É possível monitorar / filtrar / transformar tráfego arbitrário?
Sim. Certamente é conceitualmente possível. Antes de os roteadores estarem prontamente disponíveis e baratos, era comum encontrar um computador velho e barato, instalar o Linux e compartilhar a conexão de rede (IP Masquerading, etc.). Você poderia assistir tudo apenas com tcpdump
, se nada mais. E isso é tudo - você verá todos os handshake do SYN-ACK, todas as solicitações de certificados SSL, todas as pesquisas de DNS, etc.
Quais técnicas podem ajudar a monitorar / controlar?
O mais óbvio é observar quais hosts você está se conectando . Muitas ferramentas para ajudar com isso, o mesmo material que mantém as crianças de sites adultos e funcionários fora do Facebook. Veja esta questão do unix.se , notavelmente ntop .
Restringir portas certamente reduz o espaço. Uma porta é apenas um número arbitrário, mas eu consultei organizações paranóicas que bloqueavam tudo, exceto a porta 80. Isso nos forçou a fazer coisas como tunnel ssh sobre https ou esquemas mais elaborados (túneis ssh de duas cabeças) quando precisávamos pegar coisas de volta para casa.
Mas isso ainda deixa um túnel de segredos de empresa de upload assustador que parece apenas com HTTPS. Eu tenho tocado com o Fiddler muito recentemente. Se você estivesse realmente empenhado em capturar tudo, você situaria um proxy de criação de log https no meio e declararia que todos dentro de sua loja precisam aceitar seu certificado, o que significa que você assiste a tudo. Tanto para a privacidade, é claro - você verá senhas de gmail em texto puro (na verdade, experimente e veja!) - mas vai ser muito complicado para o seu chapéu preto tirar qualquer coisa sem que você perceba.
Experimento mental útil, de qualquer forma.