Für eine korrekte Integration des Systems ist es auch notwendig, den Proxy-Server der Organisation zu konfigurieren. Eine allgemeine Konfigurationsvoraussetzung ist, dass die IP-Adresse des SecureTower ICAP-Servers auf dem Proxy-Server konfiguriert werden muss. Dazu muss das ICAP-Modul des Proxy-Servers so konfiguriert werden, dass der Header der an den ICAP-Server gesendeten Anfrage das X-Client-IP-Feld mit der IP-Adresse des Benutzers enthält. Anfragen ohne die angegebene IP-Adresse werden akzeptiert, aber nicht vom ICAP-Server bedient.

SecureTower unterstützt unter anderem die Integration mit den beliebtesten SQUID- und MS Forefront-Proxy-Servern.

TINTENFISCH

Das SecureTower-System unterstützt SQUID-Versionen älter als 3.0. Beim Installieren/Kompilieren des Proxy-Servers müssen Sie die Option zum Aktivieren der ICAP-Unterstützung aktivieren und in den ICAP-Einstellungen folgende Optionen festlegen:

• icap_enable ein
• icap_send_client_ip on - Client-IP-Adresse
• icap_service_req service_reqmod_precache 0 icap://192.168.45.1:1344/reqmod, wobei 192.168.45.1 die IP-Adresse des SecureTower ICAP-Servers ist
• adaption_access service_req alle zulassen

MS-Vorderseite

Um in Netzwerken zu arbeiten, die auf Basis des TMG Forefront-Proxy-Servers organisiert sind, müssen Sie zusätzlich das ICAP-Plug-in installieren, da Standardmäßig wird ICAP von diesem Proxy nicht unterstützt. Das Plugin ist unter http://www.collectivesoftware.com/solutions/content-filtering/icapclient verfügbar.

In den Einstellungen des ICAP-Plugins müssen Sie die Adresse des SecureTower-ICAP-Servers angeben. Daher werden alle Daten, die über den MS Forefront-Proxyserver an das HTTP(S)-Protokoll übertragen werden, vom SecureTower ICAP-Server gespeichert.

Mindestsystemanforderungen für den ICAP-Server

• Prozessor: 2 GHz oder höher, 2 Kerne oder mehr
• Netzwerkadapter: 100 Mbit/s/1 Gbit/s
• Arbeitsspeicher: mindestens 6 GB
• Festplatte: 100-GB-Partition für Betriebssystem und SecureTower-Dateien; die zweite Partition zum Speichern abgefangener Daten mit einer Rate von 1,5 GB Daten von jedem überwachten Benutzer pro Monat plus 3 % des abgefangenen Datenvolumens für Suchindexdateien
• Windows .Net Framework: 4.7 und höher
• Betriebssystem: Microsoft Windows Server 2008R2/2012/2016 x64

Verwaltung

Ich habe am Beta-Test des icap-Daemons von Dr.Web teilgenommen und war damit zufrieden (trotz einiger Probleme, die im Moment nicht gelöst wurden), aber die finanzielle Seite des Problems schränkt mich stark ein, also fiel meine Wahl erneut auf ClamAV.

Verwenden von Squid mit ClamAV und c-icap, um den Webverkehr auf Viren zu scannen

Hintergrund

Sie brauchen keinen laufenden clamd-Daemon, um zu funktionieren, also können Sie die Konfiguration (clamd.conf) überspringen, wenn Sie ihn nicht verwenden oder nicht verwenden werden.

c-icap arbeitet mit seinem auf ClamAV basierenden Antivirenmodul, daher muss libclamav auf dem System installiert sein (es reicht aus, ClamAV auf die übliche Weise zu installieren). Wenn es keine libclamav im System gibt, wird c-icap einfach nicht gebaut.

Installation und Konfiguration von c-icap mit ClamAV-Unterstützung

Entpacken Sie das Archiv c_icap-220505.tar.gz nach /usr/src (oder wo immer Sie die Quellcodes haben). Das Konfigurationsskript im c-icap-Quellverzeichnis sollte mit den folgenden Optionen ausgeführt werden:

$ ./configure --enable-static --with-clamav --prefix=/usr/local/c_icap

Oder zum Beispiel so, wenn --prefix=/opt/clamav zum Konfigurieren von ClamAV:

$ ./configure --enable-static --with-clamav=/opt/clamav --prefix=/usr/local/c_icap

Der c_icap-Daemon wird statisch erstellt. --prefix kann auch nach Belieben angegeben werden. Sie können den Dämon auch selbst sammeln:

Sie müssen überprüfen, ob alles richtig zusammengebaut ist:

$ Scheck machen

Und installieren Sie c-icap direkt im System (in das Verzeichnis, das über --prefix angegeben wurde):

# installiere

Jetzt müssen wir einige Einstellungen in c-icap.conf korrigieren. Im Fall unseres --prefix=/usr/local/c_icap ist es nicht schwer zu erraten, dass sich die Konfigurationen in /usr/local/c_icap/etc befinden.

• Benutzer ist besser, niemand zu setzen, da wwwrun, das standardmäßig angegeben ist, höchstwahrscheinlich nicht im System vorhanden ist.
• TmpDir /tmp ist Ihr Verzeichnis für temporäre Dateien.
• Als nächstes müssen Sie ACL – Access Control Lists – eine Liste von IP-Adressen konfigurieren, die diesen ICAP-Daemon verwenden können: acl localsquid_respmod src 127.0.0.1 type respmod acl localsquid src 127.0.0.1 acl externalnet src 0.0.0.0/0.0.0.0 icap_access allow localsquid_respmod icap_access erlauben localsquid icap_access verweigern externes Netz

  So können wir bestimmen, von wo aus der Zugriff auf unseren icap-Dienst erlaubt ist und von wo nicht. Beachten Sie, dass die ACL-Daten keine Liste direkter Proxy-Clients definieren, sondern eher eine Liste von Clients für den ICAP-Daemon, d. h. Liste der Proxy-Server (ihre IP-Adressen).

  Ich habe eine ACL für den Fall zusammengestellt, dass der ICAP-Daemon und Squid auf demselben Host laufen.

  • srv_clamav.ClamAvTmpDir /tmp - temporäres Verzeichnis für das ClamAV-Modul.
  • srv_clamav.VirSaveDir /var/infected/ - Quarantäneverzeichnis. Andere ähnliche bessere Kommentare!
  • srv_clamav.VirHTTPServer "DUMMY".

  Du kannst es auch so versuchen:
  

  Srv_clamav.VirHTTPServer "http://proxy.your_srv_name.ru/cgi-bin/get_file.pl?usename=%f&remove=1&file="

  Es ist eine Klarstellung erforderlich: Die Option srv_clamav.VirSaveDir kann mehrfach gesetzt werden, sodass infizierte Dateien an mehreren Orten gespeichert werden. Wenn eines der Quarantäneverzeichnisse auf das Stammverzeichnis des Webservers festgelegt wird, kann Benutzern die Möglichkeit gegeben werden, eine infizierte Datei absichtlich herunterzuladen. Es bleibt nur, die Datei contrib/get_file.pl in den c-icap-Quellcodes zu verwenden.

  Ich brauchte es nicht.

Erstellen Sie das Verzeichnis /var/infected und machen Sie es zum Besitzer des Benutzers none (chown none /var/infected).

Lassen Sie uns c-icap testen:

# cd /usr/local/c_icap/bin # ./c-icap

Wenn keine Fehlermeldungen angezeigt werden, sollten Sie auch sicherstellen, dass c-icap auf dem richtigen Socket lauscht:

# netstat -apn | grupp 1344

Wenn wir etwas Ähnliches wie die folgende Zeile sehen, ist alles in Ordnung:

Tcp 0 0 *:1344 *:* LISTEN 24302/c-icap

Lassen wir den c-icap-Daemon laufen und gehen wir zu weiteren Einstellungen über.

Installieren und Konfigurieren des Squid-Proxyservers

Lassen Sie uns den zuvor erhaltenen Squid in /usr/src entpacken:

# tar zxvf squid-icap-2.5.STABLE11-20050927.tgz

Wechseln Sie in das Squid-Quellverzeichnis und führen Sie configure wie folgt aus:

$ ./configure --enable-icap-support

Bevor Sie configure in Dr.Web Squid ausführen, müssen Sie bootstrap.sh ausführen, das sich im Stammverzeichnis der Squid-Quellcodes befindet. Wenn Sie Squid von Dr.Web verwenden, lesen Sie unbedingt die Dokumentation aus dem Paket drweb-icapd!

Tintenfisch bauen:

Installieren:

# installiere

Wir haben Squid in /usr/local/squid installiert. Ändern wir nun die Einstellungen in squid.conf.

Sie müssen ein paar Zeilen finden:

#acl our_networks src 192.168.1.0/24 192.168.2.0/24 #http_access erlauben our_networks

Entkommentieren Sie sie und setzen Sie Ihren eigenen Wert anstelle von 192.168.1.0/24 192.168.2.0/24 (in meinem Fall befanden sich die Benutzer des Proxyservers im Netzwerk 172.16.194.0/24):

Acl our_networks src 172.16.194.0/24 http_access erlaubt our_networks

Gehen Sie zu /usr/local/squid/var, erstellen Sie ein Cache-Verzeichnis. Führen Sie nun dort den Befehl aus:

# chown niemand cache/logs/

Der Eigentümerwechsel ist erforderlich, da der Proxy-Daemon als Benutzer "nobody" ausgeführt wird und keine Protokolle schreiben und den Cache verwenden kann.

