我知道可以过滤网页内容,例如,使用 Squid+ICAP 服务器。
但是,从概念上和实践上来说,监控、过滤和程序化转换随意的(传出 + 传入)流量穿过您组织的路由器吗?
例如,如果您组织中的程序员决定使用专门构建的客户端-服务器程序将敏感数据发送到组织外(其服务器监听标准 http/s 端口或 Internet 上任何其他已知/任意端口),那么使用什么技术和软件可以监视和控制这种恶意尝试?
我有兴趣获得一些关于所涉及的概念/技术的指点,以及一些基于 Linux 的 FOSS 建议,以便我可以进一步探索。请注意,DLP 产品(例如 MyDLP)仅讨论网络内容,而不是上述场景,即通过使用标准或非标准数据传输协议的专用程序进行数据盗窃。
答案1
是否有可能监控/过滤/转换任意流量?
是的。从概念上讲,这当然是可行的。在路由器普及且价格低廉之前,找一台便宜的旧电脑、安装 Linux 并共享网络连接(IP 伪装等)是很常见的。tcpdump
如果没有其他方法,你只需使用 就可以观看所有内容。这就是一切- 您将看到每个 SYN-ACK 握手、每个 SSL 证书请求、每个 DNS 查找等。
哪些技术可以帮助监控/控制?
显而易见的是要注意你连接的是哪些主机。有很多工具可以帮助解决这个问题,同样的东西可以让孩子远离成人网站,让员工远离 Facebook。参见这个unix.se问题,尤其是ntop。
限制端口当然会减少空间。端口只是一个任意数字,但我曾为偏执的组织提供咨询,他们锁定了除端口 80 之外的所有端口。这迫使我们做类似的事情通过 https 进行 SSH 隧道或者当我们需要从家里获取东西时,采用更复杂的方案(双头 ssh 隧道)。
但这仍然留下了一个可怕的上传公司机密的隧道,看起来像 HTTPS。我一直在玩Fiddler最近经常这样。如果你真的想抓住一切,你会在中间放置一个 https 日志代理,并声明商店内的每个人都必须接受您的证书,这意味着您可以监视一切。当然,隐私就到此为止了——您会看到人们以纯文本形式保存的 gmail 密码(真的!试试看!)——但对于您的黑帽黑客来说,在您不注意的情况下获取任何信息将变得非常棘手。
无论如何,这都是一个有用的思想实验。