Обзор InfoWatch Traffic Monitor Enterprise 4.1. Часть 1 - архитектура, системные требования, установка, основные возможности

Обзор InfoWatch Traffic Monitor Enterprise 4.1. Часть 1


Обзор InfoWatch Traffic Monitor Enterprise 4.1. Часть 1

В первой части обзора мы рассмотрели функциональные возможности и первоначальную установку InfoWatch Traffic Monitor Enterprise 4.1, в котором появилось много новых возможностей и улучшений по сравнению с предыдущей версией. Это флагманский продукт для крупных компаний от российской компании InfoWatch, которая занимает лидирующие позиции на этом рынке и обладает огромным опытом внедрения DLP-систем.


Сертификат AM Test Lab

Номер сертификата: 122

Дата выдачи: 03.07.2013

Срок действия: 03.07.2018

Реестр сертифицированных продуктов »

 

1. Введение

2. Архитектура InfoWatch Traffic MonitorEnterprise

3. Системные требования InfoWatch Traffic Monitor Enterprise

4. Функциональные возможности InfoWatch Traffic Monitor Enterprise

5. Установка InfoWatch Traffic Monitor Enterprise

 

Введение

Сегодня всё больше компаний задумывается о надёжной защите от утечек конфиденциальной информации. Рост сложности сетевой инфраструктуры, распределённые рабочие места, множество мобильных устройств, частности, в связи с получившей широкое распространение концепцией BYOD (Bring Your Own Device, принеси собственный гаджет) рост объёма электронного документооборота – всё это привело к тому, что контролировать доступ к важной информации стало очень сложно. Простая халатность сотрудников, инсайдеры, ошибки в конфигурировании инфраструктуры и назначении прав доступа (после которых доступ к важной информации могут получить посторонние лица) несут в себе большую угрозу для информационной безопасности любой компании.

В связи с этим растёт спрос на системы Data Leak Protection (DLP, системы защиты от утечек данных). Россия не осталась в стороне от этих тенденций, что хорошо показано в аналитическом отчёте «Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2011-2012».

Компания InfoWatch предлагает две DLP-системы: InfoWatch Traffic Monitor Standard и InfoWatch Traffic Monitor Enterprise.

InfoWatch Traffic Monitor Standard – урезанная версия для средних компаний, а InfoWatch Traffic Monitor Enterprise это флагманская полнофункциональная версия, ориентированная на крупные компании.

Ключевые отличия между версиями продукта:

  1. InfoWatch Traffic Monitor Standard имеет более низкие аппаратно-программные требования;
  2. Перехват объектов InfoWatch Traffic Monitor Standard обеспечивает только в режиме Копия;
  3. Ограничен размер базы данных для хранения перехваченных объектов. При превышении этого порога, старые объекты удаляются для возможности добавления новых.

 

Архитектура InfoWatch Traffic Monitor Enterprise

InfoWatch Traffic Monitor Enterprise представляет собой модульную многокомпонентную распределённую систему. В зависимости от потребностей заказчика комбинация используемых модулей может изменяться.

В состав InfoWatch Traffic Monitor Enterprise входят следующие компоненты:

  • InfoWatch Traffic Monitor – модуль, предназначенный для защиты периметра корпоративной сети;
  • InfoWatch Device Monitor – модуль для защиты рабочих станций;
  • InfoWatch Crawler – специальный модуль контроля информации, находящейся в общедоступных сетевых папках и хранилищах (новый компонент, появился в версии 4.0);
  • InfoWatch Forensic Storage – модуль централизованного хранения перехваченной и проанализированной информации;

В свою очередь, модуль InfoWatch Traffic Monitor включает в себя несколько модулей:

  • InfoWatch Traffic Monitor for Web – обеспечивает перехват, анализ  и блокировку данных передаваемых по протоколу HTTP;
  • InfoWatch Traffic Monitor for HTTPS – обеспечивает перехват, анализ  и блокировку передачи данных передаваемых по протоколу HTTPS;
  • InfoWatch Traffic Monitor for Mail – обеспечивает перехват, анализ  и блокировку  исходящих писем по протоколу SMTP;
  • InfoWatch Traffic Monitor for IM – обеспечивает перехват, анализ и блокировку информации, передаваемой с помощью программ передачи мгновенных сообщений, по протоколам  OSCAR(ICQ и аналоги), MMP (Mail.ru Агент), XMPP (Jabber, Google Talk и аналоги), Skype и другим;
  • Подсистема мониторинга, которая осуществляет контроль за работой модулей InfoWatch Traffic Monitor.

