フィルタリングが可能であることを知っているWebコンテンツたとえば、Squid+ICAP サーバーを使用します。
しかし、概念的にも実際的にも、監視、フィルタリング、プログラムによる変換は可能でしょうか?任意組織のルーターを通過する (送信 + 受信) トラフィックはありますか?
たとえば、組織内のプログラマーが、機密データを組織外に送信するために特別に構築されたクライアント サーバー プログラム (サーバーが標準の http/s ポートまたはインターネット上の他の既知/任意のポートをリッスンしている) を採用することを決定した場合、どのような技術とソフトウェアを使用して、この悪意のある試みを監視および制御できますか?
関連する概念や技術、さらに詳しく調査できる Linux ベースの FOSS の提案について、いくつかアドバイスをいただきたいと思います。MyDLP などの DLP 製品は Web コンテンツについてのみ説明しており、上記のシナリオ、つまり標準または非標準のデータ転送プロトコルを使用する専用プログラムによるデータ盗難については説明していないことに注意してください。
答え1
任意のトラフィックを監視/フィルタリング/変換することは可能ですか?
はい。確かに概念的には可能です。ルーターが簡単に入手できて安価になる前は、安価な古いコンピュータを見つけてLinuxをインストールし、ネットワーク接続を共有する(IPマスカレードなど)のが一般的でした。 だけですべてを監視できましたtcpdump。そして、それはすべて- すべての SYN-ACK ハンドシェイク、すべての SSL 証明書要求、すべての DNS ルックアップなどが表示されます。
監視/制御に役立つ技術は何でしょうか?
注目すべきはどのホストに接続しているかそれを手助けするツールはたくさんあります。アダルトサイトの子供や従業員をFacebookから遠ざけるのと同じものです。この unix.se質問、特にトップ。
ポートの制限確かにスペースは減ります。ポートは単なる任意の番号ですが、私はポート80以外をすべてロックアウトする偏執的な組織にコンサルティングしたことがあります。そのため、次のようなことを強いられました。https 経由のトンネル SSHまたは、自宅から何かを取得する必要がある場合は、より複雑なスキーム (2 ヘッドの SSH トンネル) を使用します。
しかし、それでもHTTPSのように見える恐ろしい企業秘密アップロードトンネルが残ります。私はフィドラー最近よく見かけます。本当にすべてをキャッチしたいなら、中間にhttpsログプロキシを配置するそして、あなたの店の全員があなたの証明書を受け入れる必要があると宣言するだけです。つまり、すべてを監視するということです。もちろん、プライバシーはこれで終わりです。Gmail のパスワードがプレーンテキストで表示されることがあります (本当に! 試して確かめてください!)。しかし、悪意のある人があなたに気付かれずに何かを取り出すのは非常に難しくなります。
いずれにせよ、役に立つ思考実験です。