Wireshark только слушает, что происходит в сети сейчас, это не поможет вам заблокировать указанный трафик. Wireshark не подходит для круглосуточного захвата. Это инструмент отладки, он используется, чтобы помочь администраторам понять, почему что-то не работает.
Есть лучшие решения для перенаправления копии трафика для анализа вещей, но вы не сможете блокировать текущий трафик. Скажем, вы нашли вирус и, ну, факт, что у вас есть копия трафика, означает, что вирус уже пробился к клиентскому компьютеру. Это метод IDS.
Вы должны быть основным в-середине, чтобы делать профилактику и быть IPS. Ваше программное обеспечение должно отображаться как действительный сервер для клиентов и понимать, куда он хочет пойти, идите туда и покажитесь как действительный клиент для этого сервера.
Итак, когда ваш маршрутизатор видит подключение к порту 143 (IMAP) в Интернет, он перенаправляет пакеты в ваш фильтр. Это поле ответит «* Готово», т. Е. Притворится, что это IMAP-сервер, при подключении к реальному серверу, на котором клиент должен был подключиться (вам нужно будет как-то узнать исходный IP-адрес назначения от маршрутизатора). Затем вы передаете некоторые команды IMAP и ответы на них вперед и назад, возможно, просматривая электронные письма и вложения, которые появляются там. Вы можете блокировать, заменяя какое-либо вложение «жаль, вот вирус и мы отключили доставку» и так далее. Будьте готовы, IMAP - довольно сложный протокол, и он довольно популярен, и вы должны реализовать прозрачный прокси-сервер IMAP.
Вы можете перехватывать и вмешиваться в трафик, который проходит через незашифрованный, но сегодня каждый использует TLS, поэтому вам повезло, что они смогли перехватить что-то значимое и увидеть, что это электронная почта.Чтобы обойти это, вы должны иметь возможность проксирования SSL/TLS MitM, что трудно сделать. Прокси SSL MitM - довольно неприятная вещь, это означает, что вы должны запускать внутренний центр сертификации, доверять всем своим внутренним клиентам, заставлять ваш блок перехвата автоматически генерировать сертификаты «на лету», которые подписываются этим специальным центром сертификации, чтобы появиться для клиента как действительный сервер.
Если вы не можете установить сертификат CA на какого-либо клиента (например, у генерального директора будет гость с ноутбуком или планшетным ПК), их почтовое программное обеспечение будет жаловаться на ненадежное обслуживание и если оно жалуется на что-то известное (например, gmail), у вас будет очень подозрительная ситуация.
И все же это не является полностью пуленепробиваемым, поскольку кто-то может построить VPN-туннель из вашей сети и обмениваться данными через него, минуя фильтры.
Есть готовые решения, делающие это на рынке, и они соответственно стоят. Обычно они могут подключаться к нескольким антивирусным сканерам. Тем не менее, даже с помощью этого дорогого решения вам нужно решить проблему установки сертификата CA. Это может быть проще, если у вас есть контроль над всеми клиентскими машинами (скажем, вы решите, что никогда не столкнетесь с гостевым ноутбуком внутри вашего периметра, создадите гостевую сеть и не фильтруете ее вообще), но тогда было бы проще просто интегрировать сканер в программное обеспечение электронной почты клиента.
Он может отправить все, чтобы проверить на каком-либо сервере сканирования, или проверить локально, но это будет гарантировать, что проблема TLS не коснется вас - клиентское программное обеспечение является одной стороной туннеля шифрования, поэтому оно всегда имеет полезную нагрузку в ясном тексте ,
Если вы находитесь в корпоративной среде, предприятие может иметь корпоративную почтовую службу. Вы можете интегрировать сканер в эту службу. Различные настройки службы электронной почты делают все по-другому, но все могут работать с «smtp-proxy», который будет вызывать сканер для каждого сообщения, проходящего через него. Это имеет очевидный недостаток проверки только электронной почты, проходящей через этот сервер, то есть только для корпоративных писем, а не для проверки почты, поступающей из внешних почтовых служб (gmail и т. Д.).
Большое спасибо за ваш ответ, есть ли какие-либо решения с открытым исходным кодом, которые могут быть хорошей отправной точкой? Как такое решение будет масштабироваться в крупной организации? (10 000 + сотрудников) – Michael
Я не знаю каких-либо open-source-решений прокси-сервера IMAP и знаю только решение SSL MitM для HTTPS. Я знаю некоторые проприетарные решения, основанные на open-source, способные делать то, что вы хотите. Это McAfee (бывший StoneSoft) брандмауэр/IPS и CheckPoint. Я сомневаюсь, что они когда-либо выпускали исходный код. У меня был некоторый опыт в создании кластера CheckPoint 4600 в течение ок. 4000 сотрудников, это не очень хорошая часть моей жизни. Сотрудничество с организацией, где это было развернуто, закончилось год назад, поэтому я не очень много помню. Тем не менее они утверждают, что могут фильтровать электронную почту, как вы хотите. –
Большое спасибо за ваши ответы, они очень полезны. У меня есть 3 последних вопроса, которые действительно помогли бы мне, если бы вы могли ответить. 1. На каких проектах с открытым исходным кодом использовался McAfee? 2. Можете ли вы назвать решения с открытым исходным кодом для SSL MITM для HTTPS? Это один из наших следующих шагов после электронной почты. 3. Знаете ли вы, что решения McAfee \ CheckPoint были 100% -ными программными решениями? Или они масштабировались, потому что у них было специальное оборудование? – Michael