Сертификат AM Test Lab
Номер сертификата: 122
Дата выдачи: 03.07.2013
Срок действия: 03.07.2018
2. Архитектура InfoWatch Traffic MonitorEnterprise
3. Системные требования InfoWatch Traffic Monitor Enterprise
4. Функциональные возможности InfoWatch Traffic Monitor Enterprise
5. Установка InfoWatch Traffic Monitor Enterprise
Введение
Сегодня всё больше компаний задумывается о надёжной защите от утечек конфиденциальной информации. Рост сложности сетевой инфраструктуры, распределённые рабочие места, множество мобильных устройств, частности, в связи с получившей широкое распространение концепцией BYOD (Bring Your Own Device, принеси собственный гаджет) рост объёма электронного документооборота – всё это привело к тому, что контролировать доступ к важной информации стало очень сложно. Простая халатность сотрудников, инсайдеры, ошибки в конфигурировании инфраструктуры и назначении прав доступа (после которых доступ к важной информации могут получить посторонние лица) несут в себе большую угрозу для информационной безопасности любой компании.
В связи с этим растёт спрос на системы Data Leak Protection (DLP, системы защиты от утечек данных). Россия не осталась в стороне от этих тенденций, что хорошо показано в аналитическом отчёте «Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2011-2012».
Компания InfoWatch предлагает две DLP-системы: InfoWatch Traffic Monitor Standard и InfoWatch Traffic Monitor Enterprise.
InfoWatch Traffic Monitor Standard – урезанная версия для средних компаний, а InfoWatch Traffic Monitor Enterprise это флагманская полнофункциональная версия, ориентированная на крупные компании.
Ключевые отличия между версиями продукта:
- InfoWatch Traffic Monitor Standard имеет более низкие аппаратно-программные требования;
- Перехват объектов InfoWatch Traffic Monitor Standard обеспечивает только в режиме Копия;
- Ограничен размер базы данных для хранения перехваченных объектов. При превышении этого порога, старые объекты удаляются для возможности добавления новых.
Архитектура InfoWatch Traffic Monitor Enterprise
InfoWatch Traffic Monitor Enterprise представляет собой модульную многокомпонентную распределённую систему. В зависимости от потребностей заказчика комбинация используемых модулей может изменяться.
В состав InfoWatch Traffic Monitor Enterprise входят следующие компоненты:
- InfoWatch Traffic Monitor – модуль, предназначенный для защиты периметра корпоративной сети;
- InfoWatch Device Monitor – модуль для защиты рабочих станций;
- InfoWatch Crawler – специальный модуль контроля информации, находящейся в общедоступных сетевых папках и хранилищах (новый компонент, появился в версии 4.0);
- InfoWatch Forensic Storage – модуль централизованного хранения перехваченной и проанализированной информации;
В свою очередь, модуль InfoWatch Traffic Monitor включает в себя несколько модулей:
- InfoWatch Traffic Monitor for Web – обеспечивает перехват, анализ и блокировку данных передаваемых по протоколу HTTP;
- InfoWatch Traffic Monitor for HTTPS – обеспечивает перехват, анализ и блокировку передачи данных передаваемых по протоколу HTTPS;
- InfoWatch Traffic Monitor for Mail – обеспечивает перехват, анализ и блокировку исходящих писем по протоколу SMTP;
- InfoWatch Traffic Monitor for IM – обеспечивает перехват, анализ и блокировку информации, передаваемой с помощью программ передачи мгновенных сообщений, по протоколам OSCAR(ICQ и аналоги), MMP (Mail.ru Агент), XMPP (Jabber, Google Talk и аналоги), Skype и другим;
- Подсистема мониторинга, которая осуществляет контроль за работой модулей InfoWatch Traffic Monitor.
Прежде, чем начнём рассмотрение работы InfoWatch Traffic Monitor Enterprise, поясним некоторые нюансы. Согласно принципов внутренней организации InfoWatch Traffic Monitor Enterprise работает с объектами.
