内容审计需求背景
- 网络安全法要求
- 明确责任人
- 采取防范保护措施
- 监测、记录并保留日志
- 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关网络日志不少于六个月
- 数据分类、备份和加密
- 其他法律义务
上网行为审计架构
上网行为审计技术
- 日志中心会记录所有的审计行为
- 日志查询包含所有行为查询、访问网站查询、即时聊天日志查询、邮件、发帖、发微博等日志查询,能够追查到各种违反组织规定的行为
- 统计分析可以进行流量分析、时长分析、用户行为分析、合规性分析等。并且可以自动生成报表,进行订阅
外发邮件审计技术
- 客户端与邮件服务器之间一般使用的是IMAP/POP3协议,网页版与邮件服务器之间一般使用的是HTTP协议
- 邮件服务器与邮件服务器之间使用的是SMTP协议
- 对于不同厂商的邮件,SangFor都了解邮件的封装结构,所以可以清楚的记录邮件的收发邮箱、主题、内容、附件等
SSL内容解密技术
HTTPS协议
- 基于SSL传输的HTTP协议,使用的端口是TCP的443端口
- 工作流程
- 客户端向DNS服务器查询目标域名的IP地址
- 客户端与服务器通过3次握手建立TCP连接
- 客户端向服务器发起Client-Hello报文
- 携带本地客户端支持的所有加密算法版本
- Server-Name:告知服务器要访问的域名
- 服务器返回客户端Server-Hello报文
- 服务器会选择双方都支持的加密算法的最高版本,通告给客户端
- 客户端向服务器索要证书
- 服务器向客户端发送数字证书
- 服务器向客户端索要证书(可选,用于双向加密)
- 客户端向服务器发送数字证书(可选)
- 客户端在服务器公钥的保护之下,与服务器进行对称密钥的协商
- 客户端和服务器在对称密钥的保护下,进行HTTP传输
- 客户端和服务器通过4次挥手,结束TCP连接
- HTTPS身份验证模式
- 单项验证:客户端需要验证服务器端的身份,但是服务器不需要验证客户端的身份
- 双向验证:客户端需要验证服务器的身份,服务器也需要验证客户端的身份
SSL内容识别原理
- AC抓取客户端的Client-Client包,通过识别数据包中的Server-Name字段,来获取服务器的地址
- AC伪造成服务器,与客户端进行加密协商,并伪造证书,发送给客户端
- AC同时伪造成客户端,与服务器进行加密协商,并请求获取服务器的证书
- AC可以同时对客户端和服务器发送的数据进行解密
- 因为AC发送给客户端的证书是伪造的,所以客户端打开HTTPS网站时,浏览器会出现证书告警
- 可以在客户端上信任AC的证书,来消除浏览器证书告警
- 对于AC下发的证书,客户端可以手动下载安装,也可以通过AC的配置,使用户访问互联网时,就强制要求安装证书
- 即使是HTTPS进行加密的邮件,也可以通过SSL中间人劫持,审计邮件中的内容
Web关键字过滤技术
- 通过上网权限策略的“Web关键字过滤”,来禁止某些关键字的搜索或外发
- 如果是外发邮件/帖子/微博等中包含过滤关键字,需要开启HTTP上传识别
- 如果通过搜索引擎搜索关键字,并且是HTTPS的网站,则同样需要开启SSL内容识别,并且需要把网站的域名添加到AC的识别库中
- 除了Web关键字识别过滤,还可以针对上传下载的文件类型进行过滤
IM聊天内容审计技术
- 聊天内容因为是使用的私有协议,不会实时的进行抓包审计
- SangFor通过插件方式,会在客户端电脑找到QQ聊天内容的本地缓存数据库,AC会每间隔10s在客户端的数据库中读取聊天内容,写入到AC的日志中心
- 可以每台PC手动安装准入插件,也可以由AC通过策略统一下发
- 准入程序只支持Windows PC上安装运行,对于非Windows用户,则无法安装客户端插件
- 可以对不支持准入的终端配置策略,直接允许上网或禁止上网
【AC 内容审计实验】
以上内容均属原创,如有不详或错误,敬请指出。
本文链接: http://t.csdn.cn/4cTSu