Går det att upptäcka transparent proxy?

Permalänk
Medlem

Går det att upptäcka transparent proxy?

Hej, jag är väldigt okunnig gällande datorer, jag undrar om det går att ”upptäcka” en transparent proxy på något sätt.
Då jag misstänker att en sådan finns.
En annan fråga är , går alla enheter som använder nätverket under proxyn.
Eller måste personen som har tillgång till proxy ställa in varje enhet för sig till exempel mobil för sig och dator för sig?

Rubrik förtydligad från "Snälla hjälp", §3.1 /Vzano, Mod
Permalänk
Medlem

Var skulle den här proxyn sitta någonstans? Inne i din lägenhet? Allting efter din router är din internetleverantörs ansvar, och dom kommer inte ha någon "proxy".

Är du orolig över att du kanske blir avlyssnad? Vad skulle denna proxy göra?

Permalänk
Medlem
Skrivet av Printscreen:

Var skulle den här proxyn sitta någonstans? Inne i din lägenhet? Allting efter din router är din internetleverantörs ansvar, och dom kommer inte ha någon "proxy".

Är du orolig över att du kanske blir avlyssnad? Vad skulle denna proxy göra?

Jag använder inte mitt egna nätverk? Jag är inneboende och tycker det är obehagligt att någon kan se sidor som besöks.

Permalänk
Medlem
Skrivet av alex178:

Jag använder inte mitt egna nätverk? Jag är inneboende och tycker det är obehagligt att någon kan se sidor som besöks.

Hur ska folk kunna veta det om du inte skriver det?

Permalänk
Moderator

@alex178: Jag har förtydligat din trådrubik, kom ihåg att rubriken skall visa vad tråden handlar om!

/Vzano, Moderator

Permalänk
Medlem
Skrivet av alex178:

Jag använder inte mitt egna nätverk? Jag är inneboende och tycker det är obehagligt att någon kan se sidor som besöks.

Vem är "någon" i det här fallet?
Myndigheter med rätt tillstånd kommer alltid kunna se din internettrafik som de får ut via ISP(tjänsteleverantör av internet till ditt boende) så länge du inte använder en VPN för att tunnla trafiken
Huruvida din fastighetsägare väljer att granska trafiken via sin Router är ett annat problem du får lösa genom att
1. Prata med fastighetsägaren om att splitta upp internetkopplingen från fiberfördelaren (innan ägarens router) så du får en egen anslutning och egen router
2. Sluta hänga på skumma sidor

Permalänk
Medlem
Skrivet av alex178:

Jag använder inte mitt egna nätverk? Jag är inneboende och tycker det är obehagligt att någon kan se sidor som besöks.

Har du inte kontroll på nätverket så är VPN svaret på din fråga. Finns hur många leverantörer som helst, bara att googla.

Permalänk
Medlem

Vilka sidor som besöks är nog lätt att se även med en vanlig hemma-router.
Om du kör https och kollar att certifikaten är giltiga så kan de inte se själva innehållet, bara till vilken domän du ansluter.
Om du är nojig så är nog det enklaste att skaffa sig en vpn-tjänst. Se även till att dns-förfrågningar går via vpn:et.

Permalänk
Medlem
Skrivet av jompenleet:

Vem är "någon" i det här fallet?
Myndigheter med rätt tillstånd kommer alltid kunna se din internettrafik som de får ut via ISP(tjänsteleverantör av internet till ditt boende) så länge du inte använder en VPN för att tunnla trafiken
Huruvida din fastighetsägare väljer att granska trafiken via sin Router är ett annat problem du får lösa genom att
1. Prata med fastighetsägaren om att splitta upp internetkopplingen från fiberfördelaren (innan ägarens router) så du får en egen anslutning och egen router
2. Sluta hänga på skumma sidor

Nu hänger jag inte på skumma sidor, utan det handlar om personlig integritet. Är det någon som vet hur man kan upptäcka en proxy?

