扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
或许封锁一些特定网站的行为已经被大多数办公环境所接受。但是这些被封锁的网站实际上对许多公司很有用。脸谱等社交网站是许多公司营销战略的重要组成部分。YouTube等视频网站能够以可视化方式分享产品信息和服务。G-chat等免费及时通讯和聊天服务可以为雇员们提供一个高效的交流方式。
IT咨询机构Atomic Fission公司的创始人兼首席技术官Dave Torre称:“我认为从事的工作性质决定了政策。如果你在国防部工作,那么我并不认为利用保密计算机访问社交网络是一件可以接受的事情。但是如果你在营销部门工作,一天仅访问社交网络15分钟是不够的。显然你必需要像IT管理员那样考虑这些问题。你应当问自己 ‘我们的公司看起来像什么?这些互联网工具对于我们的用户有多重要?’”
Torre称,在有一些网站通常在办公室里被禁止访问,如赌博网站。这些网站和色情网站一样可恶。他称,他经常收到一些客户寻求帮助的电话。这些客户的雇员们在访问了一些游戏网站后受到了后台下载的恶意软件的攻击。
People Security公司首席安全战略官兼RSA评审委员会主席Hugh Thompson称,很不幸,封锁一些特定网站,如赌博网站的举措往往收不到成效。因为雇员们会找到办法突破封锁,在工作时依旧可以访问这些网站,这意味着你的网络、数据甚至知识产权都被暴露在风险之中。
他称:“由于雇员们创建了一条不受监管的数据外流渠道,这让许多公司处理危险之中。这种类型的渠道可让防数据丢失系统失效。”
这本文中我们将为列出五种常用的突破封锁技术。这些技术常被雇员们用来访问你不想让他们在工作时访问的网站。这中技术中,有些技术很简单,有些则极为复杂。
突破技术1: 用IP地址取代域名
Thompson称:“在一些情况中,使用被封锁网站的IP地址能够绕过公司设置的域名检查系统。目前有许多网站可提供热门网站的IP地址。”
比如说,你可以登录baremetal.com,通过该网站你可以查询到所有你想访问网站的IP地址。将查询到的IP地址输入到浏览器中,你就可以不用输入域名直接访问。
安全防范措施:
Torre称:“建立IP黑名单数据库可以应对这种老的突破技术。目前许多公司已经建立起了IP黑名单数据库。但是更好的应对办法是忽略IP/URL,直接检查网页上的数据。虽然这要耗费一些资源,但是却非常有效。由于谷歌或雅虎等网站会从其它网站调取数据,因此这种方式可以更为准确的进行封锁。因为‘母’网站经常在白名单中,所以恶意或不合适的内容都会得到信任。对此,我们推荐无论这些内容是从哪里来的都要逐行检查内容。”
突破技术2:利用网页快照
Thompson称:“你可以通过谷歌等搜索引擎提供的网页快照来浏览许多网站上的内容。谷歌等搜索服务提供商会定期对这些网站进行缓存,这意味着谷歌会将这些网站的版面存储在谷歌的服务器上。在搜索结果中点击‘网页快照’按键你就能够访问这些临时存储在谷歌服务器上的网站。你还可以通过谷歌转链接至你想访问的网站,或许这种路径没有并公司封锁。”
换句话说,如果一名雇员想通过谷歌搜索突破公司网络封锁,那么搜索结棍中需要经常提供该网站的网页快照。不过,利用网页快照确实能够经常突破公司的网站封锁。
Torre称:“从安全方面考虑,当一名用户通过网页快照访问网页时,用户的电脑是在与缓存存储机进行通讯,而不是与网站的原始服务器通讯。”
安全防范措施
Torre称,对于安全部门来说,这一突破技术的防范措施与防范利用IP地址进行突破的技术一样,那就是忽略URL,直接检查网页的内容。
突破技术3:利用加密进行隐藏
通过在网页地坪栏中输入HTTPS前缀通常会让你访问被禁止访问的网站。该技术能够让你获得访问权。
