釘釘(DingTalk)是中國領先的智能移動辦公平臺,用於商務溝通和工作協同。越來越多企業採用釘釘來進行辦公自動化,但是由此帶來的信息安全問題也不能忽視。釘釘軟件可以很容易的上傳附件、外發和接收文件,從而威脅到網絡內部的信息安全。近來很多客戶提出需要屏蔽釘釘的外發文件功能,所以我們做了針對性的測試。下文是釘釘外發文件的協議詳解和如何屏蔽的方案。
1. 釘釘外發文件的協議分析
通過多次的抓包分析,釘釘PC版的外發文件和手機版的外發文件採用的不同的方式。
釘釘PC版的外發文件,主要通過sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個網站進行轉發。抓包分析如下圖:
但是釘釘的手機版本發送文件時,卻共用了釘釘登錄和發送信息的連接。如圖:
換句話說,PC版本的釘釘外發文件可以單獨禁止(不禁止釘釘登錄和其他功能);但是手機版的釘釘外發文件不能單獨屏蔽掉。下面我們再看下具體的實現步驟。
2. 屏蔽釘釘PC版的外發文件功能
只要在應用過濾中把“釘釘文件(PC)”設置為“禁止”,就可以屏蔽釘釘PC版的外發文件功能。如圖:
配置成禁止後,釘釘的外發文件就會被屏蔽掉。聊天消息、圖片仍然正常使用。
文檔中的文件上傳會全部被禁止掉。
3. 屏蔽手機釘釘的上傳功能
由於手機釘釘的文件上傳和聊天走的是同一個連接,所以不能用單獨的應用來禁止了。這裡我介紹下WFilter NGF(WSG網關)的一個非常強大的功能:疑似上傳的屏蔽。如圖:
這個功能會檢測每個連接的上傳數據,一旦上傳數據超過閾值,就會把該連接斷開。這個功能剛好可以用在手機釘釘上,如果只是正常的聊天消息發送,那麼由於數據量比較小可以正常使用。但是一旦要上傳附件,就會被屏蔽掉。效果如下圖:
WSG裡面的封堵記錄如圖:
以上就是WSG(WFilter NGF)對釘釘外發文件的管控方案,可以有效的管控釘釘文件傳輸從而避免信息洩露。
閱讀更多 笨驢技術 的文章
