Untuk integrasi sistem yang benar, server proxy organisasi juga perlu dikonfigurasi. Persyaratan konfigurasi umum adalah bahwa alamat IP server SecureTower ICAP harus dikonfigurasi pada server proxy. Untuk melakukan ini, modul ICAP dari server proxy harus dikonfigurasi sedemikian rupa sehingga header permintaan yang dikirim ke server ICAP menyertakan bidang X-Client-IP yang berisi alamat IP pengguna. Permintaan tanpa alamat IP yang ditentukan akan diterima tetapi tidak akan dilayani oleh server ICAP.

Antara lain, SecureTower mendukung integrasi dengan server proxy SQUID dan MS Forefront yang paling populer.

CUMI-CUMI

Sistem SecureTower mendukung versi SQUID yang lebih lama dari 3.0. Saat menginstal/mengkompilasi server proxy, Anda harus mengaktifkan opsi untuk mengaktifkan dukungan ICAP dan menentukan opsi berikut dalam pengaturan ICAP:

• icap_enable aktif
• icap_send_client_ip aktif - alamat IP klien
• icap_service_req service_reqmod_precache 0 icap://192.168.45.1:1344/reqmod, di mana 192.168.45.1 adalah alamat IP dari server ICAP SecureTower
• adaptasi_akses service_req izinkan semua

MS Garis Depan

Untuk bekerja di jaringan yang diatur berdasarkan server proxy TMG Forefront, Anda juga harus menginstal plug-in ICAP, karena secara default, ICAP tidak didukung oleh proxy ini. Plugin ini tersedia di http://www.collectivesoftware.com/solutions/content-filtering/icapclient.

Dalam pengaturan plugin ICAP, Anda perlu menentukan alamat server ICAP SecureTower. Akibatnya, semua data yang ditransfer ke protokol HTTP(S) melalui server proxy MS Forefront akan disimpan oleh server ICAP SecureTower.

Persyaratan sistem minimum untuk server ICAP

• Prosesor: 2 GHz atau lebih tinggi, 2 core atau lebih
• Adaptor jaringan: 100Mbps/1Gbps
• RAM: minimal 6 GB
• Hard drive: partisi 100 GB untuk sistem operasi dan file SecureTower; partisi kedua untuk menyimpan data yang dicegat dengan kecepatan 1,5 GB data dari setiap pengguna yang dipantau per bulan ditambah 3% dari volume data yang dicegat untuk file indeks pencarian
• Windows .Net Framework: 4.7 dan di atasnya
• Sistem operasi: Microsoft Windows Server 2008R2/2012/2016 x64

Administrasi

Saya mengambil bagian dalam pengujian beta daemon icap Dr.Web, dan puas dengannya (walaupun ada beberapa masalah yang belum terselesaikan saat ini), tetapi sisi keuangan dari masalah ini sangat membatasi saya, jadi sekali lagi pilihan saya jatuh pada ClamAV.

Menggunakan Squid dengan ClamAV dan c-icap untuk memindai lalu lintas web dari virus

Latar Belakang

Anda tidak memerlukan clamd daemon yang sedang berjalan untuk bekerja, jadi silakan lewati konfigurasinya (clamd.conf) jika Anda tidak menggunakannya atau tidak akan menggunakannya.

c-icap bekerja dengan modul anti-virusnya berdasarkan ClamAV, jadi kita perlu menginstal libclamav di sistem (menginstal ClamAV dengan cara biasa sudah cukup). Jika tidak ada libclamav dalam sistem, c-icap tidak akan dibangun.

Menginstal dan mengonfigurasi c-icap dengan dukungan ClamAV

Buka paket arsip c_icap-220505.tar.gz ke /usr/src (atau di mana pun Anda memiliki kode sumber). Skrip konfigurasi di direktori sumber c-icap harus dijalankan dengan opsi berikut:

$ ./configure --enable-static --with-clamav --prefix=/usr/local/c_icap

Atau, misalnya, seperti ini, jika --prefix=/opt/clamav untuk mengonfigurasi dari ClamAV:

$ ./configure --enable-static --with-clamav=/opt/clamav --prefix=/usr/local/c_icap

Daemon c_icap dibangun secara statis. --prefix juga bisa ditentukan sesuai selera. Anda juga dapat mengumpulkan iblis itu sendiri:

Anda perlu memeriksa apakah semuanya sudah terpasang dengan benar:

$ melakukan cek

Dan langsung instal c-icap ke dalam sistem (ke direktori yang ditentukan melalui --prefix):

# buat instal

Sekarang kita perlu memperbaiki beberapa pengaturan di c-icap.conf. Dalam kasus --prefix=/usr/local/c_icap kami, tidak sulit untuk menebak bahwa konfigurasi ada di /usr/local/c_icap/etc.

• Pengguna lebih baik tidak menempatkan siapa pun, karena wwwrun, yang ditentukan secara default, kemungkinan besar tidak ada dalam sistem.
• TmpDir /tmp adalah direktori file sementara Anda.
• Selanjutnya, Anda perlu mengkonfigurasi ACL - Access Control Lists - daftar alamat IP yang dapat menggunakan daemon ICAP ini: acl localsquid_respmod src 127.0.0.1 ketik respmod acl localsquid src 127.0.0.1 acl externalnet src 0.0.0.0/0.0.0.0 icap_access allow localsquid_respmod icap_access izinkan localsquid icap_access menolak externalnet

  Jadi kita bisa menentukan dari mana akses ke layanan icap kita diperbolehkan, dan dari mana yang tidak. Perhatikan bahwa data ACL tidak mendefinisikan daftar klien proxy langsung, melainkan daftar klien untuk daemon ICAP, mis. daftar server proxy (alamat IP mereka).

  Saya telah mengkompilasi ACL untuk kasus di mana daemon dan Squid ICAP berjalan di host yang sama.

  • srv_clamav.ClamAvTmpDir /tmp - direktori sementara untuk modul ClamAV.
  • srv_clamav.VirSaveDir /var/infected/ - direktori karantina. Komentar serupa lainnya yang lebih baik!
  • srv_clamav.VirHTTPServer "DUMMY".

  Anda juga dapat mencoba seperti ini:
  

  Srv_clamav.VirHTTPServer "http://proxy.your_srv_name.ru/cgi-bin/get_file.pl?usename=%f&remove=1&file="

  Beberapa klarifikasi diperlukan: opsi srv_clamav.VirSaveDir dapat diatur beberapa kali, sehingga file yang terinfeksi akan disimpan ke beberapa lokasi. Jika salah satu direktori karantina diatur ke root server web, maka pengguna dapat diberi kesempatan untuk mengunduh file yang terinfeksi dengan sengaja. Tetap hanya menggunakan file contrib/get_file.pl dalam kode sumber c-icap.

  Aku tidak membutuhkannya.

Buat direktori /var/infected dan buat direktori tersebut dimiliki oleh pengguna none (chown none /var/infected).

Mari kita uji coba c-icap:

# cd /usr/local/c_icap/bin # ./c-icap

Jika tidak ada pesan kesalahan, maka Anda juga harus memastikan bahwa c-icap mendengarkan di soket yang tepat:

# netstat -apn | grep 1344

Jika kita melihat sesuatu yang mirip dengan baris berikut, semuanya beres:

Tcp 0 0 *:1344 *:* DENGARKAN 24302/c-icap

Biarkan daemon c-icap berjalan dan beralih ke pengaturan lebih lanjut.

Menginstal dan mengkonfigurasi server proxy Squid

Mari kita membongkar Squid yang diperoleh sebelumnya ke /usr/src:

# tar zxvf squid-icap-2.5.STABLE11-20050927.tgz

Ubah ke direktori sumber Squid dan jalankan konfigurasikan seperti ini:

$ ./configure --enable-icap-support

Sebelum menjalankan configure di Dr.Web Squid, Anda harus menjalankan bootstrap.sh, yang terletak di direktori root kode sumber Squid. Jika Anda menggunakan Squid dari Dr.Web, pastikan untuk membaca dokumentasi dari paket drweb-icapd!

Membangun Cumi:

Install:

# buat instal

Kami telah menginstal Squid di /usr/local/squid. Sekarang mari kita ubah pengaturan di squid.conf.

Anda perlu menemukan beberapa baris:

#acl our_networks src 192.168.1.0/24 192.168.2.0/24 #http_access izinkan jaringan_kami

Batalkan komentar mereka dan tetapkan nilai Anda sendiri, alih-alih 192.168.1.0/24 192.168.2.0/24 (dalam kasus saya, pengguna server proxy berada di jaringan 172.16.194.0/24):

Acl our_networks src 172.16.194.0/24 http_access izinkan jaringan_kami

Pergi ke /usr/local/squid/var, buat direktori cache. Sekarang jalankan perintah di sana:

# chown tidak ada cache/log/

Perubahan kepemilikan diperlukan karena daemon proxy akan dijalankan sebagai pengguna none dan tidak akan dapat menulis log dan menggunakan cache.