Permalänk
Medlem
Skrivet av prod01:

Vilka sidor som besöks är nog lätt att se även med en vanlig hemma-router.
Om du kör https och kollar att certifikaten är giltiga så kan de inte se själva innehållet, bara till vilken domän du ansluter.
Om du är nojig så är nog det enklaste att skaffa sig en vpn-tjänst. Se även till att dns-förfrågningar går via vpn:et.

Okej tack, saken är att min iPhone sa detta när jag anslöt till nätverket ” integritetsvarning” någon annan enhet på detta nätverk kan kontrollera osv osv…
Blockerar krypterad dns
Vet du vad som menas med den varningen ?

Permalänk
Medlem
Skrivet av alex178:

Okej tack, saken är att min iPhone sa detta när jag anslöt till nätverket ” integritetsvarning” någon annan enhet på detta nätverk kan kontrollera osv osv…
Blockerar krypterad dns
Vet du vad som menas med den varningen ?

Det är en generell varning eftersom det alltid kan hända.

Permalänk
Medlem
Skrivet av cyklonen:

Det är en generell varning eftersom det alltid kan hända.

Okej , inget att bry sig om med andra ord.

Permalänk
Medlem
Skrivet av alex178:

Är det någon som vet hur man kan upptäcka en proxy?

Inte jag i alla fall. Jag vet nämligen inte vad du menar med proxy.

Men de proxies jag har haft med att göra med har haft hjälp av operativsystemet eller klientapplikationen för att styra HTTP/HTTPS-trafiken till proxyn. Det har kombinerats med att förbjuda nätverkstrafik ut på internet som inte går via proxyn.

Min uppfattning är att normala HTTP/HTTPS-proxies har blivit betydligt ovanligare i och med att HTTPS används mer och mer. I praktiken kräver det som sagt att man kan styra över klienterna och installera ett rotcertifikat på klienten för att kunna göra en man-in-the-middle-attack på trafiken i proxyn. Det fungerar i vissa företagsmiljöer, men inte speciellt bra annars.

Jag hade gärna satt en proxy framför min TV, för att filtrera bort reklam. Men det går inte i praktiken eftersom jag inte har kontroll på mjukvaran på TV:n[*]. På samma sätt har hyresvärden förhoppningsvis inte kontroll över din mjukvara (men eftersom hyresvärden i praktiken har fysisk tillgång till dina enheter så är det egentligen redan kört på grund av hur osäker konsumentelektronik är i den situationen).

För en motståndare på hobbynivå skulle jag påstå att det är trivialt att se vart din trafik går, men svårt att kolla innehållet på den, så länge du använder HTTPS och inte installerar skumma cert. VPN är som sagt lösningen på att hyresvärden (och hens ISP) inte ska kunna se vilka sajter du surfar på. Det kommer dock VPN-leverantören att kunna göra...

[*] Nej, DNS-baserad reklamfiltrering funkar inte, samma servrar används för nyttotrafik.

Permalänk
Medlem

Som flera varit inne på men kanske inte sagt rakt ut, om du ansluter med en iPhone, via Wifi, till någon annans router så är den routern på sätt och vis en proxy (åtminstone i det avseende du verkar mena här), och beroende på vad det är för router så kan man se ganska mycket av det du gör via din telefon. Om det är ett låst hänglås framför adressen i t.ex. Safari så betyder det att i praktiken ingen förutom hemsidan du besöker kan se vad du gör men att andra kan ha möjlighet att se vilken sida du besöker (detaljerna här är dock detaljerade och det finns många om och men). Om du besöker en hemsida där det inte är ett låst hänglås så kan den som har routern i princip se exakt vad du gör.

Permalänk
Medlem

En proxy är egentligen inte ens till för anonymitet primärt, så i princip vad som helst annat är bättre. Det finns ingen mening att blanda in en sådan lösning.

