Защита от прослушивания сетевого трафика на шлюзе

[pyffy]

Здравствуйте.

Ситуация следующая.

Есть локальная сеть, которая подключается к интернет через сервер-шлюз на котором установлена Ubuntu.
У меня возникают подозрения, что траффик проходящий через шлюз во всю прослушивается. Благо технических средств для этого полно.

Подскажите, пожалуйста, установка firewall-а помогает решить проблему перехвата http, ftp -паролей?
В идеале хотелось бы чтобы нельзя было слушать icq и вообще иметь доступ даже к списку посещённых сайтов.

Уточню вопрос. Дело не в снифферах, с которыми, ясно дело, firewall справится. Дело именно в самом шлюзе.

[Oyster]

Если перефразировать с юмором:
На работе пропускной режим, вход-выход только через проходную, где охранник проверяет пропуск. Есть подозрение, что он записывает в журнале, кто куда и когда прошёл, использует рамку-металлодетектор и собаку, натасканную на взрывчатку. Если надену тёмные очки и капюшон, это поможет? Дело не в сослуживцах, а в самом охраннике. В идеале хочу ходить в любое время без всяких проверок.
Если серьёзно - у шлюза работа такая. И попытки обойти его могут расцениваться не в вашу пользу.

[Зайцев Олег]

Здравствуйте.

Ситуация следующая.

Есть локальная сеть, которая подключается к интернет через сервер-шлюз на котором установлена Ubuntu.
У меня возникают подозрения, что траффик проходящий через шлюз во всю прослушивается. Благо технических средств для этого полно.

В нормальной конторе это и должно быть - все должно контроллироваться и протоколироваться ... задача любого шлюза как раз состоит в том, чтобы контролировать в той или иной степени трафик. Начиная от тупой обработки пакетов NAT траслятором и правилами Firewall, и заканчивая сложнейшей обработкой трафика прозрачными контент-фильтраторами и поточными антивирусными сканерами. Кроме фильтрации как правило ведется протоколирование и учет трафика. И есть анализаторы, показывающий - кто куда, и что к чему

Подскажите, пожалуйста, установка firewall-а помогает решить проблему перехвата http, ftp -паролей?
В идеале хотелось бы чтобы нельзя было слушать icq и вообще иметь доступ даже к списку посещённых сайтов.

Матчасть - http://ru.wikipedia.org/wiki/Firewall - персональный Firewall фильтрует пакеты на стороне клиента, защищая его от атак и несанционированной сетевой активности недоверенных приложений. Если идет обмен скажем по HTTP через шлюз с неким внешним ресурсом, то все пакеты по определению будут проходить через шлюз - на то он и шлюз. Следовательно, контроль трафика на уровне устрйства, стоящего на границе сети было, есть и будет - независимо ни от чего. Единственная известная форма защиты от анализа трафика в такой ситуации - применение протоколов с шифрованием, HTTPS или SSH например.

Уточню вопрос. Дело не в снифферах, с которыми, ясно дело, firewall справится. Дело именно в самом шлюзе.

Еще раз матчасть - см. ссылку выше. Firewall ясное дело не справится со сниффером, так как то невозможно по определению. Если пакет ушел с ПК и некто имеет возможность его захватить для анализа - то он его захватит и проанализирует. И в случае HTTPS или SSH он его захватит и проанализирует - и поймет, с кем идет обмен (но не сможет понять содержимое)

В общем то если конкретизировать вопрос, то он звучит видимо примерно так "А можно ли сделать так, чтобы админ сети и служба безопасности конторы не знали, что вместо работы я чатюсь в аське и смотрю порнуху ?" - ответ "Можно, но админы или ИБ засекут и отвернут башку" (а далее все зависит от серьезности конторы - в лучшем случае поход за пивом для админа, в худшем - потеря премии/работы; в совсем худшем - кто-то что-то ценное сольет конкурентам, начнутся разборки в конторе - кто и что кому-то передавал странное и зашифрованное за последнее время, и несложно угадать, что любитель обдурить админов тут-же будет крайним)

[pyffy]

Зайцев Олег, Спасибо за расширенный ответ

В общем то если конкретизировать вопрос, то он звучит видимо примерно так "А можно ли сделать так, чтобы админ сети и служба безопасности конторы не знали, что вместо работы я чатюсь в аське и смотрю порнуху ?" - ответ "Можно, но админы или ИБ засекут и отвернут башку"

Вобщем-то ситуация несколько иная. Политика компании подразумевает тотальный контроль за действиями подчинённых. Согласился на работу только при условии невмешательства в мои дела со стороны начальства. Так что дело не в том что порнуху не разрешают смотреть, а в том что не хочу раскрывать источники, явки и пароли .
Фактически, по вашим словам, защиты нет. Плохо.
Не то чтобы смертельно, но за державу обидно и за нарушенные договорённости при устройстве на работу.
Олег, есть ли способ зашифровать весь траф идущий через сетевую, или нереально?

[Зайцев Олег]

Вобщем-то ситуация несколько иная. Политика компании подразумевает тотальный контроль за действиями подчинённых. Согласился на работу только при условии невмешательства в мои дела со стороны начальства. Так что дело не в том что порнуху не разрешают смотреть, а в том что не хочу раскрывать источники, явки и пароли .
Фактически, по вашим словам, защиты нет. Плохо.
Не то чтобы смертельно, но за державу обидно и за нарушенные договорённости при устройстве на работу.

Если политика подразумевает - контроль будет. И явки-пароли узнают, если захотят - все зависит исключительно от того, как сильно этого захотят и сколько денег/времени/сил на это потратят. Существуют десятки методов слежения (и анализ трафика - только один из методов - это я как специалист службы безопасности говорю, так как знаю ), и если эти методы прописаны в политике компании и официально утверждены приказом и доведены до всего персонала под роспись при приеме на работу и получении доступа в Инет - то такое слежение вполне легально и бороться с ним невозможно.

Олег, есть ли способ зашифровать весь траф идущий через сетевую, или нереально?

Возможность есть всегда, не всегда от этого есть смысл ... дело в том. что трафик - это грубо говоря обмен данными между узлами A и B через узел C. И если я зашифрую пакеты при выходе с узла A, то их или не пропустит узел C, или пропустит - но для узла B они будут бредом. Поэтому шифрование предполагает, что передающая и принимающая сторона используют одинаковый алгоритм шифрования, имеют соответствующие ключи и т.п. Причем как следствие "шифрование всего трафика" невозможно и бессмысленно, есть варианты:
- обмен с критическими узлами по HTTPS (при этом ясно дело, что если сайт или некий WEB сервис поддерживает работу с использованием HTTPS, то это возможно, если нет - то невозможно - в одностороннем порядке это не изменить
- использовать VPN. Т.е. со своего ПК я поднимаю VPN до некого узла/сервера, и по сути получаю виртуальный зашированный канал между узлами A и B
- промежуточные варианты - например HTTPS или VPN на внешний прокси-сервер где-то "в миру", а далее уже работа через него
- обмен с критическими ресурсами со своего ноутбука через свой-же модем (т.е. исключения из уравнения локальной сети, шлюзов и т.п. предприятия)
При этом в любом случае если обмен идет через шлюз, то админ будет точно знать, что такой-то ПК в его сети обменивается с таким-то хостом за пределами сети по такому-то протоколу. И может эффективно блокировать это при желании

[aintrust]

Согласился на работу только при условии невмешательства в мои дела со стороны начальства.

Ну, так и создайте себе условия для этого "невмешательства" (как вариант, напрягите вашу контору):
- работайте на компьютере, к которому есть доступ только у вас (как вариант, приносите на работу свой собственный ноутбук);
- пользуйтесь отдельным выходом в Интернет (GPRS/EDGE/3G/WiMAX и т.п.).

Шифровать трафик и заниматься прочей похожей "ерундой", конечно же, можно, но тут вы можете столкнуться с необходимостью выполнения гораздо более сложных условий, чем те, что я описал выше.

[MikeDlg]

- работайте на компьютере, к которому есть доступ только у вас (как вариант, приносите на работу свой собственный ноутбук);
- пользуйтесь отдельным выходом в Интернет (GPRS/EDGE/3G/WiMAX и т.п.).

В некоторых конторах (банк, госучреждения...) использование своего ПК запрещено, тем более если контроль тотальный

[aintrust]

И это очень правильно... со многих точек зрения! Я бы даже сказал, что с точки зрения безопасности, в том числе информационной, такая практика должна быть единственно приемлемой, причем на большинстве современных предприятий!

Мы, однако, сейчас говорим об особом случае, когда работник "согласился на работу только при условии невмешательства в его дела со стороны начальства". Я, если честно, не слишком понимаю, что конкретно имелось ввиду как со стороны работника, так и со стороны работодателя - ведь работник подозревал (или даже знал) о "тотальном контроле за действиями подчинённых" и должен был обговорить все условия такого "невмешательства" заранее. Этого не было сделано, так что теперь нужно или попытаться обеспечить для себя такое невмешательство, или покинуть предприятие. По-моему, все предельно ясно...