Как выборочно фильтровать или блокировать не-http/s трафик?

Question

Я знаю, что можно фильтровать веб-контент, скажем, с помощью Squid+ICAP Server.

Но возможно ли концептуально, а также практически возможно отслеживать, фильтровать и программно преобразовывать произвольный (исходящий + входящий) трафик, пересекающий маршрутизаторы вашей организации?

Например, если программист в вашей организации решит использовать клиент-серверную программу, специально созданную для отправки конфиденциальных данных из организации (когда его сервер прослушивает стандартный порт http/s или любой другой известный / произвольный порт где-то в Интернете) Затем с помощью каких методов и программного обеспечения можно контролировать и контролировать эту злонамеренную попытку?

Я заинтересован в том, чтобы получить несколько советов по поводу используемых концепций / методов, а также некоторые рекомендации FOSS на основе Linux, которые я мог бы изучить далее. Обратите внимание, что продукты DLP, такие как MyDLP, говорят только о веб-контенте, а не о вышеупомянутом сценарии, а именно о краже данных с помощью специальной программы, использующей стандартный или нестандартный протокол передачи данных.

Answer 1

Можно ли отслеживать / фильтровать / преобразовывать произвольный трафик?

Да. Это, безусловно, концептуально возможно. До того, как маршрутизаторы были легко доступны и дешевы, было обычным делом найти дешевый старый компьютер, установить Linux и поделиться сетевым подключением (маскировка IP и т.д.). Вы можете смотреть все просто с помощью tcpdump , если ничего больше. И это все - вы увидите каждое рукопожатие SYN-ACK, каждый запрос сертификата SSL, каждый поиск DNS и т.д.

Какие методы могут помочь контролировать / контролировать?

Очевидным является наблюдение за тем, к каким хостам вы подключаетесь. Множество инструментов, помогающих с этим, те же самые вещи, которые удерживают детей от взрослых сайтов и сотрудников от Facebook. Смотрите этот вопрос unix.se , особенно ntop.

Ограничение портов, безусловно, уменьшает пространство. Порт - это произвольное число, но я проконсультировался с параноидальными организациями, которые заблокировали все, кроме порта 80. Это заставило нас делать такие вещи, как туннель ssh через https или более сложные схемы (двуглавые туннели ssh), когда нам нужно было что-то получить из дома.

Но это все равно оставляет страшный туннель с секретными данными, который похож на HTTPS. Я недавно много играл с Фиддлером . Если бы вы были действительно одержимы ловлей всего, вы бы расположили прокси-сервер протоколирования https в середине и просто заявили, что все в вашем магазине должны принять ваш сертификат, а это значит, что вы смотрите все. Конечно, так много для конфиденциальности - вы увидите пароли пользователей Gmail в виде простого текста (правда! попробуйте и посмотрите!) - но вашей черной шляпе будет ужасно сложно вытащить что-нибудь без вашего ведома.

В любом случае, полезный мысленный эксперимент.