在公司里怎么保护你的私人email?

大饼

现在想和诸位网管讨论一下私人邮件的攻防.
像gmail这类加密的web访问.
网管是否能获取员工的私人信件内容?
如果不能拦截email,那网管还有什么招?
网络截屏?
扫描员工电脑的本地硬盘,获取任何类似合同之类的pdf文件?

不要问我为什么. 我不是网管,我只是防守的一方.

lingyang

用简单的工具肯定搞不定的，
看看这个也许可以帮到你，主要是DLP那个特性
http://www.cisco.com/en/US/prod/ ... 4/dlp_overview.html

ironport
http://www.cisco.com/web/about/a ... ronport.html#~tab-b

商务车

如果公司policy控制所有上网内容都走统一的代理server，gmail加密也会被解出来。

一般都有这种policy。比如不准用公司的pc做私人的事情等等。如果用于私人的事情，公司it有权监控。

jerryclark

用自己的手机收私人email。

jerryclark

https应该没那么容易被破解吧？

pengruijun

这是网管 还是黑客。

大饼

原帖由 jerryclark 于 2012-2-6 16:39 发表
https应该没那么容易被破解吧？

这就是我困惑的地方。
我朋友上gmail，被ld和网管合作窥探了。

无视

web admin is friend of mine...

smart phone is good alternative if you are unable to make friends with them.

but as long as you can deliver, who cares

lingyang

我晕，看了才发现LZ是网管的对立方？

https很容易被MITM的，之前提到的DLP就是干这个的，

回头望

大多数公司都是用proxy server，然后所有internet请求都会去proxy server，由proxy做转发，所以很难不留下痕迹。

商务车

proxy转发，就是https也能解开。

Mr.Yang

原帖由 jerryclark 于 2012-2-6 16:38 发表
用自己的手机收私人email。

只有这样保险些

nali

我的做法是， 装个vmware workstation, 内装个虚拟机windows xp.

本机启动两个网卡， 局域网卡连公司， 可以走proxy. 可以正常上网，可以收发邮件。

无线网卡走iPhone的hotspot。 随后设定虚拟机只连无线网卡 - vment0 （bridged）。 这样的话， 每次要做些私人的事，就开启hotspot和虚拟机上网。　这样的话，ＩＴ应该没发查了。　

但是不知道这样做，是否有安全漏洞，大家讨论一下啊。　

大饼

原帖由 商务车 于 2012-2-6 16:57 发表
proxy转发，就是https也能解开。

proxy能把https给解开啊。看来我做硬件时间长了，凹凸了。
那在单位里上银行网站都不安全了？

Dan.and.Andy

https 哪里有那么好解密的？SSL是基于公钥密钥的证书，与加密强度有关，算法是开放的，过不过proxy理论上都可以被解密，但是现实情况下一个用超级计算机算一年谁干这无聊的事？

Dan.and.Andy

原帖由 大饼 于 2012-2-6 16:42 发表

这就是我困惑的地方。
我朋友上gmail，被ld和网管合作窥探了。

可能直接通过网管软件获得了username和password

未名湖

我现在就是网管，可还没能力看到人家网页登陆的邮箱(paopaobing(11))
水平太次

大饼

原帖由 Dan.and.Andy 于 2012-2-6 21:37 发表


可能直接通过网管软件获得了username和password

这么做是合法的还是违法的？

Dan.and.Andy

原帖由 大饼 于 2012-2-6 22:41 发表

这么做是合法的还是违法的？

很多从 AD 里 push 安装的管理和备份软件就是和木马一个层次的，就像审讯室里的镜子，你对人家没有任何隐私可言。懒的网管甚至都不琢磨事，也不管杀毒软件，你起重启一次机器他给你装一次。合法不合法？我不知道。

toolaa

原来做Security control的， 一般内网里的公司电脑对网管来说都是透明的，只要网管想查，什么都能查到。但只要不是要针对某人，谁也没这闲工夫去查这查那。网管可以 随时remote在联网的公司电脑装一些软件，随时都可以看到你的屏幕，监控你做什么。一些Internet Activities也可以通过一些Proxy Server查到。

scorpiusd

Vmware workstation 价格不便宜啊...

原帖由 nali 于 6/2/2012 16:19 发表
我的做法是， 装个vmware workstation, 内装个虚拟机windows xp.

本机启动两个网卡， 局域网卡连公司， 可以走proxy. 可以正常上网，可以收发邮件。

无线网卡走iPhone的hotspot。 随后设定虚拟机只连无线网卡 - vment0 （br ...

scorpiusd

哪有时间干这事...

有时间还不如出去喝杯茶散散步

楼主真要注重个人隐私，那就不要用公司电脑查看私人邮件，手机看看就好了，别没事给自己找不开心

原帖由 Dan.and.Andy 于 6/2/2012 20:37 发表


可能直接通过网管软件获得了username和password

lovefenger

上班不查邮件还真难。
一天8个小时瞪着电脑，累啊。

gkgkgk

所以要有smartphone和tablet阿

lingyang

原帖由 nali 于 2012-2-6 17:19 发表
我的做法是， 装个vmware workstation, 内装个虚拟机windows xp.

本机启动两个网卡， 局域网卡连公司， 可以走proxy. 可以正常上网，可以收发邮件。

无线网卡走iPhone的hotspot。 随后设定虚拟机只连无线网卡 - vment0 （br ...

Rogue AP detection 是可以定位的，还是小心一些为好

gifox

原帖由 scorpiusd 于 2012-2-7 19:09 发表
Vmware workstation 价格不便宜啊...

跟公司申请买,IT工作的话,大把理由用VM WORKSTATION

gifox

原帖由 nali 于 2012-2-6 17:19 发表
我的做法是， 装个vmware workstation, 内装个虚拟机windows xp.

本机启动两个网卡， 局域网卡连公司， 可以走proxy. 可以正常上网，可以收发邮件。

无线网卡走iPhone的hotspot。 随后设定虚拟机只连无线网卡 - vment0 （br ...

HOTSPOT其实不是太好用,长期用的话不适合.
去买只3G手指,或者3G WIFI.

yuba

https要是这么容易干掉，国内用gmail的就都沦陷了

给我留个精神支柱吧

lingyang

DLP outbound HTTPS traffic

牵黄擎苍

很多产品，如Cisco和checkpoint都能一定程度上解密https。
不要用公司网络做与公事无关的事情，这是最妥当的做法。