我一直在看几个数据泄露/丢失预防套件,但在他们的文档中,我无法find他们如何对待HTTPS。
其中一个“泄漏向量”是通过HTTPS向webapps发送信息。 在这种情况下,检测泄漏的唯一方法就是将其解密。
但是,要做到这一点,就必须使用假证书模拟远程服务器,就像中间人攻击的人一样。 为了避免用户被怀疑或抱怨,我猜测公司需要将他们的证书作为有效的CA插入公司拥有的设备浏览器中。
我的问题是:
这不是“中间人”,而是中间人。
您可以使用代理服务器来实现它,该代理服务器将用您自己的证书代替远程证书。 在这个过程中,他们的浏览器会抛出关于证书无效的错误。 这就是HTTPS和authentication背后的重点。 所以,如果你有一个精明的用户,他们会知道你正在截取信息。
你可以使用代理来logging一个人的活动,这样你就可以logging正在发生的事情和他们正在浏览的地方,但是,如果你正在实施严厉的措施来防止某人窃取你的信息的可能性 ,那么你可能在创造一个工作场所培养那种对员工来说首先要做到这一点的态度。 而且你还必须为手机(使用摄像机录制),USB驱动器以及确保他们不记住事情的人力资源开除政策。
无论如何,除非您只是通过防火墙规则或代理filter阻止对该端口的出站访问,否则没有任何“简单”的方式来破坏HTTPS监控。 否则,HTTPS的全部意义是毫无意义的。
但是,要做到这一点,就必须使用假证书模拟远程服务器
是的 – 您不仅需要由客户端可接受的权限签名的证书,还需要中毒客户端的DNS或redirectIP数据包stream。
我怀疑在技术上可能实现一个HTTPS代理,它将在本地CA签署的dynamic生成证书,并使用它代理请求,但非常困难。
如果您担心通过HTTPS泄漏的数据,请不要让您的用户访问HTTPS。
这并不能解决他们在纸上写东西的问题。
唯一可行的解决scheme是保持良好的审计线索 – 最好是用蜂蜜jar。
https问题确实由MiMtypes的解决scheme解决。 通常这意味着代理正在捕获正在传出的https会话,并将这些会话提供给由自己的ssl证书签名的用户,同时对外部世界进行https通信。
免费的myDLP解决scheme可以使用它自己的squidconfiguration来实现,而更复杂的解决scheme,比如Websense和赛门铁克,iirc可以做同样的事情,如果稍微强大一点的话(这样的代理之间的负载均衡,细粒度的证书pipe理等等… )