Permalänk
Medlem
Skrivet av jaqob:

Som flera varit inne på men kanske inte sagt rakt ut, om du ansluter med en iPhone, via Wifi, till någon annans router så är den routern på sätt och vis en proxy (åtminstone i det avseende du verkar mena här), och beroende på vad det är för router så kan man se ganska mycket av det du gör via din telefon. Om det är ett låst hänglås framför adressen i t.ex. Safari så betyder det att i praktiken ingen förutom hemsidan du besöker kan se vad du gör men att andra kan ha möjlighet att se vilken sida du besöker (detaljerna här är dock detaljerade och det finns många om och men). Om du besöker en hemsida där det inte är ett låst hänglås så kan den som har routern i princip se exakt vad du gör.

Tack att du förklarar på ett sätt man kan förstå. Är verkligen oduglig på datorer. Stort tack till dig

Permalänk
Medlem
Skrivet av ZaInT:

En proxy är egentligen inte ens till för anonymitet primärt, så i princip vad som helst annat är bättre. Det finns ingen mening att blanda in en sådan lösning.

Jag ska inte installera en proxy, utan jag tror
mig att någon annan kan ha installerat eftersom jag inte använder mitt egna nätverk. Vi delar alltså router.

Permalänk
Medlem
Skrivet av alex178:

Jag ska inte installera en proxy, utan jag tror
mig att någon annan kan ha installerat eftersom jag inte använder mitt egna nätverk. Vi delar alltså router.

Om du är orolig för det är det lättaste sättet att använda en VPN, med tanke på att du antagligen inte redan ligger inne med kunskaper för att avgöra om det är som du tror eller inte. Sen skadar det ju inte direkt att vara mer anonym på internet oavsett så det är inte direkt en förlust oavsett.

Permalänk
Medlem

Ibland, man kan faktiskt

Permalänk
Medlem

Jag antar att du har windows.
Det du kan göra om du undrar vilken väg din trafik tar, så kan du öppna kommandotolken och skriva in:
tracert www.google.se
och tryck enter.
Så ser du vilken väg trafiken tar från din dator och till google.

Men som flera redan nämnt här i tråden, om du delar router med någon annan och den personen har tillgång till routern så kan den se vilka sajter du besöker via routerns logg.
Om du värnar om din integritet så kan du skaffa bahnhofs VPN för 40kr/månad som du kan ha på 10enheter. https://bahnhof.se/integrity
Som flera tidigare nämnt så kommer inte de på samma router/nätverk eller internetleverantören kunna se din trafik när du använder VPN. Det är enbart som i mitt exempel bahnhofVPN som "kan" se trafiken.. Men bahnhof loggar inget och de strider ganska hårt för att värna om integriteten.
Med detta är du även skyddad om du är på andra platser som publika nätverk i hela landet eller hos kompisar, så är din trafik skyddad från insyn.
Om du beställer VPN därifrån och när du fått dina koder o det så har du olika guider för att komma igång på denna sidan. https://integrity.st/support/

Permalänk
Medlem
Skrivet av Marie SWE:

Jag antar att du har windows.
Det du kan göra om du undrar vilken väg din trafik tar, så kan du öppna kommandotolken och skriva in:
tracert www.google.se
och tryck enter.
Så ser du vilken väg trafiken tar från din dator och till google.

Men som flera redan nämnt här i tråden, om du delar router med någon annan och den personen har tillgång till routern så kan den se vilka sajter du besöker via routerns logg.
Om du värnar om din integritet så kan du skaffa bahnhofs VPN för 40kr/månad som du kan ha på 10enheter. https://bahnhof.se/integrity
Som flera tidigare nämnt så kommer inte de på samma router/nätverk eller internetleverantören kunna se din trafik när du använder VPN. Det är enbart som i mitt exempel bahnhofVPN som "kan" se trafiken.. Men bahnhof loggar inget och de strider ganska hårt för att värna om integriteten.
Med detta är du även skyddad om du är på andra platser som publika nätverk i hela landet eller hos kompisar, så är din trafik skyddad från insyn.
Om du beställer VPN därifrån och när du fått dina koder o det så har du olika guider för att komma igång på denna sidan. https://integrity.st/support/

Tack för tipsen, dock använder jag Chromebook och min webbläsare är då chrome

Permalänk
Medlem
Skrivet av alex178:

Tack för tipsen, dock använder jag Chromebook och min webbläsare är då chrome

Jag hittade denna om hur du gör det på en chromebook
https://www.chromestory.com/2011/04/chromebook-traceroute/

Permalänk
Medlem
Skrivet av Marie SWE:

Jag antar att du har windows.
Det du kan göra om du undrar vilken väg din trafik tar, så kan du öppna kommandotolken och skriva in:
tracert www.google.se
och tryck enter.
Så ser du vilken väg trafiken tar från din dator och till google.

Nu är detta nog inte relevant för problemet i den här tråden, men de flesta proxys för avlyssning syns nog inte med tracert, eftersom de inte terminerar IP.

Permalänk
Medlem
Skrivet av Marie SWE:

Jag antar att du har windows.
Det du kan göra om du undrar vilken väg din trafik tar, så kan du öppna kommandotolken och skriva in:
tracert www.google.se
och tryck enter.
Så ser du vilken väg trafiken tar från din dator och till google.

Men som flera redan nämnt här i tråden, om du delar router med någon annan och den personen har tillgång till routern så kan den se vilka sajter du besöker via routerns logg.
Om du värnar om din integritet så kan du skaffa bahnhofs VPN för 40kr/månad som du kan ha på 10enheter. https://bahnhof.se/integrity
Som flera tidigare nämnt så kommer inte de på samma router/nätverk eller internetleverantören kunna se din trafik när du använder VPN. Det är enbart som i mitt exempel bahnhofVPN som "kan" se trafiken.. Men bahnhof loggar inget och de strider ganska hårt för att värna om integriteten.
Med detta är du även skyddad om du är på andra platser som publika nätverk i hela landet eller hos kompisar, så är din trafik skyddad från insyn.
Om du beställer VPN därifrån och när du fått dina koder o det så har du olika guider för att komma igång på denna sidan. https://integrity.st/support/

Blir svårt om man inte äger uppkoplingen själv och har en ISP som är kopplad till Integrity.st
Men finns andra tjänster, Mullvad verkar vara populärt.

Permalänk
Medlem
Skrivet av jaqob:

Nu är detta nog inte relevant för problemet i den här tråden, men de flesta proxys för avlyssning syns nog inte med tracert, eftersom de inte terminerar IP.

Sant, lever en proxyfenomenet idag.. begränsningar och trafikkontroll idag görs ju i brandväggarna..
Jag tror inte TS har en dold proxy installerad utan det handlar med om att routern är proxyn TS tänker på.. Polisens verktyg jobbar ju på helt andra sätt för att avlyssna trafiken då det sker innan HTTPS krypteringen.
Edit.
Jag kom på att man måste förtydliga sig.. De avlyssnar skärm och tangentbord för att kringgå krypteringen och skickar det som separat trafikström

Skrivet av etnica33:

Blir svårt om man inte äger uppkoplingen själv och har en ISP som är kopplad till Integrity.st
Men finns andra tjänster, Mullvad verkar vara populärt.

Nu hänger jag inte med?
Menar du att bahnhofs VPN inte skulle vara säker från att avlyssnas i trafiken i Lan och ISP?

Permalänk
Hedersmedlem

För att försöka svara på själva frågan: I princip är det möjligt att upptäcka en transparent proxy, eftersom ingen proxy är perfekt, men det kräver expertkunskaper och en grundlig analys för att hitta eventuella avvikelser i beteende. Det är teoretiskt möjligt att skapa en transparent proxy som inte går att upptäcka, i alla fall för okrypterad HTTP-trafik. Det är inte heller nödvändigt att implementera en transparent proxy för att övervaka trafik på ett nätverk, det kan göras utan att det syns alls.