Es bleibt, eine Verzeichnisstruktur für das Caching zu erstellen. Gehen Sie zu /usr/local/squid/sbin und führen Sie Folgendes aus:

# ./squid -z

Standardmäßig ist der Parameter cache_dir in squid.conf auf Folgendes eingestellt:

Cache_dir ufs /usr/local/squid/var/cache 100 16 256

Sie können den Pfad zum Cache ändern (z. B. wenn er sich auf einer anderen Partition oder Festplatte befindet) und dann müssen Sie die Rechte für das von Ihnen angegebene Verzeichnis überprüfen.

In diesem Stadium haben wir einen funktionierenden Squid, aber ohne ICAP-Unterstützung, d.h. normaler Caching-Proxy-Server.

Lassen Sie uns ICAP-Unterstützung hinzufügen ...

Hinzufügen von ICAP-Unterstützung zu squid.conf

Suchen Sie das Wort icap_enable und setzen Sie den Wert icap_enable auf on. Suchen Sie das Wort icap_preview_enable und setzen Sie den Wert icap_preview_enable auf on. Suchen Sie das Wort icap_preview_size und setzen Sie den Wert icap_preview_size auf 128. Suchen Sie das Wort icap_send_client_ip und setzen Sie den Wert icap_send_client_ip auf on. Suchen Sie nach dem Wort icap_service und fügen Sie einige dieser icap-Dienste hinzu:

icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav

Suchen Sie nach icap_class und fügen Sie die folgende icap-Klasse hinzu:

Icap_class class_antivirus service_avi service_avi_req

Suchen Sie nach icap_access und fügen Sie die folgenden Berechtigungen hinzu:

Icap_access class_antivirus alle zulassen

Insgesamt sollten die folgenden Zeilen zu squid.conf hinzugefügt werden, um ICAP zu unterstützen:

icap_enable ein icap_preview_enable ein icap_preview_size 128 icap_send_client_ip ein
icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav
icap_class class_antivirus service_avi service_avi_req icap_access class_antivirus alle zulassen

Damit ist die Minimalkonfiguration des Proxy-Servers abgeschlossen.

Lassen Sie es uns ausführen:

# cd /usr/local/squid/sbin # ./squid

Wenn alles korrekt ist, sollten keine Meldungen in der Konsole angezeigt werden.

Gesundheitskontrolle

Fügen Sie einen Proxy-Server in Ihrem Browser hinzu (falls Proxying nicht transparent ist) und öffnen Sie die Seite http://www.eicar.com/anti_virus_test_file.htm .

Versuchen Sie, die Datei eicar.com herunterzuladen. Wenn Sie eine ähnliche Meldung sehen: "A VIRUS FOUND ..." - dann funktioniert alles richtig.

Bitte beachten Sie, dass der Cache des Proxy-Servers keine infizierten Objekte enthalten darf! Daher ist es besser, den Cache zu löschen, bevor Sie Squid mit c-icap verwenden. Beachten Sie auch, dass der Browser über einen eigenen Cache verfügt.

Aktualisierung der Antiviren-Datenbanken ClamAV

Fügen Sie freshclam zu crontab hinzu. c-icap-Datenbanken werden alle srv_clamav.VirUpdateTime-Minuten neu initialisiert – dieser Parameter kann in c-icap.conf angegeben werden (standardmäßig alle 15 Minuten).

c-icap.magic-Datei und Typen von aktivierten Objekten

Diese Datei befindet sich im selben Verzeichnis wie c-icap.conf. Es ist eine Beschreibung der Formate verschiedener Gruppen von Dateitypen (TEXT, DATA, EXECUTABLE, ARCHIVE, GRAPHICS, STREAM, DOCUMENT - bestimmte Gruppen standardmäßig in c-icap.magic). Die Virenprüfung basiert auf den Dateitypen, die den Proxy-Server passieren. Einige Typen können Sie beispielsweise ausschließen oder eigene Typen hinzufügen.

Das Format des Zeileneintrags, um die Datei anhand ihrer magischen Nummer (Reihenfolge) zu bestimmen:

Offset:Magie:Typ:Gruppe:Beschr

Offset – der Offset, bei dem die Magic Sequence beginnt. Typ und Gruppe – Typ und Gruppe, denen die Datei mit dieser magischen Sequenz zugewiesen werden soll. Desc - eine kurze Beschreibung, trägt keine technische Last.

Siehe c-icap.magic für ein Beispiel.

Beachten Sie auch, dass in c-icap.conf der Parameter srv_clamav.ScanFileTypes die Gruppen und Typen von Dateien definiert (sowohl Gruppen als auch Typen können angegeben werden), die gescannt werden sollen. Was srv_clamav.VirScanFileTypes definiert, habe ich nicht ganz verstanden, aber ich vermute, dass die Dateigruppen, die gescannt werden müssen (standardmäßig EXECUTABLE und ARCHIVE) erzwungen werden.

In meiner c-icap-Konfiguration sehen die obigen Optionen so aus:

srv_clamav.ScanFileTypes TEXT DATEN AUSFÜHRBARES ARCHIV GRAFIKEN STREAM DOKUMENT srv_clamav.VirScanFileTypes AUSFÜHRBARES ARCHIV

Mögliche Probleme

• Squid gibt eine ICAP-Protokollfehlermeldung aus, es sind keine Seiten geöffnet. Überprüfen Sie, ob Sie die ACL in c-icap.conf korrekt angegeben haben, diese ACL sollte den Zugriff nicht für Benutzer, sondern für den Proxy-Server ermöglichen.

  Versuchen Sie, die Squid- und c-icap-Prozesse zu beenden und sie dann in der folgenden Reihenfolge zu starten: zuerst c-icap, dann Squid.

  Dieser Fehler kann auch auftreten, wenn der c-icap-Daemon nicht über ausreichende Berechtigungen verfügt, um in das Quarantäneverzeichnis oder die Protokolldateien zu schreiben.

  Wenn das Problem weiterhin besteht, versuchen Sie, Squid mit den Optionen -d 10 -N -X zu starten:

  # ./squid -d 10 -N -X И c-icap c параметрами -N -d 10 -D: # ./c-icap -N -d 10 -D Увидите подробную информацию, по которой можно разобраться, что и где nicht so.

• Squid gibt nur auf einigen Seiten (auf denselben Seiten) ICAP-Protokollfehler aus.

  Überprüfen Sie, ob c-icap die Berechtigung hat, in das Quarantäneverzeichnis zu schreiben (oder noch besser, machen Sie den Benutzer, unter dem c-icap läuft, zum Eigentümer aller Quarantäneverzeichnisse).

  Versuchen Sie, c-icap und Squid im Debug-Modus auszuführen (siehe oben, wie das geht).

  Es ist auch eine gute Idee, sich die c-icap-Protokolle anzusehen.

  Versuchen Sie erneut, das Objekt zu laden, das den Fehler verursacht. Vielleicht erfahren Sie viel mehr über das Problem und können es lösen.

Ergebnisse

Jetzt ist das Surfen im Internet auch vor Viren und anderen schädlichen Codes (einschließlich einiger Exploits für MS IE) geschützt. Als Unternehmenslösung für einen stark ausgelasteten Server ist diese Methode nicht getestet, aber meiner Meinung nach umsetzbar (schon weil die Last auf mehrere ICAP-Server verteilt werden kann). Als Lösung für eine kleine Organisation - durchaus relevant.

Und denken Sie daran, was die Entwickler auf ihrer Website schreiben:

• >Der Antivirus ClamAV-Dienst
• >Dieser Dienst befindet sich in der Entwicklung.

Einige Prinzipien des ICAP-Protokolls in russischer Sprache können Sie dem DrWeb-ICAP-Handbuch entnehmen – einer der erfolgreichen kommerziellen Implementierungen des ICAP-Protokolls. Sie können auch RFC 3507 lesen.

Bequemes und sicheres Arbeiten!

Vielen Dank für Ihre Aufmerksamkeit.

Definition – Was bedeutet das?

Das Internet Content Adaptation Protocol (ICAP) ist ein leichtgewichtiges Protokoll, das eine einfache objektbasierte Inhaltsvektorisierung für HTTP-Dienste bereitstellt. ICAP wird verwendet, um transparente Proxy-Server zu erweitern. Das setzt Ressourcen frei und standardisiert die Implementierung neuer Features. Es verwendet einen Cache, um alle Client-Transaktionen zu proxieren und die Transaktionen mithilfe von ICAP-Webservern zu verarbeiten, die für bestimmte Funktionen wie Virenscannen, Inhaltsübersetzung, Inhaltsfilterung oder Anzeigeneinfügung ausgelegt sind.

ICAP führt eine Inhaltsmanipulation als Mehrwertdienst für die entsprechende HTTP-Anforderung oder HTTP-Antwort des Clients durch. Daher der Name „Inhaltsadaption“.

Dieser Begriff ist auch als Internet Content Adaption Protocol bekannt.

Techopedia erklärt Internet Content Adaptation Protocol (ICAP)

Das Internet Content Adaptation Protocol wurde 1999 von Danzig und Schuster von Network Appliance vorgeschlagen. Don Gillies verbesserte das Protokoll im Jahr 2000 und ermöglichte Pipeline-ICAP-Server. Alle drei von HTTP 1.1 zugelassenen Kapselungen werden unterstützt. Etwa 2005 produzierte er auch Schulungsmaterialien für Anbieter.

ICAP nutzt Caches und Proxys, um die Erstellung von Mehrwertdiensten zu unterstützen. Die Mehrwertdienste können von Webservern auf ICAP-Server ausgelagert werden. Dann können Webserver mit rohem HTTP-Durchsatz skaliert werden.

