造证书才能访问。
    geeklian
        37
    geeklian  
       2015-01-08 16:46:20 +08:00 via iPhone
    @mahone3297 能看到原文,但你要看清前提条件。
    geeklian
        38
    geeklian  
       2015-01-08 17:00:18 +08:00 via iPhone   ❤️ 2
    @hahastudio 有一次政治斗争,IT被要求从网关日志取信息。发现cisco帅气的没边了,报表处理系统有两个功能真是震撼到了:

    1.可以智能匹配大多数网站的post请求的内容,过滤掉ID,session等没用的信息,只保留发帖微博邮件文本。然后一个excel表输出,一列时间,一列发帖文本,含不同分类敏感词的单元格被自动加上不同颜色。

    2.部分外资银行的网银的转账内容被自动分类汇总,转到那个账号几次共计几美元都被统计自动生成报表。

    cisco为了公关中国政府真是用心良苦,配合开发的国内合作公司也真是屌炸了。
    mahone3297
        39
    mahone3297  
       2015-01-08 17:11:20 +08:00
    @geeklian 擦。。。所以,千万不能在公司里登录网银啊。。。
    huobazi
        40
    huobazi  
       2015-01-08 17:17:32 +08:00
    我厂入职第一天 it policy 说明所有数据都被监控 但 IT 不会随便查阅,除非得到授权。
    mengzhuo
        41
    mengzhuo  
       2015-01-08 18:02:32 +08:00
    @geeklian

    吓尿了,我司也有根证书植入
    然后立马看了看证书,发现不是代理的
    honeycomb
        42
    honeycomb  
       2015-01-08 19:11:35 +08:00
    @geeklian @mahone3297
    这种措施就没办法
    毕竟客户端的完整性遭到了破坏,它本来就是明摆着要监控