Men så fort trafiken blir krypterad med HTTPS så är det omöjligt att ha en transparent proxy som kan undersöka själva innehållet i kommunikationen, såvida inte den som driver den transparenta proxyn har åtkomst till en certifikatutfärdare (CA / certificate authority) som är betrodd av din dator. Certifikatutfärdare blir betrodda antingen genom att de godkänns av t.ex. Microsoft, Google, Mozilla (Firefox), eller genom att de manuellt installerats på in dator. Detta kan förekomma på nedlåsta företagsnät och liknande, där man har åtkomst till att installera betrodda CA på varje dator, men är väldigt osannolikt att det skulle finnas på din egna privata dator.

Även om det finns HTTPS så är det möjligt att upptäcka vilka servrar på Internet du kommunicerar med. Det går t.ex. att se att du kommunicerar med Sweclockers forum, men inte vad du läser och vad du skriver. Detta antingen genom att undersöka din DNS-trafik (såvida du inte kör någon slags krypterad DNS) eller genom att titta på de IP-adresser du kommunicerar med (ibland kan samma IP-adress användas för flera webbsidor, så det är inte alltid helt träffsäkert.)

Är du oroad för att den som driver ditt lokala nätverk loggar din trafik (fullt möjligt, de här funktionerna finns ofta installerade i en router i form av föräldrarfilter etc) så finns det inget bra sätt att helt utesluta att en sådan övervakning sker. Det du däremot kan göra är att använda ett VPN. Allt som den som övervakar nätverket då kan se är kommunikation till och från VPN-tjänsten. De kan inte se vad du gör inuti VPN-tjänsten.

Däremot innebär detta i gengäld att den som driver VPN-tjänsten kan se din trafik, och trafiken kan även ses på väg från VPN-tjänsten till slutdestinationen (men är svår eller omöjlig att korrelera till en enstaka användare, om det inte är så att du t.ex. är inloggad på siten...)

För att sammanfatta: Om du är oroad för att någon övervakar din internettrafik kan är ett VPN vara lösningen. Men trade-offen blir då att det är VPN-operatören som potentiellt kan snoka på din trafik istället. Om du även kör deras egna VPN-klienter så betyder det också att du måste lita på att VPN-klienten i sig inte har något snokprogram i sig. Vilken risk du hellre tar är upp till dig och din individuella situation.

Permalänk
Medlem
Skrivet av Marie SWE:

Sant, lever en proxyfenomenet idag.. begränsningar och trafikkontroll idag görs ju i brandväggarna..
Jag tror inte TS har en dold proxy installerad utan det handlar med om att routern är proxyn TS tänker på.. Polisens verktyg jobbar ju på helt andra sätt för att avlyssna trafiken då det sker innan HTTPS krypteringen.
Edit.
Jag kom på att man måste förtydliga sig.. De avlyssnar skärm och tangentbord för att kringgå krypteringen och skickar det som separat trafikström

Nu hänger jag inte med?
Menar du att bahnhofs VPN inte skulle vara säker från att avlyssnas i trafiken i Lan och ISP?

Personen är inneboende och står inte på abonnemanget och kan därmed inte heller byta ISP?

Permalänk
Medlem
Skrivet av alex178:

saken är att min iPhone sa detta när jag anslöt till nätverket ” integritetsvarning” någon annan enhet på detta nätverk kan kontrollera osv osv…
Blockerar krypterad dns
Vet du vad som menas med den varningen ?

Tror det kan ha att göra med att Ifånes på sistone börjat varna för okrypterade DNS-servrar.
Det är relativt vanligt att hemma-routers har en DNS-cache (lokal DNS-server som vidarebefodrar dina DNS-requests till riktiga DNS-servrar på internet och sedan cashar resultatet) för att snabba upp anslutningar. Det leder dock till att din iphone tror att DNS-uppslagningen var osäker eller rent av elak (malicious).

Sambon kom och började klaga för ungefär en vecka sedan att vårt nätverk var hackat Det var samma meddelande.

Permalänk
Medlem
Skrivet av etnica33:

Personen är inneboende och står inte på abonnemanget och kan därmed inte heller byta ISP?