Trotz der Ähnlichkeit ist ICAP kein HTTP. Und es ist keine Anwendung, die über HTTP läuft.

Derzeit kann die Inhaltsfilterung nicht als separater Bereich der Computersicherheit herausgegriffen werden, da sie so eng mit anderen Bereichen verflochten ist. In der Computersicherheit ist das Filtern von Inhalten sehr wichtig, da es Ihnen ermöglicht, potenziell gefährliche Dinge zu isolieren und korrekt zu verarbeiten. Ansätze, die bei der Entwicklung von Produkten zur Inhaltsfilterung entstanden sind, werden in Produkten zur Verhinderung von Eindringversuchen (IDS), der Verbreitung von bösartigem Code und anderen negativen Aktionen verwendet.

Basierend auf neuen Technologien und Produkten im Bereich der Inhaltsfilterung werden zusätzliche Dienste für Benutzer geschaffen, die Schutzqualität verbessert und es ist möglich, nicht nur bestehende Bedrohungen zu handhaben, sondern auch ganze Klassen neuer Bedrohungen zu verhindern.

Neue Trends in der Inhaltsfilterung

Einer der allgemeinen Trends in der Entwicklung von Informationssicherheitsprodukten ist der Wunsch, verschiedene Funktionen in einem Gerät oder einer Softwarelösung zu implementieren. In der Regel versuchen Entwickler, Lösungen zu implementieren, die neben der Inhaltsfilterung auch die Funktionen eines Virenschutzes, einer Firewall und/oder eines Intrusion Detection and Prevention-Systems erfüllen. Dadurch können Unternehmen einerseits die Anschaffungs- und Wartungskosten von Sicherheitssystemen reduzieren, andererseits ist die Funktionalität solcher Systeme oft eingeschränkt. Beispielsweise sind in vielen Produkten die Funktionen zum Filtern des Webdatenverkehrs darauf beschränkt, Site-Adressen mit einigen Datenbanken von Site-Kategorien zu vergleichen.

Die Entwicklung von Produkten nach dem Konzept des Unified Threat Management ( UTM), die einen einheitlichen Ansatz zur Abwehr von Bedrohungen bietet, unabhängig davon, welches Protokoll oder welche Daten verarbeitet werden.

Dieser Ansatz vermeidet die Duplizierung von Schutzfunktionen und stellt die Relevanz von Daten sicher, die Bedrohungen für alle kontrollierten Ressourcen beschreiben.

Auch in den schon länger bestehenden Bereichen der Inhaltsfilterung – Kontrolle des Mail- und Internetverkehrs – finden Veränderungen statt, neue Technologien entstehen.

Anti-Phishing-Funktionen sind in Produkten zur Kontrolle des E-Mail-Austauschs in den Vordergrund gerückt. Und bei Produkten zur Überwachung des Internetverkehrs vollzieht sich eine Verlagerung von der Nutzung vorgefertigter Adressdatenbanken hin zur Kategorisierung nach Inhalten, was bei der Arbeit mit diversen Portallösungen eine sehr wichtige Aufgabe ist.

Neben den beiden oben genannten Bereichen gibt es auch neue Anwendungsgebiete der Inhaltsfilterung – seit einiger Zeit tauchen Produkte auf, die die Übertragung von Instant Messages (Instant Messaging) und Peer-to-Peer (P2P)-Verbindungen kontrollieren. Derzeit werden auch aktiv Produkte zur Überwachung des VoIP-Verkehrs entwickelt.

Viele Länder haben aktiv damit begonnen, Werkzeuge zum Abfangen und Analysieren vieler Arten von Informationen zu entwickeln, die für verschiedene Arten von Ermittlungen verwendet werden (rechtmäßiges Abfangen). Diese Aktivitäten werden auf staatlicher Ebene durchgeführt und sind meistens mit der Untersuchung terroristischer Bedrohungen verbunden. Solche Systeme fangen und analysieren nicht nur Daten, die über Internetkanäle übertragen werden, sondern auch über andere Kommunikationsarten - Telefonleitungen, Funkkanäle usw. Das bekannteste System zum Abfangen von Informationen ist Echelon, ein System, das vom US-Geheimdienst zum Sammeln von Informationen verwendet wird. In Russland gibt es auch verschiedene Implementierungen des Systems der operativen Suchmaßnahmen (SORM), die zur Erfassung und Analyse von Informationen im Interesse von Spezialdiensten verwendet werden.

Als einer der Trends auf dem Markt für Produkte zur Inhaltsfilterung kann man die Massenkonsolidierung von Unternehmen feststellen, die solche Lösungen herstellen. Obwohl dieser Trend die organisatorische Seite des Prozesses in größerem Maße widerspiegelt, kann er zur Entstehung neuer Produkte und Richtungen für Unternehmen führen, die diese Richtungen nicht hatten oder die einen unbedeutenden Teil des Marktsektors solcher Unternehmen besetzten. Die folgenden Fälle von Fusionen/Übernahmen von Unternehmen können als Beispiel dienen:

• Secure Computing, das letztes Jahr Cyberguard kaufte, das über eine gute Reihe von Tools zum Filtern des Internetverkehrs verfügt, fusionierte im Sommer mit einem anderen Unternehmen, CipherTrust, das über umfangreiche Erfahrung in der Entwicklung von Tools zum Filtern des E-Mail-Verkehrs verfügt;
• MailFrontier, das Tools zum Schutz des E-Mail-Verkehrs produzierte, wurde von SonicWall übernommen, das zuvor keine Lösungen mit einer solchen Entwicklungsqualität hatte;
• Ende Juli 2006 kaufte SurfControl, bekannt für seine Inhaltsfilterlösungen, BlackSpider, das fortschrittliche Computersicherheitsdienste anbot;
• Ende August 2006 fand die ehrgeizigste Übernahme statt - Internet Security Systems (ISS) unterzeichnete einen Fusionsvertrag mit IBM. Diese Fusion ist ein Beispiel für das große Interesse großer Softwareunternehmen an Informationssicherheit;
• Im Januar 2007 erwarb Cisco IronPort, das über eine starke Reihe von E-Mail-Sicherheitsprodukten verfügt;
• Microsoft hat in den letzten Jahren mehrere Inübernommen. Die größte davon war die Übernahme von Sybari mit seiner Antiviren- und anderen Malware-Schutzlinie sowie der Filterung von E-Mail- und Instant-Message-Inhalten. Die Übernahme von Sybari und anderen Unternehmen ermöglicht es Microsoft, erfolgreich auf dem neuen Markt für Computersicherheit zu konkurrieren.

Es ist auch erwähnenswert, dass in den letzten Jahren Open-Source-Produkte für die Inhaltsfilterung auf den Markt gekommen sind. In den meisten Fällen erreichen sie nicht die gleiche Funktionalität wie kommerzielle Anwendungen, es gibt jedoch bestimmte Lösungen und Anwendungen, bei denen sie eine echte Bedrohung darstellen können.

Moderne Bedrohungen

Die moderne IT-Infrastruktur ist vielen Angriffen ausgesetzt, die sowohl auf normale Benutzer als auch auf Unternehmen abzielen, unabhängig von ihrer Größe. Die relevantesten sind die folgenden Arten von Bedrohungen:

• Phishing— Methoden zum Abfangen wichtiger Benutzerdaten (Passwörter, Kreditkartennummern usw.), die in letzter Zeit mithilfe von Social-Engineering-Techniken weit verbreitet sind, wenn ein Benutzer gezwungen wird, bestimmte Daten auf einer von einem Angreifer kontrollierten Website mit einem falschen Brief oder einer falschen Nachricht einzugeben eine Organisation;
• Spyware und Malware- verschiedene Mittel, mit denen Sie Daten abfangen oder die Kontrolle über einen Computer übernehmen können. Es gibt viele Arten solcher Tools, die sich im Grad der Gefahr für den Computer unterscheiden - von der einfachen Anzeige von Werbebotschaften bis zum Abfangen von Benutzereingaben und der Übernahme der Kontrolle über Computeroperationen;
• Viren und anderer bösartiger Code— Viren, Würmer und Trojaner sind eine seit langem bekannte Bedrohung für die IT-Infrastruktur. Aber jedes Jahr erscheinen neue Modifikationen von bösartigem Code, die oft Schwachstellen in vorhandener Software ausnutzen, wodurch sie sich automatisch verbreiten können;
• SPAM/SPIM- Unerwünschte Nachrichten, die per E-Mail (SPAM) oder Instant Messaging (SPIM) übermittelt werden, führen dazu, dass Benutzer ihre Zeit mit der Bearbeitung unerwünschter Korrespondenz verschwenden. Derzeit macht SPAM mehr als 70 % aller übermittelten E-Mail-Nachrichten aus;
• Angriffe auf die Infrastruktur- Die IT-Infrastruktur von Unternehmen ist sehr wichtig, Angriffe, um sie lahmzulegen, sind äußerst gefährlich. Für sie können ganze Netzwerke von Computern involviert sein, die mit einer Art Virus infiziert sind, der zum Abfangen der Kontrolle verwendet wird. So wurde vor einiger Zeit ein Virus verbreitet, der einen Code enthielt, der zu einem bestimmten Zeitpunkt einen verteilten Angriff auf Microsoft-Websites starten sollte, um diese zu deaktivieren. Mehrere Millionen Rechner waren infiziert, nur ein Fehler im Virencode verhinderte die Durchführung des geplanten Angriffs;
• Geschäftsinformationen lecken— Die Verhinderung solcher Leaks ist eine der Hauptaufgaben von Produkten zur Inhaltsfilterung. Das Durchsickern wichtiger Informationen kann einem Unternehmen irreparablen Schaden zufügen, manchmal vergleichbar mit dem Verlust von Anlagevermögen. Daher werden in vielen Produkten Tools entwickelt, um die Kanäle der verdeckten Datenübertragung zu bestimmen, wie z. B. die Verwendung von Steganographie;
• Strafverfolgung droht- Diese Art von Bedrohung ist für Unternehmen äußerst relevant, wenn ihre Mitarbeiter Filesharing-Netzwerke nutzen, Musik, Filme und andere urheberrechtlich geschützte Inhalte herunterladen und / oder verteilen können. Auch wegen der Verbreitung verleumderischer und/oder verleumderischer Informationen über Dritte sind rechtliche Schritte möglich.

