Сертификат AM Test Lab
Номер сертификата: 78
Дата выдачи: 11.05.2011
Срок действия: 11.05.2016
Введение
Продукт Zgate является частью комплексной DLP-системы, выпускаемой компанией SecurIT. Он представляет собой шлюзовое решение, которое позволяет предотвращать утечки конфиденциальной информации через корпоративную и веб-почту, интернет-пейджеры социальные сети, блоги и форумы. Вместе с другим продуктом, Zlock (система контроля использования съемных накопителей и других устройств, которые могут использоваться для переноса информации), они составляют полноценную DLP-систему.
На сегодняшний день защита от утечки конфиденциальных и персональных данных является одним из приоритетных направлений в плане обеспечения информационной безопасности бизнес-процессов любого предприятия. При этом контроль сетевых каналов связи является самой сложной частью этой задачи. Для ее решения в Zgate реализован всеобъемлющий анализ и, при необходимости, возможность блокировки той информации, которую сотрудники компании передают за пределы информационной системы предприятия.
Zgate появился на рынке относительно недавно — лишь несколько лет назад (он был представлен общественности в сентябре 2008 года). Однако за это время SecurIT выпускает уже третью версию данного решения, что говорит о большом внимании, которое уделяют разработчики его развитию. В каждой новой версии расширяется спектр контролируемых каналов утечки информации. Это очень важно, поскольку с каждым годом число сервисов, обеспечивающих передачу данных через Интернет, увеличивается. Помимо этого, изменяются и некоторые другие аспекты работы Zgate, улучшающие возможности интеграции продукта в действующую информационную систему предприятия. В результате повышается не только надежность защиты от утечек конфиденциальной информации, но и эксплуатационные качества продукта.
Системные требования
Требования к аппаратному обеспечению, необходимому для работы Zgate, в новой версии не изменились. А вот состав программных средств стал несколько иным. Подробные системные требования приведены в таблице ниже.
Аппаратные и программные средства | Консоль | Сервер Zgate | Сервер журналов |
Процессор | Pentium 4 и выше | ||
Оперативная память | 1 Гб и выше | ||
Свободный объем на жестком диске | 50 Мб | 80 Мб + место для временного хранения писем | 30 Мб |
Порты | USB | ||
Операционная система | Windows 2000 SP4, 2000 Server SP4, XP SP3, 2003 SP2, Vista SP1, 2008 | ||
Прочие программные средства | Oracle Database 10g Release 2 (10.2) или Microsoft SQL Server 2005, 2008, 2008 R2 для архива почтовых сообщений и карантина. WinPcap 4.1.2, Microsoft ISA Server 2006 или Microsoft Forefront Threat Management Gateway — для зеркалирования и фильтрации Web-трафика Microsoft Exchange 2007/2010 (x64) — для зеркалирования и фильтрации внутреннего почтового трафика. | Oracle Database 10g Release 2 (10.2) или Microsoft SQL Server 2005, 2008,2008 R2 для хранения журналов. |
Новые возможности продукта
В прошлом году на нашем портале мы уже публиковали обзор продукта Zgate, в котором была рассмотрена актуальная на тот момент версия 2.0. В нем очень подробно описаны все возможности данной системы, а также процедура ее настройки и особенности администрирования. Третья версия Zgate, хоть и отличается от предыдущих своих версий расширенными функциональными возможностями, однако принципиальных изменений в базовом функционале не претерпела. Так что все описанные в прошлом обзоре возможности остались актуальны и для нее. Расписывать их повторно смысла нет, а поэтому в этом обзоре мы сделаем акцент на новых функциях и особенностях Zgate 3.0.
Контроль поисковых запросов
В рассматриваемом продукте есть модуль Zgate Web, предназначенный для контроля всевозможных интернет-каналов. Он позволяет осуществлять мониторинг передачи информации через IM-клиенты, форумы, чаты, социальные сети и пр. В третьей версии Zgate к этому перечню добавилась возможность контроля запросов, которые задают пользователи в поисковых системах. Программа поддерживает все самые популярные сервисы: "Яндекс", Google, Mail.ru, Yahoo, Bing, MSN, Rambler и Nigma. Анализ задаваемых поисковых запросов во многих случаях позволяет выявить нелояльных по отношению к компании сотрудников, которые могут представлять потенциальную угрозу для информационной безопасности. Причем сделать это можно до того, как они нанесут реальный вред тем или иным бизнес-процессам в компании. Помимо этого, такой вид мониторинга позволяет выявлять и пресекать действия, связанные с нецелевым использованием корпоративного подключения к Интернет и, соответственно, растратами рабочего времени. Не подменяя системы контентной фильтрации, он может служить дополнительным средством контроля за попытками доступа к потенциально опасным сервисам.
