Eu sei que é possível filtrarconteúdo web, digamos, com o servidor Squid+ICAP.
Mas será que é conceitualmente e praticamente possível monitorar, filtrar e transformar programaticamentearbitráriotráfego (de saída + entrada) que atravessa os roteadores da sua organização?
Por exemplo, se um programador em sua organização decidir empregar um programa cliente-servidor criado propositadamente para enviar dados confidenciais para fora da organização (com seu servidor escutando na porta http/s padrão ou em qualquer outra porta conhecida/arbitrária em algum lugar da Internet) , então, usando quais técnicas e software essa tentativa maliciosa pode ser monitorada e controlada?
Estou interessado em obter algumas dicas sobre os conceitos/técnicas envolvidas, bem como algumas sugestões de FOSS baseadas em Linux que eu poderia explorar mais detalhadamente. Observe que produtos DLP como o MyDLP falam apenas sobre conteúdo da web, e não sobre o cenário acima, ou seja, de roubo de dados por meio de um programa desenvolvido especificamente usando protocolo de transferência de dados padrão ou não padrão.
Responder1
É possível monitorar/filtrar/transformar tráfego arbitrário?
Sim. Certamente é conceitualmente possível. Antes que os roteadores estivessem prontamente disponíveis e fossem baratos, era comum encontrar um computador antigo barato, instalar o Linux e compartilhar a conexão de rede (mascaramento de IP, etc.). Você poderia assistir tudo apenas com tcpdump, se nada mais. E isso étudo- você verá cada handshake SYN-ACK, cada solicitação de certificado SSL, cada pesquisa de DNS, etc.
Que técnicas poderiam ajudar a monitorar/controlar?
O óbvio é observarquais hosts você está conectando também. Muitas ferramentas para ajudar com isso, as mesmas coisas que mantêm crianças de sites adultos e funcionários fora do Facebook. Vereste unix.sequestão, nomeadamententop.
Restringindo portascertamente reduz o espaço. Uma porta é apenas um número arbitrário, mas consultei organizações paranóicas que bloquearam tudo, exceto a porta 80. Isso nos forçou a fazer coisas comotúnel ssh sobre httpsou esquemas mais elaborados (túneis SSH de duas cabeças) quando precisávamos pegar coisas em casa.
Mas isso ainda deixa um túnel assustador de upload de segredos da empresa que se parece com HTTPS. Eu estive brincando comViolinistamuito recentemente. Se você estivesse realmente determinado a pegar tudo, vocêsituar um proxy de registro https no meio, e basta declarar que todos dentro da sua loja têm que aceitar o seu certificado, o que significa que você assiste tudo. Chega de privacidade, é claro - você verá as senhas do Gmail em texto simples (de verdade! Experimente e veja!) - mas será muito complicado para o seu chapéu preto revelar qualquer coisa sem você perceber.
Experiência mental útil, de qualquer maneira.