Die ersten fünf Arten von Bedrohungen betreffen sowohl Heimcomputer als auch Computer in Unternehmensnetzwerken. Aber die letzten beiden Bedrohungen sind für Unternehmen aller Art besonders relevant.

Filterung des Webverkehrs

In letzter Zeit haben verschiedene Änderungen auf dem Gebiet der Internetverkehrsfilterung stattgefunden, aufgrund des Aufkommens neuer Filtertechnologien und Änderungen in den Technologien, die verwendet werden, um Internet-Sites aufzubauen.

Einer der wichtigsten Trends in der Entwicklung von Produkten zur Inhaltsfilterung im Hinblick auf die Kontrolle des Internetverkehrs ist der Übergang von der Verwendung von Datenbanken mit Site-Kategorien zur Bestimmung der Kategorie einer Site anhand ihres Inhalts. Dies ist insbesondere mit der Entwicklung verschiedener Portale relevant geworden, die Inhalte verschiedener Kategorien enthalten können, die sich im Laufe der Zeit ändern und / oder sich an die Einstellungen des Kunden anpassen.

Kürzlich populäre Technologien und Tools zum Erstellen von Internet-Sites, wie Ajax, Macromedia Flash und andere, erfordern Änderungen in den Technologien zum Filtern des Internetverkehrs.

Die Verwendung verschlüsselter Kanäle für die Interaktion mit Internetseiten gewährleistet den Schutz der Daten vor dem Abfangen durch Dritte, gleichzeitig können jedoch wichtige Informationen über diese Datenübertragungskanäle durchsickern oder bösartiger Code in Computersysteme eindringen.

Das Problem der Integration von Sicherheitstools mit Systemen, die das Funktionieren der IT-Infrastruktur sicherstellen, wie Proxyserver, Webserver, Mailserver, Verzeichnisserver usw., bleibt weiterhin relevant. Verschiedene Unternehmen und gemeinnützige Organisationen entwickeln Protokolle für die Interaktion zwischen verschiedenen Systemen.

Auf den aktuellen Stand der Dinge in diesem Bereich wird weiter unten eingegangen.

Ansätze zur Kategorisierung von Standorten und Daten

• Verwendung von vordefinierten Basen von Site-Kategorien mit regelmäßiger Aktualisierung von Listen von Sites und Kategorien;
• Kategorisierung von Daten im laufenden Betrieb durch Analyse des Seiteninhalts;
• Verwendung von Daten über die Kategorie, Informationen über die Zugehörigkeit werden von der Website selbst bereitgestellt.

Jede dieser Methoden hat ihre eigenen Vor- und Nachteile.

Datenbanken für vordefinierte Site-Kategorien

Die Verwendung vorgefertigter Datenbanken mit Standortadressen und verwandten Kategorien ist eine seit langem verwendete und etablierte Methode. Derzeit werden solche Datenbanken von vielen Firmen bereitgestellt, wie Websense, Surfcontrol, ISS/Cobion, Secure Computing, Astaro AG, NetStar und anderen. Einige Unternehmen verwenden diese Basen nur in ihren Produkten, andere erlauben die Verbindung mit Produkten von Drittanbietern. Die Datenbanken von Websense, Secure Computing, SurfControl und ISS/Cobion gelten als die vollständigsten, sie enthalten Informationen über Millionen von Websites in verschiedenen Sprachen und Ländern, was im Zeitalter der Globalisierung besonders wichtig ist.

Die Datenkategorisierung und die Bildung von Kategoriedatenbanken erfolgen in der Regel halbautomatisch – zunächst erfolgt die Inhaltsanalyse und Kategoriebestimmung mit speziell entwickelten Tools, die sogar Texterkennungssysteme in Bildern beinhalten können. Und in der zweiten Phase werden die erhaltenen Informationen oft von Personen überprüft, die entscheiden, in welche Kategorie eine bestimmte Site eingeordnet werden kann.

Viele Unternehmen füllen die Kategoriendatenbank automatisch auf der Grundlage der Ergebnisse der Arbeit mit Kunden auf, wenn ein Standort gefunden wird, der noch keiner der Kategorien zugeordnet ist.

Derzeit gibt es zwei Möglichkeiten, vordefinierte Site-Kategorie-Datenbanken zu verbinden:

• Verwendung einer lokalen Datenbank von Kategorien mit regelmäßigen Updates. Diese Methode ist sehr praktisch für große Organisationen, die über dedizierte Filterserver verfügen und eine große Anzahl von Anforderungen bedienen.
• Verwenden einer Kategoriedatenbank, die auf einem Remote-Server gehostet wird. Diese Methode wird häufig in verschiedenen Geräten verwendet - kleine Firewalls, ADSL-Modems usw. Die Verwendung einer entfernten Kategoriedatenbank erhöht die Last auf den Kanälen geringfügig, stellt jedoch sicher, dass die aktuelle Kategoriedatenbank verwendet wird.

Zu den Vorteilen der Verwendung vordefinierter Kategoriedatenbanken gehört die Tatsache, dass der Zugriff auf der Stufe der Anfrage durch den Client gewährt oder verweigert wird, wodurch die Belastung der Datenübertragungskanäle erheblich reduziert werden kann. Und der Hauptnachteil bei der Verwendung dieses Ansatzes ist die Verzögerung bei der Aktualisierung der Site-Kategorie-Datenbanken, da die Analyse einige Zeit in Anspruch nehmen wird. Außerdem ändern einige Seiten häufig ihren Inhalt, wodurch die in der Adressdatenbank gespeicherten Informationen über die Kategorie irrelevant werden. Einige Sites bieten möglicherweise auch Zugriff auf unterschiedliche Informationen, abhängig vom Namen des Benutzers, der geografischen Region, der Tageszeit usw.

Daten schnell kategorisieren

Eine der einfachen Möglichkeiten, eine solche Lösung zu implementieren, ist der Einsatz von Bayes'schen Algorithmen, die sich im Kampf gegen Spam bestens bewährt haben. Diese Option hat jedoch ihre Nachteile - es ist notwendig, das Lernen regelmäßig zu beenden und die Wörterbücher entsprechend den übertragenen Daten anzupassen. Daher verwenden einige Unternehmen neben einfachen Methoden komplexere Algorithmen, um die Kategorie einer Website nach Inhalten zu bestimmen. Beispielsweise stellt ContentWatch eine spezielle Bibliothek bereit, die Daten nach sprachlichen Informationen zu einer bestimmten Sprache analysiert und anhand dieser Informationen die Kategorie der Daten bestimmen kann.

Durch die spontane Kategorisierung von Daten können Sie schnell auf das Erscheinen neuer Websites reagieren, da Informationen über die Kategorie der Website nicht von ihrer Adresse, sondern nur vom Inhalt abhängen. Aber dieser Ansatz hat auch Nachteile – es ist notwendig, alle übertragenen Daten zu analysieren, was zu einer gewissen Verringerung der Systemleistung führt. Der zweite Nachteil ist die Notwendigkeit, Kategoriedatenbanken für verschiedene Sprachen auf dem neuesten Stand zu halten. Einige Produkte verwenden jedoch diesen Ansatz und verwenden gleichzeitig Site-Kategorie-Datenbanken. Dazu gehören die Verwendung des Virtual Control Agent in SurfControl-Produkten, die Mechanismen zur Bestimmung von Datenkategorien im Dozor-Jet SKVT.

Von Websites bereitgestellte Kategoriedaten

Neben Adressdatenbanken und On-the-fly-Content-Kategorisierung gibt es einen weiteren Ansatz zur Bestimmung der Kategorie von Websites – die Website selbst meldet, zu welcher Kategorie sie gehört.

Dieser Ansatz ist in erster Linie für die Verwendung durch Heimanwender gedacht, bei denen beispielsweise Eltern oder Lehrer eine Filterrichtlinie festlegen und/oder verfolgen können, welche Websites besucht werden.

Es gibt mehrere Möglichkeiten, diesen Ansatz zur Ressourcenkategorisierung zu implementieren:

• PICS (Platform for Internet Content Selection) ist eine vom W3-Konsortium vor rund zehn Jahren entwickelte Spezifikation, die durch verschiedene Erweiterungen die Zuverlässigkeit des Bewertungssystems sicherstellen soll. Zur Steuerung kann eine speziell entwickelte Software verwendet werden, die von der Projektseite heruntergeladen werden kann. Weitere Informationen zu PICS finden Sie auf der W3.org-Website (http://www.w3.org/PICS/).
• ICRA (Internet Content Rating Association) ist eine neue Initiative, die von einer gleichnamigen unabhängigen gemeinnützigen Organisation entwickelt wurde. Das Hauptziel dieser Initiative ist es, Kinder vor dem Zugriff auf verbotene Inhalte zu schützen. Diese Organisation hat Vereinbarungen mit vielen Unternehmen (große Telekommunikations- und Softwareunternehmen), um einen zuverlässigeren Schutz zu bieten.
  ICRA stellt Software zur Verfügung, mit der Sie das von der Website zurückgegebene spezielle Etikett überprüfen und über den Zugriff auf diese Daten entscheiden können. Die Software läuft nur auf der Microsoft Windows-Plattform, aber aufgrund der offenen Spezifikation ist es möglich, Filtersoftware-Implementierungen für andere Plattformen zu erstellen. Die Ziele und Zielsetzungen dieser Organisation sowie alle notwendigen Dokumente finden Sie auf der ICRA-Website - http://www.icra.org/.

Zu den Vorteilen dieses Ansatzes gehört, dass nur eine spezielle Software zur Datenverarbeitung benötigt wird und keine Aktualisierung der Adress- und / oder Kategoriendatenbanken erforderlich ist, da alle Informationen von der Website selbst übermittelt werden. Der Nachteil ist jedoch, dass die Website möglicherweise die falsche Kategorie anzeigt, was zu einer falschen Bereitstellung oder einem Verbot des Zugriffs auf Daten führt. Dieses Problem kann jedoch gelöst werden (und wird bereits gelöst), indem Mittel zur Datenvalidierung wie digitale Signaturen usw. verwendet werden.

Verkehrsfilterung in der Web 2.0-Welt

Die massive Einführung sogenannter Web 2.0-Technologien hat die Inhaltsfilterung des Webverkehrs erheblich erschwert. Da die Daten in vielen Fällen getrennt vom Design übertragen werden, besteht die Möglichkeit, dass unerwünschte Informationen an oder von dem Benutzer weitergegeben werden. Bei der Arbeit mit Websites, die solche Technologien verwenden, ist es notwendig, eine umfassende Analyse der übertragenen Daten durchzuführen, die Übertragung zusätzlicher Informationen zu bestimmen und die in den vorherigen Phasen gesammelten Daten zu berücksichtigen.

Derzeit ermöglicht keines der Unternehmen, die Tools zum Filtern von Inhalten für den Webverkehr herstellen, eine komplexe Analyse von Daten, die mit AJAX-Technologien übertragen werden.

Integration mit externen Systemen

In vielen Fällen wird das Problem der Integration von Inhaltsanalysesystemen mit anderen Systemen sehr akut. Gleichzeitig können Inhaltsanalysesysteme sowohl als Clients als auch als Server oder in beiden Rollen gleichzeitig fungieren. Für diese Zwecke wurden mehrere Standardprotokolle entwickelt – Internet Content Adaptation Protocol (ICAP), Open Pluggable Edge Services (OPES). Darüber hinaus haben einige Hersteller ihre eigenen Protokolle erstellt, damit bestimmte Produkte miteinander oder mit Software von Drittanbietern kommunizieren können. Dazu gehören das Cisco Web Cache Coordination Protocol (WCCP), das Check Point Content Vectoring Protocol (CVP) und andere.

Einige Protokolle – ICAP und OPES – sind so konzipiert, dass sie verwendet werden können, um sowohl Inhaltsfilterungsdienste als auch andere Dienste zu implementieren – Übersetzer, Werbeplatzierung, Datenlieferung, je nach Verteilungspolitik usw.

ICAP-Protokoll

Derzeit ist das ICAP-Protokoll bei Autoren und Softwareentwicklern von Inhaltsfilterungssoftware beliebt, um schädliche Inhalte (Viren, Spyware/Malware) zu erkennen. Es ist jedoch erwähnenswert, dass ICAP hauptsächlich für die Arbeit mit HTTP entwickelt wurde, was viele Einschränkungen für die Verwendung mit anderen Protokollen mit sich bringt.

ICAP wird von der Internet Engineering Task Force (IETF) als Standard angenommen. Das Protokoll selbst ist in „RFC 3507“ definiert, mit einigen Ergänzungen, die im „ICAP Extensions Draft“ skizziert sind. Diese Dokumente und zusätzliche Informationen sind auf dem Server des ICAP-Forums verfügbar - http://www.i-cap.org.

Die Systemarchitektur bei Verwendung des ICAP-Protokolls ist in der obigen Abbildung dargestellt. Der ICAP-Client ist das System, über das der Datenverkehr übertragen wird. Das System, das die Datenanalyse und -verarbeitung durchführt, wird als ICAP-Server bezeichnet. ICAP-Server können als Clients für andere Server fungieren, sodass mehrere Dienste andocken können, um dieselben Daten gemeinsam zu nutzen.

Die Kommunikation zwischen dem Client und dem Server verwendet ein ähnliches Protokoll wie das Protokoll HTTP Version 1.1 und die gleichen Arten der Codierung von Informationen. Gemäß dem ICAP-Standard kann es sowohl ausgehenden (REQMOD - Request Modification) als auch eingehenden (RESPMOD - Response Modification) Verkehr verarbeiten.

Es obliegt dem ICAP-Client, zu entscheiden, welche der übermittelten Daten verarbeitet werden, was in einigen Fällen eine vollständige Analyse der Daten unmöglich macht. Client-Einstellungen sind vollständig implementierungsabhängig und können in vielen Fällen nicht geändert werden.

Nach Erhalt der Daten vom Client führt der ICAP-Server die Datenverarbeitung und ggf. Datenmodifikation durch. Die Daten werden dann an den ICAP-Client zurückgesendet und dieser leitet sie an den Server oder Client weiter, je nachdem in welche Richtung sie gesendet wurden.

ICAP wird am häufigsten in Anti-Malware-Produkten verwendet, da es die produktübergreifende Verwendung dieser Prüfungen ermöglicht und unabhängig von der Plattform ist, auf der der ICAP-Client ausgeführt wird.

Zu den Nachteilen der Verwendung von ICAP gehören die folgenden:

• zusätzliche Netzwerkinteraktionen zwischen dem Client und dem Server verlangsamen etwas die Geschwindigkeit der Datenübertragung zwischen externen Systemen und Informationskonsumenten;
• Es gibt Prüfungen, die nicht auf dem Client, sondern auf dem ICAP-Server durchgeführt werden müssen, wie z. B. die Bestimmung des Datentyps usw. Dies ist relevant, da sich ICAP-Clients in vielen Fällen auf die vom externen Server gemeldeten Dateierweiterungen oder Datentypen verlassen, was zu Verletzungen der Sicherheitsrichtlinie führen kann.
• Die schwierige Integration mit Systemen, die andere Protokolle als HTTP verwenden, verhindert die Verwendung von ICAP für eine umfassende Datenanalyse.

OPES-Protokoll

Im Gegensatz zu ICAP wurde das OPES-Protokoll unter Berücksichtigung der Eigenschaften spezifischer Protokolle entwickelt. Darüber hinaus wurden bei der Entwicklung die Mängel des ICAP-Protokolls berücksichtigt, wie z. B. die fehlende Authentifizierung von Clients und Servern, die fehlende Authentifizierung usw.

OPES wurde wie ICAP von der Internet Engineering Task Force als Standard übernommen. Die Dienstinteraktionsstruktur, das Interaktionsprotokoll, die Dienstanforderungen und die Dienstsicherheitslösungen sind in RFC 3752, 3835, 3836, 3837 und anderen dargelegt. Die Liste wird regelmäßig mit neuen Dokumenten aktualisiert, die die Anwendung von OPES nicht nur auf die Verarbeitung des Internetverkehrs, sondern auch auf die Verarbeitung des E-Mail-Verkehrs und in Zukunft möglicherweise andere Arten von Protokollen beschreiben.

Die Struktur der Interaktion zwischen OPES-Servern und -Clients (OPES-Prozessor) ist in der Figur gezeigt. Im Allgemeinen ähnelt es dem Schema der Interaktion zwischen ICAP-Servern und Clients, aber es gibt auch signifikante Unterschiede:

• es gibt Anforderungen für die Implementierung von OPES-Clients, die es ermöglichen, sie bequemer zu verwalten - Festlegung von Filterrichtlinien usw.;
• der Datenkonsument (Benutzer oder Informationssystem) kann die Verarbeitung von Daten beeinflussen. Beispielsweise können bei Verwendung von automatischen Übersetzern die empfangenen Daten automatisch in die vom Benutzer verwendete Sprache übersetzt werden;
• Systeme, die Daten liefern, können auch die Ergebnisse der Verarbeitung beeinflussen;
• verarbeitende Server können zur Analyse Daten verwenden, die für das Protokoll spezifisch sind, mit dem die Daten an den OPES-Client übermittelt wurden;
• Einige Datenverarbeitungsserver können sensiblere Daten erhalten, wenn sie in einer Vertrauensbeziehung mit dem OPES-Kunden, Verbrauchern und/oder Informationsanbietern stehen.

Alle aufgeführten Optionen hängen ausschließlich von der Konfiguration ab, die bei der Implementierung des Systems verwendet wird. Aufgrund dieser Möglichkeiten ist der Einsatz von OPES erfolgsversprechender und bequemer als der Einsatz des ICAP-Protokolls.

In naher Zukunft werden voraussichtlich Produkte erscheinen, die OPES zusammen mit dem ICAP-Protokoll unterstützen. Da es derzeit jedoch keine vollwertigen Implementierungen mit OPES gibt, ist es unmöglich, endgültige Schlussfolgerungen über die Mängel dieses Ansatzes zu ziehen, obwohl es theoretisch nur einen Nachteil gibt - die Erhöhung der Verarbeitungszeit aufgrund der Interaktion zwischen OPES-Clients und -Servern.

HTTPS und andere Arten von verschlüsseltem Datenverkehr

Laut einigen Analysten sind bis zu 50 % des Internetverkehrs verschlüsselt. Das Problem der Kontrolle des verschlüsselten Datenverkehrs ist jetzt für viele Organisationen relevant, da Benutzer Verschlüsselung verwenden können, um Informationslecks zu erstellen. Darüber hinaus können verschlüsselte Kanäle auch von Schadcode genutzt werden, um in Computersysteme einzudringen.

Mit der Verarbeitung von verschlüsseltem Datenverkehr sind mehrere Aufgaben verbunden:

• Analyse von über verschlüsselte Kanäle übertragenen Daten;
• Überprüfung von Zertifikaten, die von Servern verwendet werden, um verschlüsselte Kanäle zu organisieren.

Die Relevanz dieser Aufgaben nimmt täglich zu.

Verschlüsselte Datenübertragungskontrolle

Die Überwachung der Übertragung von Daten, die über verschlüsselte Kanäle gesendet werden, ist wahrscheinlich die wichtigste Aufgabe für Organisationen, deren Mitarbeiter Zugriff auf Internetressourcen haben. Um diese Kontrolle zu implementieren, gibt es einen Ansatz namens „Man-in-the-Middle“ (in einigen Quellen auch „Main-in-the-Middle“ genannt), der von Angreifern zum Abfangen von Daten verwendet werden kann. Das Datenverarbeitungsschema für dieses Verfahren ist in der Abbildung dargestellt:

Der Datenverarbeitungsprozess ist wie folgt:

• Im Internetbrowser des Benutzers wird ein speziell ausgestelltes Stammzertifikat installiert, das vom Proxyserver zum Signieren des generierten Zertifikats verwendet wird (ohne Installation eines solchen Zertifikats zeigt der Browser des Benutzers eine Meldung an, dass das Signaturzertifikat von einer nicht vertrauenswürdigen Organisation ausgestellt wurde). ;
• Beim Verbindungsaufbau mit einem Proxy-Server werden Daten ausgetauscht und ein speziell generiertes Zertifikat mit den Daten des Zielservers, jedoch signiert mit einem bekannten Schlüssel, an den Browser übermittelt, das es dem Proxy-Server ermöglicht, den übertragenen Datenverkehr zu entschlüsseln ;
• entschlüsselte Daten werden genauso geparst wie normaler HTTP-Verkehr;
• der Proxy-Server stellt eine Verbindung mit dem Server her, an den die Daten übertragen werden sollen, und verwendet das Zertifikat des Servers, um den Kanal zu verschlüsseln;
• Die vom Server zurückgegebenen Daten werden entschlüsselt, geparst und an den Benutzer übertragen, verschlüsselt mit dem Proxy-Server-Zertifikat.

Bei der Verwendung dieses Schemas zur Verarbeitung verschlüsselter Daten können Probleme mit der Bestätigung der Wahrheit des Benutzers auftreten. Darüber hinaus sind Arbeiten erforderlich, um das Zertifikat in den Internetbrowsern aller Benutzer zu installieren (wenn Sie ein solches Zertifikat nicht installieren, erhält der Benutzer eine Meldung, dass das Zertifikat von einem unbekannten Unternehmen signiert wurde, wodurch der Benutzer Informationen darüber erhält Überwachung der Datenübertragung).

Zur Kontrolle der Übertragung von verschlüsselten Daten sind mittlerweile folgende Produkte auf dem Markt: Webwasher SSL Scanner von Secure Computing, Breach View SSL, WebCleaner.

Zertifikatsauthentifizierung

Die zweite Aufgabe, die sich bei der Nutzung verschlüsselter Datenübertragungswege stellt, ist die Authentifizierung von Zertifikaten, die von den Servern bereitgestellt werden, mit denen Benutzer arbeiten.

Angreifer können Informationssysteme angreifen, indem sie einen falschen DNS-Eintrag erstellen, der Benutzeranfragen nicht auf die benötigte Website umleitet, sondern auf die von den Angreifern selbst erstellte Website. Diese gefälschten Websites können wichtige Benutzerdaten wie Kreditkartennummern, Passwörter usw. stehlen und bösartigen Code unter dem Deckmantel von Software-Updates herunterladen.

Um solche Fälle zu verhindern, gibt es spezielle Software, die die Übereinstimmung der vom Server bereitgestellten Zertifikate mit den von ihnen gemeldeten Daten überprüft.

Im Falle einer Nichtübereinstimmung kann das System den Zugang zu solchen Seiten sperren oder den Zugang nach ausdrücklicher Bestätigung durch den Benutzer gewähren. In diesem Fall erfolgt die Datenverarbeitung fast genauso wie bei der Analyse von Daten, die über verschlüsselte Kanäle übertragen werden, nur dass in diesem Fall nicht die Daten analysiert werden, sondern das vom Server bereitgestellte Zertifikat.

Filterung des E-Mail-Verkehrs

Bei der Verwendung von E-Mail müssen Unternehmen sowohl den ein- als auch den ausgehenden Datenverkehr schützen. Aber die Aufgaben, die für jede der Richtungen gelöst werden, sind sehr unterschiedlich. Beim eingehenden Datenverkehr muss die Kontrolle von bösartigem Code, Phishing und Spam (Spam) sichergestellt werden, während bei ausgehenden E-Mails Inhalte kontrolliert werden, deren Übertragung zum Durchsickern wichtiger Informationen, der Verbreitung von kompromittierenden Materialien und der wie.

Die meisten Produkte auf dem Markt bieten nur eine Kontrolle über den eingehenden Datenverkehr. Dies erfolgt durch Integration mit Antivirensystemen, Implementierung verschiedener Anti-Spam- und Anti-Phishing-Mechanismen. Viele dieser Funktionen sind bereits in E-Mail-Clients integriert, können das Problem jedoch nicht vollständig lösen.

Es gibt derzeit mehrere Möglichkeiten, Benutzer vor Spam zu schützen:

• Vergleich empfangener Nachrichten mit der bestehenden Datenbank von Nachrichten. Beim Vergleichen können verschiedene Techniken verwendet werden, einschließlich der Verwendung genetischer Algorithmen, die es Ihnen ermöglichen, Schlüsselwörter zu isolieren, selbst wenn sie verzerrt sind;
• dynamische Kategorisierung von Nachrichten nach ihrem Inhalt. Ermöglicht es Ihnen, das Vorhandensein unerwünschter Korrespondenz sehr effektiv zu bestimmen. Um dieser Methode entgegenzuwirken, verwenden Spammer Bildnachrichten mit darin enthaltenem Text und/oder Wortgruppen aus Wörterbüchern, die Geräusche erzeugen, die den Betrieb dieser Systeme stören. Gegen diesen Spam werden jedoch bereits jetzt verschiedene Methoden eingesetzt, wie beispielsweise die Wavelet-Analyse und/oder die Texterkennung in Bildern;
• Mit grauen, weißen und schwarzen Zugriffslisten können Sie die Richtlinie für den Empfang von E-Mail-Nachrichten von bekannten oder unbekannten Websites beschreiben. Die Verwendung von grauen Listen hilft in vielen Fällen, die Übertragung unerwünschter Nachrichten aufgrund der Besonderheiten der Software, die Spam versendet, zu verhindern. Um schwarze Zugriffslisten zu führen, können sowohl lokale Datenbanken, die vom Administrator verwaltet werden, als auch globale Datenbanken, die auf der Grundlage von Nachrichten von Benutzern aus der ganzen Welt aufgefüllt werden, verwendet werden. Die Nutzung globaler Datenbanken ist jedoch mit der Tatsache behaftet, dass ganze Netzwerke, einschließlich solcher mit "guten" Mailservern, in sie eindringen können.

Um Informationslecks zu bekämpfen, werden verschiedene Methoden verwendet, die auf dem Abfangen und der eingehenden Analyse von Nachrichten gemäß einer komplexen Filterrichtlinie basieren. In diesem Fall ist es notwendig, Dateitypen, Sprachen und Textcodierungen korrekt zu bestimmen und eine semantische Analyse der übertragenen Nachrichten durchzuführen.

Eine weitere Anwendung von Systemen zum Filtern des Mailverkehrs ist die Erstellung verschlüsselter Mailströme, wenn das System die Nachricht automatisch signiert oder verschlüsselt und die Daten am anderen Ende der Verbindung automatisch entschlüsselt werden. Diese Funktionalität ist sehr praktisch, wenn Sie alle ausgehenden Mails verarbeiten möchten, diese aber verschlüsselt beim Empfänger ankommen müssen.

Sofortnachrichtenfilterung

Instant Messaging bewegt sich langsam in die Kategorie der aktiv genutzten Tools in vielen Unternehmen. Sie ermöglichen eine schnelle Interaktion mit Mitarbeitern und / oder Kunden von Organisationen. Daher ist es ganz natürlich, dass die Entwicklung von Tools, die sich unter anderem als Kanal für Informationslecks herausstellen können, zur Entstehung von Tools zur Kontrolle der übertragenen Informationen geführt hat.

Derzeit sind die am häufigsten verwendeten Protokolle für Instant Messaging MSN (Microsoft Network), AIM (AOL Instant Messaging), Yahoo! Chat, Jabber und ihre Gegenstücke in Unternehmen sind die Protokolle Microsoft Live Communication Server (LCS), IBM SameTime und Yahoo Corporate Messaging Server. Auf dem Gebiet der GUS hat sich das ICQ-System, das jetzt im Besitz von AOL ist und fast dasselbe Protokoll wie AIM verwendet, weit verbreitet. Alle diese Systeme tun fast dasselbe – sie übertragen Nachrichten (sowohl über den Server als auch direkt) und Dateien.

Mittlerweile haben fast alle Systeme die Möglichkeit, Anrufe von einem Computer zu einem Computer und / oder zu normalen Telefonen zu tätigen, was bestimmte Schwierigkeiten für Steuerungssysteme mit sich bringt und VoIP-Unterstützung erfordert, um vollwertige Proxy-Server zu implementieren.

Typischerweise werden IM-Verkehrssteuerungsprodukte als Anwendungs-Gateway implementiert, das die übertragenen Daten parst und die Übertragung verbotener Daten blockiert. Es gibt aber auch Implementierungen in Form von spezialisierten IM-Servern, die die notwendigen Prüfungen auf Serverebene durchführen.

Die am häufigsten nachgefragten Funktionen von Produkten zur Überwachung des IM-Verkehrs:

• Zugriffskontrolle durch separate Protokolle;
• Kontrolle der verwendeten Clients usw.;
• Individuelle Benutzerzugriffskontrolle:
• dem Benutzer erlauben, nur innerhalb des Unternehmens zu kommunizieren;
• dem Benutzer erlauben, nur mit bestimmten Benutzern außerhalb des Unternehmens zu kommunizieren;
• Kontrolle übermittelter Texte;
• Steuerung der Dateiübertragung. Die Kontrollobjekte sind:
  • Dateigröße;
  • Dateityp und/oder Erweiterung;
• Richtung der Datenübertragung;
• Kontrolle des Vorhandenseins schädlicher Inhalte;
• Definition von SPIM;
• Speichern übertragener Daten für spätere Analysen.

Derzeit können Sie mit der Instant Messaging-Steuerung die folgenden Produkte ausführen:

• CipherTrust IronIM von Secure Computing. Dieses Produkt unterstützt AIM, MSN, Yahoo! Chat, Microsoft LCS und IBM SameTime. Dies ist derzeit eine der vollständigsten Lösungen.
• IM Manager von Symantec (entwickelt von IMLogic, das von Symantec übernommen wurde). Dieses Produkt unterstützt die folgenden Protokolle: Microsoft LCS, AIM, MSN, IBM SameTime, ICQ und Yahoo! Plaudern;
• Mit Antigen for Instant Messaging von Microsoft können Sie außerdem mit fast allen gängigen Protokollen für Instant Messaging arbeiten.

Die Produkte anderer Unternehmen (ScanSafe, ContentKeeper) haben weniger Funktionen als die oben aufgeführten.

Es ist erwähnenswert, dass zwei russische Unternehmen, Grand Prix (ein Produkt von SL-ICQ) und Mera.ru (ein Produkt von Sormovich), Produkte zur Überwachung der Übertragung von Nachrichten unter Verwendung des ICQ-Protokolls anbieten.

VoIP-Filterung

Die wachsende Popularität von Mitteln zur Übertragung von Audioinformationen zwischen Computern (auch als Voice over IP (VoIP) bezeichnet) macht es erforderlich, Maßnahmen zu ergreifen, um die Übertragung solcher Informationen zu kontrollieren. Es gibt verschiedene Implementierungen für PC-zu-PC und/oder normale Telefonate.

Es gibt standardisierte Protokolle zum Austauschen solcher Informationen, wie etwa das von der IETF übernommene Session Instantiation Protocol (SIP) und H.323, das von der ITU entwickelt wurde. Diese Protokolle sind offen, was ihre Verarbeitung ermöglicht.

Darüber hinaus gibt es Protokolle, die von bestimmten Unternehmen entwickelt wurden, die keine offene Dokumentation haben, was es sehr schwierig macht, mit ihnen zu arbeiten. Eine der beliebtesten Implementierungen ist Skype, das weltweit große Popularität erlangt hat. Mit diesem System können Sie Anrufe zwischen Computern tätigen, Festnetz- und Mobiltelefone anrufen und Anrufe von Festnetz- und Mobiltelefonen entgegennehmen. Die neuesten Versionen unterstützen Video-Sharing.

Die meisten der derzeit erhältlichen Produkte lassen sich in zwei Kategorien einteilen:

• Produkte, mit denen Sie VoIP-Verkehr identifizieren und blockieren können;
• Produkte, die VoIP-Verkehr erkennen, erfassen und analysieren können.

• Dolphian-Produkte, mit denen Sie VoIP-Verkehr (SIP und Skype), der in Standard-HTTP-Verkehr eingekapselt ist, erkennen und zulassen oder ablehnen können;
• Produkte von Verso Technologies;
• verschiedene Arten von Firewalls, die diese Fähigkeit haben.

• das Produkt der russischen Firma "Sormovich" unterstützt die Erfassung, Analyse und Speicherung von Sprachinformationen, die über die Protokolle H.323 und SIP übertragen werden;
• Mit der Open-Source-Bibliothek Oreka () können Sie die Signalisierungskomponente des Audioverkehrs bestimmen und die übertragenen Daten erfassen, die dann mit anderen Mitteln analysiert werden können.

Kürzlich wurde bekannt, dass das von der ERA IT Solutions AG entwickelte Produkt es Ihnen ermöglicht, den über das Skype-Programm übertragenen VoIP-Verkehr abzuhören. Um eine solche Kontrolle durchzuführen, müssen Sie jedoch einen speziellen Client auf dem Computer installieren, auf dem Skype ausgeführt wird.

Peer-to-Peer-Filterung

Die Nutzung verschiedener Peer-to-Peer (p2p)-Netzwerke durch Mitarbeiter birgt folgende Gefahren für Organisationen:

• Verbreitung von bösartigem Code;
• Informationsleck;
• Verbreitung urheberrechtlich geschützter Daten, die strafrechtlich verfolgt werden kann;
• Abnahme der Arbeitsproduktivität;

Es gibt eine Vielzahl von Peer-to-Peer-Netzwerken. Es gibt Netzwerke mit zentralen Servern, die zur Koordinierung der Benutzer verwendet werden, und es gibt Netzwerke, die vollständig dezentralisiert sind. Im zweiten Fall sind sie mit Standardtools wie Firewalls besonders schwer zu kontrollieren.

Um dieses Problem zu lösen, entwickeln viele Unternehmen Produkte, die es ermöglichen, P2P-Verkehr zu erkennen und zu verarbeiten. Für die Verarbeitung von P2P-Verkehr gibt es folgende Lösungen:

• SurfControl Instant Messaging Filter, der P2P auf Augenhöhe mit Instant Messaging handhabt;
• das Websense Enterprise-Paket bietet Benutzern auch Tools zur Kontrolle des p2p-Verkehrs;
• Mit dem Webwasher Instant Message Filter können Sie den Zugriff auf verschiedene P2P-Netzwerke kontrollieren.

Die Verwendung dieser oder anderer hier nicht aufgeführter Produkte reduziert die Risiken, die mit dem Benutzerzugriff auf P2P-Netzwerke verbunden sind, drastisch.

einheitliches Gefahren Management

Unified Threat Management-Lösungen werden von vielen Sicherheitsanbietern angeboten. Sie sind in der Regel auf der Basis von Firewalls aufgebaut, die neben den Hauptfunktionen auch die Funktionen der Inhaltsfilterung von Daten übernehmen. In der Regel konzentrieren sich diese Funktionen auf die Verhinderung von Eindringlingen, dem Eindringen von bösartigem Code und Spam.

Viele dieser Produkte werden als Hardware- und Softwarelösungen implementiert, die Filterlösungen für Mail- und Internetverkehr nicht vollständig ersetzen können, da sie nur mit einer begrenzten Anzahl von Fähigkeiten arbeiten, die von bestimmten Protokollen bereitgestellt werden. Sie werden in der Regel verwendet, um eine Duplizierung von Funktionen zwischen Produkten zu vermeiden und sicherzustellen, dass alle Anwendungsprotokolle gegen dieselbe bekannte Bedrohungsdatenbank verarbeitet werden.

Die beliebtesten Unified Threat Management-Lösungen sind die folgenden Produkte:

• SonicWall Gateway Anti-Virus, Anti-Spyware and Intrusion Prevention Service bietet Viren- und anderen Datenschutz für SMTP-, POP3-, IMAP-, HTTP-, FTP-, NetBIOS-, Instant Messaging-Protokolle und viele Streaming-Protokolle, die zur Übertragung von Audio- und Videoinformationen verwendet werden;
• Eine Reihe von Geräten ISS Proventia Network Multi-Function Security, hergestellt in Form von Software- und Hardwaresystemen, bietet Blockierung von bösartigem Code, unerwünschten Nachrichten und Eindringlingen. Im Lieferumfang enthalten sind eine Vielzahl von Checks (ua für VoIP), die vom Anwender erweitert werden können;
• Die Hardwareplattform Network Gateway Security von Secure Computing bietet neben dem Schutz vor bösartigem Code und Spam auch VPN-Unterstützung. Nahezu alle Secure Computing-Lösungen sind in diese Plattform integriert.

Es gibt andere Produkte, aber die oben aufgeführten sind weit verbreitet.

Abfangen von Daten

Das Abfangen von Daten (Lawful Interception) wurde fast immer von Geheimdiensten verwendet, um übertragene Informationen zu sammeln und zu analysieren. In jüngster Zeit ist jedoch das Thema des Abfangens von Daten (nicht nur Internetverkehr, sondern auch Telefonie und andere Arten) angesichts der Terrorismusbekämpfung sehr relevant geworden. Selbst jene Staaten, die schon immer gegen solche Systeme waren, begannen damit, den Informationstransfer zu kontrollieren.

Da verschiedene Arten von Daten abgefangen und oft über Hochgeschwindigkeitskanäle übertragen werden, erfordert die Implementierung solcher Systeme eine spezialisierte Software zum Erfassen und Analysieren von Daten und eine separate Software zum Analysieren der gesammelten Daten. Als solches kann Software zum Inhaltsfiltern des einen oder anderen Protokolls verwendet werden.

Das vielleicht bekannteste dieser Systeme ist das angloamerikanische Echelon-System, das seit langem zum Abfangen von Daten im Interesse verschiedener US- und britischer Behörden verwendet wird. Darüber hinaus verwendet die US National Security Agency das Narus-System, das eine Echtzeitüberwachung und -analyse des Internetverkehrs ermöglicht.

Unter den russischen Produkten können wir Lösungen der Firma Sormovich erwähnen, die das Erfassen und Analysieren von Mail-, Audio- und verschiedenen Arten von Internetverkehr (HTTP und andere) ermöglichen.

Fazit

Die Entwicklung von Informationssystemen führt zur Entstehung immer neuer Bedrohungen. Daher hinkt die Entwicklung von Produkten zur Inhaltsfilterung nicht nur nicht hinterher, sondern nimmt manchmal sogar das Auftreten neuer Bedrohungen vorweg, wodurch die Risiken für geschützte Informationssysteme verringert werden.

Startseite des Moduls

Ein Dienst, der es Clients ermöglicht, indirekte Anfragen an andere Netzwerkdienste zu stellen. Zuerst verbindet sich der Client mit dem Proxy-Server und fordert eine Webressource an, die sich auf einem anderen Server befindet. Der Proxyserver verbindet sich dann entweder mit dem angegebenen Server und bezieht die Ressource von ihm oder gibt die Ressource aus seinem eigenen Cache zurück (wenn einer der Clients bereits auf diese Ressource zugegriffen hat). In einigen Fällen kann eine Client-Anfrage oder Server-Antwort für bestimmte Zwecke von einem Proxy-Server modifiziert werden.

Außerdem ermöglicht Ihnen der Proxy-Server, Client-HTTP-Anforderungen zu analysieren, die den Server passieren, Filterung und Abrechnung des Datenverkehrs nach URL und MIME-Typen durchzuführen. Zusätzlich implementiert der Proxy-Server einen Mechanismus für den Zugriff auf das Internet per Login/Passwort.

Der Proxy-Server führt ein Caching von Objekten durch, die von Benutzern aus dem Internet empfangen werden, und reduziert dadurch den Verkehrsverbrauch und erhöht die Seitenladegeschwindigkeit.

Wenn Sie das Modul aufrufen, werden der Status der Dienste, die Schaltfläche "Deaktivieren" (oder "Aktivieren", wenn das Modul deaktiviert ist) und die letzten Meldungen im Protokoll angezeigt.

Einstellungen

Um über einen Proxyserver zu arbeiten, müssen Sie normalerweise seine Adresse und seinen Port in den Browsereinstellungen angeben. Wenn jedoch keine Benutzeranmeldung/Passwort-Autorisierung verwendet wird, kann die transparente Proxy-Funktion verwendet werden.

In diesem Fall werden alle HTTP-Anfragen aus dem lokalen Netzwerk automatisch über einen Proxy-Server geleitet. Somit wird es möglich, den Datenverkehr unabhängig von den Einstellungen der Client-Computer nach URL zu filtern und zu berücksichtigen.

Der Standardport des Proxyservers ist 3128, in den Moduleinstellungen können Sie ihn auf jeden freien Port ändern.

Berechtigungsarten

Der ICS-Proxy-Server unterstützt zwei Autorisierungsmethoden: durch die IP-Adresse des Benutzers und durch das Login-Passwort.

Die Autorisierung per IP-Adresse eignet sich für Fälle, in denen der Benutzer ständig denselben Computer verwendet. Der Proxy bestimmt anhand der IP-Adresse seines Computers, welcher Benutzer diesen oder jenen Datenverkehr besitzt. Für Terminalserver ist diese Methode nicht geeignet, da hier mehrere Benutzer von einer IP-Adresse aus arbeiten. Außerdem ist diese Methode nicht für Organisationen geeignet, in denen Benutzer ständig zwischen Jobs wechseln. Außerdem kann der Benutzer die IP-Adresse seines Computers ändern, und wenn die Bindung der MAC-Adresse an die IP nicht konfiguriert ist, nimmt der ICS sie für jemand anderen.

Die Autorisierung per Login/Passwort löst das Problem der Nutzerbindung an den eigenen Rechner. In diesem Fall fordert der Browser beim erstmaligen Zugriff auf eine Internetressource den Benutzer zur Eingabe eines Benutzernamens/Kennworts für den Zugriff auf das Internet auf. Wenn Benutzer in Ihrem Netzwerk in einer Domäne autorisiert sind, können Sie den Autorisierungstyp auf Über Domäne festlegen. Wenn der ICS in diesem Fall mit einem Domänencontroller verbunden ist und Benutzer aus der Domäne importiert wurden, wird die Autorisierung transparent durchgeführt, ohne dass ein Benutzername/Kennwort erforderlich ist.

Darüber hinaus sollten Sie bedenken, dass die Proxy-Autorisierung nur für den http-Verkehr von Benutzern verwendet wird. Der Zugriff auf das Internet für Programme, die andere Protokolle als http verwenden, wird durch eine Firewall reguliert, die nur eine Autorisierungsmethode hat: durch IP-Adresse. Mit anderen Worten, wenn ein Benutzer nur Login/Passwort-Autorisierung verwendet, kann er Mail, Jabber-Client, Torrent-Client und andere Programme nicht verwenden, die das Arbeiten über einen HTTP-Proxy nicht unterstützen.

Web-Autorisierung

Um Benutzer ohne registrierten Proxy-Server per Benutzername und Passwort zu autorisieren, können Sie die Web-Autorisierung (Captive Portal) verwenden, indem Sie die entsprechende Checkbox aktivieren. Die Web-Autorisierung ermöglicht es beispielsweise, eine Autorisierungsseite in ein Unternehmensportal zu integrieren und als Autorisierungsseite zu verwenden. Standardmäßig ist der Web-Autorisierungsport 82, Sie können ihn auch in einen beliebigen freien ändern.

Um nicht auf jedem Client-Rechner manuell einen Proxy-Server zu registrieren, können Sie den Autokonfigurator verwenden. Im Browser des Clients muss die Option „Automatische Proxy-Konfiguration“ gesetzt sein, alle anderen Einstellungen werden vom ICS bestimmt.

Sie wird durch Aktivieren des Kontrollkästchens auf der entsprechenden Registerkarte aktiviert. Sie können eines oder mehrere der verfügbaren Protokolle (HTTP, HTTPS, FTP) überprüfen.

Die Option zum Veröffentlichen des Autokonfigurationsskripts bestimmt, ob es über die IP-Adresse des Servers oder über den erstellten virtuellen Host mit einem Domänennamen verfügbar ist. Wenn Sie einen virtuellen Host auswählen, wird dieser automatisch im System erstellt. Kontrollkästchen "Erstellen Sie einen Eintrag auf dem DNS-Server" fügt automatisch eine Zone mit den notwendigen Einträgen für diesen virtuellen Host hinzu.

Veröffentlichen Sie das Autokonfigurationsskript über DHCP- Dieser Parameter sendet Proxy-Einstellungen an alle DHCP-Clients des Servers.

Eltern-Proxy

Wenn Ihre Organisation über mehrere Proxy-Server verfügt, die hierarchisch angeordnet sind, ist der Upstream-Proxy-Server für das ICS der eigene Elternvertreter. Darüber hinaus kann jeder Netzwerkknoten als übergeordneter Proxy fungieren.

Damit der ICS Anfragen an seinen Proxy-Server an den übergeordneten Proxy umleitet, geben Sie dessen IP-Adresse und Zielport auf der Registerkarte „Übergeordneter Proxy“ an.

Proxy-Server können ihre Cache-Daten über das ICP-Protokoll austauschen. Bei einem Netzwerkbetrieb über mehrere Proxies kann dies die Arbeit erheblich beschleunigen. Wenn der übergeordnete Proxy das Protokoll unterstützt, aktivieren Sie das entsprechende Kontrollkästchen und geben Sie den Port für den Dienst an (standardmäßig 3130).

Ausgegebene IP-Adressen

Diese Registerkarte enthält eine Liste mit IP-Adressen und Benutzern, die auf dem Proxy-Server mithilfe der Webautorisierung autorisiert sind.

Cache-Inhalte

Die Registerkarte Protokoll enthält eine Zusammenfassung aller Systemmeldungen des Proxy-Servers. Das Magazin ist seitenweise gegliedert, mit den Schaltflächen „vor“ und „zurück“ können Sie von Seite zu Seite blättern, oder die Seitenzahl in das Feld eingeben und sofort dorthin wechseln.

Protokolleinträge werden je nach Art der Meldung farblich hervorgehoben. Normale Systemmeldungen sind weiß markiert, Systemstatusmeldungen (Ein-/Ausschalten, Cache-Verarbeitung) grün, Fehler rot.

In der oberen rechten Ecke des Moduls befindet sich eine Suchleiste. Damit können Sie das Protokoll nach den gewünschten Einträgen durchsuchen.

Das Protokoll zeigt immer Ereignisse für das aktuelle Datum an. Um Ereignisse an einem anderen Tag anzuzeigen, wählen Sie das gewünschte Datum mithilfe des Kalenders in der oberen linken Ecke des Moduls aus.