Показано с 1 по 8 из 8.

Защита от прослушивания сетевого трафика на шлюзе

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    2
    Вес репутации
    26

    Защита от прослушивания сетевого трафика на шлюзе

    Здравствуйте.

    Ситуация следующая.

    Есть локальная сеть, которая подключается к интернет через сервер-шлюз на котором установлена Ubuntu.
    У меня возникают подозрения, что траффик проходящий через шлюз во всю прослушивается. Благо технических средств для этого полно.

    Подскажите, пожалуйста, установка firewall-а помогает решить проблему перехвата http, ftp -паролей?
    В идеале хотелось бы чтобы нельзя было слушать icq и вообще иметь доступ даже к списку посещённых сайтов.

    Уточню вопрос. Дело не в снифферах, с которыми, ясно дело, firewall справится. Дело именно в самом шлюзе.

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.05.2008
    Адрес
    Россия, Амурская область, Благовещенск
    Сообщений
    113
    Вес репутации
    79
    Если перефразировать с юмором:
    На работе пропускной режим, вход-выход только через проходную, где охранник проверяет пропуск. Есть подозрение, что он записывает в журнале, кто куда и когда прошёл, использует рамку-металлодетектор и собаку, натасканную на взрывчатку. Если надену тёмные очки и капюшон, это поможет? Дело не в сослуживцах, а в самом охраннике. В идеале хочу ходить в любое время без всяких проверок.
    Если серьёзно - у шлюза работа такая. И попытки обойти его могут расцениваться не в вашу пользу.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от pyffy Посмотреть сообщение
    Здравствуйте.

    Ситуация следующая.

    Есть локальная сеть, которая подключается к интернет через сервер-шлюз на котором установлена Ubuntu.
    У меня возникают подозрения, что траффик проходящий через шлюз во всю прослушивается. Благо технических средств для этого полно.
    В нормальной конторе это и должно быть - все должно контроллироваться и протоколироваться ... задача любого шлюза как раз состоит в том, чтобы контролировать в той или иной степени трафик. Начиная от тупой обработки пакетов NAT траслятором и правилами Firewall, и заканчивая сложнейшей обработкой трафика прозрачными контент-фильтраторами и поточными антивирусными сканерами. Кроме фильтрации как правило ведется протоколирование и учет трафика. И есть анализаторы, показывающий - кто куда, и что к чему

    Цитата Сообщение от pyffy Посмотреть сообщение
    Подскажите, пожалуйста, установка firewall-а помогает решить проблему перехвата http, ftp -паролей?
    В идеале хотелось бы чтобы нельзя было слушать icq и вообще иметь доступ даже к списку посещённых сайтов.
    Матчасть - http://ru.wikipedia.org/wiki/Firewall - персональный Firewall фильтрует пакеты на стороне клиента, защищая его от атак и несанционированной сетевой активности недоверенных приложений. Если идет обмен скажем по HTTP через шлюз с неким внешним ресурсом, то все пакеты по определению будут проходить через шлюз - на то он и шлюз. Следовательно, контроль трафика на уровне устрйства, стоящего на границе сети было, есть и будет - независимо ни от чего. Единственная известная форма защиты от анализа трафика в такой ситуации - применение протоколов с шифрованием, HTTPS или SSH например.

    Цитата Сообщение от pyffy Посмотреть сообщение
    Уточню вопрос. Дело не в снифферах, с которыми, ясно дело, firewall справится. Дело именно в самом шлюзе.
    Еще раз матчасть - см. ссылку выше. Firewall ясное дело не справится со сниффером, так как то невозможно по определению. Если пакет ушел с ПК и некто имеет возможность его захватить для анализа - то он его захватит и проанализирует. И в случае HTTPS или SSH он его захватит и проанализирует - и поймет, с кем идет обмен (но не сможет понять содержимое)

    В общем то если конкретизировать вопрос, то он звучит видимо примерно так "А можно ли сделать так, чтобы админ сети и служба безопасности конторы не знали, что вместо работы я чатюсь в аське и смотрю порнуху ?" - ответ "Можно, но админы или ИБ засекут и отвернут башку" (а далее все зависит от серьезности конторы - в лучшем случае поход за пивом для админа, в худшем - потеря премии/работы; в совсем худшем - кто-то что-то ценное сольет конкурентам, начнутся разборки в конторе - кто и что кому-то передавал странное и зашифрованное за последнее время, и несложно угадать, что любитель обдурить админов тут-же будет крайним)