Расширение списка поддерживаемых IM-клиентов
В прошлой версии Zgate была реализована возможность контроля широкого спектра IM-клиентов: ICQ, Jabber, "Mail.Ru Агент", Windows Messenger, Yahoo! Messenger и т.д. В новой версии их число пополнилось еще двумя популярными программами: MySpaceIM, Microsoft Lync (Microsoft Office Communicator). Таким образом, расширилась сфера мониторинга IM-каналов.
Контроль Skype
Многие пользователи относят Skype к IM-клиентам. Однако данная программа больше всего популярна именно как система голосовой связи. И, поэтому, контроля одних только текстовых сообщений для нее недостаточно. В третьей версии Zgate реализован полный контроль Skype, включающий в себя зеркалирование голосового трафика и передаваемых файлов. Это обеспечивает возможность полного контроля передачи информации посредством данного приложения, которое является серьезной проблемой для многих DLP-систем.
Контроль почтовых протоколов
Многие DLP-решения могут работать только с корпоративными почтовыми серверами. Между тем, в большинстве компаний сотрудникам разрешено использование персональных ящиков, зарегистрированных на бесплатных почтовых серверах — "Яндекс", GMail и пр. В Zgate реализован полный контроль передачи информации посредством указанных сервисов. Мониторинг веб-интерфейсов остался без изменений по сравнению тем, который был в предыдущей версией продукта. В третьей же появилась поддержка почтовых протоколов SMTP, POP3 и IMAP. Благодаря этому, Zgate может осуществлять контроль почтовых клиентов, работающих с внешними почтовыми ящиками.
Возможность анализа зашифрованного трафика
Третья версия Zgate способна перехватывать и осуществлять анализ не только открытого, но и зашифрованного трафика. В частности, это относится ко всему семейству протоколов: HTTPS и Skype.
Улучшенная интеграция с прокси-серверами
Важной особенностью новой версии Zgate является улучшенная интеграция с различными прокси-серверами. В частности, это можно сказать о Microsoft ISA Server, Blue Coat, Cisco ACNS, Squid, а также других решениях, работающих с протоколом ICAP. Расширенная поддержка позволяет компаниям развертывать Zgate в существующей инфраструктуре с минимальными трудозатратами. Кроме того, она позволяет анализировать сообщения IM-клиентов, использующих не прямое соединение, а HTTP прокси-сервер.
Удобство администрирования
В третьей версии Zgate появился целый ряд небольших доработок, которые облегчают задачу администрирования системы защиты. Так, например, был переработан менеджер задач, который позволяет автоматически выполнять определенные действия: очистку карантина, обновление словарей, загрузку новых баз отпечатков (т.н. fingerprints). Другой небольшой, но приятной новой возможностью Zgate является интеграция с системным монитором Windows. Она позволяет использовать для контроля производительности системы стандартные средства операционной системы.
Работа с продуктом
В третьей версии Zgate изменения вносились лишь в рамках отдельных модулей продукта. Общая архитектура решения осталась без изменений. Как и предыдущая версия, актуальная состоит из трех компонентов — консоли управления (является общей составляющей для всех продуктов компании SecurIT), сервера журналов и сервера SecurIT Zgate. Первые два можно считать вспомогательными. Они используются для удаленного управления, а также сбора и хранения статистической информации. Основным компонентом является сервер SecurIT Zgate, который и осуществляет перехват, анализ и фильтрацию проходящего трафика.
SecurIT Zgate, в свою очередь, состоит из трех модулей — модуль контроля SMTP-трафика, контроля внутренней почты Microsoft Exchange 2007/2010 и контроля веб-трафика (Zgate Web). Если внимательно прочитать список нововведений, то можно заметить, что практически все они касаются лишь последнего из них. И действительно, система контроля электронной почты в третьей версии Zgate не претерпела никаких серьезных изменений. А поэтому, сегодня мы подробно рассмотрим только процедуру разворачивания и настройки модуля контроля веб-трафика. Администрирование всей системы в целом разобрано в прошлом обзоре и принципиально не изменилось.