Tetap membuat struktur direktori untuk caching. Pergi ke /usr/local/squid/sbin dan jalankan:

# ./squid -z

Secara default, parameter cache_dir di squid.conf diatur ke:

Cache_dir ufs /usr/local/squid/var/cache 100 16 256

Anda dapat mengubah jalur ke cache (misalnya, jika itu terletak di partisi atau hard drive lain), dan kemudian Anda perlu memeriksa hak ke direktori yang Anda tentukan.

Pada tahap ini, kami memiliki Squid yang berfungsi, tetapi tanpa dukungan ICAP, mis. server proxy caching biasa.

Ayo tambahkan dukungan ICAP...

Menambahkan dukungan ICAP ke squid.conf

Temukan kata icap_enable dan atur nilainya icap_enable. Temukan kata icap_preview_enable dan atur nilainya icap_preview_enable. Cari kata icap_preview_size dan atur nilainya icap_preview_size 128. Cari kata icap_send_client_ip dan atur nilainya icap_send_client_ip. Cari kata icap_service dan tambahkan beberapa layanan icap ini:

icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav

Cari icap_class dan tambahkan kelas icap berikut:

Icap_class class_antivirus service_avi service_avi_req

Cari icap_access dan tambahkan izin berikut:

Icap_access class_antivirus izinkan semua

Secara total, baris berikut harus ditambahkan ke squid.conf untuk mendukung ICAP:

icap_enable di icap_preview_enable di icap_preview_size 128 icap_send_client_ip aktif
icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav
icap_class class_antivirus service_avi service_avi_req icap_access class_antivirus izinkan semua

Ini melengkapi konfigurasi minimal server proxy.

Mari kita jalankan:

# cd /usr/local/squid/sbin # ./squid

Jika semuanya benar, maka seharusnya tidak ada pesan di konsol.

Cek kesehatan

Tambahkan server proxy di browser Anda (jika proxy tidak transparan) dan buka halaman http://www.eicar.com/anti_virus_test_file.htm .

Coba unduh file eicar.com. Jika Anda melihat pesan serupa: "A VIRUS FOUND ..." - maka semuanya berfungsi dengan benar.

Harap dicatat bahwa cache server proxy tidak boleh berisi objek yang terinfeksi! Oleh karena itu, sebaiknya bersihkan cache sebelum menggunakan Squid dengan c-icap. Perhatikan juga bahwa browser memiliki cache sendiri.

Memperbarui basis data anti-virus ClamAV

Tambahkan freshclam ke crontab. database c-icap diinisialisasi ulang setiap menit srv_clamav.VirUpdateTime - parameter ini dapat ditentukan di c-icap.conf (secara default, 15 menit).

file c-icap.magic dan jenis objek yang diperiksa

File ini dapat ditemukan di direktori yang sama dengan c-icap.conf. Ini adalah deskripsi format berbagai kelompok jenis file (TEXT, DATA, EXECUTABLE, ARCHIVE, GRAFIS, STREAM, DOKUMEN - grup tertentu di c-icap.magic secara default). Pemindaian anti-virus didasarkan pada jenis file yang melewati server proxy. Beberapa jenis, misalnya, Anda dapat mengecualikan atau menambahkan jenis Anda sendiri.

Format entri baris, untuk menentukan file dengan nomor ajaibnya (urutan):

Offset:Sihir:Jenis:Grup:Desc

Offset - offset di mana Urutan Ajaib dimulai. Ketik dan Grup - jenis dan grup tempat file dengan urutan ajaib ini harus ditetapkan. Desc - deskripsi singkat, tidak membawa beban teknis.

Lihat c-icap.magic untuk contoh.

Perhatikan juga bahwa parameter srv_clamav.ScanFileTypes di c-icap.conf mendefinisikan grup dan tipe file (grup dan tipe dapat ditentukan) yang harus dipindai. Apa yang didefinisikan srv_clamav.VirScanFileTypes, saya belum sepenuhnya mengerti, tetapi saya menduga bahwa grup file yang dipaksa untuk dipindai (EXECUTABLE dan ARCHIVE secara default).

Dalam konfigurasi c-icap saya, opsi di atas terlihat seperti ini:

srv_clamav.ScanFileTypes TEKS DATA ARSIP YANG DAPAT DIEKSEKUSI GRAFIK DOKUMEN STREAM srv_clamav.VirScanFileTypes ARSIP YANG DAPAT DIEKSEKUSI

Kemungkinan masalah

• Squid memberikan pesan kesalahan protokol ICAP, tidak ada halaman yang terbuka. Periksa apakah Anda menentukan ACL dengan benar di c-icap.conf, ACL ini seharusnya mengizinkan akses bukan untuk pengguna, tetapi untuk server proxy.

  Coba hentikan proses Squid dan c-icap lalu jalankan dengan urutan berikut: c-icap dulu, lalu Squid.

  Juga, kesalahan ini dapat terjadi jika daemon c-icap tidak memiliki izin yang cukup untuk menulis ke direktori karantina atau file log.

  Jika masalah masih berlanjut, coba mulai Squid dengan opsi -d 10 -N -X:

  # ./squid -d 10 -N -X Dan c-icap dengan opsi -N -d 10 -D: # ./c-icap -N -d 10 -D Lihat informasi detail yang dapat membantu Anda mengetahui apa dan di mana tidak dengan cara ini.

• Squid hanya memberikan kesalahan protokol ICAP pada beberapa halaman (pada halaman yang sama).

  Periksa apakah c-icap memiliki izin untuk menulis ke direktori karantina (atau lebih baik lagi, jadikan pengguna yang menjalankan c-icap sebagai pemilik semua direktori karantina).

  Coba jalankan c-icap dan Squid dalam mode debug (lihat di atas untuk cara melakukannya).

  Ini juga merupakan ide yang baik untuk melihat log c-icap.

  Coba muat kembali objek yang menyebabkan kesalahan. Mungkin Anda akan belajar lebih banyak tentang masalah tersebut dan dapat menyelesaikannya.

Hasil

Sekarang penjelajahan web juga dilindungi dari virus dan kode berbahaya lainnya (termasuk beberapa eksploitasi untuk MS IE). Sebagai solusi korporat untuk server dengan beban berat, metode ini belum diuji, tetapi menurut saya dapat diterapkan (jika hanya karena beban dapat didistribusikan ke beberapa server ICAP). Sebagai solusi untuk organisasi kecil - cukup relevan.

Dan ingat apa yang ditulis pengembang di situs web mereka:

• >Layanan Antivirus ClamAV
• >Layanan ini sedang dalam pengembangan.

Anda dapat mempelajari beberapa prinsip protokol ICAP dalam bahasa Rusia dari manual DrWeb-ICAP - salah satu implementasi komersial protokol ICAP yang berhasil. Anda juga dapat membaca RFC 3507.

Pekerjaan yang nyaman dan aman!

Terima kasih atas perhatian Anda.

Definisi - Apa artinya?

Internet Content Adaptation Protocol (ICAP) adalah protokol ringan yang menyediakan vektor konten berbasis objek sederhana untuk layanan HTTP. ICAP digunakan untuk memperluas server proxy transparan. Ini membebaskan sumber daya dan menstandardisasi penerapan fitur baru. Ini menggunakan cache untuk mem-proxy semua transaksi klien dan memproses transaksi menggunakan server Web ICAP, yang dirancang untuk fungsi tertentu seperti pemindaian virus, terjemahan konten, penyaringan konten, atau penyisipan iklan.

ICAP melakukan manipulasi konten sebagai layanan nilai tambah untuk permintaan HTTP klien yang sesuai atau respons HTTP. Jadi nama "adaptasi konten."

Istilah ini juga dikenal sebagai Protokol Adaptasi Konten Internet.

techopedia menjelaskan Protokol Adaptasi Konten Internet (ICAP)

Protokol Adaptasi Konten Internet diusulkan pada tahun 1999 oleh Danzig dan Schuster dari Network Appliance. Don Gillies meningkatkan protokol pada tahun 2000 yang memungkinkan server ICAP pipelined. Ketiga enkapsulasi yang diizinkan oleh HTTP 1.1 didukung. Ia juga memproduksi materi pelatihan untuk vendor sekitar tahun 2005.

ICAP memanfaatkan cache dan proxy untuk membantu menghasilkan layanan bernilai tambah. Layanan nilai tambah dapat diturunkan dari server Web ke server ICAP. Kemudian, server Web dapat diskalakan menggunakan throughput HTTP mentah.

Terlepas dari kesamaannya, ICAP bukanlah HTTP. Dan itu bukan aplikasi yang berjalan melalui HTTP.

Saat ini, pemfilteran konten tidak dapat dipisahkan sebagai area keamanan komputer yang terpisah, karena sangat terkait dengan area lain. Dalam keamanan komputer, penyaringan konten sangat penting, karena memungkinkan Anda untuk mengisolasi hal-hal yang berpotensi berbahaya dan memprosesnya dengan benar. Pendekatan yang muncul dalam pengembangan produk penyaringan konten digunakan dalam produk untuk mencegah intrusi (IDS), penyebaran kode berbahaya dan tindakan negatif lainnya.

Berdasarkan teknologi dan produk baru di bidang penyaringan konten, layanan tambahan dibuat untuk pengguna, kualitas perlindungan ditingkatkan dan dimungkinkan tidak hanya untuk menangani ancaman yang ada, tetapi juga untuk mencegah seluruh kelas ancaman baru.

Tren baru dalam pemfilteran konten

Salah satu tren umum dalam pengembangan produk keamanan informasi adalah keinginan untuk mengimplementasikan berbagai fungsi dalam satu perangkat atau solusi perangkat lunak. Sebagai aturan, pengembang mencoba menerapkan solusi yang, selain penyaringan konten, juga menjalankan fungsi antivirus, firewall, dan/atau sistem deteksi dan pencegahan intrusi. Di satu sisi, ini memungkinkan perusahaan untuk mengurangi biaya pembelian dan pemeliharaan sistem keamanan, tetapi di sisi lain, fungsionalitas sistem semacam itu seringkali terbatas. Misalnya, di banyak produk, fungsi pemfilteran lalu lintas Web terbatas untuk memeriksa alamat situs terhadap beberapa basis data kategori situs.

Pengembangan produk sesuai dengan konsep Unified Threat Management ( UTM) yang menyediakan pendekatan terpadu untuk pencegahan ancaman, apa pun protokol atau data yang diproses.

Pendekatan ini menghindari duplikasi fungsi perlindungan, serta memastikan relevansi data yang menggambarkan ancaman untuk semua sumber daya yang dikendalikan.

Di bidang penyaringan konten yang telah ada cukup lama - kontrol lalu lintas email dan Internet - perubahan juga terjadi, teknologi baru muncul.

Fitur anti-phishing telah muncul di produk kontrol pertukaran surat. Dan dalam produk untuk memantau lalu lintas Internet, ada pergeseran dari menggunakan basis data alamat yang telah disiapkan sebelumnya ke kategorisasi berdasarkan konten, yang merupakan tugas yang sangat penting saat bekerja dengan berbagai solusi portal.

Selain dua area yang disebutkan di atas, ada juga area baru penerapan content filtering – beberapa waktu lalu mulai bermunculan produk-produk untuk mengontrol transfer pesan instan (instant messaging) dan koneksi peer-to-peer (p2p). Saat ini, produk untuk memantau lalu lintas VoIP juga sedang aktif dikembangkan.

Banyak negara telah secara aktif mulai mengembangkan alat untuk mencegat dan menganalisis berbagai jenis informasi yang digunakan untuk berbagai jenis penyelidikan (intersepsi yang sah). Kegiatan ini dilakukan di tingkat negara bagian dan paling sering dikaitkan dengan penyelidikan ancaman teroris. Sistem semacam itu mencegat dan menganalisis tidak hanya data yang dikirimkan melalui saluran Internet, tetapi juga melalui jenis komunikasi lain - saluran telepon, saluran radio, dll. Sistem penyadapan informasi yang paling terkenal adalah Eselon, sistem yang digunakan oleh intelijen AS untuk mengumpulkan informasi. Di Rusia, ada juga berbagai implementasi sistem tindakan pencarian operasional (SORM), yang digunakan untuk menangkap dan menganalisis informasi untuk kepentingan layanan khusus.

Sebagai salah satu tren di pasar produk penyaringan konten, orang dapat mencatat konsolidasi massal perusahaan yang memproduksi solusi semacam itu. Meskipun tren ini lebih mencerminkan sisi organisasi dari proses, hal itu dapat menyebabkan munculnya produk dan arahan baru bagi perusahaan yang tidak memiliki arahan ini, atau mereka menempati bagian yang tidak signifikan dari sektor pasar perusahaan tersebut. Kasus-kasus merger/akuisisi perusahaan berikut dapat menjadi ilustrasi dari hal di atas:

• Secure Computing, yang tahun lalu membeli Cyberguard, yang memiliki seperangkat alat pemfilteran lalu lintas Internet yang bagus, bergabung dengan perusahaan lain, CipherTrust, yang memiliki pengalaman luas dalam mengembangkan alat pemfilteran lalu lintas email, di musim panas;
• MailFrontier, yang memproduksi alat untuk melindungi lalu lintas email, diserap oleh SonicWall, yang sebelumnya tidak memiliki solusi dengan kualitas pengembangan seperti itu;
• pada akhir Juli 2006, SurfControl, yang dikenal dengan solusi penyaringan kontennya, membeli BlackSpider, yang menyediakan layanan keamanan komputer tingkat lanjut;
• Pada akhir Agustus 2006, pengambilalihan paling muluk terjadi - Sistem Keamanan Internet (ISS) menandatangani perjanjian merger dengan IBM. Penggabungan ini adalah contoh dari minat yang besar dalam keamanan informasi di pihak perusahaan perangkat lunak besar;
• Pada Januari 2007, Cisco mengakuisisi IronPort, yang memiliki lini produk keamanan email yang kuat;
• Microsoft telah mengakuisisi beberapa perusahaan keamanan informasi selama beberapa tahun terakhir. Yang terbesar adalah pengambilalihan Sybari, dengan jajaran antivirus dan perlindungan malware lainnya, serta penyaringan konten email dan pesan instan. Akuisisi Sybari dan perusahaan lain memungkinkan Microsoft untuk berhasil bersaing di pasar baru untuk keamanan komputer.

Perlu juga dicatat bahwa dalam beberapa tahun terakhir produk open source untuk penyaringan konten mulai muncul. Dalam kebanyakan kasus, mereka tidak mencapai fungsionalitas yang sama seperti aplikasi komersial, namun, ada solusi dan aplikasi khusus di mana mereka dapat menimbulkan ancaman nyata.

Ancaman Modern

Infrastruktur TI modern menjadi sasaran banyak serangan, menargetkan pengguna biasa dan perusahaan, terlepas dari ukurannya. Yang paling relevan adalah jenis ancaman berikut:

• Pengelabuan— metode penyadapan data pengguna penting (kata sandi, nomor kartu kredit, dll.) yang baru-baru ini menyebar luas menggunakan teknik rekayasa sosial, ketika pengguna dipaksa untuk memasukkan data tertentu di situs yang dikendalikan oleh penyerang dengan surat atau pesan palsu dari sebuah organisasi;
• Spyware & Malware- berbagai cara yang memungkinkan Anda untuk mencegat data atau membuat kontrol atas komputer. Ada banyak jenis alat tersebut, yang bervariasi dalam tingkat bahayanya terhadap komputer - dari sekadar menampilkan pesan iklan hingga mencegat data yang dimasukkan oleh pengguna dan mengambil kendali atas operasi komputer;
• virus dan kode berbahaya lainnya— Virus, worm, dan Trojan adalah ancaman lama bagi infrastruktur TI. Tetapi setiap tahun modifikasi baru dari kode berbahaya muncul, yang sering mengeksploitasi kerentanan dalam perangkat lunak yang ada, yang memungkinkan mereka menyebar secara otomatis;
• SPAM/SPIM- Pesan yang tidak diminta yang dikirimkan melalui email (SPAM) atau pesan instan (SPIM) menyebabkan pengguna membuang waktu mereka untuk memproses korespondensi yang tidak diinginkan. Saat ini, SPAM menyumbang lebih dari 70% dari semua pesan email yang dikirimkan;
• serangan infrastruktur- Infrastruktur TI perusahaan sangat penting, serangan untuk menonaktifkannya sangat berbahaya. Bagi mereka, seluruh jaringan komputer yang terinfeksi beberapa jenis virus yang digunakan untuk mencegat kontrol dapat terlibat. Sebagai contoh, beberapa waktu lalu sebuah virus didistribusikan yang berisi kode yang seharusnya meluncurkan serangan terdistribusi di situs web Microsoft pada waktu tertentu untuk menonaktifkannya. Beberapa juta komputer terinfeksi, dan hanya bug dalam kode virus yang tidak memungkinkan serangan yang direncanakan untuk dilakukan;
• kebocoran informasi bisnis— pencegahan kebocoran semacam itu adalah salah satu tugas utama produk penyaringan konten. Kebocoran informasi penting dapat menyebabkan kerusakan yang tidak dapat diperbaiki pada perusahaan, terkadang sebanding dengan hilangnya aset tetap. Oleh karena itu, dalam banyak produk, alat sedang dikembangkan untuk menentukan saluran transmisi data rahasia, seperti penggunaan steganografi;
• ancaman penuntutan- Jenis ancaman ini sangat relevan bagi perusahaan jika karyawannya dapat menggunakan jaringan berbagi file, mengunduh dan/atau mendistribusikan musik, film, dan konten berhak cipta lainnya. Litigasi juga dimungkinkan untuk penyebaran informasi yang memfitnah dan/atau memfitnah pihak ketiga.

Lima jenis ancaman pertama mempengaruhi komputer rumah dan komputer di jaringan perusahaan. Tetapi dua ancaman terakhir sangat relevan untuk semua jenis perusahaan.

Pemfilteran lalu lintas web

Baru-baru ini, berbagai perubahan telah terjadi di bidang penyaringan lalu lintas Internet, karena munculnya teknologi penyaringan baru dan perubahan teknologi yang digunakan untuk membangun situs Internet.

Salah satu tren terpenting dalam pengembangan produk penyaringan konten dalam hal kontrol lalu lintas Internet adalah transisi dari penggunaan basis data kategori situs ke penentuan kategori situs berdasarkan kontennya. Ini menjadi sangat relevan dengan pengembangan berbagai portal, yang mungkin berisi konten dari berbagai kategori yang berubah seiring waktu dan / atau menyesuaikan dengan pengaturan klien.

Teknologi dan alat populer baru-baru ini untuk membangun situs Internet, seperti Ajax, Macromedia Flash, dan lainnya, memerlukan perubahan dalam teknologi penyaringan lalu lintas Internet.

Penggunaan saluran terenkripsi untuk berinteraksi dengan situs Internet memastikan perlindungan data dari intersepsi oleh pihak ketiga, tetapi pada saat yang sama, informasi penting dapat bocor melalui saluran transmisi data ini atau kode berbahaya dapat masuk ke sistem komputer.

Masalah mengintegrasikan alat perlindungan dengan sistem yang memastikan berfungsinya infrastruktur TI, seperti server proxy, server web, server surat, server direktori, dll., tetap relevan. Berbagai perusahaan dan organisasi nirlaba sedang mengembangkan protokol untuk interaksi antara sistem yang berbeda.

Keadaan saat ini di bidang ini akan dibahas di bawah ini.

Pendekatan untuk kategorisasi situs dan data

• penggunaan basis kategori situs yang telah ditentukan sebelumnya dengan pembaruan rutin daftar situs dan kategori;
• kategorisasi data dengan cepat dengan menganalisis konten halaman;
• penggunaan data tentang kategori, informasi tentang milik yang disediakan oleh situs itu sendiri.

Masing-masing metode ini memiliki kelebihan dan kekurangannya masing-masing.

Basis data kategori situs yang telah ditentukan sebelumnya

Menggunakan database alamat situs dan kategori terkait yang telah disiapkan sebelumnya adalah metode yang sudah lama digunakan dan sudah mapan. Saat ini database semacam itu disediakan oleh banyak perusahaan, seperti Websense, Surfcontrol, ISS/Cobion, Secure Computing, Astaro AG, NetStar dan lain-lain. Beberapa perusahaan menggunakan basis ini hanya dalam produk mereka, yang lain mengizinkan mereka untuk terhubung ke produk pihak ketiga. Basis data yang disediakan oleh Websense, Secure Computing, SurfControl, dan ISS/Cobion dianggap paling lengkap, berisi informasi tentang jutaan situs dalam berbagai bahasa dan negara, yang sangat penting di era globalisasi.

Kategorisasi data dan pembentukan database kategori biasanya dilakukan dalam mode semi-otomatis - pertama, analisis konten dan penentuan kategori dilakukan dengan menggunakan alat yang dikembangkan secara khusus, yang bahkan mungkin menyertakan sistem pengenalan teks dalam gambar. Dan pada tahap kedua, informasi yang diterima sering diperiksa oleh orang-orang yang memutuskan ke dalam kategori mana situs tertentu dapat diklasifikasikan.

Banyak perusahaan secara otomatis mengisi kembali basis data kategori berdasarkan hasil kerja dengan klien jika ditemukan situs yang belum ditetapkan ke salah satu kategori.

Saat ini ada dua cara untuk menghubungkan database kategori situs yang telah ditentukan sebelumnya:

• menggunakan basis data kategori lokal dengan pembaruan rutin. Metode ini sangat nyaman untuk organisasi besar yang memiliki server pemfilteran khusus dan melayani permintaan dalam jumlah besar;
• menggunakan database kategori yang dihosting di server jauh. Metode ini sering digunakan di berbagai perangkat - firewall kecil, modem ADSL, dll. Menggunakan basis data kategori jarak jauh sedikit meningkatkan beban pada saluran, tetapi memastikan bahwa basis data kategori saat ini digunakan.

Keuntungan menggunakan database kategori yang telah ditentukan termasuk fakta bahwa akses diberikan atau ditolak pada tahap mengeluarkan permintaan oleh klien, yang secara signifikan dapat mengurangi beban pada saluran transmisi data. Dan kelemahan utama menggunakan pendekatan ini adalah keterlambatan dalam memperbarui database kategori situs, karena analisis akan memakan waktu. Selain itu, beberapa situs sering mengubah kontennya, sehingga informasi tentang kategori yang disimpan dalam basis data alamat menjadi tidak relevan. Beberapa situs mungkin juga menyediakan akses ke informasi yang berbeda, tergantung pada nama pengguna, wilayah geografis, waktu, dan sebagainya.

Kategorikan data dengan cepat

Salah satu opsi sederhana untuk menerapkan solusi semacam itu adalah penggunaan algoritme Bayesian, yang telah terbukti cukup baik dalam memerangi spam. Namun, opsi ini memiliki kekurangan - perlu untuk menyelesaikannya secara berkala, menyesuaikan kamus sesuai dengan data yang dikirimkan. Oleh karena itu, beberapa perusahaan menggunakan algoritme yang lebih kompleks untuk menentukan kategori situs berdasarkan konten selain metode sederhana. Misalnya, ContentWatch menyediakan perpustakaan khusus yang menganalisis data menurut informasi linguistik tentang bahasa tertentu dan, berdasarkan informasi ini, dapat menentukan kategori data.

Mengkategorikan data dengan cepat memungkinkan Anda untuk dengan cepat merespons kemunculan situs baru, karena informasi tentang kategori situs tidak bergantung pada alamatnya, tetapi hanya pada kontennya. Tetapi pendekatan ini juga memiliki kelemahan - perlu untuk menganalisis semua data yang ditransmisikan, yang menyebabkan beberapa penurunan kinerja sistem. Kelemahan kedua adalah kebutuhan untuk memelihara database kategori up-to-date untuk berbagai bahasa. Namun, beberapa produk mengambil pendekatan ini saat menggunakan database kategori situs secara bersamaan. Ini termasuk penggunaan Agen Kontrol Virtual dalam produk SurfControl, mekanisme untuk menentukan kategori data dalam SKVT Dozor-Jet.

Data kategori disediakan oleh situs

Selain database alamat dan kategorisasi konten saat itu juga, ada pendekatan lain untuk menentukan kategori situs - situs itu sendiri melaporkan termasuk kategori mana.

Pendekatan ini terutama ditujukan untuk digunakan oleh pengguna rumahan di mana, misalnya, orang tua atau guru dapat menetapkan kebijakan pemfilteran dan/atau melacak situs mana yang dikunjungi.

Ada beberapa cara untuk menerapkan pendekatan ini untuk kategorisasi sumber daya:

• PICS (Platform for Internet Content Selection) adalah spesifikasi yang dikembangkan oleh konsorsium W3 sekitar sepuluh tahun yang lalu dan memiliki berbagai ekstensi yang bertujuan untuk memastikan keandalan sistem peringkat. Untuk kontrol, perangkat lunak khusus yang dikembangkan dapat digunakan, tersedia untuk diunduh dari halaman proyek. Informasi lebih lanjut tentang PICS dapat ditemukan di situs web W3.org (http://www.w3.org/PICS/).
• ICRA (Internet Content Rating Association) adalah inisiatif baru yang dikembangkan oleh organisasi nirlaba independen dengan nama yang sama. Tujuan utama dari inisiatif ini adalah untuk melindungi anak-anak dari akses ke konten terlarang. Organisasi ini memiliki perjanjian dengan banyak perusahaan (perusahaan telekomunikasi dan perangkat lunak besar) untuk memberikan perlindungan yang lebih andal.
  ICRA menyediakan perangkat lunak yang memungkinkan Anda untuk memeriksa label khusus yang dikembalikan oleh situs dan memutuskan akses ke data ini. Perangkat lunak ini hanya berjalan pada platform Microsoft Windows, tetapi karena spesifikasi terbuka memungkinkan untuk membuat implementasi perangkat lunak filter untuk platform lain. Maksud dan tujuan organisasi ini, serta semua dokumen yang diperlukan dapat ditemukan di situs web ICRA - http://www.icra.org/.

