钉钉(DingTalk)是中国领先的智能移动办公平台,用于商务沟通和工作协同。越来越多企业采用钉钉来进行办公自动化,但是由此带来的信息安全问题也不能忽视。钉钉软件可以很容易的上传附件、外发和接收文件,从而威胁到网络内部的信息安全。近来很多客户提出需要屏蔽钉钉的外发文件功能,所以我们做了针对性的测试。下文是钉钉外发文件的协议详解和如何屏蔽的方案。
1. 钉钉外发文件的协议分析
通过多次的抓包分析,钉钉PC版的外发文件和手机版的外发文件采用的不同的方式。
钉钉PC版的外发文件,主要通过sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com这两个网站进行转发。抓包分析如下图:
但是钉钉的手机版本发送文件时,却共用了钉钉登录和发送信息的连接。如图:
换句话说,PC版本的钉钉外发文件可以单独禁止(不禁止钉钉登录和其他功能);但是手机版的钉钉外发文件不能单独屏蔽掉。下面我们再看下具体的实现步骤。
2. 屏蔽钉钉PC版的外发文件功能
只要在应用过滤中把“钉钉文件(PC)”设置为“禁止”,就可以屏蔽钉钉PC版的外发文件功能。如图: