URL 후킹 전략

2012/09/16

회사는 직원들의 URL 사용 내역을 보고 싶어한다.

차단, 포워딩도 하겠지만 그 전에 모니터링이 먼저다.

현재 시행되는 사례를 기준으로 생각해보면 다음과 같은 방법을 쓸 것 같다.

1.어차피 보안 클라이언트를 깔고 쓰니까 클라가 네트워크 아웃바운드를 후킹한다.

• 개인 PC에 부하가 걸리지만, 비싼 IDS, F/W 의 부하는 줄일 수 있다.

2.아웃바운드를 다 보는 것은 부하가 클 수 있으므로 브라우저 확장 기능을 이용한다.

• 요즘은 크롬의 시대라 구멍이 많이 생긴다.

중앙 집중적 후킹이야 말로 완벽하다.

1. 사내 프락시를 경유하게 만든다. 모두 본다.

• IDS, F/W 의 부하가 크게 걸린다. 요즘은 다 합쳐져 있어서 USM이라고 부르는 듯..

2. 투명 프락시를 경유하게 만든다.

• 사내 프락시는 참으로 귀찮다. 투명 프락시 통과하게 만들면 된다. MITM으로 SSL도 쳐다볼 수 있을 것 같은데.

물론 중앙 집중적 후킹은 부하가 크것지. 따라서 하이브리드를 많이 쓸 것 같다.

글을 쓰다가 콜이 와서 멈췄는데.. 뭘 쓰다 말았는지 모르겠다. 다음 이 시간에.

[t:/] is not "technology - root". dawnsea, rss