Ich weiß, dass es möglich ist, zu filternInternetinhaltbeispielsweise mit Squid+ICAP Server.
Aber ist es konzeptionell und praktisch möglich, zu überwachen, zu filtern und programmatisch umzuwandelnwillkürlich(ausgehender + eingehender) Datenverkehr, der die Router Ihrer Organisation passiert?
Wenn sich beispielsweise ein Programmierer in Ihrer Organisation dazu entschließt, ein Client-Server-Programm einzusetzen, das speziell dafür entwickelt wurde, vertrauliche Daten aus der Organisation zu versenden (wobei sein Server auf dem Standard-HTTP/S-Port oder einem anderen bekannten/beliebigen Port irgendwo im Internet lauscht), welche Techniken und Software können dann verwendet werden, um diesen böswilligen Versuch zu überwachen und zu kontrollieren?
Ich bin an einigen Hinweisen zu den beteiligten Konzepten/Techniken sowie an einigen Linux-basierten FOSS-Vorschlägen interessiert, die ich weiter untersuchen könnte. Beachten Sie, dass DLP-Produkte wie MyDLP nur Webinhalte behandeln und nicht das oben genannte Szenario, nämlich Datendiebstahl über ein speziell entwickeltes Programm unter Verwendung eines standardmäßigen oder nicht standardmäßigen Datenübertragungsprotokolls.
Antwort1
Ist es möglich, beliebigen Datenverkehr zu überwachen/filtern/umzuwandeln?
Ja. Es ist konzeptionell durchaus möglich. Bevor Router leicht verfügbar und billig waren, war es üblich, einen billigen alten Computer zu finden, Linux zu installieren und die Netzwerkverbindung zu teilen (IP-Masquerading usw.). Man konnte alles nur mit ansehen tcpdump, wenn nichts anderes. Und das istalles– Sie sehen jeden SYN-ACK-Handshake, jede SSL-Zertifikatsanforderung, jede DNS-Suche usw.
Welche Techniken könnten bei der Überwachung/Kontrolle helfen?
Das Offensichtliche ist, darauf zu achten,Mit welchen Hosts Sie sich verbinden. Viele Tools, die dabei helfen, dieselben Dinge, die Kinder von Erwachsenenseiten und Mitarbeiter von Facebook fernhalten. Siehedieses unix.seFrage, insbesonderentop.
Einschränken von Portsreduziert sicherlich den Platz. Ein Port ist nur eine beliebige Zahl, aber ich habe paranoide Organisationen beraten, die alles außer Port 80 gesperrt haben. Das zwang uns dazu, Dinge zu tun wieSSH über https tunnelnoder aufwändigere Verfahren (SSH-Tunnel mit zwei Köpfen), wenn wir Sachen von zu Hause holen mussten.
Aber das hinterlässt immer noch einen beängstigenden Upload-Firmengeheimnis-Tunnel, der einfach wie HTTPS aussieht. Ich habe mitGeigerin letzter Zeit viel. Wenn Sie wirklich darauf aus wären, alles zu fangen, würden SiePlatzieren Sie einen https-Logging-Proxy in der Mitte, und erklären Sie einfach, dass jeder in Ihrem Geschäft Ihr Zertifikat akzeptieren muss, was bedeutet, dass Sie alles beobachten. So viel natürlich zum Thema Privatsphäre – Sie werden Leute sehen, die Gmail-Passwörter im Klartext verwenden (wirklich! Probieren Sie es aus!) – aber für Ihren Black Hat wird es furchtbar schwierig, irgendetwas herauszubekommen, ohne dass Sie es bemerken.
Trotzdem ein nützliches Gedankenexperiment.