我知道可以過濾網頁內容,比如說,使用 Squid+ICAP Server。
但是,監控、過濾和以程式方式轉換在概念上和實踐上是否可行?隨意的(傳出 + 傳入)流量穿過您組織的路由器嗎?
例如,如果您組織中的程式設計師決定採用專門建置的客戶端-伺服器程式來將敏感資料傳送到組織之外(他的伺服器偵聽標準http/s 連接埠或Internet 上某處的任何其他已知/任意連接埠)那麼使用什麼技術和軟體可以監控和控制這種惡意嘗試呢?
我有興趣獲得一些有關所涉及的概念/技術的指導,以及一些我可以進一步探索的基於 Linux 的 FOSS 建議。請注意,MyDLP 等 DLP 產品僅涉及 Web 內容,而不涉及上述場景,即透過使用標準或非標準資料傳輸協定的專用程式來竊取資料。
答案1
是否可以監控/過濾/轉換任意流量?
是的。這在概念上當然是可能的。在路由器容易取得且便宜之前,通常會找到一台便宜的舊計算機,安裝 Linux 並共用網路連線(IP 偽裝等)。tcpdump如果沒有別的辦法的話,你只需使用 就可以觀看所有內容。那就是一切- 您將看到每個 SYN-ACK 握手、每個 SSL 憑證請求、每個 DNS 查找等。
哪些技術可以幫助監控/控制?
最明顯的是要注意您也連接哪些主機。有很多工具可以幫助解決這個問題,同樣的東西也讓孩子遠離成人網站和員工。看這個unix.se問題,特別是恩托普。
限制連接埠肯定會減少空間。端口只是一個任意數字,但我諮詢過偏執的組織,他們鎖定了除端口 80 之外的所有內容。透過 https 建立 ssh 隧道或者當我們需要從家裡獲取東西時使用更複雜的方案(雙頭 ssh 隧道)。
但這仍然留下了一個可怕的上傳公司秘密隧道,看起來就像 HTTPS。我一直在玩提琴手最近很多。如果你真的一心想抓住一切,你就會在中間放置一個 https 日誌代理,然後聲明你店裡的每個人都必須接受你的證書,這意味著你監視一切。當然,隱私就這麼多了——你會看到人們以純文字形式提供gmail 密碼(真的!試試看!)——但是對於你的黑帽子來說,要在你不注意的情況下洩露任何信息將變得非常棘手。
無論如何,有用的思想實驗。