Jag sa aldrig något om att byta ISP, jag föreslog bahnhofs vpn.. den kan man ha oavsett ISP

Permalänk
Medlem
Skrivet av pv2b:

För att försöka svara på själva frågan: I princip är det möjligt att upptäcka en transparent proxy, eftersom ingen proxy är perfekt, men det kräver expertkunskaper och en grundlig analys för att hitta eventuella avvikelser i beteende. Det är teoretiskt möjligt att skapa en transparent proxy som inte går att upptäcka, i alla fall för okrypterad HTTP-trafik. Det är inte heller nödvändigt att implementera en transparent proxy för att övervaka trafik på ett nätverk, det kan göras utan att det syns alls.

Men så fort trafiken blir krypterad med HTTPS så är det omöjligt att ha en transparent proxy som kan undersöka själva innehållet i kommunikationen, såvida inte den som driver den transparenta proxyn har åtkomst till en certifikatutfärdare (CA / certificate authority) som är betrodd av din dator. Certifikatutfärdare blir betrodda antingen genom att de godkänns av t.ex. Microsoft, Google, Mozilla (Firefox), eller genom att de manuellt installerats på in dator. Detta kan förekomma på nedlåsta företagsnät och liknande, där man har åtkomst till att installera betrodda CA på varje dator, men är väldigt osannolikt att det skulle finnas på din egna privata dator.

Även om det finns HTTPS så är det möjligt att upptäcka vilka servrar på Internet du kommunicerar med. Det går t.ex. att se att du kommunicerar med Sweclockers forum, men inte vad du läser och vad du skriver. Detta antingen genom att undersöka din DNS-trafik (såvida du inte kör någon slags krypterad DNS) eller genom att titta på de IP-adresser du kommunicerar med (ibland kan samma IP-adress användas för flera webbsidor, så det är inte alltid helt träffsäkert.)

Är du oroad för att den som driver ditt lokala nätverk loggar din trafik (fullt möjligt, de här funktionerna finns ofta installerade i en router i form av föräldrarfilter etc) så finns det inget bra sätt att helt utesluta att en sådan övervakning sker. Det du däremot kan göra är att använda ett VPN. Allt som den som övervakar nätverket då kan se är kommunikation till och från VPN-tjänsten. De kan inte se vad du gör inuti VPN-tjänsten.

Däremot innebär detta i gengäld att den som driver VPN-tjänsten kan se din trafik, och trafiken kan även ses på väg från VPN-tjänsten till slutdestinationen (men är svår eller omöjlig att korrelera till en enstaka användare, om det inte är så att du t.ex. är inloggad på siten...)

För att sammanfatta: Om du är oroad för att någon övervakar din internettrafik kan är ett VPN vara lösningen. Men trade-offen blir då att det är VPN-operatören som potentiellt kan snoka på din trafik istället. Om du även kör deras egna VPN-klienter så betyder det också att du måste lita på att VPN-klienten i sig inte har något snokprogram i sig. Vilken risk du hellre tar är upp till dig och din individuella situation.

Detta var en bra och tydlig beskrivning.
Skulle vilja göra några tillägg här om och men för att utöka den lite.

Först och främst finns det något som heter SNI i TLS 1.2 och äldre.
Det innebär att även om HTTPS-anropet i sig är krypterat så står det i klartext vilken domän man besöker.
Detta skickas i ClientHello-meddelandet som ska upprätta krypteringen.
Så alla som sitter mellan klientdatorn och den server man besöker kan se vad man besöker för domäner.

Dessutom är det så att sitter man redan man in the middle redan från början behöver man inte dekryptera en tjänst. Man kan helt enkelt peka om DNS svaret till en annan server som man har kontroll över. Den server man har kontroll över skickar vidare anropen. (Detta mitigeras delvis av ett flertal lösningar, tex HSTS eller DANE men dessa löser inte situationen utan förmildrar den bara under vissa omständigheter.)

Det finns också om man vill pyssla med nätövervakning rätt enkla metoder för Deep Packet Inspection eller bara andra mönster-igenkänningar för att kunna kategorisera vilka tjänste man besöker med hjälp utav ett flertal kända signaturer från respektive tjänst.