В первую очередь при разворачивании Zgate Web необходимо выбрать режим работы. Всего доступно три варианта.
1. Зеркалирование или фильтрация трафика с прокси-сервера с использованием протокола ICAP. В этом случае Zgate может быть установлен на отдельный компьютер. После этого необходимо перенастроить прокси-сервер таким образом, чтобы он отправлял ICAP-запросы на этот ПК (по указанному IP-адресу и сетевому порту).
Рисунок 1. Схема работы Zgate в режиме зеркалирования трафика с использованием протокола ICAP
2. Зеркалирование или фильтрация трафика с Microsoft ISA Server. Для работы в этом режиме Zgate Web должен быть установлен непосредственно на интернет-шлюз. При зеркалировании сообщения отправляются получателям сразу, а их копии подвергаются анализу. При фильтрации Microsoft ISA Server передает трафик Zgate Web и, в зависимости от его решения, блокирует его или отсылает адресатам.
Рисунок 2. Схема работы Zgate в режиме зеркалирования трафика с Microsoft ISA Server
3. Зеркалирование с использованием WinPCap. Данный режим можно применять в сочетании с любым прокси-сервером. Zgate может быть установлен как непосредственно на интернет-шлюз, так и на отдельный ПК. Во втором случае необходимо настроить зеркалирование всего трафика с прокси-сервера на этот компьютер (например, средствами используемого сетевого оборудования). Обязательным условием работы является установка на ПК с Zgate драйвера WinPCap, входящего в комплект поставки продукта.
Рисунок 3. Схема работы Zgate в режиме зеркалирования трафика с использованием WinPCap
Саму процедуру установки Zgate мы не рассматриваем, поскольку она была подробно разобрана в предыдущем обзоре. Отметим только, что при развертывании системы контроля на интернет-шлюз имеет смысл устанавливать только модуль Zgate Web и, при необходимости, поддержку Microsoft ISA Server.
После установки Zgate необходимо настроить этот модуль. Для этого нужно запустить консоль управления, с ее помощью подключиться к нужному компьютеру и в левой части окна выбирать вкладку Zgate Web. При этом в правой части окна будут отображены текущие настройки модуля.
Рисунок 4. Просмотр текущих настроек Zgate Web
Для их изменения нажмите на кнопку "Редактировать" или просто дважды кликните мышкой по правой части консоли. При этом будет открыто окно настройки Zgate Web. Оно представляет собой список, в котором перечислены все каналы передачи информации, поддерживаемые актуальной версией рассматриваемой программы. По умолчанию они все отключены. Для активации контроля нажмите на выпадающий список около нужного канала и выберите в нем подходящий вариант. Обратите внимание, что для разных способов передачи информации поддерживаются разные режимы мониторинга. В некоторых случаях возможна фильтрация, в других — только зеркалирование. После выбора режима контроля в правой колонке можно настроить дополнительные параметры. Так, например, для зеркалирования WinPCap необходимо выбрать сетевой интерфейс, по которому будет прослушиваться трафик.
Рисунок 5. Настройка Zgate Web
Несколько особняком стоит включение контроля HTTP/HTTPS-трафика. Дело в том, что в Zgate предусмотрена возможность гибкой настройки его мониторинга. С его помощью можно включать и отключать контроль как целых типов сервисов (веб-почта, социальные сети, форумы), так и отдельных проектов (например, Mail.Ru, Google, "Одноклассники" и пр.). Для этого сначала выберите режим мониторинга HTTP/HTTPS-трафика и дополнительные параметры его работы. После этого раскройте список сервисов и отметьте с помощью чекбоксов нужные параметры фильтрации.
Рисунок 6. Настройка контроля HTTP/HTTPS-трафика
Отдельно стоит сказать про настройку контроля HTTPS-трафика. Дело в том, что для его передачи между рабочими станциями и прокси-сервером используются сертификаты, которые Zgate генерирует автоматически и подписывает собственным корневым сертификатом. Последний создается автоматически при установке или запуске рассматриваемого продукта. При необходимости сертификат Zgate можно заменить своим собственным. Для этого необходимо переименовать файл, который его содержит, в root.pfx, установить пароль nopass и скопировать его в папку установки продукта. Когда сертификат Zgate готов, необходимо сделать так, чтобы ему доверяли рабочие станции. Для этого нужно импортировать открытый ключ в файл формата .cer и установить его на компьютеры локальной сети в раздел "Доверенные издатели".