Прежде, чем начнём рассмотрение работы InfoWatch Traffic Monitor Enterprise, поясним некоторые нюансы. Согласно принципов внутренней организации InfoWatch Traffic Monitor Enterprise работает с объектами.

Объектами для него являются:

  • Задания на печать;
  • Теневые копии файлов;
  • Объекты сетевого трафика.

Обработка объектов проводится на основании условий заданных в сценарии анализа объекта. В процессе анализа объекта ему присваивается один из трёх транспортных режимов (задаётся в условиях сценария).

InfoWatch Traffic Monitor Enterprise имеет три транспортных режима:

  • Нормальный;
  • Прозрачный;
  • Копия.

Нормальный транспортный режим

В этом режиме перехваченный объект анализируется системой InfoWatch Traffic Monitor. На основе результатов анализа и заданных политик, принимается решение о дальнейшей доставке объекта получателю или её блокировки.

Прозрачный транспортный режим

Этот режим очень похож на нормальный транспортный режим, но отличается от него тем, что, вне зависимости от результата анализа, объект доставляется получателю.

Транспортный режим – Копия

Ключевое отличие этого транспортного режима от первых двух заключается в том, что в этом режиме доставка объекта получателю осуществляется не средствами системы InfoWatch Traffic Monitor. InfoWatch Traffic Monitor получает только копию объекта для анализа и хранения.

К каждому объекту, в соответствии со сценарием может быть применён один транспортный режим. Существуют ограничения применения транспортных режимов к различным типам объектов (см. таблицу 1).

 

Таблица 1. Правила соответствия объектов и транспортных режимов

Тип объектаТранспортные режимы
НормальныйПрозрачныйКопия
SMTPДаДаДа (для копии трафика, полученной от почтового relay-сервера или от Sniffer)
HTTPДа (только при перехвате трафика по протоколу ICAP)Да (только при перехвате трафика по протоколу ICAP)Да
ICQ-сообщениеНетНетДа (только для копии трафика, полученной от Sniffer)
Cообщение Skype, GTalk или Mail.Ru AгентНетНетДа
Теневая копия файлаНетНетДа

 

Также возможен перехват и передача на анализ копии трафика, который проходит через SPAN-порт коммутатора (sniffer). В этом случае с коммутатора будет сниматься копия всего проходящего через него трафика и передаваться в InfoWatch Traffic Monitor, разбираться и записываться в InfoWatch Forensic Storage для дальнейшего анализа офицером безопасности.

На рисунке 1 изображена примерная схема работы InfoWatch Traffic Monitor Enterprise.

 

Рисунок 1. Принципиальнаясхемаработы InfoWatch Traffic Monitor Enterprise

Принципиальная схема работы InfoWatch Traffic Monitor Enterprise  

 

Как видно из схемы, работа системы происходит следующим образом.

Сетевой трафик полученный со шлюза (коммутатора) передаётся на сервер InfoWatch Traffic Monitor для анализа и последующей передачи в хранилище InfoWatch Forensic Storage. В зависимости от варианта работы InfoWatch Traffic Monitor, сетевой трафик может блокироваться, доставляться получателю или же просто копироваться в хранилище InfoWatch Forensic Storage.

Агенты на рабочих станциях, согласно политикам, собирают теневые копии документов, копируемых на внешние носители или отправляемые на печать, а также копии трафика по отдельным протоколам (например, FTP, Skype, Google Talk, Mail.ru Агент ) и передают их на сервер InfoWatch Device Monitor. Далее полученные объекты обрабатывают согласно заданным правилам и пе передаются на сервер InfoWatch Traffic Monitor для дальнейшего анализа и последующей передачи в хранилище InfoWatch Forensic Storage.

