Pornire rapidă: server ICAP. Tendințele actuale în filtrarea conținutului

Pentru integrarea corectă a sistemului, este necesară și configurarea serverului proxy al organizației. O cerință generală de configurare este ca adresa IP a serverului SecureTower ICAP să fie configurată pe serverul proxy. Pentru a face acest lucru, modulul ICAP al serverului proxy trebuie configurat în așa fel încât antetul cererii trimise către serverul ICAP să includă câmpul X-Client-IP care conține adresa IP a utilizatorului. Cererile fără adresa IP specificată vor fi acceptate, dar nu vor fi servite de serverul ICAP.

Printre altele, SecureTower acceptă integrarea cu cele mai populare servere proxy SQUID și MS Forefront.

CALMAR

Sistemul SecureTower acceptă versiuni SQUID mai vechi de 3.0. Când instalați/compilați serverul proxy, trebuie să activați opțiunea pentru a activa suportul ICAP și să specificați următoarele opțiuni în setările ICAP:

  • icap_enable activat
  • icap_send_client_ip on - adresa IP a clientului
  • icap_service_req service_reqmod_precache 0 icap://192.168.45.1:1344/reqmod, unde 192.168.45.1 este adresa IP a serverului SecureTower ICAP
  • adaptation_access service_req permit toate

MS Forefront

Pentru a lucra în rețele organizate pe baza serverului proxy TMG Forefront, trebuie să instalați suplimentar plug-in-ul ICAP, deoarece în mod implicit, ICAP nu este acceptat de acest proxy. Pluginul este disponibil la http://www.collectivesoftware.com/solutions/content-filtering/icapclient.

În setările pluginului ICAP, trebuie să specificați adresa serverului SecureTower ICAP. Ca rezultat, toate datele transferate către protocolul HTTP(S) prin serverul proxy MS Forefront vor fi stocate de serverul SecureTower ICAP.

Cerințe minime de sistem pentru serverul ICAP

  • Procesor: 2 GHz sau mai mare, 2 nuclee sau mai mult
  • Adaptor de rețea: 100Mbps/1Gbps
  • RAM: minim 6 GB
  • Hard disk: 100 GB partiție pentru sistemul de operare și fișierele SecureTower; a doua partiție pentru stocarea datelor interceptate la o rată de 1,5 GB de date de la fiecare utilizator monitorizat pe lună plus 3% din volumul de date interceptate pentru fișierele index de căutare
  • Windows .Net Framework: 4.7 și mai sus
  • Sistem de operare: Microsoft Windows Server 2008R2/2012/2016 x64

Administrare

Am participat la testarea beta a demonului icap al Dr.Web și am fost mulțumit de el (în ciuda unor probleme care nu au fost rezolvate în acest moment), dar partea financiară a problemei mă limitează sever, așa că încă o dată alegerea mea a căzut ClamAV.

Utilizarea Squid cu ClamAV și c-icap pentru a scana traficul web pentru viruși

fundal

Nu aveți nevoie de un daemon clamd care rulează pentru a funcționa, așa că nu ezitați să săriți peste configurarea lui (clamd.conf) dacă nu îl utilizați sau nu îl veți folosi.

c-icap funcționează cu modulul său antivirus bazat pe ClamAV, așa că trebuie să avem libclamav instalat pe sistem (instalarea ClamAV în mod obișnuit este suficientă). Dacă nu există libclamav în sistem, c-icap pur și simplu nu va fi construit.

Instalarea și configurarea c-icap cu suport ClamAV

Despachetați arhiva c_icap-220505.tar.gz în /usr/src (sau oriunde aveți codurile sursă). Scriptul de configurare din directorul sursă c-icap ar trebui să fie rulat cu următoarele opțiuni:

$ ./configure --enable-static --with-clamav --prefix=/usr/local/c_icap

Sau, de exemplu, așa, dacă --prefix=/opt/clamav pentru a configura din ClamAV:

$ ./configure --enable-static --with-clamav=/opt/clamav --prefix=/usr/local/c_icap

Daemonul c_icap este construit static. --prefixul poate fi specificat și după gust. De asemenea, puteți colecta demonul însuși:

Trebuie să verificați dacă totul este asamblat corect:

$ face cec

Și instalați direct c-icap în sistem (în directorul care a fost specificat prin --prefix):

# face instalarea

Acum trebuie să reparăm unele setări în c-icap.conf. În cazul nostru --prefix=/usr/local/c_icap, nu este greu de ghicit că configurațiile sunt în /usr/local/c_icap/etc.

  • Utilizatorul este mai bine să nu pună pe nimeni, deoarece wwwrun, specificat implicit, cel mai probabil nu este prezent în sistem.
  • TmpDir /tmp este directorul de fișiere temporare.
  • Apoi, trebuie să configurați ACL - Liste de control al accesului - o listă de adrese IP care pot folosi acest demon ICAP: acl localsquid_respmod src 127.0.0.1 tip respmod acl localsquid src 127.0.0.1 acl externalnet src 0.0.0.0/0.0.0.0/0.0.0.0 allow. localsquid_respmod icap_access permit localsquid icap_access deny externalnet

    Deci putem stabili de unde este permis accesul la serviciul nostru icap și de unde nu. Rețineți că datele ACL nu definesc o listă de clienți proxy direct, ci mai degrabă o listă de clienți pentru demonul ICAP, de exemplu. lista de servere proxy (adresele lor IP).

    Am compilat un ACL pentru cazul în care demonul ICAP și Squid rulează pe aceeași gazdă.

    • srv_clamav.ClamAvTmpDir /tmp - director temporar pentru modulul ClamAV.
    • srv_clamav.VirSaveDir /var/infected/ - director de carantină. Alte comentarii similare mai bune!
    • srv_clamav.VirHTTPServer „DUMMY”.