Объектами для него являются:
- Задания на печать;
- Теневые копии файлов;
- Объекты сетевого трафика.
Обработка объектов проводится на основании условий заданных в сценарии анализа объекта. В процессе анализа объекта ему присваивается один из трёх транспортных режимов (задаётся в условиях сценария).
InfoWatch Traffic Monitor Enterprise имеет три транспортных режима:
- Нормальный;
- Прозрачный;
- Копия.
Нормальный транспортный режим
В этом режиме перехваченный объект анализируется системой InfoWatch Traffic Monitor. На основе результатов анализа и заданных политик, принимается решение о дальнейшей доставке объекта получателю или её блокировки.
Прозрачный транспортный режим
Этот режим очень похож на нормальный транспортный режим, но отличается от него тем, что, вне зависимости от результата анализа, объект доставляется получателю.
Транспортный режим – Копия
Ключевое отличие этого транспортного режима от первых двух заключается в том, что в этом режиме доставка объекта получателю осуществляется не средствами системы InfoWatch Traffic Monitor. InfoWatch Traffic Monitor получает только копию объекта для анализа и хранения.
К каждому объекту, в соответствии со сценарием может быть применён один транспортный режим. Существуют ограничения применения транспортных режимов к различным типам объектов (см. таблицу 1).
Таблица 1. Правила соответствия объектов и транспортных режимов
| Тип объекта | Транспортные режимы | ||
| Нормальный | Прозрачный | Копия | |
| SMTP | Да | Да | Да (для копии трафика, полученной от почтового relay-сервера или от Sniffer) |
| HTTP | Да (только при перехвате трафика по протоколу ICAP) | Да (только при перехвате трафика по протоколу ICAP) | Да |
| ICQ-сообщение | Нет | Нет | Да (только для копии трафика, полученной от Sniffer) |
| Cообщение Skype, GTalk или Mail.Ru Aгент | Нет | Нет | Да |
| Теневая копия файла | Нет | Нет | Да |
Также возможен перехват и передача на анализ копии трафика, который проходит через SPAN-порт коммутатора (sniffer). В этом случае с коммутатора будет сниматься копия всего проходящего через него трафика и передаваться в InfoWatch Traffic Monitor, разбираться и записываться в InfoWatch Forensic Storage для дальнейшего анализа офицером безопасности.
На рисунке 1 изображена примерная схема работы InfoWatch Traffic Monitor Enterprise.
Рисунок 1. Принципиальнаясхемаработы InfoWatch Traffic Monitor Enterprise
Как видно из схемы, работа системы происходит следующим образом.
Сетевой трафик полученный со шлюза (коммутатора) передаётся на сервер InfoWatch Traffic Monitor для анализа и последующей передачи в хранилище InfoWatch Forensic Storage. В зависимости от варианта работы InfoWatch Traffic Monitor, сетевой трафик может блокироваться, доставляться получателю или же просто копироваться в хранилище InfoWatch Forensic Storage.
Агенты на рабочих станциях, согласно политикам, собирают теневые копии документов, копируемых на внешние носители или отправляемые на печать, а также копии трафика по отдельным протоколам (например, FTP, Skype, Google Talk, Mail.ru Агент ) и передают их на сервер InfoWatch Device Monitor. Далее полученные объекты обрабатывают согласно заданным правилам и пе передаются на сервер InfoWatch Traffic Monitor для дальнейшего анализа и последующей передачи в хранилище InfoWatch Forensic Storage.
InfoWatch Crawler – это новый компонент, который появился в InfoWatch Traffic Monitor 4.0. Он предназначен для поиска файлов, которые находятся в корпоративной сети, в общедоступных сетевых хранилищах и папках с последующим созданием теневых копий. Полученные данные передаются на сервер InfoWatch Traffic Monitor для анализа на предмет наличия конфиденциальных данных и соответствие корпоративным политикам безопасности.
Конечная схема работы всей системы зависит от требований заказчика.
Системные требования InfoWatch Traffic Monitor Enterprise
Сразу стоит отметить, что приведённые нами системные требования – ориентировочны. Окончательная спецификация оборудования зависит от выбранной схемы развёртывания и параметров сети.
InfoWatchTrafficMonitor
| Аппаратное обеспечение | Программное обеспечение |
|
|
* - InfoWatch Traffic Monitor 4.1 поставляется вместе с аппаратной частью. Сервер HP DL360 G7 полностью протестирован специалистами компании InfoWatch на совместимость и гарантировано стабильную работу с InfoWatch Traffic Monitor 4.1
InfoWatch Device Monitor Server
| Аппаратное обеспечение | Программное обеспечение |
|
|
InfoWatch Device Monitor Client
| Аппаратное обеспечение | Программное обеспечение |
|
|
InfoWatchCrawlerServer
| Аппаратное обеспечение | Программное обеспечение |
|
|
InfoWatchCrawlerScanner
| Аппаратное обеспечение | Программное обеспечение |
|
|
InfoWatch Traffic Monitor Forensic Storage
| Аппаратное обеспечение | Программное обеспечение |
|
|
Консоль управления
| Аппаратное обеспечение | Программное обеспечение |
|
|
Функциональные возможности InfoWatch Traffic Monitor Enterprise4.1
Рассмотрим функциональные возможности InfoWatch Traffic Monitor Enterprise.
Мониторинг, анализ и фильтрация различных типов трафика
InfoWatch Traffic Monitor Enterprise позволяет перехватывать сетевой трафик по следующим протоколам:
- SMTP;
- HTTP/HTTPS;
- FTP;
- OSCAR (ICQ, Miranda, QIP, Pidgin);
- AOL AIM;
- MMP (Mail.Ru Agent);
- XMPP (любые клиенты Jabber, включая Google Talk);
- Skype (текстовые сообщения, файлы и голосовой трафик через InfoWatch Device Monitor);
- Microsoft Lync (Office Communicator) через отдельный плагин к Microsoft Lync;
- HTTPIM (обмен сообщениями в социальных сетях);
- Lotus Domino.
Контроль рабочих станций
InfoWatch Device Monitor устанавливается на рабочие станции и предназначен для предотвращения утечки информации через: съёмные устройства, порты, локальную или сетевую печать. Поддерживается больше 26 видов устройств. Также InfoWatch Device Monitor может создавать теневые копии потоков информации, для их сохранения и последующего анализа.
Контроль и мониторинг информации в сети
Для выполнения этой функции предназначен модуль InfoWatch Crawler. Осуществляет проверку файлов доступных в сети (системы электронного документооборота, сетевые папки, Sharepoint 2007, локальные диски рабочих станций). Полученные теневые копии передаются на сервер InfoWatch Traffic Monitor, где они анализируются и распределяются по категориям.
Анализ полученных данных
Все собранные данные тщательно анализируются для выработки решения о применении того или иного сценария. Анализ информации идёт по различным атрибутам, применяются технологии контентного анализа, сравнение с эталонными образцами.
Сценарии обработки полученных данных
Выработка решения о действии с проанализированным объектом принимается на основе условия заданного в сценарии.
Распределение объектов по зонам ответственности. Для минимизации избыточности доступа к конфиденциальной информации, в InfoWatch Traffic Monitor Enterprise предусмотрена система зон ответственности. Это означает, что каждый перехваченный объект помещается в соответствующую зону ответственности и будут видны только тем пользователям, которые входят в эту зону (при наличии соответствующих прав на работу с объектом).
Централизованное хранение данных
Для ретроспективного анализа и расследования инцидентов, просмотра оперативных запросов, отслеживания активности пользователей при работе с конфиденциальной информацией, хранения полученных данных - применяется модуль InfoWatch Forensic Storage.
Интеграция с решениями сторонних производителей
Для обеспечения расширения функциональности, облегчения внедрения в существующую инфраструктуру, в InfoWatch Traffic Monitor Enterprise предусмотрена интеграция с различными сторонними решениями, такими как:
- Прокси-серверы с поддержкой протокола ICAP
- SQUID;
- Cisco IronPort S-Series;
- Blue Coat ProxySG;
- Microsoft Forefront TMG;
- Aladdin eSafe Web Security Gateway SSL.
- Системой контроля коммуникаций - Microsoft Lync Server 2010;
- Системой электронного документооборота - Oracle Information Rights Management;
- Системой защиты рабочих станций - Lumension Device Control;
- Интеграция с Microsoft Active Directory.
Система построения отчётности
Для удобства, наглядности и обеспечения комфорта работникам службы безопасности, в InfoWatch Traffic Monitor Enterprise включена мощная и удобная система формирования отчётов, благодаря которой всегда можно отобразить наглядную картину действий сотрудников при работе с информацией.
Установка InfoWatch Traffic MonitorEnterprise
Для InfoWatch Traffic Monitor Enterprise предусмотрено несколько различных вариантов установки. Конечный выбор варианта установки зависит от требований заказчика, схемы развёртывания InfoWatch Traffic Monitor Enterprise и инфраструктуры сети, где будет развёрнут InfoWatch Traffic Monitor Enterprise.
Сама установка серверных компонентов InfoWatch Traffic Monitor Enterprise выполняется с помощью специальной программы-установщика kickstart, которая автоматически запускается при загрузке с дистрибутивного диска.
Рисунок 2. Внешний вид программы-инсталлятора kickstart. Начало установки InfoWatch Traffic Monitor Enterprise
В таблице 2 указаны варианты установки InfoWatch Traffic Monitor Enterprise.
Таблица 2. Варианты установки InfoWatch Traffic Monitor Enterprise
| Ключ запуска | Режим установки |
| IWALLX | Вариант установки всё-в-одном. Этот вариант предназначен для установки всех компонентов на один сервер, а именно ОС RHEL6, InfoWatch Traffic Monitor, СУБД Oracle, установка RPM пакетов сервера InfoWatch Traffic Monitor, установка схемы базы данных InfoWatch Traffic Monitor. Это тестовый вариант установки и он не рекомендуется для промышленного использования |
| IWDBX | Этот вариант предназначен для установки InfoWatch Traffic Monitor, схемы базы данных и СУБД Oracle на отдельный компьютер. |
| IWTMX | Установка сервера InfoWatch Traffic Monitor на отдельный компьютер |
| IWTMSX | Установка сервера InfoWatch Traffic Monitor Standart на отдельный компьютер |
| Minimal RHEL for IWTM | Установка ОС RHEL6 без установки дополнительных компонентов InfoWatch Traffic Monitor |
Кроме этого, в kickstart предусмотрен режим восстановления системы (опция Rescue Installed System), запуск программы тестирования RAM и возможность загрузки с жёсткого диска текущей ОС.
Для простоты в ходе тестирования мы выбрали вариант установки всё-в-одном, для проведения тестовой установки и запуска. После выбора варианта установки запускается мастер установки, который имеет графический интерфейс. Для начала нужно выбрать часовой пояс.
Следующий шаг установки это разметка жёсткого диска. Выбор разметки индивидуален для каждого случая внедрения. Для тестовой установки было решено использовать весь HDD.
Рисунок 3. Выбор разметки HDD в InfoWatch Traffic Monitor Enterprise
После окончания работы по разметке HDD начинается процесс копирования и установки пакетов. После завершения этого процесса инсталлятор переходит в псевдографический режим.
Следующий шаг – настройка сетевых интерфейсов.
Рисунок 4. Настройка сетевых интерфейсов в InfoWatch Traffic Monitor Enterprise
После того, как все необходимые настройки были сделаны и сохранены, система задаст дополнительный вопрос о корректности настроек (рисунок 5)
Рисунок 5. Подтверждение сетевых настроек в InfoWatch Traffic Monitor Enterprise
Далее начинается установка СУБД Oracle. Прежде чем начать установку, необходимо выбрать язык схемы базы данных. По-умолчанию предложен русский. Доступны: английский, русский, белорусский и украинский.
Рисунок 6. Выбор языка схемы базы данных в InfoWatch Traffic Monitor Enterprise
После выбора языка схемы базы данных установка продолжится, но вмешательство пользователя уже не требуется. Ход установки будет виден на экране. После того, как установка будет завершена, можно будет перезагрузить сервер и приступать к настройке системы и работе с ней.
Для управления системой InfoWatch Traffic Monitor Enterprise предусмотрено два вида консолей.
Первая – это веб-консоль, которая предназначена для работы с подсистемой мониторинга сервера InfoWatch Traffic Monitor, выполнения базовых настроек, обновления сервера и установки лицензий.
Вторая – это консоль управления, с помощью которой осуществляется управление правилами анализа и фильтрации трафика, анализ полученных данных, просмотр отчётности, работа с модулем Crawler, управления пользователями и ролями пользователей системы InfoWatch Traffic Monitor Enterprise.
Веб-консоль предназначена для контроля состояния системы и мониторинга основных рабочих показателей.
Поскольку главное окно веб-консоли InfoWatch Traffic Monitor Enterprise не поместилось на одном скриншоте, мы покажем его на двух.
Рисунок 7. Главное окно веб-консоли InfoWatchTrafficMonitor
В разделе «Общий» отображается версия InfoWatch Traffic Monitor Enterprise, срок окончания лицензии, текущие настройки сетевых интерфейсов, служб DNS и NTP и системы уведомления по e-mail. Кроме того, указывается состояние этих параметров.
Зелёный цвет означает, что всё в порядке.
Жёлтый – требуется внимание администратора.
Красный – сбой, требуется вмешательство администратора.
В разделе «Системный мониторинг» отображается состояние многих параметров ОС и сервера.
Рисунок 8. Мониторинг работы InfoWatch Traffic Monitor Enterprise через веб-консоль
Состояние каждого параметра индицируется аналогично сказанному выше. Кроме того, в случае каких-либо неполадок, по каждому параметру выдаётся причина появления ошибки.
Администратору необязательно круглосуточно отслеживать состояние этих параметров. При соответствующих настройках сервера, администратор может получать уведомления на e-mail о каких-либо происшествиях и сбоях в системе.
Консоль управления InfoWatchTrafficMonitor Enterprise
Консоль управления устанавливается на рабочее место администратора и идёт в комплекте с дистрибутивом InfoWatch Traffic Monitor Enterprise. Кроме того, её можно отдельно скачать с сервера с помощью веб-консоли управления. Для этого в ней есть соответствующая ссылка «Download Management Console».
Установка консоли управления достаточно проста и не вызывает затруднений со стороны администратора.
Обязательным условием для установки консоли управления является наличие на целевой системе установленного .NET Framework 3.5.
После первого запуска консоли управления необходимо создать соединение для подключения к серверу InfoWatch Traffic Monitor. Для этого необходимо нажать кнопку Настроить в окне подключения (рисунок 9).
Рисунок 9. Первый запуск консоли управления InfoWatchTrafficMonitor Enterprise
После чего откроется окно со списком соединений. Естественно, оно будет пустым.
Для создания подключения необходимо указать IP-адрес или DNS-имя сервера InfoWatch Traffic Monitor Enterprise (рисунок 10).
Рисунок 10. Создание нового подключения к серверу InfoWatchTrafficMonitor Enterprise
Разработчики уделили внимание и такой важной мелочи, как проверка параметров соединения с сервером перед сохранением.
Рисунок 11. Общий вид консоли управления InfoWatchTrafficMonitor Enterprise
Во второй части обзора InfoWatchTrafficMonitorEnterpriseподробно рассмотрена работа с продуктом — его настройка, а также тестовый вариант работы InfoWatchTrafficMonitorEnterprise на примере перехвата HTTP трафика.