InfoWatch Crawler – это новый компонент, который появился в InfoWatch Traffic Monitor 4.0. Он предназначен для поиска файлов, которые находятся в корпоративной сети, в общедоступных сетевых  хранилищах и папках с последующим созданием теневых копий. Полученные данные передаются на сервер InfoWatch Traffic Monitor для анализа на предмет наличия конфиденциальных данных и соответствие корпоративным политикам безопасности.

Конечная схема работы всей системы зависит от требований заказчика.

 

Системные требования InfoWatch Traffic Monitor Enterprise

Сразу стоит отметить, что приведённые нами системные требования – ориентировочны. Окончательная спецификация оборудования зависит от выбранной схемы развёртывания и параметров сети.

 

InfoWatchTrafficMonitor

Аппаратное обеспечениеПрограммное обеспечение
  • Сервер: HP DL360 G7*
  • CPU: Intel Xeon x86  3GHz, 2 CPU с 4 ядрами
  • RAM DDR3 8 GB
  • HDD, SAS 2x300GB (10000 rpm) RAID0
  • Red Hat Enterprise Linux Server R6 x64
  • Red Hat Enterprise Linux Server R6 x64

* - InfoWatch Traffic Monitor 4.1 поставляется вместе с аппаратной частью. Сервер HP DL360 G7 полностью протестирован специалистами компании InfoWatch на совместимость и гарантировано стабильную работу с InfoWatch Traffic Monitor 4.1

 

InfoWatch Device Monitor Server

Аппаратное обеспечениеПрограммное обеспечение
  • CPU: Intel Xeon x86 1 CPU 3GHz
  • RAM 4 GB
  • HD 300GB
  • Windows Server 2003 Service Pack 2 , Windows Server 2008 R2
  • Oracle, MS SQL Server, PostgreSQL, MS SQL Express
  • .NET Framework 3.0
  • Windows Server 2003 Service Pack 2 , Windows Server 2008 R2
  • Oracle, MS SQL Server, PostgreSQL, MS SQL Express
  • .NET Framework 3.0

 

InfoWatch Device Monitor Client

Аппаратное обеспечениеПрограммное обеспечение
  • CPU: Intel Pentium 4 2GHz или выше
  • RAM 512 MB
  • Microsoft Windows 2000 Professional SP 4 (ограниченная поддержка)
  • Windows XP SP3, Windows Vista, Windows 7, Windows 8
  • Microsoft Windows 2000 Professional SP 4 (ограниченная поддержка)
  • Windows XP SP3, Windows Vista, Windows 7, Windows 8

 

InfoWatchCrawlerServer

Аппаратное обеспечениеПрограммное обеспечение
  • CPU: От 2-х ядер
  • RAM: 200 Mb незанятой памяти
  • HDD: 1 Gb свободного пространства
  • Microsoft Windows XP/Vista/7/8
  • Windows Server 2003/2008/2012
  • .NET Framework 4.0
  • Microsoft Windows XP/Vista/7/8
  • Windows Server 2003/2008/2012
  • .NET Framework 4.0

 

InfoWatchCrawlerScanner

Аппаратное обеспечениеПрограммное обеспечение
  • CPU: От 2-х ядер
  • RAM: 200 Mb незанятой памяти
  • HDD: Не менее 10 Gb свободного пространства
  • Microsoft Windows XP/Vista/7/8
  • Windows Server 2003/2008/2012
  • .NET Framework 4.0
  • Microsoft Windows XP/Vista/7/8
  • Windows Server 2003/2008/2012
  • .NET Framework 4.0

 

InfoWatch Traffic Monitor Forensic Storage

Аппаратное обеспечениеПрограммное обеспечение
  • Server: HP DL360 G7
  • CPU: Intel Xeon x86 3GHz, 2 CPU с 4 ядрами
  • RAM 16 GB
  • RAID level 1 или выше (400GB)
  • Oracle RDBMS 11gR2 (11.2.0.3.X) (входит в комплект поставки и не требует дополнительного лицензирования)
  • Oracle RDBMS 11gR2 (11.2.0.3.X) (входит в комплект поставки и не требует дополнительного лицензирования)

 

Консоль управления

Аппаратное обеспечениеПрограммное обеспечение
  • CPU: Pentium 4, 3GHz
  • RAM: 1 GB
  • Microsoft Windows XP SP3, Microsoft Windows 7, Microsoft Windows 8
  • .NET Framework 3.5 SP1
  • Microsoft Windows XP SP3, Microsoft Windows 7, Microsoft Windows 8
  • .NET Framework 3.5 SP1

 

Функциональные возможности InfoWatch Traffic Monitor Enterprise4.1

Рассмотрим функциональные возможности InfoWatch Traffic Monitor Enterprise.

Мониторинг, анализ и фильтрация различных типов трафика

InfoWatch Traffic Monitor Enterprise позволяет перехватывать сетевой трафик по следующим протоколам:

  • SMTP;
  • HTTP/HTTPS;
  • FTP;
  • OSCAR (ICQ, Miranda, QIP, Pidgin);
  • AOL AIM;
  • MMP (Mail.Ru Agent);
  • XMPP (любые клиенты Jabber, включая Google Talk);
  • Skype (текстовые сообщения, файлы и голосовой трафик через InfoWatch Device Monitor);
  • Microsoft Lync (Office Communicator) через отдельный плагин к Microsoft Lync;
  • HTTPIM (обмен сообщениями в социальных сетях);
  • Lotus Domino.

Контроль рабочих станций

InfoWatch Device Monitor устанавливается на рабочие станции и предназначен для предотвращения утечки информации через: съёмные устройства, порты, локальную или сетевую печать. Поддерживается больше 26 видов устройств. Также InfoWatch Device Monitor может создавать теневые копии потоков информации, для их сохранения и последующего анализа.

Контроль и мониторинг информации в сети

Для выполнения этой функции предназначен модуль InfoWatch Crawler. Осуществляет проверку файлов доступных в сети (системы электронного документооборота, сетевые папки, Sharepoint 2007, локальные диски рабочих станций). Полученные теневые копии передаются на сервер InfoWatch Traffic Monitor, где они анализируются и распределяются по категориям.

Анализ полученных данных

Все собранные данные тщательно анализируются для выработки решения о применении того или иного сценария. Анализ информации идёт по различным атрибутам, применяются технологии контентного анализа, сравнение с эталонными образцами.

Сценарии обработки полученных данных

Выработка решения о действии с проанализированным объектом принимается на основе условия заданного в сценарии.

Распределение объектов по зонам ответственности. Для минимизации избыточности доступа к конфиденциальной информации, в InfoWatch Traffic Monitor Enterprise предусмотрена система зон ответственности. Это означает, что каждый перехваченный объект помещается в соответствующую зону ответственности и будут видны только тем пользователям, которые входят в эту зону (при наличии соответствующих прав на работу с объектом).

Централизованное хранение данных

Для ретроспективного анализа и расследования инцидентов, просмотра оперативных запросов, отслеживания активности пользователей при работе с конфиденциальной информацией, хранения полученных данных - применяется модуль InfoWatch Forensic Storage.

Интеграция с решениями сторонних производителей

Для обеспечения расширения функциональности, облегчения внедрения в существующую инфраструктуру, в InfoWatch Traffic Monitor Enterprise предусмотрена интеграция с различными сторонними решениями, такими как:

  • Прокси-серверы с поддержкой протокола ICAP
    • SQUID;
    • Cisco IronPort S-Series;
    • Blue Coat ProxySG;
    • Microsoft Forefront TMG;
    • Aladdin eSafe Web Security Gateway SSL.
    • Системой контроля коммуникаций - Microsoft Lync Server 2010;
    • Системой электронного документооборота - Oracle Information Rights Management;
    • Системой защиты рабочих станций - Lumension Device Control;
    • Интеграция с Microsoft Active Directory.

Система построения отчётности

Для удобства, наглядности и обеспечения комфорта работникам службы безопасности, в InfoWatch Traffic Monitor Enterprise включена мощная и удобная система формирования отчётов, благодаря которой всегда можно отобразить наглядную картину действий сотрудников при работе с информацией.

 

Установка InfoWatch Traffic MonitorEnterprise

Для InfoWatch Traffic Monitor Enterprise предусмотрено несколько различных вариантов установки. Конечный выбор варианта установки зависит от требований заказчика, схемы развёртывания InfoWatch Traffic Monitor Enterprise и инфраструктуры сети, где будет развёрнут InfoWatch Traffic Monitor Enterprise.

Сама установка серверных компонентов InfoWatch Traffic Monitor Enterprise выполняется с помощью специальной программы-установщика kickstart, которая автоматически запускается при загрузке с дистрибутивного диска.

 

Рисунок 2. Внешний вид программы-инсталлятора kickstart. Начало установки InfoWatch Traffic Monitor Enterprise

Внешний вид программы-инсталлятора kickstart. Начало установки  

 

В таблице 2 указаны варианты установки InfoWatch Traffic Monitor Enterprise.

 

Таблица 2. Варианты установки InfoWatch Traffic Monitor Enterprise

Ключ запускаРежим установки
IWALLXВариант установки всё-в-одном. Этот вариант предназначен для установки всех компонентов на один сервер, а именно ОС RHEL6, InfoWatch Traffic Monitor, СУБД Oracle, установка RPM пакетов сервера InfoWatch Traffic Monitor, установка схемы базы данных InfoWatch Traffic Monitor. Это тестовый вариант установки и он не рекомендуется для промышленного использования
IWDBXЭтот вариант предназначен для установки InfoWatch Traffic Monitor, схемы базы данных и СУБД Oracle на отдельный компьютер.
IWTMXУстановка сервера InfoWatch Traffic Monitor на отдельный компьютер
IWTMSXУстановка сервера InfoWatch Traffic Monitor Standart на отдельный компьютер
Minimal RHEL  for IWTMУстановка ОС RHEL6 без установки дополнительных компонентов InfoWatch Traffic Monitor

 

Кроме этого, в kickstart предусмотрен режим восстановления системы (опция Rescue Installed System), запуск программы тестирования RAM и возможность загрузки с жёсткого диска текущей ОС.

Для простоты в ходе тестирования мы выбрали вариант установки всё-в-одном, для проведения тестовой установки и запуска. После выбора варианта установки запускается мастер установки, который имеет графический интерфейс. Для начала нужно выбрать часовой пояс.

Следующий шаг установки это разметка жёсткого диска. Выбор разметки индивидуален для каждого случая внедрения. Для тестовой установки было решено использовать весь HDD.

 

Рисунок 3. Выбор разметки HDD  в InfoWatch Traffic Monitor Enterprise

Выбор разметки HDD  в InfoWatch Traffic Monitor Enterprise  

 

После окончания работы по разметке HDD начинается процесс копирования и установки пакетов. После завершения этого процесса инсталлятор переходит в псевдографический режим.

Следующий шаг – настройка сетевых интерфейсов.

 

Рисунок 4. Настройка сетевых интерфейсов в InfoWatch Traffic Monitor Enterprise

Настройка сетевых интерфейсов  в InfoWatch Traffic Monitor Enterprise  

 

После того, как все необходимые настройки были сделаны и сохранены, система задаст дополнительный вопрос о корректности настроек (рисунок 5)

 

Рисунок 5. Подтверждение сетевых настроек  в InfoWatch Traffic Monitor Enterprise

Подтверждение сетевых настроек  в InfoWatch Traffic Monitor Enterprise  

 

Далее начинается установка СУБД Oracle. Прежде чем начать установку, необходимо выбрать язык схемы базы данных. По-умолчанию предложен русский. Доступны: английский, русский, белорусский и украинский.

 

Рисунок 6. Выбор языка схемы базы данных  в InfoWatch Traffic Monitor Enterprise

Выбор языка схемы базы данных  в InfoWatch Traffic Monitor Enterprise  

 

После выбора языка схемы базы данных установка продолжится, но вмешательство пользователя уже не требуется. Ход установки будет виден на экране. После того, как установка будет завершена, можно будет перезагрузить сервер и приступать к настройке системы и работе с ней.

Для управления системой InfoWatch Traffic Monitor Enterprise предусмотрено два вида консолей.

Первая – это веб-консоль, которая предназначена для работы с подсистемой мониторинга сервера InfoWatch Traffic Monitor, выполнения базовых настроек, обновления сервера и установки лицензий.

Вторая – это консоль управления, с помощью которой осуществляется управление правилами анализа и фильтрации трафика, анализ полученных данных, просмотр отчётности, работа с модулем Crawler, управления пользователями и ролями пользователей системы InfoWatch Traffic Monitor Enterprise.

Веб-консоль предназначена для контроля состояния системы и мониторинга основных рабочих показателей.

Поскольку главное окно веб-консоли InfoWatch Traffic Monitor Enterprise не поместилось на одном скриншоте, мы покажем его на двух.

 

Рисунок 7. Главное окно веб-консоли InfoWatchTrafficMonitor

Главное окно веб-консоли InfoWatch Traffic Monitor  

 

В разделе «Общий» отображается версия InfoWatch Traffic Monitor Enterprise, срок окончания лицензии, текущие настройки сетевых интерфейсов, служб DNS и NTP и системы уведомления по e-mail. Кроме того, указывается состояние этих параметров.

Зелёный цвет означает, что всё в порядке.

Жёлтый – требуется внимание администратора.

Красный – сбой, требуется вмешательство администратора.

В разделе «Системный мониторинг» отображается состояние многих параметров ОС и сервера.

 

Рисунок 8. Мониторинг работы InfoWatch Traffic Monitor Enterprise через веб-консоль

Мониторинг работы InfoWatch Traffic Monitor Enterprise через веб-консоль  

 

Состояние каждого параметра индицируется аналогично сказанному выше. Кроме того, в случае каких-либо неполадок, по каждому параметру выдаётся причина появления ошибки.

Администратору необязательно круглосуточно отслеживать состояние этих параметров. При соответствующих настройках сервера, администратор может получать уведомления на e-mail о каких-либо происшествиях и сбоях в системе.

Консоль управления InfoWatchTrafficMonitor Enterprise

Консоль управления устанавливается на рабочее место администратора и идёт в комплекте с дистрибутивом InfoWatch Traffic Monitor Enterprise. Кроме того, её можно отдельно скачать с сервера с помощью веб-консоли управления. Для этого в ней есть соответствующая ссылка «Download Management Console».

Установка консоли управления достаточно проста и не вызывает затруднений со стороны администратора.

Обязательным условием для установки консоли управления является наличие на целевой системе установленного .NET Framework 3.5.

После первого запуска консоли управления необходимо создать соединение для подключения к серверу InfoWatch Traffic Monitor. Для этого необходимо нажать кнопку Настроить в окне подключения (рисунок 9).

 

Рисунок 9. Первый запуск консоли управления InfoWatchTrafficMonitor Enterprise

Первый запуск консоли управления InfoWatch Traffic Monitor 

 

После чего откроется окно со списком соединений. Естественно, оно будет пустым.

Для создания подключения необходимо указать IP-адрес или DNS-имя сервера InfoWatch Traffic Monitor Enterprise (рисунок 10).

 

Рисунок 10. Создание нового подключения к серверу InfoWatchTrafficMonitor Enterprise

Создание нового подключения к серверу InfoWatch Traffic Monitor 

 

Разработчики уделили внимание и такой важной мелочи, как проверка параметров соединения с сервером перед сохранением.

 

Рисунок 11. Общий вид консоли управления InfoWatchTrafficMonitor Enterprise

Общий вид консоли управления InfoWatch Traffic Monitor  

 

Во второй части обзора InfoWatchTrafficMonitorEnterpriseподробно рассмотрена работа с продуктом — его настройка, а также тестовый вариант работы InfoWatchTrafficMonitorEnterprise на примере перехвата HTTP трафика.

/reviews/InfoWatch_Traffic_Monitor_Enterprise_41_part2

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.