Torre称:“与之类似的还有SSH,这些技术能够将通道伪装成为网页信息以欺骗并不聪明的网络设备。它们通过80端口或443端口进行传输,并且将自己伪装成网页信息。在通道中,它们根本无法被看到。一旦你进行了隐身,那么你能够做任何你想做的事。”
安全防范措施
Thompson称:“这种技术是一个很大的挑战,并且在去年的RSA会议上成为了热门话题。如果通过SSL对内容进行了加密,公司将难以进行检查。”
他称,许多公司开始选择网络代理和网关。这些网络代理和网关能够在信息传输的沿途设置中转站,然后通过中转站对内容类型进行分析。除了内联的HTTPS代理外,你根本无法嗅探到加密后的信息。唯一的办法就是设置一个节点,以中止加密。
突破技术4:利用代理服务器和隐私保护工具
Thompson称:“另一种突破技术是利用代理服务器。雇员可以设置他们的浏览器,然后通过一个加密的通道访问外部被封锁的网站。”
火狐扩展应用GhostFox在URL栏下面有一个隐私栏。通过该隐私栏,用户可以选择代理。
Torre称,他已经发现Hamachi这类能够创建直接与服务器相联的VPN工具,以及Tor洋葱头路由软件正在被越来越多的用户使用。虽然这类工具的初衷是用来保护个人隐私的,但是这些工具却被雇员们滥用以掩盖他们在互联网上的行踪。
Torre称:“这已经变成了一个猫捉老鼠的游戏。无论你谈论Hamachi还是Tor,人们都不愿意提到它的信息加密功能。大量企业级过滤设备对这些加密通道几乎无能为力。”
安全防范措施
Torre称:“如果代理服务器没有加密,那么你可以察看传输的信息。你可以通过在你的防火墙上阻止代理连接或是通过察看网页内容进行拦截。”
如果信息被加密了,那么封锁就变得很困难,但是也并非不可能。Torre称:“通过入侵探测系统等多种方法发现Tor的特殊痕迹。但是Tor或是Hamachi具有很大的分散性,并且通过P2P方式运作,这就需要不断的更新IP地址黑名单。使得封锁与突破变成了一场无休止的斗争。”
突破技术5:利用智能手机
Thompson称:“使用智能手机也推特和脸谱保持连接已经变得很普遍。”
虽然使用个人智能手机并不针危害到公司的电脑,但是如果在办公场所使用智能手机访问公司禁止访问的网站,那么同样违反规定。很多情况下,脸谱和YouTube是因为影响工作效率而被禁止的。在工作期间使用智能手机访问这些网站与使用公司电脑访问本质上没有什么不同,因为不管是哪一种方式,工作时间都被消费掉了。
安全防范措施
这种方式对公司安全的影响非常有限,除非智能手机是公司给配的。
Thompson称:“办公用的黑莓等设备与笔记本电脑和台式机一样被严禁与代理服务器相连。除了不允许将无法管理的雇员私人购置设备带入办公场所外,几乎没有什么行之有效的应对措施。基本上,如果雇员想通过个人设备访问公司禁止的网站,那么公司也没有什么办法可以制止他们这样做。”
Torre称:“由于传输的信息不在公司的Wi-Fi频段上,也不曾与公司的基础设施发生接触,因此智能手机或私人笔记本电脑通过开放式的Wi-Fi或移动基站访问公司禁止访问的网站很难被制止。”
Torre表示,如处理机密信息的政府部门等对安全性有着要求极高的单位可以考虑购置RF防火墙和信号干扰器。但是这种举措费用昂贵,并且属于极端措施。对于大多数公司来说,智能手机是无法被禁止使用的,除非雇员们愿意遵守公司禁止使用智能手机的规定。
Thompson提醒称,雇员们频频违反公司禁令访问被禁止访问的网站并不总是出现不良意图。
他称:“具有讽刺意味的是,许多雇员突破公司网站封锁是为了将工作干的更好。他们更是通过Gmail将工作文件发回家里,以便在家工作。或是使用LinkedIn与潜在的客户保持联系。这些善意的行为提醒我们要灵活调整公司规定,将这些规定与雇员需求有机统一起来。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台