身内が信用出来ない
今日、友達から次のような質問を受けた。
会社の人が信頼出来ない。インターネットで何を見ているかという情報は会社の人は見ることができるのか? 出来るとしたら防ぎたいのだが、どうすれば良いか?
(適当に翻訳した)
もちろんネットワークに流れるパケットは盗聴可能なので、一つ目の質問は真でしょう。で、それを防ぐにはどうすれば良いか?
- 信用出来ないのは会社の人間だけなのでパケットが社内LANから出る時に暗号化されていれば良い。
- 守りたいのはHTTPだけ(SSLはもともと暗号化されているので)。
ということで、とりあえず以下のようにしてみた。
ブラウザ ---> SSLポートフォワーディング ===> 自宅PC(HTTP-Proxy) ---> 目的のWebサーバ ===:暗号化通信 ---:非暗号化通信
つまり、ブラウザの設定でプロキシをローカルのSSLが待機しているポートに設定する。そして、自宅PCで稼働しているHTTPプロキシにフォワーディングするというわけ。とりあえず自宅PCのファイアウォールの設定に穴をあけなくてすむし、プロキシはリモートからのアクセスを受け付ける必要もないのでセキュリティ的には大丈夫だと思う。
即席で作った環境だけど、大丈夫かなぁ。もっとうまい方法はないものか。なにか見落としている気がしてしょうがないのだけど…。ちなみにWindowsではないのでSoftEtherは使用できないし。SSHの使い方を説明するのに苦労したのでそこだけでも回避できれば楽なんですけどね(しかも放置するとSSHがauto-logoutしてくれてしまう…)。
ブラウザ ---> ローカルのプロキシサーバ ===> リモートのプロキシサーバ ---> ターゲットサーバ ===:暗号化通信 ---:非暗号化通信
っていう感じでLANから出るときの暗号化のためだけに二段でプロキシ通せば良いんですよね。このプロキシを作ってみようかな。需要少なそう。SoftEther含むVPNで解決出来るだろうし…。