我已经查看了几种数据泄露/丢失预防套件,但是在它们的文档中,我无法找到它们如何处理 HTTPS。
其中一个“泄漏媒介”是通过 HTTPS 向 Web 应用发送信息。在这种情况下,检测泄漏的唯一方法就是解密。
但是,要做到这一点,它必须使用假证书冒充远程服务器,就像中间人攻击一样。为了避免用户产生怀疑或投诉,我猜公司需要将其证书作为有效 CA 插入到公司拥有的设备的浏览器上。
我的问题是:
- 有人亲身经历过这种情况吗?你能告诉我们你是如何实现的吗?
- 我是对的还是还有其他管理 HTTPS 的方法(例如,使用代理检测桌面级别正在使用的数据)?
答案1
这不“像”中间人攻击,这确实是中间人攻击。
您可以使用代理服务器来实现它,代理服务器将用您自己的证书替换远程证书。在此过程中,他们的浏览器会抛出有关证书无效的错误。这就是 HTTPS 和认证背后的意义。因此,如果您有一个精明的用户,他们会知道您正在拦截信息。
你可以使用代理来记录一个人的活动,这样你就可以记录正在发生的事情和他们浏览的地方,但实际上,如果你正在实施严厉的措施来防止可能性有人窃取您的信息,那么您可能正在营造一种工作场所,让员工首先接受这种做法。此外,您还必须制定人力资源部门解雇手机(用摄像头记录)、USB 驱动器的政策,也许还要确保他们不会记住事情。
无论如何,没有“简单”的方法可以打破 HTTPS 监控而不被发现,除非您使用防火墙规则或代理过滤器简单地阻止对该端口的传出访问。否则 HTTPS 的整个意义就毫无意义了。
答案2
但要做到这一点,它必须使用假证书冒充远程服务器
是的 - 您不仅需要由客户端认可的机构签名的证书,而且还需要为客户端毒害 DNS 或重定向 IP 数据包流。
我怀疑从技术上来说,实现一个 HTTPS 代理是可行的,它会动态生成由本地 CA 签名的证书,并使用该证书代理请求,但这非常困难。
如果您担心通过 HTTPS 泄露数据,就不要允许您的用户访问 HTTPS。
它并不能解决他们将东西写在纸上的问题。
唯一可行的解决方案是保留良好的审计跟踪 - 最好使用蜜罐。
答案3
https 问题确实可以通过 MiM 类型的解决方案来解决。通常,这意味着代理正在捕获传出的 https 会话,并将这些会话提供给由其自己的 SSL 证书签名的用户,同时自行向外界进行 https 通信。
免费的 myDLP 解决方案可以使用其自己的 squid 配置来实现这一点,而更复杂的解决方案(如 Websense 和 symantec,iirc 可以执行相同的操作,并且功能稍微强大一些(此类代理之间的负载平衡、细粒度证书管理等...)