    比方说(具体是不是这样我不清楚)TLS的流程其实到网关就解开成明文,网关审查了再用自己的证书加密送到浏览器

    相似的,杀毒软件要检查HTTPS流量也要这么做,即在本机安装一个根证书

    应对方式是用手机蜂窝网络,全程绕开公司的网络基础设施
    当然有的保密有需要的地方可能不能带手机进去,这个时候只好老老实实地玩我知道你知道我知道的游戏了
    popoge
        43
    popoge  
       2015-01-08 20:22:23 +08:00 via Android
    @ChangeTheWorld 运营商那么大的流量,监控得过来么?
    bhqt
        44
    bhqt  
       2015-01-08 20:27:07 +08:00
    行为管理设备,基本所有大学都有。
    Imivan
        45
    Imivan  
       2015-01-08 20:36:12 +08:00 via iPhone
    還好我翻牆看草遛。
    bball
        46
    bball  
       2015-01-08 20:52:05 +08:00
    我们公司是私企,也用这个深信服来监控公司所有人的网络数据。
    sldaniel
        47
    sldaniel  
       2015-01-08 21:05:30 +08:00
    @geeklian 那是不是Shadowsocks也不能实现保密了?
    geeklian
        48
    geeklian  
       2015-01-08 21:25:36 +08:00 via iPhone
    @sldaniel 能用shadowsocks的地方,用ss应该是实现保密了
    welsmann
        49
    welsmann  
       2015-01-08 21:29:14 +08:00
    好几年前还在上班族的时候公司也装了这个,但是没改默认密码....无聊时就和同事上去看看领导的MSN对话.............@_@..一晃好多年了~~
    ChangeTheWorld
        50
    ChangeTheWorld  
       2015-01-08 21:52:56 +08:00
    @popoge 亲身经历,审计后台,一年记录可查,关键字3分钟出结果,包括该用户的上网记录,邮件内容,QQ聊天记录………等等等等,平时后台不出事没人去看
    sldaniel
        51
    sldaniel  
       2015-01-08 21:55:14 +08:00
    @geeklian 感觉好恐怖的样子,看来在学校要全局SS了
    zhengshuai
        52
    zhengshuai  
       2015-01-08 23:06:15 +08:00
    这是响应公安部82号令的合规。深信服的AC是其拳头产品。
    root9000
        53
    root9000  
       2015-01-08 23:15:36 +08:00
    以前用过公司买的也不怎么样,主要可以记录上网日志什么的,打开什么网页,发帖内容是啥的,但是实际使用应该是限制上网用的,公司用来绑定IPMAC限制人员上网,和过滤网购及一些工作无关的网站,可以划分详细的用户及组加以区分,不同级别领导给不同权限速度限制等,不过普通pptp vpn可破网页过滤及审计
    Dreista
        54
    Dreista  
       2015-01-09 01:07:45 +08:00
    @icedx 一瞬间感觉自己进了贴吧!=。=
    icedx
        55
    icedx  
       2015-01-09 01:09:52 +08:00
    @Dreista 我其实是潜伏在V2 的卡巴基佬
    icedx
        56
    icedx  
       2015-01-09 01:10:42 +08:00
    @a1996
    我已经不担心政府看我的上网记录什么的...
    反倒是有些东西被学校看到了不好...
    popoge
        57
    popoge  
       2015-01-09 04:55:33 +08:00 via Android
    @ChangeTheWorld 太恐怖了,是电信的么?我原来以为运营商只会记录ip是哪个宽带帐号哪个时段获取的,真没想到纪录的那么仔细,这数据量太大了吧,怎么实现的真想知道
    xiexingk
        58
    xiexingk  
       2015-01-09 06:00:26 +08:00 via iPad
    突然想起学校的网站很多地方都要下学校专用的证书,不然chrome就警告…校园wifi以前用加密方式的话也要下那个证书…想想好可怕,我们学校可是有好多人喝过茶了,原来这么容易就会被找到啊…不知道shadowsocks全局是否可破深信服这种?
    mahone3297
        59
    mahone3297  
       2015-01-09 07:51:38 +08:00
    @mengzhuo 怎么看是不是根证书植入?
    mengzhuo
        60
    mengzhuo  
       2015-01-09 08:20:35 +08:00 via iPhone
    @mahone3297 点浏览器上的小锁头🔒
    aero99
        61
    aero99  
       2015-01-09 08:29:02 +08:00 via iPhone
    用VPN是否要好些,敏感信息用自己手机呗
    wangtuyi
        62
    wangtuyi  
       2015-01-09 08:48:51 +08:00
    校园网出口是监控的,日志保存3个月吧。还有啥忘了,开学的时候领导明说了,还说我们专业有个研究生,女的,临毕业被国*传唤了,发了红头文件,给领导都吓坏了~
    ichigo
        63
    ichigo  
       2015-01-09 09:04:58 +08:00
    我司用的也是深信服,这个东西很厉害,你在用QQ和对方聊天,都可以检测到对方的QQ号码。
    mahone3297
        64
    mahone3297  
       2015-01-09 09:49:40 +08:00
    @mengzhuo 看到了。。。如何看是不是被植入了?看证书颁发者?哪些颁发者是没被植入的?
    只要是大厂的颁发者,就ok,是么?
    c742435
        65
    c742435  
       2015-01-09 09:53:42 +08:00
    @geeklian 能跑代理吗 不能跑的话能用移动网络吗
    flash866
        66
    flash866  
       2015-01-09 10:47:15 +08:00
    呵呵,中国永远也不会棱镜门事件。中国的网络是最安全的。
    knightlhs
        67
    knightlhs  
       2015-01-09 10:59:30 +08:00
    这种东西很常见的 企业网络管理系统而已
    虽然说很强大 但是在没有启动域管之前 也没啥 不就检查流量敏感字跟去向么 外加限速
    一旦加入域管理 嘿嘿…… 我不多说了
    N层加密Proxy 比如 shadowsocks 至少你们学校解不开 担心账号泄露 就自己架梯子呗
    至于你说到的内容敏感 谁没事儿闲着去看你都去哪儿上网啊……
    当然你自己没啥发个艳照啥的 那就怪不得别人了

    最后 的 最后

    涉密不上网 上网不涉密
    Exin
        68
    Exin  
       2015-01-09 12:02:59 +08:00
    如何判断是否处于监控之下?
    xdart
        69
    xdart  
       2015-01-10 09:43:51 +08:00 via iPhone
    以前我们学校一哥们在寝室上h站。账号直接被封
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1210 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 18:10 · PVG 02:10 · LAX 10:10 · JFK 13:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.