Sé que es posible filtrarcontenido web, digamos, con Squid+ICAP Server.
Pero, ¿es conceptual y prácticamente posible monitorear, filtrar y transformar mediante programación?arbitrario¿Tráfico (saliente + entrante) que cruza los enrutadores de su organización?
Por ejemplo, si un programador de su organización decide emplear un programa cliente-servidor creado específicamente para enviar datos confidenciales fuera de la organización (con su servidor escuchando en el puerto http/s estándar o en cualquier otro puerto conocido/arbitrario en algún lugar de Internet) Entonces, ¿mediante qué técnicas y software se puede monitorear y controlar este intento malicioso?
Estoy interesado en obtener algunos consejos sobre los conceptos y técnicas involucrados, así como algunas sugerencias de software libre basado en Linux que podría explorar más a fondo. Tenga en cuenta que los productos DLP como MyDLP solo hablan de contenido web, y no del escenario anterior, es decir, del robo de datos a través de un programa especialmente diseñado que utiliza un protocolo de transferencia de datos estándar o no estándar.
Respuesta1
¿Es posible monitorear/filtrar/transformar tráfico arbitrario?
Sí. Ciertamente es conceptualmente posible. Antes de que los enrutadores estuvieran disponibles y fueran baratos, era común encontrar una computadora vieja y barata, instalar Linux y compartir la conexión de red (enmascaramiento de IP, etc.). Podrías ver todo solo con tcpdump, al menos. Y eso estodo- verá cada protocolo de enlace SYN-ACK, cada solicitud de certificado SSL, cada búsqueda de DNS, etc.
¿Qué técnicas podrían ayudar a monitorear/controlar?
Lo obvio es estar atento a¿Qué hosts estás conectando también?. Muchas herramientas para ayudar con eso, las mismas cosas que mantienen a los niños de sitios para adultos y a los empleados fuera de Facebook. Vereste unix.sepregunta, en particulararriba.
Restringir puertosCiertamente reduce el espacio. Un puerto es sólo un número arbitrario, pero he consultado a organizaciones paranoicas que bloqueaban todo excepto el puerto 80. Eso nos obligó a hacer cosas comotúnel ssh sobre httpso esquemas más elaborados (túneles ssh de dos cabezas) cuando necesitábamos conseguir cosas desde casa.
Pero eso todavía deja un aterrador túnel de carga de secretos de la empresa que simplemente parece HTTPS. he estado jugando conViolinistamucho recientemente. Si realmente estuvieras empeñado en atraparlo todo,situar un proxy de registro https en el medio, y simplemente declara que todos los que están dentro de tu tienda deben aceptar tu certificado, lo que significa que vigilas todo. Hasta aquí la privacidad, por supuesto: verás las contraseñas de Gmail de las personas en texto plano (¡de verdad! ¡Pruébalo y verás!), pero será tremendamente complicado para tu sombrero negro sacar algo sin que te des cuenta.
Un experimento mental útil, de todos modos.