Keuntungan dari pendekatan ini termasuk fakta bahwa hanya perangkat lunak khusus yang diperlukan untuk pemrosesan data dan tidak perlu memperbarui basis data alamat dan / atau kategori, karena semua informasi dikirimkan oleh situs itu sendiri. Namun sisi negatifnya adalah bahwa situs tersebut mungkin menunjukkan kategori yang salah, dan ini akan menyebabkan ketentuan yang salah atau larangan akses ke data. Namun, masalah ini dapat diselesaikan (dan sedang diselesaikan) melalui penggunaan sarana validasi data, seperti tanda tangan digital, dll.

Penyaringan Lalu Lintas di Dunia Web 2.0

Pengenalan besar-besaran yang disebut teknologi Web 2.0 telah sangat memperumit penyaringan konten lalu lintas web. Karena dalam banyak kasus data ditransmisikan secara terpisah dari desain, ada kemungkinan melewatkan informasi yang tidak diinginkan ke atau dari pengguna. Dalam hal bekerja dengan situs yang menggunakan teknologi tersebut, perlu untuk melakukan analisis komprehensif dari data yang dikirimkan, menentukan transfer informasi tambahan dan dengan mempertimbangkan data yang dikumpulkan pada tahap sebelumnya.

Saat ini, tidak ada perusahaan yang memproduksi alat pemfilteran konten lalu lintas web yang memungkinkan analisis kompleks data yang dikirimkan menggunakan teknologi AJAX.

Integrasi dengan sistem eksternal

Dalam banyak kasus, masalah integrasi sistem analisis isi dengan sistem lain menjadi sangat akut. Pada saat yang sama, sistem analisis konten dapat bertindak sebagai klien dan server, atau dalam kedua peran sekaligus. Untuk tujuan ini, beberapa protokol standar telah dikembangkan - Internet Content Adaptation Protocol (ICAP), Open Pluggable Edge Services (OPES). Selain itu, beberapa produsen telah membuat protokol mereka sendiri untuk memungkinkan produk tertentu berkomunikasi satu sama lain atau dengan perangkat lunak pihak ketiga. Ini termasuk Cisco Web Cache Coordination Protocol (WCCP), Check Point Content Vectoring Protocol (CVP), dan lainnya.

Beberapa protokol - ICAP dan OPES - dirancang sedemikian rupa sehingga dapat digunakan untuk mengimplementasikan layanan penyaringan konten dan layanan lainnya - penerjemah, penempatan iklan, pengiriman data, tergantung pada kebijakan distribusi, dll.

protokol ICAP

Saat ini, protokol ICAP populer di kalangan pembuat perangkat lunak pemfilteran konten dan pengembang perangkat lunak untuk mendeteksi konten berbahaya (virus, spyware/malware). Namun, perlu dicatat bahwa ICAP terutama dirancang untuk bekerja dengan HTTP, yang memberlakukan banyak batasan pada penggunaannya dengan protokol lain.

ICAP diadopsi oleh Internet Engineering Task Force (IETF) sebagai standar. Protokol itu sendiri didefinisikan dalam "RFC 3507" dengan beberapa tambahan yang diuraikan dalam "draf Ekstensi ICAP". Dokumen-dokumen ini dan informasi tambahan tersedia dari server Forum ICAP - http://www.i-cap.org.

Arsitektur sistem saat menggunakan protokol ICAP ditunjukkan pada gambar di atas. Klien ICAP adalah sistem di mana lalu lintas ditransmisikan. Sistem yang melakukan analisis dan pemrosesan data disebut server ICAP. Server ICAP dapat bertindak sebagai klien ke server lain, memungkinkan beberapa layanan berlabuh untuk berbagi data yang sama.

Komunikasi antara klien dan server menggunakan protokol yang mirip dengan protokol HTTP versi 1.1, dan cara pengkodean informasi yang sama. Menurut standar ICAP, ia dapat memproses lalu lintas keluar (REQMOD - Permintaan Modifikasi) dan masuk (RESPMOD - Modifikasi Respons).

Terserah klien ICAP untuk memutuskan mana dari data yang dikirimkan akan diproses, dalam beberapa kasus ini membuat tidak mungkin untuk menganalisis data sepenuhnya. Pengaturan klien sepenuhnya bergantung pada implementasi dan dalam banyak kasus tidak dapat diubah.

Setelah menerima data dari klien, server ICAP melakukan pemrosesan data dan, jika perlu, modifikasi data. Data kemudian dikembalikan ke klien ICAP, dan meneruskannya ke server atau klien, tergantung ke arah mana data itu dikirim.

ICAP paling banyak digunakan dalam produk anti-malware karena memungkinkan pemeriksaan ini digunakan di seluruh produk dan tidak bergantung pada platform tempat klien ICAP dijalankan.

Kerugian menggunakan ICAP adalah sebagai berikut:

• interaksi jaringan tambahan antara klien dan server agak memperlambat kecepatan transfer data antara sistem eksternal dan konsumen informasi;
• ada pengecekan yang perlu dilakukan bukan pada client, melainkan pada server ICAP, seperti penentuan tipe data, dll. Ini relevan karena dalam banyak kasus klien ICAP mengandalkan ekstensi file atau tipe data yang dilaporkan oleh server eksternal, yang dapat menyebabkan pelanggaran kebijakan keamanan;
• integrasi yang sulit dengan sistem yang menggunakan protokol selain HTTP mencegah penggunaan ICAP untuk analisis data yang mendalam.

Protokol OPES

Tidak seperti ICAP, protokol OPES dikembangkan dengan mempertimbangkan karakteristik protokol tertentu. Selain itu, ketika mengembangkannya, kekurangan protokol ICAP diperhitungkan, seperti kurangnya otentikasi klien dan server, kurangnya otentikasi, dll.

Seperti ICAP, OPES telah diadopsi oleh Internet Engineering Task Force sebagai standar. Struktur interaksi layanan, protokol interaksi, persyaratan layanan, dan solusi keamanan layanan ditetapkan dalam RFC 3752, 3835, 3836, 3837, dan lainnya. Daftar tersebut diperbarui secara berkala dengan dokumen baru yang menjelaskan penerapan OPES tidak hanya untuk pemrosesan lalu lintas Internet, tetapi juga untuk pemrosesan lalu lintas surat, dan di masa depan, kemungkinan jenis protokol lainnya.

Struktur interaksi antara server OPES dan klien (OPES Processor) ditunjukkan pada gambar. Secara umum, ini mirip dengan skema interaksi antara server dan klien ICAP, tetapi ada juga perbedaan yang signifikan:

• ada persyaratan untuk implementasi klien OPES, yang memungkinkan untuk mengelolanya dengan lebih mudah - mengatur kebijakan pemfilteran, dll.;
• konsumen data (pengguna atau sistem informasi) dapat mempengaruhi pemrosesan data. Misalnya, saat menggunakan penerjemah otomatis, data yang diterima dapat diterjemahkan secara otomatis ke dalam bahasa yang digunakan oleh pengguna;
• sistem yang menyediakan data juga dapat mempengaruhi hasil pemrosesan;
• server pemrosesan dapat digunakan untuk menganalisis data khusus untuk protokol yang digunakan untuk mengirimkan data ke klien OPES;
• beberapa server pemrosesan data mungkin menerima data yang lebih sensitif jika mereka berada dalam hubungan kepercayaan dengan klien OPES, konsumen dan/atau penyedia informasi.

Semua opsi yang tercantum hanya bergantung pada konfigurasi yang digunakan saat menerapkan sistem. Karena kemungkinan ini, penggunaan OPES lebih menjanjikan dan nyaman daripada penggunaan protokol ICAP.

Dalam waktu dekat, produk yang mendukung OPES bersama dengan protokol ICAP diharapkan muncul. Tetapi karena saat ini tidak ada implementasi penuh menggunakan OPES, tidak mungkin untuk menarik kesimpulan akhir tentang kekurangan dari pendekatan ini, meskipun secara teoritis hanya ada satu kelemahan - peningkatan waktu pemrosesan karena interaksi antara klien dan server OPES.

