Я знаю, что можно фильтроватьвеб-контентнапример, с помощью Squid+ICAP Server.
Но возможно ли концептуально и практически контролировать, фильтровать и программно преобразовыватьпроизвольный(исходящий + входящий) трафик, проходящий через маршрутизаторы вашей организации?
Например, если программист в вашей организации решает использовать клиент-серверную программу, специально созданную для отправки конфиденциальных данных за пределы организации (при этом его сервер прослушивает стандартный порт http/s или любой другой известный/произвольный порт где-то в Интернете), то с помощью каких методов и программного обеспечения можно отслеживать и контролировать эту вредоносную попытку?
Мне интересно получить некоторые указания по обеим концепциям/техникам, а также некоторые предложения FOSS на базе Linux, которые я мог бы изучить подробнее. Обратите внимание, что продукты DLP, такие как MyDLP, говорят только о веб-контенте, а не о вышеприведенном сценарии, а именно о краже данных через специально созданную программу, использующую стандартный или нестандартный протокол передачи данных.
решение1
Возможно ли отслеживать/фильтровать/преобразовывать произвольный трафик?
Да. Конечно, это концептуально возможно. До того, как маршрутизаторы стали легкодоступными и дешевыми, было обычным делом найти дешевый старый компьютер, установить Linux и поделиться сетевым подключением (IP Masquerading и т. д.). Вы могли бы смотреть все просто с помощью tcpdump, если бы не было ничего другого. И этовсе- вы увидите каждое рукопожатие SYN-ACK, каждый запрос сертификата SSL, каждый поиск DNS и т. д.
Какие методы могут помочь в мониторинге/контроле?
Очевидный способ — следить закакие хосты вы подключаете также. Множество инструментов, которые помогут в этом, те же самые, которые не дают детям сайтов для взрослых и сотрудникам посещать Facebook. Смотретьэтот unix.seвопрос, в частностиntop.
Ограничение портовопределенно уменьшает пространство. Порт — это просто произвольное число, но я консультировал параноидальные организации, которые блокировали все, кроме порта 80. Это заставило нас делать такие вещи, кактуннель ssh через httpsили более сложные схемы (двусторонние SSH-туннели), когда нам нужно было что-то получить из дома.
Но это все еще оставляет страшный туннель upload-company-secrets, который выглядит как HTTPS. Я играл сСкрипачмного в последнее время. Если бы вы были действительно одержимы идеей поймать все, вы бырасположить https-прокси-сервер регистрации посередине, и просто объявите, что все в вашем магазине должны принять ваш сертификат, что означает, что вы следите за всем. Конечно, это касается конфиденциальности — вы увидите пароли людей от gmail в открытом виде (серьезно! попробуйте и убедитесь!) — но вашей черной шляпе будет очень сложно что-либо вытащить, чтобы вы не заметили.
В любом случае, полезный мысленный эксперимент.