Система контроля Skype'а настраивается отдельно. Для ее реализации используется специальная программа Zgate_agent.exe, которая после установки Zgate размещается в инсталляционной папке продукта. Она запускается на компьютерах пользователей автоматически специальным загрузочным скриптом. Для активации мониторинга необходимо в первую очередь включить соответствующий пункт в консоли управления. Обратите внимание, что этот инструмент может работать только в режиме сбора данных. Осуществлять фильтрацию он не может.
После этого необходимо распространить на компьютеры пользователей загрузочные скрипты. Без выполнения этой операции программа-агент не будет запускаться и, соответственно, контроль осуществляться не будет. Скрипты размещаются прямо в инсталляционной папке Zgate. Они имеют имена zuser_sender_logon.js и zuser_sender_logoff.js. Их необходимо разместить в доступную для всех сетевую папку и прописать в групповых политиках в качестве сценария входа в систему и выхода из нее.
После активации системы контроля Skype'а при запуске этой программы сотрудникам будет выдаваться предупреждение: "zgate_agent.exe хочет использовать Skype". Если пользователь согласится и даст доступ, то сможет начать работу, но, при этом, весь трафик будет зеракалироваться Zgate. Если же сотрудник откажется, то система заблокирует сетевые соединения Skype.
Рисунок 7. Система контроля Skype
В остальном порядок и принципы администрирования системы Zgate в третьей версии не изменились по сравнению с предыдущими версиями продукта. Подробно ознакомиться с ними можно в прошлом обзоре.
Выводы
В заключение для большей наглядности приводим таблицу возможностей мониторинга Zgate 3.0 по сравнению с предыдущей версией.
Zgate 2.0 | Zgate 3.0 | |
Контроль корпоративной почты | + | + |
Контроль внутренней почты | + | + |
Контроль внешних почтовых ящиков | +/- (только веб-интерфейс) | + |
Контроль IM-каналов | ICQ, "Mail.Ru Агент", Jabber, Windows Messenger, Yahoo Messenger | ICQ, "Mail.Ru Агент", Jabber, Windows Messenger, Yahoo Messenger, MySpaceIM, Microsoft Lync |
Контроль Skype | - | + |
Контроль FTP | + | + |
Контроль HTTP | + | + |
Контроль HTTPS | - | + |
Контроль поисковых запросов | - | Поисковые системы "Яндекс", Google, Mail.ru, Yahoo, Bing, MSN, Rambler и Nigma |
Как мы видим, основным новшеством в третьей версии системы Zgate является расширение сферы мониторинга. В основном речь идет, конечно же, о передаче данных через веб. В частности, не может не радовать появившаяся поддержка протоколов POP3, SMTP и IMAP, которая позволяет контролировать передачу данных через персональные ящики сотрудников с использованием почтовых клиентов.
Отдельно стоит отметить контроль зашифрованного трафика, включая HTTPS и Skype. Эта задача возникает относительно часто, однако большинство представленных на рынке DLP-систем не позволяют ее решить. Разработчики Zgate смогли реализовать необходимые функции, так что внедрившие данный продукт компании могут рассчитывать на полный контроль за передачей данных.
Также нельзя не сказать про улучшенную интеграцию третьей версии с различными прокси-серверами. Некоторые компании, особенно те, в которых Zgate уже развернут, могут и не заметить этого улучшения. Однако для тех фирм, которые только хотя начать использование DLP-защиты, подобное новшество может заметно упростить и удешевить внедрение системы.
Таким образом, можно заметить, что разработчики Zgate исправили большую часть недостатков, найденных нами при рассмотрении прошлой версии продукта. Впрочем, один недочет так и остался. Речь идет об отчетности. Сервер журналов позволяет собирать подробную статистику работы системы защиты, однако с ее представлением в удобном и наглядном виде наблюдаются некоторые проблемы. В частности, работать с ней не очень удобно. Кроме того, отсутствует возможность предоставления статистических данных в графическом виде. Решить эти проблемы можно путем использования внешних программ, например, довольно распространённого в корпоративной среде Crystal Reports, однако все-таки удобнее было бы применение встроенного инструментария.