HTTPS dan jenis lalu lintas terenkripsi lainnya

Menurut beberapa analis, hingga 50% lalu lintas Internet dienkripsi. Masalah mengontrol lalu lintas terenkripsi sekarang relevan bagi banyak organisasi, karena pengguna dapat menggunakan enkripsi untuk membuat saluran kebocoran informasi. Selain itu, saluran terenkripsi juga dapat digunakan oleh kode berbahaya untuk menembus sistem komputer.

Ada beberapa tugas yang terkait dengan pemrosesan lalu lintas terenkripsi:

• analisis data yang dikirimkan melalui saluran terenkripsi;
• verifikasi sertifikat yang digunakan oleh server untuk mengatur saluran terenkripsi.

Relevansi tugas-tugas ini meningkat setiap hari.

Kontrol transmisi data terenkripsi

Mengontrol transmisi data yang dikirim melalui saluran terenkripsi mungkin merupakan tugas terpenting bagi organisasi yang karyawannya memiliki akses ke sumber daya Internet. Untuk menerapkan kontrol ini, ada pendekatan yang disebut "Man-in-the-Middle" (juga disebut "Main-in-the-Middle" di beberapa sumber), yang dapat digunakan oleh penyerang untuk mencegat data. Skema pengolahan data untuk metode ini ditunjukkan pada gambar:

Proses pengolahan datanya adalah sebagai berikut:

• sertifikat root yang dikeluarkan secara khusus dipasang di browser Internet pengguna, yang digunakan oleh server proxy untuk menandatangani sertifikat yang dihasilkan (tanpa menginstal sertifikat seperti itu, browser pengguna akan menampilkan pesan bahwa sertifikat penandatanganan dikeluarkan oleh organisasi yang tidak tepercaya) ;
• ketika koneksi dibuat dengan server proxy, data dipertukarkan, dan sertifikat yang dibuat secara khusus dengan data server tujuan, tetapi ditandatangani dengan kunci yang diketahui, ditransmisikan ke browser, yang memungkinkan server proxy untuk mendekripsi lalu lintas yang ditransmisikan ;
• data yang didekripsi diuraikan dengan cara yang sama seperti lalu lintas HTTP biasa;
• server proxy membuat koneksi dengan server tempat data harus ditransfer, dan menggunakan sertifikat server untuk mengenkripsi saluran;
• data yang dikembalikan dari server didekripsi, diuraikan dan dikirimkan ke pengguna, dienkripsi dengan sertifikat server proxy.

Saat menggunakan skema ini untuk memproses data terenkripsi, mungkin ada masalah yang terkait dengan konfirmasi kebenaran pengguna. Selain itu, pekerjaan diperlukan untuk menginstal sertifikat di browser Internet semua pengguna (jika Anda tidak menginstal sertifikat seperti itu, pengguna akan menerima pesan bahwa sertifikat itu ditandatangani oleh perusahaan yang tidak dikenal, yang akan memberikan informasi kepada pengguna tentang pemantauan transfer data).

Produk berikut sekarang ada di pasaran untuk mengontrol transmisi data terenkripsi: Webwasher SSL Scanner dari Secure Computing, Breach View SSL, WebCleaner.

Otentikasi Sertifikat

Tugas kedua yang muncul saat menggunakan saluran transmisi data terenkripsi adalah otentikasi sertifikat yang disediakan oleh server tempat pengguna bekerja.

Penyerang dapat menyerang sistem informasi dengan membuat entri DNS palsu yang mengarahkan permintaan pengguna bukan ke situs yang mereka butuhkan, tetapi ke situs yang dibuat oleh penyerang itu sendiri. Situs palsu ini dapat mencuri data pengguna penting seperti nomor kartu kredit, kata sandi, dll., dan mengunduh kode berbahaya dengan kedok pembaruan perangkat lunak.

Untuk mencegah kasus seperti itu, ada perangkat lunak khusus yang memeriksa kepatuhan sertifikat yang diberikan oleh server dengan data yang mereka laporkan.

Jika terjadi ketidakcocokan, sistem dapat memblokir akses ke situs tersebut atau memberikan akses setelah konfirmasi eksplisit oleh pengguna. Dalam hal ini, pemrosesan data dilakukan dengan cara yang hampir sama seperti ketika menganalisis data yang dikirimkan melalui saluran terenkripsi, hanya dalam hal ini bukan data yang dianalisis, tetapi sertifikat yang diberikan oleh server.

Pemfilteran lalu lintas email

Saat menggunakan email, organisasi dihadapkan pada kebutuhan untuk memberikan perlindungan baik untuk lalu lintas masuk dan keluar. Tetapi tugas yang diselesaikan untuk masing-masing arah sangat berbeda. Untuk lalu lintas masuk, perlu untuk memastikan pengendalian kode berbahaya, phishing dan spam (spam), sedangkan dalam konten surat keluar dikendalikan, transmisi yang dapat menyebabkan kebocoran informasi penting, distribusi bahan kompromi, dan Suka.

Sebagian besar produk di pasar hanya memberikan kontrol atas lalu lintas masuk. Hal ini dilakukan melalui integrasi dengan sistem anti-virus, penerapan berbagai mekanisme anti-spam dan anti-phishing. Banyak dari fungsi-fungsi ini sudah dibangun ke dalam klien email, tetapi mereka tidak dapat sepenuhnya menyelesaikan masalah.

Saat ini ada beberapa cara untuk melindungi pengguna dari spam:

• perbandingan pesan yang diterima dengan database pesan yang ada. Saat membandingkan, berbagai teknik dapat digunakan, termasuk penggunaan algoritme genetika yang memungkinkan Anda mengisolasi kata kunci meskipun kata kuncinya terdistorsi;
• kategorisasi dinamis pesan berdasarkan isinya. Memungkinkan Anda menentukan dengan sangat efektif adanya korespondensi yang tidak diinginkan. Untuk mengatasi metode ini, spammer menggunakan pesan gambar dengan teks di dalam dan/atau kumpulan kata dari kamus, yang menciptakan kebisingan yang mengganggu pengoperasian sistem ini. Namun, sekarang, untuk memerangi spam semacam itu, berbagai metode telah digunakan, seperti analisis wavelet dan/atau pengenalan teks dalam gambar;
• daftar akses abu-abu, putih dan hitam memungkinkan Anda untuk menjelaskan kebijakan menerima pesan email dari situs yang dikenal atau tidak dikenal. Penggunaan daftar abu-abu dalam banyak kasus membantu mencegah transmisi pesan yang tidak diinginkan karena spesifikasi perangkat lunak yang mengirim spam. Untuk mempertahankan daftar hitam akses, database lokal yang dikelola oleh administrator dan database global yang diisi ulang berdasarkan pesan dari pengguna dari seluruh dunia dapat digunakan. Namun, penggunaan basis data global penuh dengan fakta bahwa seluruh jaringan, termasuk yang berisi server email "baik", dapat masuk ke dalamnya.

Untuk memerangi kebocoran informasi, berbagai metode digunakan, berdasarkan intersepsi dan analisis pesan yang mendalam sesuai dengan kebijakan penyaringan yang kompleks. Dalam hal ini, perlu untuk menentukan dengan benar jenis file, bahasa dan penyandian teks, dan melakukan analisis semantik dari pesan yang dikirimkan.

Aplikasi lain dari sistem untuk memfilter lalu lintas email adalah pembuatan aliran email terenkripsi, ketika sistem secara otomatis menandatangani atau mengenkripsi pesan, dan data secara otomatis didekripsi di ujung koneksi yang lain. Fungsi ini sangat nyaman jika Anda ingin memproses semua surat keluar, tetapi harus sampai ke penerima dalam bentuk terenkripsi.

Penyaringan Pesan Instan

Pesan instan perlahan-lahan bergerak ke dalam kategori alat yang digunakan secara aktif di banyak perusahaan. Mereka menyediakan interaksi cepat dengan karyawan dan / atau pelanggan organisasi. Oleh karena itu, wajar jika perkembangan alat yang antara lain dapat menjadi saluran kebocoran informasi, telah menyebabkan munculnya alat untuk mengendalikan informasi yang dikirimkan.

Saat ini, protokol yang paling umum digunakan untuk pesan instan adalah MSN (Microsoft Network), AIM (AOL Instant Messaging), Yahoo! Obrolan, Jabber dan rekan korporat mereka adalah protokol Microsoft Live Communication Server (LCS), IBM SameTime dan Yahoo Corporate Messaging Server. Di wilayah CIS, sistem ICQ, yang sekarang dimiliki oleh AOL dan menggunakan protokol yang hampir sama dengan AIM, telah tersebar luas. Semua sistem ini melakukan hal yang hampir sama - mereka mengirimkan pesan (baik melalui server dan langsung) dan file.

