1

AC 内容审计实验

 3 years ago
source link: http://www.dengfm.com/15290644936000.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

AC 内容审计实验

15302350218838.jpg
图 1-1
  1. 为了防止公司信息泄密,深圳总部要求对员工上网时的微博论坛发帖内容、Web 外发邮件内容进行审计
  2. 为了防止公司员工通过互联网访问敏感内容,深圳总部要求对关键词 法伦功 进行过滤,搜索关键词或外发邮件包含关键词的行为均被禁止
  3. 深圳总部对 QQ 聊天的内容和发送的文件内容进行审计

  1. 在深圳总部的 AC 设备上配置上网行为审计,对员工的上网行为进行内容审计

    步骤 1:登录 AC,点击 策略管理-上网策略,点击 新增-上网审计策略,如图 1-2 所示

    15302368098656.jpg
    图 1-2

    步骤 2:在弹出的策略设置页面勾选 应用审计,点击 添加,再点击小按钮添加审计对象,如图 1-3 所示

    15302369651445.jpg
    图 1-3

    步骤 3:在弹出的审计对象编辑页面,勾选对需求要求的相关内容进行审计,并确定提交,如图 1-4 所示

    15302370789799.jpg
    图 1-4

    步骤 4:切换到 适用对象,勾选对象为 所有用户,并提交,如图 1-5 所示

    15302371905687.jpg
    图 1-5

  2. 外发邮件审计效果测试

    步骤 1:在深圳总部的 PC 上,登录新浪邮箱,不要勾选 全程加密,如图 1-6 所示

    15302374732768.jpg
    图 1-6

    步骤 2:编辑并发送邮件,如图 1-7 所示

    15302376043851.jpg
    图 1-7

    步骤 3:在 AC 上,点击右上角 内置日志中心,如图 1-8 所示

    15302376672959.jpg
    图 1-8

    步骤 4:进入内置日志中心后,点击 日志查询-邮件收发日志,选择要查询的日志时间范围,点击查询,如图 1-9,1-10 所示

    15302377470896.jpg
    图 1-9

    15302378142384.jpg
    图 1-10

    步骤 5:刚才发的测试邮件已经被 AC 审计了,点击详情,可以看到邮件的内容和附件都被完整记录了,如图 1-11 所示

    注意:日志中心中的记录会有延迟,需要等待 1 分钟左右

    15302379376589.jpg
    图 1-11

  3. 在 AC 上配置对 HTTPS 站点的外发加密邮件进行内容审计

      分析:上面配置的策略只能够审计到明文内容,如果员工访问的是 HTTPS 站点,内容将会被加密,即使审计到了,也无法被解读
      如需要对访问 HTTPS 站点的内容进行审计,还需要另外配置 SSL 内容识别

    步骤 1:在 AC 上创建 上网权限策略,勾选 SSL 内容识别,在右边点击 域名列表,在弹出的域名列表中写入需要审计内容的 HTTPS 站点,如图 1-12 所示

    15302384182717.jpg
    图 1-12

    步骤 2:选择策略适用对象为 所有用户,并确定提交,如图 1-13 所示

    15302385007608.jpg
    图 1-13

  4. HTTPS 外发邮件审计效果测试

    步骤 1:在深圳总部的 PC 上登录 QQ 邮箱的 HTTPS 站点,发现弹出证书错误报警,如图 1-14 所示

      分析:深信服 AC 的 SSL 内容识别功能是基于证书欺骗,所以此处 AC 向客户端颁发伪造的 QQ 邮箱站点的证书,会被客户端报警

    15302391476479.jpg
    图 1-13

    步骤 2:在 AC 上,点开 SSL 内容识别的策略,点击下载 AC 根证书,如图 1-14 所示

    15302401592243.jpg
    图 1-14

    步骤 3:把下载的证书文件分发到员工的 PC,手动双击导入证书文件到 受信任的根证书颁发机构,如图 1-15 所示

    15302403311422.jpg
    图 1-15

    步骤 4:再次访问 QQ 邮箱的 HTTPS 站点,发现已经没有证书报警了,登录邮箱,如图 1-16 所示

    15302404582949.jpg
    图 1-16

    步骤 5:编辑并发送邮件,如图 1-17 所示

    15302409102004.jpg
    图 1-17

    步骤 6:打开 AC 的内置日志中心,可以看到 HTTPS 加密的邮件内容也被审计了,如图 1-18 所示

    15302408477014.jpg
    图 1-18

  5. 在深圳总部的 AC 上配置 Web 关键字过滤,拒绝访问含有相关关键词的页面

    步骤 1:登录 AC,点击 对象定义-关键字组,点击 新增,添加需要过滤的关键字,如图 1-19 所示

    15302422353327.jpg
    图 1-19

    步骤 2:创建 上网权限策略,勾选 Web 关键字过滤,点击 添加,选择需要过滤的关键字组,动作选择 拒绝并告警,如图 1-20 所示

    15302424314624.jpg
    图 1-20

    步骤 3:切换到 HTTP 上传,也添加关键字过滤,并设置动作为 拒绝并告警,如图 1-21 所示

    15302430327509.jpg
    图 1-21

    步骤 3:选择策略适用对象为 所有用户,并确定提交,如图 1-22 所示

    15302424928330.jpg
    图 1-22

    步骤 4:考虑到使用 HTTPS 访问包含关键字页面的问题,所以同样需要配置 SSL 内容识别,并把需要过滤的相关站点加入域名列表,如图 1-23 所示

    15302426774090.jpg
    图 1-23

  6. Web 关键字过滤效果测试

    步骤 1:使用百度搜索关键字,发现页面被拒绝访问,如图 1-24 所示

    15302428242279.jpg
    图 1-24

    步骤 2:外发包含关键字的邮件,也无法发送,如图 1-25 所示

    15302431302215.jpg
    图 1-25

  7. 在深圳总部上配置准入策略,对员工的 QQ 聊天内容进行审计

      分析:由于 QQ 使用腾讯私有的协议和算法对聊天内容进行加密,所以无法通过 SSL 内容识别来审计内容,这里需要通过配置准入策略来实现对 QQ 聊天内容的审计

    步骤 1:在 AC 上新增 准入策略,如图 1-26 所示

    15302433398549.jpg
    图 1-26

    步骤 2:勾选 准入策略,点击 添加,分别添加 IM 聊天内容监控IM 发送文件内容监控,如图 1-27 所示

    15302435704266.jpg
    图 1-27

    步骤 3:选择适用对象为 所有用户,确认并提交

  8. QQ 内容审计效果测试

    步骤 1:QQ 审计的准入策略生效后,用户再次上网,会弹出安装插件的页面,如 AC 检测到 PC 上没有运行该插件,则不允许上网,如图 1-28 所示

    15302438301112.jpg
    图 1-28

    步骤 2:下载并安装插件

    步骤 3:确认可以上网后,登录 QQ

    步骤 4:登录 AC 的内置日志中心,点击 日志查询-即时通讯日志,如图 1-29 所示

    15302441105008.jpg
    图 1-29

    步骤 5:选择要查看日志的时间范围后,可以看到 QQ 的聊天记录已经被完整记录下来了,如图 1-30 所示

    15302446411841.jpg
    图 1-30

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK