필터링이 가능한 것으로 알고 있습니다.웹 컨텐츠, 예를 들어 Squid+ICAP 서버를 사용하는 경우입니다.
그러나 모니터링, 필터링 및 프로그래밍 방식으로 변환하는 것이 개념적으로나 실제로 가능한가?임의의(송신 + 수신) 트래픽이 조직의 라우터를 통과합니까?
예를 들어, 조직의 프로그래머가 민감한 데이터를 조직 외부로 전송하기 위해 의도적으로 구축된 클라이언트-서버 프로그램을 사용하기로 결정한 경우(그의 서버는 표준 http/s 포트 또는 인터넷 어딘가에 있는 기타 알려진/임의 포트를 수신 대기함) , 그렇다면 어떤 기술과 소프트웨어를 사용하여 이 악의적인 시도를 모니터링하고 제어할 수 있습니까?
나는 관련된 개념/기술뿐만 아니라 더 자세히 살펴볼 수 있는 Linux 기반 FOSS 제안에 대한 조언을 얻고 싶습니다. MyDLP와 같은 DLP 제품은 웹 콘텐츠에 대해서만 이야기하며 위의 시나리오, 즉 표준 또는 비표준 데이터 전송 프로토콜을 사용하여 특별히 제작된 프로그램을 통한 데이터 도난에 대해서는 이야기하지 않습니다.
답변1
임의의 트래픽을 모니터링/필터링/변환하는 것이 가능합니까?
예. 확실히 개념적으로는 가능합니다. 라우터를 쉽게 사용할 수 있고 저렴하기 전에는 값싼 오래된 컴퓨터를 찾아 Linux를 설치하고 네트워크 연결(IP 마스커레이딩 등)을 공유하는 것이 일반적이었습니다. tcpdump다른 것이 없다면 로만 모든 것을 볼 수 있습니다 . 그리고 그것은모든 것- 모든 SYN-ACK 핸드셰이크, 모든 SSL 인증서 요청, 모든 DNS 조회 등을 볼 수 있습니다.
모니터링/제어에 도움이 되는 기술은 무엇입니까?
분명한 것은 지켜보는 것이다.너도 어떤 호스트에 연결하고 있어?. 성인 사이트의 어린이와 직원을 Facebook에서 차단하는 것과 동일한 도구가 많이 있습니다. 보다이 unix.se특히 질문ntop.
포트 제한확실히 공간이 줄어드네요. 포트는 임의의 숫자일 뿐이지만 포트 80을 제외한 모든 것을 차단하는 편집증적인 조직에 문의한 적이 있습니다. 이로 인해 우리는 다음과 같은 작업을 수행해야 했습니다.https를 통한 터널 SSH또는 집에서 물건을 가져와야 할 때 더 정교한 계획(양방향 SSH 터널)을 사용합니다.
그러나 여전히 HTTPS처럼 보이는 무서운 업로드 회사 비밀 터널이 남아 있습니다. 나는 가지고 놀았어바이올리니스트최근에 많이. 당신이 정말 모든 것을 잡으려고 열중했다면,중간에 https 로깅 프록시를 배치합니다., 상점 내부의 모든 사람이 인증서를 수락해야 한다고 선언하면 됩니다. 이는 모든 것을 감시한다는 의미입니다. 물론 개인정보 보호를 위해 많은 노력을 기울이고 있습니다. 사람들의 Gmail 비밀번호는 일반 텍스트로 표시됩니다(정말로 시도해 보세요!). 그러나 검은 모자가 눈치채지 못한 채 무엇이든 알아내는 것은 매우 까다로울 것입니다.
어쨌든 유용한 사고 실험입니다.