Como filtrar seletivamente ou bloquear o tráfego não http / s?

1

Eu sei que é possível filtrar conteúdo da web , digamos, com o Squid + ICAP Server.

Mas, é conceitualmente e praticamente possível monitorar, filtrar e transformar programaticamente o tráfego arbitrário (de entrada + entrada) cruzando os roteadores da organização?

Por exemplo, se um programador em sua organização decidir empregar um programa cliente-servidor construído propositadamente para enviar dados confidenciais para fora da organização (com seu servidor ouvindo na porta http / s padrão ou qualquer outra porta conhecida / arbitrária em algum lugar na a Internet), usando então quais técnicas e software essa tentativa mal-intencionada pode ser monitorada e controlada?

Estou interessado em obter alguns indicadores sobre os conceitos / técnicas envolvidos, bem como algumas sugestões FOSS baseadas em Linux que eu poderia explorar mais. Observe que produtos DLP, como o MyDLP, falam apenas sobre o conteúdo da web, e não sobre o cenário acima, a saber, do roubo de dados por meio de um programa específico, usando um protocolo de transferência de dados padrão ou não padrão.

    
por Harry 26.04.2012 / 08:06

1 resposta

2

É possível monitorar / filtrar / transformar tráfego arbitrário?

Sim. Certamente é conceitualmente possível. Antes de os roteadores estarem prontamente disponíveis e baratos, era comum encontrar um computador velho e barato, instalar o Linux e compartilhar a conexão de rede (IP Masquerading, etc.). Você poderia assistir tudo apenas com tcpdump , se nada mais. E isso é tudo - você verá todos os handshake do SYN-ACK, todas as solicitações de certificados SSL, todas as pesquisas de DNS, etc.

Quais técnicas podem ajudar a monitorar / controlar?

O mais óbvio é observar quais hosts você está se conectando . Muitas ferramentas para ajudar com isso, o mesmo material que mantém as crianças de sites adultos e funcionários fora do Facebook. Veja esta questão do unix.se , notavelmente ntop .

Restringir portas certamente reduz o espaço. Uma porta é apenas um número arbitrário, mas eu consultei organizações paranóicas que bloqueavam tudo, exceto a porta 80. Isso nos forçou a fazer coisas como tunnel ssh sobre https ou esquemas mais elaborados (túneis ssh de duas cabeças) quando precisávamos pegar coisas de volta para casa.

Mas isso ainda deixa um túnel de segredos de empresa de upload assustador que parece apenas com HTTPS. Eu tenho tocado com o Fiddler muito recentemente. Se você estivesse realmente empenhado em capturar tudo, você situaria um proxy de criação de log https no meio e declararia que todos dentro de sua loja precisam aceitar seu certificado, o que significa que você assiste a tudo. Tanto para a privacidade, é claro - você verá senhas de gmail em texto puro (na verdade, experimente e veja!) - mas vai ser muito complicado para o seu chapéu preto tirar qualquer coisa sem que você perceba.

Experimento mental útil, de qualquer forma.

    
por 26.04.2012 / 09:07