У моей новой компании есть должность наблюдателя. То, что делает монитор, это следить за тем, что кто-то делает. Нет IM, USB, телефон с камерой не допускаются. Интересно, может ли монитор WLAN перехватить мою электронную почту и посмотреть ее содержимое? Может ли он увидеть мое, что я просматриваю? Можно ли использовать SSH для обхода всех перехватываемых пакетов данных?
5 ответов
8
Да, все коммуникации вне локальной сети будут проходить через брандмауэр и могут быть перехвачены / отслежены.
Шифрование - это один из способов "скрыть" такое общение, но мне кажется, что если они настолько параноидальны в отношении шпионажа за вами, то они все равно просто заблокируют все зашифрованные соединения.
Я бы посоветовал вам не пытаться обойти их мониторинг. Если вам не нравится то, что они делают, тогда вы можете найти другую работу. Хотя я, конечно, не согласен с тем, что ограничение доступа сотрудников к "личному" использованию Интернета является хорошей идеей, компании могут свободно осуществлять любые политики, которые им нравятся, и ваше обход этой политики, безусловно, может стать причиной увольнения.
3
Если у них есть физический доступ для размещения узла монитора между шлюзом и коммутатором или маршрутизатором, который обслуживает ваш IP-адрес, они могут захватывать любые данные, которые вы отправляете через сеть.
Например: Чтобы отслеживать данные электронной почты, передаваемые по каналу:
- создайте анализатор портов, который захватывает пакеты для всех данных, отправляемых через SMTP (порт 25) для исходящих сообщений и / или POP / IMAP для входящих сообщений.
- организовать электронную почту на основе их происхождения (IPAddress)
- x-ref перехваченные электронные письма в базе данных, которая сопоставляет IP-адреса с сотрудниками в компании
- проанализировать фактическое сообщение электронной почты из SMTP-пакетов
- организовать сообщения в системе, которая облегчает поиск / чтение / сканирование / и т. д. сообщений электронной почты
Веб-браузер похож:
- использовать перехватчик портов для захвата данных, поступающих на порт 80 (HTTP)
- сопоставить отношения данных с пользователем, используя базу данных IP-адреса-пользователя
- анализировать данные с помощью браузера или специально созданного сканера или просто сохранять адреса посещаемых сайтов, извлекая URI из заголовка HTTP
Это действительно не так сложно сделать, тем более что вся электронная почта и HTTP обычно не шифруются.
Есть пути вокруг такой системы. Например, использование VPN или шифрование данных и их инкапсуляция в один из протоколов, которые не заблокированы на брандмауэре (например, HTTP), но это потребовало бы определенного уровня навыков программирования, а также знания сетевой области. Кроме того, если вы используете что-то, что не передается через один из «обычных» сетевых портов (HTTP, SMTP, POP, IMAP), вы можете быть помечены и / или заблокированы / исследованы лицом, осуществляющим мониторинг, из-за 'подозрительная деятельность.
Специалисты по сетевой безопасности обычно знают много маленьких хитростей, чтобы найти способ обойти систему. К сожалению, обычный системный программист не знал бы их, потому что они обычно хорошо знакомы с протоколами и их уязвимостями.
Вы можете туннелировать зашифрованные данные через стандартный порт, используя SSH, но для этого требуется, чтобы у вас был выделенный сервер SSH, работающий в удаленном месте. Просто помните, что они могут видеть все, что вы посылаете через сеть. Если они постоянно видят бред (зашифрованные данные), отправляемый по каналу, вы, вероятно, / в конечном итоге получите за это красный флажок. В противном случае они не приложили бы все усилия, чтобы посвятить человека мониторингу связей.
1
Это довольно большой вопрос, посмотрите на возможности таких продуктов, как « IronPort », и посмотрите, насколько анонимным вы себя чувствуете. :-) Это действительно плохая идея пытаться подорвать политику безопасности ваших работодателей.
1
Новые брандмауэры теперь также поддерживают перехват SSL, что означает, что теперь они могут даже видеть ваши HTTPS-данные, однако в некоторых странах это не разрешено, но да, почти все сообщения могут регистрироваться и отслеживаться с помощью брандмауэров.
0
Во-первых, способность обходить политику - это не то же самое, что позволять это делать, и отличаться от хорошей идеи: я уверен, что при такой политике обход ее будет наказуем.
- e-mail: конечно перехвачен
- просмотр: почти наверняка перехвачен
- SSH и другие обходные пути: может работать, но если устройства USB и смартфоны не разрешены, я предполагаю, что исходящая связь будет ограничена (т. Е. «Она, вероятно, не будет работать»). Кроме того, может быть не разрешено.
Даже если вам удастся запустить туннель, пассивный анализ трафика помечает вас: «У этого парня Тони нет исходящих соединений, кроме этих: долгоживущие, все к одному хосту, с высоким трафиком, зашифрованные». Удачи в том, что вы убедили своего работодателя (юристов) в том, что вы не копаетесь в базах данных компании (если вы добровольно и сознательно обойдете политику компании, вы тоже не получите ни одного очка).