Sekarang, hampir semua sistem memiliki kemampuan untuk melakukan panggilan dari komputer ke komputer dan / atau ke telepon biasa, yang menciptakan kesulitan tertentu untuk sistem kontrol dan memerlukan dukungan VoIP untuk menerapkan server proxy yang lengkap.

Biasanya, produk kontrol lalu lintas IM diimplementasikan sebagai gateway aplikasi yang mem-parsing data yang ditransmisikan dan memblokir transmisi data yang dilarang. Namun, ada juga implementasi dalam bentuk server IM khusus yang melakukan pemeriksaan yang diperlukan di tingkat server.

Fitur produk yang paling banyak diminta untuk memantau lalu lintas IM:

• kontrol akses dengan protokol terpisah;
• kontrol klien yang digunakan, dll .;
• kontrol akses pengguna individu:
• memungkinkan pengguna untuk berkomunikasi hanya di dalam perusahaan;
• memungkinkan pengguna untuk berkomunikasi hanya dengan pengguna tertentu di luar perusahaan;
• kontrol teks yang ditransmisikan;
• kontrol transfer file. Objek pengendaliannya adalah:
  • ukuran file;
  • jenis dan/atau ekstensi file;
• arah transfer data;
• kontrol keberadaan konten berbahaya;
• definisi SPIM;
• menyimpan data yang dikirimkan untuk analisis selanjutnya.

Saat ini, kontrol pesan instan memungkinkan Anda menjalankan produk berikut:

• CipherTrust IronIM dengan Komputasi Aman. Produk ini mendukung AIM, MSN, Yahoo! Obrolan, Microsoft LCS, dan IBM SameTime. Ini adalah salah satu solusi terlengkap saat ini;
• Manajer IM Symantec (dikembangkan oleh IMLogic, yang diakuisisi oleh Symantec). Produk ini mendukung protokol berikut - Microsoft LCS, AIM, MSN, IBM SameTime, ICQ, dan Yahoo! mengobrol;
• Antigen untuk Pesan Instan dari Microsoft juga memungkinkan Anda untuk bekerja dengan hampir semua protokol populer untuk pesan instan.

Produk perusahaan lain (ScanSafe, ContentKeeper) memiliki fitur yang lebih sedikit daripada yang tercantum di atas.

Perlu dicatat bahwa dua perusahaan Rusia, Grand Prix (produk SL-ICQ) dan Mera.ru (produk Sormovich), menyediakan produk untuk memantau transmisi pesan menggunakan protokol ICQ.

Penyaringan VoIP

Semakin populernya sarana untuk transfer informasi audio antar komputer (juga disebut Voice over IP (VoIP)) membuat perlu untuk mengambil tindakan untuk mengontrol transfer informasi tersebut. Ada implementasi yang berbeda untuk PC-ke-PC dan/atau panggilan telepon biasa.

Ada protokol standar untuk pertukaran informasi tersebut, seperti Session Instantiation Protocol (SIP) yang diadopsi oleh IETF dan H.323 yang dikembangkan oleh ITU. Protokol ini terbuka, yang memungkinkan untuk memprosesnya.

Selain itu, ada protokol yang dikembangkan oleh perusahaan tertentu yang tidak memiliki dokumentasi terbuka, yang membuatnya sangat sulit untuk bekerja dengan mereka. Salah satu implementasi yang paling populer adalah Skype, yang telah mendapatkan popularitas luas di seluruh dunia. Sistem ini memungkinkan Anda untuk melakukan panggilan antar komputer, melakukan panggilan ke telepon rumah dan telepon seluler, dan menerima panggilan dari telepon rumah dan telepon seluler. Versi terbaru mendukung berbagi video.

Sebagian besar produk yang tersedia saat ini dapat dibagi menjadi dua kategori:

• produk yang memungkinkan Anda mengidentifikasi dan memblokir lalu lintas VoIP;
• produk yang dapat mendeteksi, menangkap, dan menganalisis lalu lintas VoIP.

• Produk Dolphia yang memungkinkan Anda mendeteksi dan mengizinkan atau menolak lalu lintas VoIP (SIP dan Skype) yang dikemas dalam lalu lintas HTTP standar;
• produk Verso Technologies;
• berbagai jenis firewall yang memiliki kemampuan ini.

• produk perusahaan Rusia "Sormovich" mendukung penangkapan, analisis, dan penyimpanan informasi suara, yang ditransmisikan melalui protokol H.323 dan SIP;
• perpustakaan open source Oreka () memungkinkan Anda untuk menentukan komponen sinyal lalu lintas audio dan menangkap data yang dikirimkan, yang kemudian dapat dianalisis dengan cara lain.

Baru-baru ini diketahui bahwa produk yang dikembangkan oleh ERA IT Solutions AG memungkinkan Anda untuk mencegat lalu lintas VoIP yang ditransmisikan menggunakan program Skype. Tetapi untuk melakukan kontrol seperti itu, Anda perlu menginstal klien khusus di komputer yang menjalankan Skype.

Pemfilteran peer-to-peer

Penggunaan berbagai jaringan peer-to-peer (p2p) oleh karyawan menimbulkan ancaman berikut bagi organisasi:

• distribusi kode berbahaya;
• kebocoran informasi;
• distribusi data berhak cipta, yang dapat menyebabkan penuntutan;
• penurunan produktivitas tenaga kerja;

Ada sejumlah besar jaringan peer-to-peer. Ada jaringan yang memiliki server pusat yang digunakan untuk mengoordinasikan pengguna, dan ada jaringan yang sepenuhnya terdesentralisasi. Dalam kasus kedua, mereka sangat sulit dikendalikan menggunakan alat standar seperti firewall.

Untuk mengatasi masalah ini, banyak perusahaan membuat produk yang memungkinkan pendeteksian dan pemrosesan lalu lintas p2p. Ada solusi berikut untuk memproses lalu lintas p2p:

• Filter Pesan Instan SurfControl, yang menangani p2p setara dengan pesan instan;
• paket Websense Enterprise juga menyediakan alat bagi pengguna untuk mengontrol lalu lintas p2p;
• Filter Pesan Instan Webwasher memungkinkan Anda mengontrol akses ke berbagai jaringan p2p.

Penggunaan produk ini atau produk lain yang tidak tercantum di sini secara dramatis mengurangi risiko yang terkait dengan akses pengguna ke jaringan p2p.

Manajemen Ancaman Terpadu

Solusi Unified Threat Management ditawarkan oleh banyak vendor keamanan. Sebagai aturan, mereka dibangun atas dasar firewall, yang selain fungsi utama, juga melakukan fungsi penyaringan konten data. Biasanya, fitur ini berfokus pada pencegahan intrusi, penetrasi kode berbahaya, dan spam.

Banyak dari produk ini diimplementasikan sebagai solusi perangkat keras dan perangkat lunak yang tidak dapat sepenuhnya menggantikan solusi pemfilteran lalu lintas email dan Internet, karena hanya berfungsi dengan sejumlah kemampuan terbatas yang disediakan oleh protokol tertentu. Mereka biasanya digunakan untuk menghindari duplikasi fungsionalitas di seluruh produk dan untuk memastikan bahwa semua protokol aplikasi ditangani terhadap database ancaman yang diketahui sama.

Solusi Manajemen Ancaman Terpadu yang paling populer adalah produk berikut:

• SonicWall Gateway Anti-Virus, Anti-Spyware dan Intrusion Prevention Service menyediakan anti-virus dan perlindungan data lainnya untuk SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, protokol Pesan Instan dan banyak protokol streaming yang digunakan untuk mentransfer informasi audio dan video;
• serangkaian perangkat ISS Proventia Network Multi-Function Security, dibuat dalam bentuk perangkat lunak dan sistem perangkat keras, menyediakan pemblokiran kode berbahaya, pesan yang tidak diinginkan, dan gangguan. Pengiriman mencakup sejumlah besar cek (termasuk untuk VoIP), yang dapat diperpanjang oleh pengguna;
• Platform perangkat keras Keamanan Gateway Jaringan Komputasi Aman, selain perlindungan terhadap kode berbahaya dan spam, juga memiliki dukungan VPN. Hampir semua solusi Secure Computing terintegrasi ke dalam platform ini.

Ada produk lain, tetapi yang tercantum di atas banyak digunakan.

Penyadapan data

Penyadapan data (Lawful interception) hampir selalu digunakan oleh badan intelijen untuk mengumpulkan dan menganalisis informasi yang dikirimkan. Namun, baru-baru ini masalah penyadapan data (tidak hanya lalu lintas Internet, tetapi juga telepon dan jenis lainnya) menjadi sangat relevan dalam kaitannya dengan perang melawan terorisme. Bahkan negara-negara yang selalu menentang sistem seperti itu mulai menggunakannya untuk mengontrol transfer informasi.