  5. #4
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    2
    Вес репутации
    26
    Зайцев Олег, Спасибо за расширенный ответ
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    В общем то если конкретизировать вопрос, то он звучит видимо примерно так "А можно ли сделать так, чтобы админ сети и служба безопасности конторы не знали, что вместо работы я чатюсь в аське и смотрю порнуху ?" - ответ "Можно, но админы или ИБ засекут и отвернут башку"
    Вобщем-то ситуация несколько иная. Политика компании подразумевает тотальный контроль за действиями подчинённых. Согласился на работу только при условии невмешательства в мои дела со стороны начальства. Так что дело не в том что порнуху не разрешают смотреть, а в том что не хочу раскрывать источники, явки и пароли .
    Фактически, по вашим словам, защиты нет. Плохо.
    Не то чтобы смертельно, но за державу обидно и за нарушенные договорённости при устройстве на работу.
    Олег, есть ли способ зашифровать весь траф идущий через сетевую, или нереально?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от pyffy Посмотреть сообщение
    Вобщем-то ситуация несколько иная. Политика компании подразумевает тотальный контроль за действиями подчинённых. Согласился на работу только при условии невмешательства в мои дела со стороны начальства. Так что дело не в том что порнуху не разрешают смотреть, а в том что не хочу раскрывать источники, явки и пароли .
    Фактически, по вашим словам, защиты нет. Плохо.
    Не то чтобы смертельно, но за державу обидно и за нарушенные договорённости при устройстве на работу.
    Если политика подразумевает - контроль будет. И явки-пароли узнают, если захотят - все зависит исключительно от того, как сильно этого захотят и сколько денег/времени/сил на это потратят. Существуют десятки методов слежения (и анализ трафика - только один из методов - это я как специалист службы безопасности говорю, так как знаю ), и если эти методы прописаны в политике компании и официально утверждены приказом и доведены до всего персонала под роспись при приеме на работу и получении доступа в Инет - то такое слежение вполне легально и бороться с ним невозможно.
    Цитата Сообщение от pyffy Посмотреть сообщение
    Олег, есть ли способ зашифровать весь траф идущий через сетевую, или нереально?
    Возможность есть всегда, не всегда от этого есть смысл ... дело в том. что трафик - это грубо говоря обмен данными между узлами A и B через узел C. И если я зашифрую пакеты при выходе с узла A, то их или не пропустит узел C, или пропустит - но для узла B они будут бредом. Поэтому шифрование предполагает, что передающая и принимающая сторона используют одинаковый алгоритм шифрования, имеют соответствующие ключи и т.п. Причем как следствие "шифрование всего трафика" невозможно и бессмысленно, есть варианты:
    - обмен с критическими узлами по HTTPS (при этом ясно дело, что если сайт или некий WEB сервис поддерживает работу с использованием HTTPS, то это возможно, если нет - то невозможно - в одностороннем порядке это не изменить
    - использовать VPN. Т.е. со своего ПК я поднимаю VPN до некого узла/сервера, и по сути получаю виртуальный зашированный канал между узлами A и B
    - промежуточные варианты - например HTTPS или VPN на внешний прокси-сервер где-то "в миру", а далее уже работа через него
    - обмен с критическими ресурсами со своего ноутбука через свой-же модем (т.е. исключения из уравнения локальной сети, шлюзов и т.п. предприятия)
    При этом в любом случае если обмен идет через шлюз, то админ будет точно знать, что такой-то ПК в его сети обменивается с таким-то хостом за пределами сети по такому-то протоколу. И может эффективно блокировать это при желании

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    291
    Цитата Сообщение от pyffy Посмотреть сообщение
    Согласился на работу только при условии невмешательства в мои дела со стороны начальства.
    Ну, так и создайте себе условия для этого "невмешательства" (как вариант, напрягите вашу контору):
    - работайте на компьютере, к которому есть доступ только у вас (как вариант, приносите на работу свой собственный ноутбук);
    - пользуйтесь отдельным выходом в Интернет (GPRS/EDGE/3G/WiMAX и т.п.).

    Шифровать трафик и заниматься прочей похожей "ерундой", конечно же, можно, но тут вы можете столкнуться с необходимостью выполнения гораздо более сложных условий, чем те, что я описал выше.

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.09.2009
    Сообщений
    145
    Вес репутации
    42
    Цитата Сообщение от aintrust Посмотреть сообщение
    - работайте на компьютере, к которому есть доступ только у вас (как вариант, приносите на работу свой собственный ноутбук);
    - пользуйтесь отдельным выходом в Интернет (GPRS/EDGE/3G/WiMAX и т.п.).
    В некоторых конторах (банк, госучреждения...) использование своего ПК запрещено, тем более если контроль тотальный
    Не ошибается тот, кто ничего не делает

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    291
    И это очень правильно... со многих точек зрения! Я бы даже сказал, что с точки зрения безопасности, в том числе информационной, такая практика должна быть единственно приемлемой, причем на большинстве современных предприятий!

    Мы, однако, сейчас говорим об особом случае, когда работник "согласился на работу только при условии невмешательства в его дела со стороны начальства". Я, если честно, не слишком понимаю, что конкретно имелось ввиду как со стороны работника, так и со стороны работодателя - ведь работник подозревал (или даже знал) о "тотальном контроле за действиями подчинённых" и должен был обговорить все условия такого "невмешательства" заранее. Этого не было сделано, так что теперь нужно или попытаться обеспечить для себя такое невмешательство, или покинуть предприятие. По-моему, все предельно ясно...

Похожие темы

  1. Panda Cloud Internet Protection - защита веб-трафика корпоративных сетей
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 09.08.2010, 15:44
  2. Как защититься от прослушивания трафика во внутренней сети?
    От Amak в разделе Windows для опытных пользователей
    Ответов: 12
    Последнее сообщение: 02.10.2008, 09:02
  3. Как открыть порты 25 и 110 на шлюзе
    От NikolayFirsov в разделе Windows для опытных пользователей
    Ответов: 2
    Последнее сообщение: 07.08.2008, 20:41
  4. Ответов: 0
    Последнее сообщение: 04.03.2008, 22:31
  5. Ответов: 2
    Последнее сообщение: 22.12.2007, 10:35

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01163 seconds with 22 queries