關閉廣告
L7 是 IOS 網路模型 Level 7 軟體應用層 的意思
filter 是過濾器
其原理是分析封包檔頭,正規表示法過濾比對是否含特定字串,比方 LINE 的封包檔頭會帶有一個特別的字串,以便 LINE 軟體可知道這封包是給它的。
各種聊天軟體,P2P 軟體,都是這樣子,即便內容加密,但封包檔頭資訊不會加密,因為封包檔頭若無法辨識,會被路由器丟棄。封包檔頭資訊只有幾KB,標明 來源IP、目的IP、協定、PORT號,用途...等等,在網路上路由的必要資訊。
那具體該怎麼做呢?
l7-filter 是一個 高階路由器的功能,或者一個軟體。
如果是軟路由,或直接拿作業系統當路由器,就是裝上那個軟體。
買現成的硬體路由器,則是找規格表有提及含 l7-filter 功能的,或網路上爬文確定那個功能真的有效。
舉例比方:Router OS 的機種。
它使用方法,就是路由器會列出一些它 l7-filter 過濾支援的軟體,使用者就打勾或填上。
另外最好是可以更新過濾資料庫的,因為各種軟體推陳出新,封包檔頭的特定字串有可能改變。路由器的 l7-filter 過濾資料庫若無法更新,會發生:舊版的軟體抓的到,新版的卻抓不到..這種情況。或者市面推出一款全新的聊天軟體,過濾資料庫中沒有資料,連選都沒法選,也會抓不到。
另外 l7-filter 有副作用,過濾封包檔頭字串是針對特定軟體沒錯,但卻會照成一些不相干的網站無法進入或讀取,因為那些網站的封包恰巧也帶有同樣的字串。不過機率非常低,有這種副作用的可能性,不一定會碰到。
****************************
要分析內部員工上了哪些網站
要架設 Transpent Proxy 透明代理快取服務器
就是 proxy 快取代理,架在路由端源頭,或使用路由導向,讓使用者沒得選擇,上網一定會經過這個快取代理。使用者不會知道他們上網是受到監視的,這一切發生在路由器源頭。
然後 proxy 伺服器就會有紀錄檔 log。
再用分析軟體,去分析那個紀錄檔,就可知道使用者都上了哪些網址。
如果要自架,這個知識量很大,很複雜,非幾天可以學會的。
可以買現成的路由器帶 Transpent Proxy 功能的,並提供可以紀錄 log 檔的。
要注意一點是:如果路由器要兼當 Transpent Proxy 伺服器功能,性能要買好一點的,就是 CPU快一點、RAM 大一點的。外接的儲存裝置(快取存放位置),推薦 SSD。不然處理速度太慢,上網會卡。
另外 Transpent Proxy 不是只有監視效果而已,它也可以起到加速上網、節省對外流量的效果,事實它本來就是快取用途,用來加速上網的,監視才是兼的可有可無。
handsome-god wrote:
大大有建議的機器嗎...(恕刪)
我都自架軟路由的,現成的硬體路由器沒研究不清楚
MikroTik 牌的(Router OS)可以考慮,被譽為平民級Cisco,有思科設備的專業和性能,價格平民。
它的設定非常細,功能幾乎都有。但因為太專業,設定需要網路知識底子,不過這牌子很流行,網路上討論的人不少,教學容易找,也可以問人。
型號的話,看性能要到哪邊(CPU、RAM、網孔,規格),需要多大負載能力的,價錢不一樣。固件 OS 都是一樣的,Router OS 作業系統。
站內有一篇專門討論 MikroTik 的:
[研究所] MikroTik RouterOS 學習 (持續更新)
https://www.mobile01.com/topicdetail.php?f=110&t=3205444&p=1
Transpent Proxy 透明代理
可谷歌:mikrotik transparent proxy
有相關教學
***************************
封鎖 LINE 方面:
查了一下,目前 L7 Protocols(l7-filter)的 特徵碼資料庫,沒有支援過濾 LINE 這個軟體。
可能歐美人不用 LINE 的關係,那過濾軟體是歐美那邊的人做的。所以官方資料庫中沒有 LINE 腳本。
使用者可以自行添加腳本,不過也找不到別人分享的。
山不轉路轉,有另一個方法:
只保留允許通過的 port,封鎖其餘的。
比如電腦上網,主要就是看網頁,那就 80、443。
Email 看用哪種的,web 的也是 443
POP3(TCP 110)、IMAP(TCP 143)、SMTP(TCP 25)
FTP(21 ?)
.....
諸如此類,只開放必要特定 port 連外,其餘全部 deny 丟棄
這樣就不用去管 LINE 走啥協定通道了,
反正就除了看網頁、Email、必要服務,其餘的全部封鎖了!
省事~
未來也不必再去封這封那的,早就全封了....
TCP 80 會有比較多的漏洞,但如果用了 Transpent Proxy 強制轉向透明代理,80 重新轉向給 3128/8080 之類的,上網的部份都會交給 proxy 處理,非 http 協定的都無效了。
當然手機的 APP 大部分也無法用了。
那領導階層,主任、總經理、董事長、老闆.....,肯定會問為何很多軟體都無法用。所以要設 VIP 例外。
IP 鎖 網卡MAC(DHCP fix 派發固定IP),允許特定 IP 不受管制。防火牆規則寫在前面,來自這 IP 的封包,直接 Access 放行通過,後面規則不必再比對。
你自己電腦先不要放行,因為要測試防火牆有沒有效。有效了再去修改放行。還有遠端遙控用的不要誤鎖,伺服器、路由器啥的,誤鎖了就要去主機前面操作了或重置。
關閉廣告