Karena berbagai jenis data disadap, sering kali ditransmisikan melalui saluran berkecepatan tinggi, penerapan sistem tersebut memerlukan perangkat lunak khusus untuk menangkap dan menguraikan data dan perangkat lunak terpisah untuk menganalisis data yang dikumpulkan. Dengan demikian, perangkat lunak untuk penyaringan konten dari satu atau protokol lain dapat digunakan.

Mungkin yang paling terkenal dari sistem ini adalah sistem Eselon Anglo-Amerika, yang telah lama digunakan untuk mencegat data untuk kepentingan berbagai lembaga AS dan Inggris. Selain itu, Badan Keamanan Nasional AS menggunakan sistem Narus, yang memungkinkan pemantauan dan analisis lalu lintas Internet secara real-time.

Di antara produk-produk Rusia, kami dapat menyebutkan solusi dari perusahaan "Sormovich", yang memungkinkan pengambilan dan analisis surat, audio, serta berbagai jenis lalu lintas Internet (HTTP dan lainnya).

Kesimpulan

Perkembangan sistem informasi menyebabkan munculnya ancaman baru yang semakin banyak. Oleh karena itu, pengembangan produk content filtering tidak hanya tidak ketinggalan, bahkan terkadang mengantisipasi munculnya ancaman baru, mengurangi risiko sistem informasi yang dilindungi.

Halaman awal modul

Sebuah layanan yang memungkinkan klien untuk membuat permintaan tidak langsung ke layanan jaringan lain. Pertama, klien terhubung ke server proxy dan meminta beberapa sumber daya web yang terletak di server lain. Server proxy kemudian menghubungkan ke server yang ditentukan dan memperoleh sumber daya darinya, atau mengembalikan sumber daya dari cache-nya sendiri (jika salah satu klien telah mengakses sumber daya ini). Dalam beberapa kasus, permintaan klien atau respons server dapat dimodifikasi oleh server proxy untuk tujuan tertentu.

Selain itu, server proxy memungkinkan Anda untuk menganalisis permintaan HTTP klien yang melewati server, melakukan pemfilteran dan penghitungan lalu lintas berdasarkan jenis URL dan mime. Selain itu, server proxy menerapkan mekanisme untuk mengakses Internet dengan login/password.

Server proxy melakukan caching objek yang diterima oleh pengguna dari Internet dan dengan demikian mengurangi konsumsi lalu lintas dan meningkatkan kecepatan pemuatan halaman.

Saat Anda memasuki modul, status layanan, tombol "Nonaktifkan" (atau "Aktifkan" jika modul dinonaktifkan) dan pesan terbaru dalam log akan ditampilkan.

Pengaturan

Biasanya, untuk bekerja melalui server proxy, Anda harus menentukan alamat dan portnya di pengaturan browser. Namun, jika login pengguna/otorisasi kata sandi tidak digunakan, maka fungsi proxy transparan dapat digunakan.

Dalam hal ini, semua permintaan HTTP dari jaringan lokal secara otomatis dirutekan melalui server proxy. Dengan demikian, menjadi mungkin untuk memfilter dan memperhitungkan lalu lintas berdasarkan URL, terlepas dari pengaturan komputer klien.

Port default server proxy adalah 3128, dalam pengaturan modul Anda dapat mengubahnya ke port gratis apa pun.

Jenis otorisasi

Server proxy ICS mendukung dua metode otorisasi: dengan alamat ip pengguna, dan dengan kata sandi masuk.

Otorisasi dengan alamat ip cocok untuk kasus di mana pengguna terus-menerus menggunakan komputer yang sama. Proksi menentukan pengguna mana yang memiliki lalu lintas ini atau itu, berdasarkan alamat ip komputernya. Metode ini tidak cocok untuk server terminal, karena dalam hal ini beberapa pengguna bekerja dari satu alamat ip. Selain itu, metode ini tidak cocok untuk organisasi di mana pengguna terus berpindah antar pekerjaan. Selain itu, pengguna dapat mengubah alamat ip komputernya dan, jika pengikatan alamat MAC ke IP tidak dikonfigurasi, ICS akan mengambilnya untuk orang lain.

Otorisasi dengan login/kata sandi memecahkan masalah mengikat pengguna ke komputer mereka sendiri. Dalam hal ini, ketika mengakses sumber daya Internet apa pun untuk pertama kalinya, browser akan meminta pengguna untuk login/kata sandi untuk mengakses Internet. Jika pengguna di jaringan Anda diotorisasi dalam suatu domain, Anda dapat mengatur jenis otorisasi ke Via Domain. Dalam hal ini, jika ICS terhubung ke pengontrol domain dan pengguna telah diimpor dari domain, otorisasi akan dilakukan secara transparan, tanpa memerlukan login/sandi.

Selain itu, Anda harus ingat bahwa otorisasi proxy hanya digunakan untuk lalu lintas http pengguna. Akses ke Internet untuk program yang menggunakan protokol selain http diatur oleh firewall, yang hanya memiliki satu metode otorisasi: berdasarkan alamat IP. Dengan kata lain, jika pengguna hanya menggunakan login/otorisasi kata sandi, dia tidak akan dapat menggunakan email, klien jabber, klien torrent, dan program lain yang tidak mendukung kerja melalui proxy http.

Otorisasi Web

Untuk mengotorisasi pengguna tanpa server proxy terdaftar dengan nama pengguna dan kata sandi, Anda dapat menggunakan otorisasi web (portal captive) dengan mengaktifkan kotak centang yang sesuai. Otorisasi web memungkinkan, misalnya, untuk mengintegrasikan halaman otorisasi ke dalam portal perusahaan dan menggunakannya sebagai halaman otorisasi. Secara default, port otorisasi web adalah 82, Anda juga dapat mengubahnya menjadi yang gratis.

Agar tidak mendaftarkan server proxy secara manual di setiap mesin klien, Anda dapat menggunakan konfigurasi otomatis. Opsi "Konfigurasi proxy otomatis" harus diatur di browser klien, semua pengaturan lainnya akan ditentukan oleh ICS.

Ini diaktifkan dengan mencentang kotak di tab yang sesuai. Anda dapat memeriksa satu atau lebih protokol yang tersedia (HTTP, HTTPS, FTP).

Opsi untuk memublikasikan skrip konfigurasi otomatis menentukan apakah skrip tersebut akan tersedia berdasarkan alamat IP server atau oleh host virtual yang dibuat dengan nama domain. Ketika Anda memilih virtual host, itu akan secara otomatis dibuat di sistem. kotak centang "Buat entri di server DNS" akan secara otomatis menambahkan zona dengan entri yang diperlukan untuk host virtual ini.

Publikasikan skrip konfigurasi otomatis melalui DHCP- parameter ini mengirimkan pengaturan proxy ke semua klien DHCP server.

Proksi Orang Tua

Jika organisasi Anda memiliki beberapa server proxy yang terletak secara hierarkis, maka server proxy hulu untuk ICS akan menjadi miliknya proksi orang tua. Selain itu, setiap node jaringan dapat bertindak sebagai proxy induk.

Agar ICS mengalihkan permintaan yang datang ke server proxy ke proxy induk, tentukan alamat ip dan port tujuan di tab "Proxy induk".

Server proxy dapat bertukar data cache mereka menggunakan protokol ICP. Dalam hal operasi jaringan melalui beberapa proxy, ini dapat mempercepat pekerjaan secara signifikan. Jika proxy induk mendukung protokol, centang kotak yang sesuai dan tentukan port untuk layanan (3130 secara default).

Alamat ip yang diterbitkan

Tab ini berisi daftar alamat IP dan pengguna yang diotorisasi di server proxy menggunakan otorisasi web.

Konten cache

Tab Log berisi ringkasan semua pesan sistem dari server proxy. Majalah ini dibagi menjadi beberapa halaman, menggunakan tombol "maju" dan "kembali" Anda dapat pergi dari halaman ke halaman, atau memasukkan nomor halaman di bidang dan segera beralih ke sana.

Entri log disorot dalam warna tergantung pada jenis pesan. Pesan sistem normal ditandai dengan warna putih, pesan status sistem (daya hidup/mati, pemrosesan cache) berwarna hijau, kesalahan berwarna merah.

Ada bilah pencarian di sudut kanan atas modul. Dengan itu, Anda dapat mencari log untuk entri yang Anda butuhkan.

Log selalu menampilkan acara untuk tanggal saat ini. Untuk melihat acara di hari lain, pilih tanggal yang diinginkan menggunakan kalender di sudut kiri atas modul.