    Puteți încerca și așa:

    Srv_clamav.VirHTTPServer „http://proxy.your_srv_name.ru/cgi-bin/get_file.pl?usename=%f&remove=1&file="

    Sunt necesare unele clarificări: opțiunea srv_clamav.VirSaveDir poate fi setată de mai multe ori, astfel încât fișierele infectate să fie salvate în mai multe locații. Dacă unul dintre directoarele de carantină este setat la rădăcina serverului web, atunci utilizatorilor li se poate oferi posibilitatea de a descărca în mod deliberat un fișier infectat. Rămâne doar să utilizați fișierul contrib/get_file.pl în codurile sursă c-icap.

    Nu aveam nevoie.

Creați directorul /var/infected și faceți-l deținut de utilizatorul nobody (chown nobody /var/infected).

Să testăm rularea c-icap:

# cd /usr/local/c_icap/bin # ./c-icap

Dacă nu există mesaje de eroare, atunci ar trebui să vă asigurați și că c-icap ascultă pe soclul potrivit:

# netstat -apn | grep 1344

Dacă vedem ceva similar cu următoarea linie, totul este în ordine:

Tcp 0 0 *:1344 *:* ASCULTĂ 24302/c-icap

Să lăsăm demonul c-icap să ruleze și să trecem la setări suplimentare.

Instalarea și configurarea serverului proxy Squid

Să despachetăm Squid-ul obținut anterior în /usr/src:

# tar zxvf squid-icap-2.5.STABLE11-20050927.tgz

Schimbați în directorul sursă Squid și rulați configurarea astfel:

$ ./configure --enable-icap-support

Înainte de a rula configure în Dr.Web Squid, trebuie să rulați bootstrap.sh, aflat în directorul rădăcină al codurilor sursă Squid. Dacă utilizați Squid de la Dr.Web, asigurați-vă că citiți documentația din pachetul drweb-icapd!

Construirea calmarului:

Instalare:

# face instalarea

Avem Squid instalat în /usr/local/squid. Acum să schimbăm setările în squid.conf.

Trebuie să găsiți câteva rânduri:

#acl our_networks src 192.168.1.0/24 192.168.2.0/24 #http_access permite rețelele noastre

Anulați comentariile și setați propria valoare, în loc de 192.168.1.0/24 192.168.2.0/24 (în cazul meu, utilizatorii serverului proxy erau în rețeaua 172.16.194.0/24):

Acl our_networks src 172.16.194.0/24 http_access permite rețelele noastre

Accesați /usr/local/squid/var, creați un director cache. Acum rulați comanda acolo:

# chown nimeni cache/jurnalele/

Schimbarea proprietății este necesară deoarece demonul proxy va fi rulat ca utilizator nimeni și nu va putea să scrie jurnalele și să folosească memoria cache.

Rămâne să se creeze o structură de directoare pentru stocarea în cache. Accesați /usr/local/squid/sbin și rulați:

# ./calamar -z

Implicit, parametrul cache_dir din squid.conf este setat la:

Cache_dir ufs /usr/local/squid/var/cache 100 16 256

Puteți schimba calea către cache (de exemplu, dacă se află pe altă partiție sau hard disk), apoi trebuie să verificați drepturile la directorul pe care l-ați specificat.

În această etapă, avem un Squid care funcționează, dar fără suport ICAP, adică. server proxy obișnuit de cache.

Să adăugăm suport ICAP...

Adăugarea suportului ICAP la squid.conf

Găsiți cuvântul icap_enable și setați valoarea icap_enable. Găsiți cuvântul icap_preview_enable și setați valoarea icap_preview_enable. Găsiți cuvântul icap_preview_size și setați valoarea icap_preview_size 128. Găsiți cuvântul icap_send_client_ip și setați valoarea icap_send_client_ip. Căutați cuvântul icap_service și adăugați câteva dintre aceste servicii icap:

icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav

Căutați icap_class și adăugați următoarea clasă icap:

Icap_class class_antivirus service_avi service_avi_req

Căutați icap_access și adăugați următoarele permisiuni:

Icap_access class_antivirus permite toate

În total, următoarele linii ar trebui adăugate la squid.conf pentru a sprijini ICAP:

icap_enable pe icap_preview_enable pe icap_preview_size 128 icap_send_client_ip pe
icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav
icap_class class_antivirus service_avi service_avi_req icap_access class_antivirus permite toate

Aceasta completează configurația minimă a serverului proxy.

Hai să-l rulăm:

# cd /usr/local/squid/sbin # ./squid

Dacă totul este corect, atunci nu ar trebui să existe mesaje în consolă.

Control medical

Adăugați un server proxy în browser (dacă proxy-ul nu este transparent) și deschideți pagina http://www.eicar.com/anti_virus_test_file.htm .

Încercați să descărcați fișierul eicar.com. Dacă vedeți un mesaj similar: „UN VIRUS FOUND ...” - atunci totul funcționează corect.

Vă rugăm să rețineți că memoria cache a serverului proxy nu trebuie să conțină obiecte infectate! Prin urmare, este mai bine să ștergeți memoria cache înainte de a utiliza Squid cu c-icap. De asemenea, rețineți că browserul are propriul cache.

Actualizarea bazelor de date antivirus ClamAV

Adăugați freshclam la crontab. Bazele de date c-icap sunt reinițializate la fiecare srv_clamav.VirUpdateTime minute - acest parametru poate fi specificat în c-icap.conf (implicit, 15 minute).

fișierul c-icap.magic și tipurile de obiecte verificate

Acest fișier poate fi găsit în același director ca c-icap.conf. Este o descriere a formatelor diferitelor grupuri de tipuri de fișiere (TEXT, DATE, EXECUTABLE, ARHIVE, GRAPHICS, STREAM, DOCUMENT - anumite grupuri din c-icap.magic implicit). Scanarea antivirus se bazează pe tipurile de fișiere care trec prin serverul proxy. Unele tipuri, de exemplu, puteți exclude sau adăuga propriile tipuri.

Formatul intrării de linie, pentru a determina fișierul după numărul său magic (secvență):

Offset:Magic:Tip:Grup:Desc

Offset - offset-ul de la care începe Secvența Magică. Tip și grup - tipul și grupul căruia ar trebui să fie atribuit fișierul cu această secvență magică. Desc - o scurtă descriere, nu are o sarcină tehnică.

Vedeți c-icap.magic pentru un exemplu.

De asemenea, rețineți că parametrul srv_clamav.ScanFileTypes din c-icap.conf definește grupurile și tipurile de fișiere (pot fi specificate atât grupurile, cât și tipurile) care ar trebui scanate. Ceea ce definește srv_clamav.VirScanFileTypes, nu am înțeles complet, dar bănuiesc că grupurile de fișiere care sunt forțate să fie scanate (EXECUTABLE și ARHIVE implicit).

În configurația mea c-icap, opțiunile de mai sus arată astfel:

srv_clamav.ScanFileTypes DATE TEXT ARHIVĂ EXECUTABĂ DOCUMENT DE STREAM GRAFICE srv_clamav.VirScanFileTypes ARHIVĂ EXECUTABĂ

Posibile probleme

  • Squid dă un mesaj de eroare al protocolului ICAP, fără pagini deschise. Verificați dacă ați specificat corect ACL în c-icap.conf, acest ACL ar trebui să permită accesul nu pentru utilizatori, ci pentru serverul proxy.

    Încercați să opriți procesele Squid și c-icap și apoi să le porniți în următoarea ordine: mai întâi c-icap, apoi Squid.

    De asemenea, această eroare poate apărea dacă demonul c-icap nu are suficiente permisiuni pentru a scrie în directorul de carantină sau în fișierele jurnal.

    Dacă problema persistă, încercați să porniți Squid cu opțiunile -d 10 -N -X:

    # ./squid -d 10 -N -X Și ​​c-icap cu opțiuni -N -d 10 -D: # ./c-icap -N -d 10 -D Vedeți informații detaliate care vă pot ajuta să aflați ce și unde nu așa.

  • Squid dă eroare de protocol ICAP doar pe unele pagini (pe aceleași pagini).

    Verificați dacă c-icap are permisiunea de a scrie în directorul de carantină (sau mai bine, faceți utilizatorul sub care rulează c-icap drept proprietar al tuturor directoarelor de carantină).

    Încercați să rulați c-icap și Squid în modul de depanare (vedeți mai sus pentru cum să faceți acest lucru).

    De asemenea, este o idee bună să te uiți la jurnalele c-icap.

    Încercați să încărcați din nou obiectul care provoacă eroarea. Poate că veți afla mai multe despre problemă și veți putea să o rezolvați.

Rezultate

Acum navigarea pe web este protejată și de viruși și alte coduri rău intenționate (inclusiv unele exploit-uri pentru MS IE). Ca soluție corporativă pentru un server cu încărcare mare, această metodă nu a fost testată, dar cred că poate fi implementată (fie doar pentru că încărcarea poate fi distribuită pe mai multe servere ICAP). Ca soluție pentru o organizație mică - destul de relevantă.

Și amintiți-vă ce scriu dezvoltatorii pe site-ul lor:

  • >Serviciul antivirus ClamAV
  • >Acest serviciu este în curs de dezvoltare.

Puteți afla despre câteva principii ale protocolului ICAP în limba rusă din manualul DrWeb-ICAP - una dintre implementările comerciale de succes ale protocolului ICAP. Puteți citi și RFC 3507.

Lucru confortabil și sigur!

Vă mulțumim pentru atenție.

Definiție - Ce înseamnă?

Internet Content Adaptation Protocol (ICAP) este un protocol ușor care oferă vectorizare simplă de conținut bazată pe obiecte pentru serviciile HTTP. ICAP este folosit pentru a extinde serverele proxy transparente. Acest lucru eliberează resurse și standardizează implementarea de noi funcții. Utilizează un cache pentru a trimite toate tranzacțiile clientului și pentru a procesa tranzacțiile utilizând serverele web ICAP, care sunt proiectate pentru funcții specifice, cum ar fi scanarea virușilor, traducerea conținutului, filtrarea conținutului sau inserarea anunțurilor.

ICAP efectuează manipularea conținutului ca un serviciu cu valoare adăugată pentru cererea HTTP sau răspunsul HTTP adecvată a clientului. Astfel denumirea de „adaptare de conținut”.

Acest termen este cunoscut și sub numele de Internet Content Adaption Protocol.

explică techopedia Internet Content Adaptation Protocol (ICAP)

Internet Content Adaptation Protocol a fost propus în 1999 de Danzig și Schuster de la Network Appliance. Don Gillies a îmbunătățit protocolul în 2000, permițând servere ICAP pipeline. Toate cele trei încapsulări permise de HTTP 1.1 sunt acceptate. De asemenea, a produs materiale de instruire pentru vânzători în jurul anului 2005.

ICAP folosește cache-urile și proxy-urile pentru a ajuta la producerea de servicii cu valoare adăugată. Serviciile cu valoare adăugată pot fi descărcate de pe serverele Web pe serverele ICAP. Apoi, serverele Web pot fi scalate utilizând debitul HTTP brut.

În ciuda asemănării, ICAP nu este HTTP. Și nu este o aplicație care rulează prin HTTP.

În prezent, filtrarea conținutului nu poate fi evidențiată ca o zonă separată a securității computerelor, deoarece este atât de împletită cu alte domenii. În securitatea computerelor, filtrarea conținutului este foarte importantă, deoarece vă permite să izolați lucruri potențial periculoase și să le procesați corect. Abordări care au apărut în dezvoltarea produselor de filtrare a conținutului sunt utilizate în produse pentru a preveni intruziunile (IDS), răspândirea codului rău intenționat și alte acțiuni negative.

Pe baza noilor tehnologii și produse din domeniul filtrării conținutului, se creează servicii suplimentare pentru utilizatori, se îmbunătățește calitatea protecției și este posibilă nu doar gestionarea amenințărilor existente, ci și prevenirea unor clase întregi de noi amenințări.

Noi tendințe în filtrarea conținutului

Una dintre tendințele generale în dezvoltarea produselor de securitate a informațiilor este dorința de a implementa diverse funcții într-un singur dispozitiv sau soluție software. De regulă, dezvoltatorii încearcă să implementeze soluții care, pe lângă filtrarea conținutului, îndeplinesc și funcțiile unui antivirus, un firewall și/sau un sistem de detectare și prevenire a intruziunilor. Pe de o parte, acest lucru permite companiilor să reducă costurile de achiziție și întreținere a sistemelor de securitate, dar, pe de altă parte, funcționalitatea acestor sisteme este adesea limitată. De exemplu, în multe produse, funcțiile de filtrare a traficului web sunt limitate la verificarea adreselor site-urilor cu anumite baze de date cu categorii de site-uri.

Dezvoltarea produselor în conformitate cu conceptul de management unificat al amenințărilor ( UTM) care oferă o abordare unificată a prevenirii amenințărilor, indiferent de protocol sau de date procesate.

Această abordare evită duplicarea funcțiilor de protecție, precum și asigură relevanța datelor care descriu amenințările pentru toate resursele controlate.

În domeniile de filtrare a conținutului care există de destul de mult timp - controlul e-mailului și al traficului pe Internet - au loc și schimbări, apar noi tehnologii.

Caracteristicile anti-phishing au ajuns în prim-plan în produsele de control al schimburilor de corespondență. Și în produsele pentru monitorizarea traficului pe Internet, există o trecere de la utilizarea bazelor de date pre-preparate de adrese la clasificarea în funcție de conținut, care este o sarcină foarte importantă atunci când lucrați cu o varietate de soluții de portal.

Pe lângă cele două domenii menționate mai sus, există și noi domenii de aplicare a filtrării conținutului - în urmă cu ceva timp, au început să apară produse care să controleze transferul mesajelor instantanee (mesagerie instant) și conexiunilor peer-to-peer (p2p). În prezent, sunt dezvoltate în mod activ și produse pentru monitorizarea traficului VoIP.

Multe țări au început în mod activ să dezvolte instrumente pentru interceptarea și analizarea multor tipuri de informații care sunt utilizate pentru diverse tipuri de investigații (interceptare legală). Aceste activități se desfășoară la nivel de stat și sunt cel mai adesea legate de investigarea amenințărilor teroriste. Astfel de sisteme interceptează și analizează nu numai datele transmise prin canale de internet, ci și prin alte tipuri de comunicații - linii telefonice, canale radio etc. Cel mai faimos sistem de interceptare a informațiilor este Echelon, un sistem folosit de informațiile americane pentru a colecta informații. În Rusia, există și diverse implementări ale sistemului de măsuri operaționale de căutare (SORM), care sunt utilizate pentru a captura și analiza informații în interesul serviciilor speciale.

Ca una dintre tendințele de pe piața produselor de filtrare a conținutului, se remarcă consolidarea în masă a companiilor producătoare de astfel de soluții. Deși această tendință reflectă într-o mai mare măsură latura organizațională a procesului, ea poate duce la apariția de noi produse și direcții pentru companiile care nu au avut aceste direcții, sau au ocupat o parte nesemnificativă a sectorului de piață al unor astfel de companii. Următoarele cazuri de fuziuni/achiziții de companii pot servi ca ilustrare a celor de mai sus:

  • Secure Computing, care anul trecut a cumpărat Cyberguard, care are un set bun de instrumente de filtrare a traficului pe Internet, a fuzionat în vară cu o altă companie, CipherTrust, care are o experiență vastă în dezvoltarea instrumentelor de filtrare a traficului de e-mail;
  • MailFrontier, care producea instrumente pentru protejarea traficului de corespondență, a fost absorbită de SonicWall, care nu avea până acum soluții cu o asemenea calitate de dezvoltare;
  • la sfarsitul lui iulie 2006, SurfControl, cunoscuta pentru solutiile sale de filtrare a continutului, a cumparat BlackSpider, care oferea servicii avansate de securitate informatica;
  • La sfârșitul lunii august 2006, a avut loc cea mai grandioasă preluare - Internet Security Systems (ISS) a semnat un acord de fuziune cu IBM. Această fuziune este un exemplu al interesului mare pentru securitatea informațiilor din partea marilor companii de software;
  • În ianuarie 2007, Cisco a achiziționat IronPort, care are o linie puternică de produse de securitate pentru e-mail;
  • Microsoft a achiziționat mai multe companii de securitate a informațiilor în ultimii ani. Cea mai mare dintre acestea a fost preluarea Sybari, cu linia sa de protecție antivirus și alte programe malware, precum și filtrarea conținutului de e-mail și mesaje instantanee. Achiziția Sybari și a altor companii permite Microsoft să concureze cu succes pe noua piață a securității computerelor.

De asemenea, este de remarcat faptul că în ultimii ani au început să apară produse open source pentru filtrarea conținutului. În cele mai multe cazuri, acestea nu ating aceeași funcționalitate ca aplicațiile comerciale, cu toate acestea, există soluții și aplicații specifice în care pot reprezenta o amenințare reală.

Amenințări moderne

Infrastructura IT modernă este supusă multor atacuri, vizând atât utilizatorii obișnuiți, cât și companiile, indiferent de dimensiunea acestora. Cele mai relevante sunt următoarele tipuri de amenințări:

  • phishing— metode de interceptare a datelor importante ale utilizatorului (parole, numere de card de credit etc.) care s-au răspândit recent prin tehnici de inginerie socială, atunci când un utilizator este forțat să introducă anumite date pe un site controlat de un atacator cu o scrisoare sau un mesaj fals de la o organizatie;
  • Spyware și malware- diverse mijloace care vă permit să interceptați date sau să stabiliți controlul asupra unui computer. Există multe varietăți de astfel de instrumente, care variază în ceea ce privește gradul de pericol pentru computer - de la simpla afișare a mesajelor publicitare până la interceptarea datelor introduse de utilizatori și preluarea controlului asupra operațiunilor computerului;
  • viruși și alte coduri rău intenționate— Virușii, viermii și troienii sunt o amenințare cunoscută de mult timp pentru infrastructura IT. Dar în fiecare an apar noi modificări ale codului rău intenționat, care exploatează adesea vulnerabilitățile din software-ul existent, ceea ce le permite să se răspândească automat;
  • SPAM/SPIM- Mesajele nesolicitate transmise prin e-mail (SPAM) sau mesagerie instantanee (SPIM) determină utilizatorii să-și piardă timpul procesând corespondența nedorită. În prezent, SPAM-ul reprezintă mai mult de 70% din toate mesajele de e-mail transmise;
  • atacuri de infrastructură- Infrastructura IT a companiilor este foarte importantă, atacurile pentru dezactivarea acesteia sunt extrem de periculoase. Pentru ei, pot fi implicate rețele întregi de computere infectate cu un fel de virus folosit pentru a intercepta controlul. De exemplu, cu ceva timp în urmă a fost distribuit un virus care conținea un cod care trebuia să declanșeze un atac distribuit asupra site-urilor Microsoft la un anumit moment pentru a le dezactiva. Câteva milioane de computere au fost infectate și doar o eroare din codul virusului nu a permis ca atacul planificat să fie efectuat;
  • scurgere de informații de afaceri— prevenirea unor astfel de scurgeri este una dintre sarcinile principale ale produselor de filtrare a conținutului. Scurgerea de informații importante poate provoca daune ireparabile unei companii, uneori comparabile cu pierderea mijloacelor fixe. Prin urmare, în multe produse sunt dezvoltate instrumente pentru a determina canalele de transmisie secretă a datelor, cum ar fi utilizarea steganografiei;
  • amenințare cu urmărirea penală- Acest tip de amenințare este extrem de relevant pentru companii dacă angajații lor pot folosi rețele de partajare de fișiere, descarcă și/sau distribuie muzică, filme și alt conținut protejat prin drepturi de autor. Litigiile sunt, de asemenea, posibile pentru difuzarea de informații calomniatoare și/sau defăimătoare referitoare la terți.

Primele cinci tipuri de amenințări afectează atât computerele de acasă, cât și computerele din rețelele corporative. Dar ultimele două amenințări sunt deosebit de relevante pentru companii de toate felurile.

Filtrarea traficului web

Recent, în domeniul filtrării traficului pe Internet au avut loc diverse schimbări, ca urmare a apariției noilor tehnologii de filtrare și a schimbărilor în tehnologiile care sunt folosite pentru construirea site-urilor Internet.

Una dintre cele mai importante tendințe în dezvoltarea produselor de filtrare a conținutului în ceea ce privește controlul traficului pe Internet este trecerea de la utilizarea bazelor de date cu categorii de site-uri la determinarea categoriei unui site după conținutul acestuia. Acest lucru a devenit deosebit de relevant odată cu dezvoltarea diferitelor portaluri, care pot conține conținut din diferite categorii care se modifică în timp și/sau se adaptează la setările clientului.

Tehnologiile și instrumentele populare recent pentru construirea de site-uri Internet, cum ar fi Ajax, Macromedia Flash și altele, necesită schimbări în tehnologiile de filtrare a traficului de internet.

Utilizarea canalelor criptate pentru interacțiunea cu site-urile Internet asigură protecția datelor împotriva interceptării de către terți, dar, în același timp, informații importante pot fi scurse prin aceste canale de transmitere a datelor sau pot pătrunde coduri rău intenționate în sistemele informatice.

Problema integrării instrumentelor de protecție cu sisteme care asigură funcționarea infrastructurii IT, precum servere proxy, servere web, servere de mail, servere de directoare etc., rămâne relevantă. Diverse companii și organizații non-profit dezvoltă protocoale de interacțiune între diferite sisteme.

Starea actuală a lucrurilor în acest domeniu va fi discutată mai jos.

Abordări ale clasificării site-urilor și datelor

  • utilizarea bazelor predefinite ale categoriilor de site-uri cu actualizarea regulată a listelor de site-uri și categorii;
  • categorizarea datelor din mers prin analizarea continutului paginilor;
  • utilizarea datelor despre categorie, informații despre apartenență la care sunt furnizate chiar de site-ul.

Fiecare dintre aceste metode are propriile sale avantaje și dezavantaje.

Baze de date de categorii de site-uri predefinite

Utilizarea bazelor de date pregătite în prealabil cu adresele site-urilor și categoriile aferente este o metodă folosită de mult timp și bine stabilită. În prezent, astfel de baze de date sunt furnizate de multe companii, precum Websense, Surfcontrol, ISS/Cobion, Secure Computing, Astaro AG, NetStar și altele. Unele companii folosesc aceste baze doar în produsele lor, altele le permit să fie conectate la produse terțe. Bazele de date furnizate de Websense, Secure Computing, SurfControl și ISS/Cobion sunt considerate cele mai complete, conținând informații despre milioane de site-uri în diferite limbi și țări, ceea ce este deosebit de important în epoca globalizării.

Categorizarea datelor și formarea bazelor de date de categorii sunt de obicei efectuate într-un mod semi-automat - mai întâi, analiza conținutului și determinarea categoriei sunt efectuate folosind instrumente special dezvoltate, care pot include chiar și sisteme de recunoaștere a textului în imagini. Iar în a doua etapă, informațiile primite sunt adesea verificate de oameni care decid în ce categorie poate fi clasificat un anumit site.

Multe companii completează automat baza de date de categorii pe baza rezultatelor lucrului cu clienții dacă se găsește un site care nu a fost încă repartizat niciunei dintre categorii.

În prezent, există două moduri de a conecta baze de date de categorii de site-uri predefinite:

  • folosind o bază de date locală de categorii cu actualizări regulate. Această metodă este foarte convenabilă pentru organizațiile mari care au servere de filtrare dedicate și deservesc un număr mare de solicitări;
  • folosind o bază de date de categorii găzduită pe un server la distanță. Această metodă este adesea folosită în diverse dispozitive - firewall-uri mici, modemuri ADSL etc. Utilizarea unei baze de date de categorii la distanță crește ușor încărcarea canalelor, dar asigură utilizarea bazei de date a categoriilor curente.

Avantajele utilizării bazelor de date cu categorii predefinite includ faptul că accesul este acordat sau refuzat în etapa emiterii unei cereri de către client, ceea ce poate reduce semnificativ încărcarea pe canalele de transmisie a datelor. Iar principalul dezavantaj al utilizării acestei abordări este întârzierea actualizării bazelor de date cu categorii de site-uri, deoarece analiza va dura ceva timp. În plus, unele site-uri își schimbă conținutul destul de des, din cauza cărora informațiile despre categorie stocate în baza de date cu adrese devin irelevante. Unele site-uri pot oferi, de asemenea, acces la informații diferite, în funcție de numele utilizatorului, regiunea geografică, ora din zi și așa mai departe.

Clasificați datele din mers

Una dintre opțiunile simple pentru implementarea unei astfel de soluții este utilizarea algoritmilor bayesieni, care s-au dovedit destul de bine în lupta împotriva spam-ului. Cu toate acestea, această opțiune are dezavantajele sale - este necesar să o terminați periodic de învățat, să ajustați dicționarele în conformitate cu datele transmise. Prin urmare, unele companii folosesc algoritmi mai complecși pentru determinarea categoriei unui site după conținut pe lângă metode simple. De exemplu, ContentWatch oferă o bibliotecă specială care analizează datele în funcție de informații lingvistice despre o anumită limbă și, pe baza acestor informații, poate determina categoria de date.

Categorizarea datelor din mers vă permite să răspundeți rapid la apariția de noi site-uri, deoarece informațiile despre categoria site-ului nu depind de adresa acestuia, ci doar de conținut. Dar această abordare are și dezavantaje - este necesar să se analizeze toate datele transmise, ceea ce determină o oarecare scădere a performanței sistemului. Al doilea dezavantaj este necesitatea de a menține bazele de date de categorii actualizate pentru diferite limbi. Cu toate acestea, unele produse adoptă această abordare în timp ce folosesc bazele de date cu categorii de site-uri în același timp. Acestea includ utilizarea Agentului de control virtual în produsele SurfControl, mecanismele de determinare a categoriilor de date în Dozor-Jet SKVT.

Date despre categorii furnizate de site-uri

Pe lângă bazele de date de adrese și categorizarea conținutului din mers, există o altă abordare pentru determinarea categoriei de site-uri - site-ul însuși raportează cărei categorii îi aparține.

Această abordare este destinată în primul rând utilizării de către utilizatorii casnici, unde, de exemplu, părinții sau profesorii pot seta o politică de filtrare și/sau pot urmări site-urile vizitate.

Există mai multe moduri de a implementa această abordare a categorizării resurselor:

  • PICS (Platform for Internet Content Selection) este o specificație dezvoltată de consorțiul W3 în urmă cu aproximativ zece ani și are diverse extensii menite să asigure fiabilitatea sistemului de rating. Pentru control se poate folosi software special dezvoltat, disponibil pentru descărcare de pe pagina proiectului. Mai multe informații despre PICS pot fi găsite pe site-ul web W3.org (http://www.w3.org/PICS/).
  • ICRA (Internet Content Rating Association) este o nouă inițiativă dezvoltată de o organizație independentă non-profit cu același nume. Scopul principal al acestei inițiative este de a proteja copiii de accesul la conținutul interzis. Această organizație are acorduri cu multe companii (mare companii de telecomunicații și software) pentru a oferi o protecție mai fiabilă.
    ICRA oferă software care vă permite să verificați eticheta specială returnată de site și să decideți asupra accesului la aceste date. Software-ul rulează doar pe platforma Microsoft Windows, dar datorită specificației deschise este posibil să se creeze implementări software de filtrare pentru alte platforme. Scopurile și obiectivele acestei organizații, precum și toate documentele necesare pot fi găsite pe site-ul ICRA - http://www.icra.org/.

Avantajele acestei abordări includ faptul că pentru prelucrarea datelor este nevoie doar de software special și nu este necesară actualizarea bazelor de date de adrese și/sau categorii, întrucât toate informațiile sunt transmise chiar de site. Dar dezavantajul este că site-ul poate indica categoria greșită, iar acest lucru va duce la furnizarea incorectă sau interzicerea accesului la date. Cu toate acestea, această problemă poate fi rezolvată (și este deja rezolvată) prin utilizarea mijloacelor de validare a datelor, precum semnăturile digitale etc.

Filtrarea traficului în lumea Web 2.0

Introducerea masivă a așa-numitelor tehnologii Web 2.0 a complicat foarte mult filtrarea conținutului traficului web. Deoarece în multe cazuri datele sunt transmise separat de proiectare, există posibilitatea de a transmite informații nedorite către sau de la utilizator. În cazul lucrului cu site-uri care utilizează astfel de tehnologii, este necesar să se efectueze o analiză cuprinzătoare a datelor transmise, determinând transferul de informații suplimentare și luând în considerare datele colectate în etapele anterioare.

În prezent, niciuna dintre companiile care produc instrumente de filtrare a conținutului de trafic web nu permite analiza complexă a datelor transmise folosind tehnologiile AJAX.

Integrare cu sisteme externe

În multe cazuri, problema integrării sistemelor de analiză a conținutului cu alte sisteme devine destul de acută. În același timp, sistemele de analiză de conținut pot acționa atât ca clienți, cât și ca servere, sau în ambele roluri simultan. În aceste scopuri, au fost dezvoltate mai multe protocoale standard - Internet Content Adaptation Protocol (ICAP), Open Pluggable Edge Services (OPES). În plus, unii producători și-au creat propriile protocoale pentru a permite anumitor produse să comunice între ele sau cu software de la terți. Acestea includ Cisco Web Cache Coordination Protocol (WCCP), Check Point Content Vectoring Protocol (CVP) și altele.

Unele protocoale - ICAP și OPES - sunt concepute în așa fel încât să poată fi utilizate pentru implementarea atât a serviciilor de filtrare a conținutului, cât și a altor servicii - traducători, plasare de publicitate, livrare de date, în funcție de politica de distribuție etc.

Protocolul ICAP

În prezent, protocolul ICAP este popular printre autorii de software de filtrare a conținutului și dezvoltatorii de software pentru detectarea conținutului rău intenționat (viruși, spyware/malware). Cu toate acestea, este de remarcat faptul că ICAP a fost conceput în primul rând pentru a funcționa cu HTTP, ceea ce impune multe restricții privind utilizarea sa cu alte protocoale.

ICAP este adoptat de Internet Engineering Task Force (IETF) ca standard. Protocolul în sine este definit în „RFC 3507” cu unele completări subliniate în „proiectul de extensii ICAP”. Aceste documente și informații suplimentare sunt disponibile pe serverul ICAP Forum - http://www.i-cap.org.

Arhitectura sistemului atunci când se utilizează protocolul ICAP este prezentată în figura de mai sus. Clientul ICAP este sistemul prin care se transmite traficul. Sistemul care realizează analiza și prelucrarea datelor se numește server ICAP. Serverele ICAP pot acționa ca clienți pentru alte servere, permițând mai multor servicii să se andocheze pentru a partaja aceleași date.

Comunicarea dintre client și server folosește un protocol similar cu protocolul HTTP versiunea 1.1 și aceleași modalități de codificare a informațiilor. Conform standardului ICAP, acesta poate procesa atât traficul de ieșire (REQMOD - Request Modification) cât și de intrare (RESPMOD - Response Modification).

Este la latitudinea clientului ICAP să decidă care dintre datele transmise vor fi procesate, în unele cazuri acest lucru face imposibilă analiza completă a datelor. Setările clientului depind în întregime de implementare și, în multe cazuri, nu pot fi modificate.

După primirea datelor de la client, serverul ICAP realizează prelucrarea datelor și, dacă este necesar, modificarea datelor. Datele sunt apoi returnate clientului ICAP, iar acesta le transmite serverului sau clientului, în funcție de direcția în care au fost trimise.

ICAP este utilizat pe scară largă în produsele anti-malware, deoarece permite ca aceste verificări să fie utilizate între produse și este independent de platforma pe care rulează clientul ICAP.

Dezavantajele utilizării ICAP includ următoarele:

  • interacțiunile suplimentare de rețea între client și server încetinesc oarecum viteza de transfer de date între sistemele externe și consumatorii de informații;
  • există verificări care trebuie efectuate nu pe client, ci pe serverul ICAP, precum determinarea tipului de date etc. Acest lucru este relevant deoarece în multe cazuri clienții ICAP se bazează pe extensia de fișier sau tipul de date raportat de serverul extern, ceea ce poate duce la încălcări ale politicii de securitate;
  • integrarea dificilă cu sistemele care utilizează alte protocoale decât HTTP împiedică utilizarea ICAP pentru analiza profundă a datelor.

Protocolul OPES

Spre deosebire de ICAP, protocolul OPES a fost dezvoltat ținând cont de caracteristicile protocoalelor specifice. În plus, la elaborarea acestuia s-au ținut cont de neajunsurile protocolului ICAP, precum lipsa autentificării clienților și serverelor, lipsa autentificării etc.

La fel ca ICAP, OPES a fost adoptat de Internet Engineering Task Force ca standard. Structura de interacțiune a serviciului, protocolul de interacțiune, cerințele de serviciu și soluțiile de securitate a serviciului sunt stabilite în RFC 3752, 3835, 3836, 3837 și altele. Lista este actualizată în mod regulat cu noi documente care descriu aplicarea OPES nu numai la procesarea traficului de internet, ci și la procesarea traficului de corespondență și, în viitor, eventual alte tipuri de protocoale.

Structura interacțiunii dintre serverele și clienții OPES (OPES Processor) este prezentată în figură. În termeni generali, este similar cu schema de interacțiune dintre serverele și clienții ICAP, dar există și diferențe semnificative:

  • există cerințe pentru implementarea clienților OPES, ceea ce face posibilă gestionarea lor mai convenabilă - stabilirea politicilor de filtrare etc.;
  • consumatorul de date (utilizator sau sistem informatic) poate influența prelucrarea datelor. De exemplu, atunci când se folosesc traducători automati, datele primite pot fi traduse automat în limba folosită de utilizator;
  • sistemele care furnizează date pot influența și rezultatele prelucrării;
  • serverele de procesare pot folosi pentru analiză date specifice protocolului prin care datele au fost transmise către clientul OPES;
  • unele servere de procesare a datelor pot primi date mai sensibile dacă se află într-o relație de încredere cu clientul OPES, consumatorii și/sau furnizorii de informații.

Toate opțiunile enumerate depind numai de configurația utilizată la implementarea sistemului. Datorită acestor posibilități, utilizarea OPES este mai promițătoare și mai convenabilă decât utilizarea protocolului ICAP.

În viitorul apropiat, sunt de așteptat să apară produse care acceptă OPES împreună cu protocolul ICAP. Dar, deoarece în prezent nu există implementări cu drepturi depline care să utilizeze OPES, este imposibil să tragem concluzii finale despre deficiențele acestei abordări, deși teoretic există un singur dezavantaj - creșterea timpului de procesare datorită interacțiunii dintre clienții OPES și servere.

HTTPS și alte tipuri de trafic criptat

Potrivit unor analiști, până la 50% din traficul de internet este criptat. Problema controlului traficului criptat este acum relevantă pentru multe organizații, deoarece utilizatorii pot folosi criptarea pentru a crea canale de scurgere de informații. În plus, canalele criptate pot fi folosite și de coduri rău intenționate pentru a pătrunde în sistemele informatice.

Există mai multe sarcini asociate cu procesarea traficului criptat:

  • analiza datelor transmise prin canale criptate;
  • verificarea certificatelor care sunt utilizate de servere pentru a organiza canalele criptate.

Relevanța acestor sarcini crește în fiecare zi.

Controlul transmisiei datelor criptate

Controlul transmiterii datelor trimise prin canale criptate este probabil cea mai importantă sarcină pentru organizațiile ai căror angajați au acces la resursele de internet. Pentru a implementa acest control, există o abordare numită „Man-in-the-Middle” (numită și „Main-in-the-Middle” în unele surse), care poate fi folosită de atacatori pentru a intercepta datele. Schema de procesare a datelor pentru această metodă este prezentată în figură:

Procesul de prelucrare a datelor este următorul:

  • un certificat rădăcină emis special este instalat în browserul de internet al utilizatorului, care este utilizat de serverul proxy pentru a semna certificatul generat (fără a instala un astfel de certificat, browserul utilizatorului va afișa un mesaj că certificatul de semnare a fost emis de o organizație neîncrezătoare) ;
  • atunci când se stabilește o conexiune cu un server proxy, se fac schimb de date și se transmite către browser un certificat special generat cu datele serverului de destinație, dar semnat cu o cheie cunoscută, ceea ce permite serverului proxy să decripteze traficul transmis ;
  • datele decriptate sunt analizate în același mod ca traficul HTTP normal;
  • serverul proxy stabilește o conexiune cu serverul către care ar trebui să fie transferate datele și folosește certificatul serverului pentru a cripta canalul;
  • datele returnate de la server sunt decriptate, analizate și transmise utilizatorului, criptate cu certificatul de server proxy.

Când utilizați această schemă pentru procesarea datelor criptate, pot apărea probleme asociate cu confirmarea adevărului utilizatorului. În plus, este nevoie de muncă pentru a instala certificatul în browserele de internet ale tuturor utilizatorilor (dacă nu instalați un astfel de certificat, utilizatorul va primi un mesaj că certificatul a fost semnat de o companie necunoscută, care va oferi utilizatorului informații despre monitorizarea transferului de date).

Următoarele produse sunt acum pe piață pentru a controla transmiterea datelor criptate: Webwasher SSL Scanner de la Secure Computing, Breach View SSL, WebCleaner.

Certificat de autentificare

A doua sarcină care apare atunci când se utilizează canale de transmisie a datelor criptate este autentificarea certificatelor furnizate de serverele cu care lucrează utilizatorii.

Atacatorii pot ataca sistemele informaționale prin crearea unei intrări DNS false care redirecționează cererile utilizatorilor nu către site-ul de care au nevoie, ci către site-ul creat de atacatori înșiși. Aceste site-uri false pot fura date importante ale utilizatorilor, cum ar fi numerele de card de credit, parolele etc., și pot descărca coduri rău intenționate sub masca actualizărilor software.

Pentru a preveni astfel de cazuri, există software specializat care verifică conformitatea certificatelor furnizate de server cu datele pe care le raportează.

În cazul unei nepotriviri, sistemul poate bloca accesul la astfel de site-uri sau poate acorda acces după confirmarea explicită a utilizatorului. În acest caz, prelucrarea datelor se realizează aproape în același mod ca la analiza datelor transmise pe canale criptate, doar că în acest caz nu datele sunt analizate, ci certificatul furnizat de server.

Filtrarea traficului de e-mail

Atunci când folosesc e-mailul, organizațiile se confruntă cu nevoia de a oferi protecție atât pentru traficul de intrare, cât și pentru cel de ieșire. Dar sarcinile rezolvate pentru fiecare dintre direcții sunt destul de diferite. Pentru traficul de intrare, este necesar să se asigure controlul codului rău intenționat, al phishingului și al spam-ului (spam), în timp ce în e-mailurile de ieșire conținutul este controlat, a cărui transmitere poate duce la scurgerea de informații importante, distribuirea de materiale compromițătoare și ca.

Majoritatea produselor de pe piață oferă control numai asupra traficului de intrare. Acest lucru se realizează prin integrarea cu sisteme antivirus, implementarea diferitelor mecanisme anti-spam și anti-phishing. Multe dintre aceste funcții sunt deja încorporate în clienții de e-mail, dar nu pot rezolva complet problema.

În prezent, există mai multe modalități de a proteja utilizatorii de spam:

  • compararea mesajelor primite cu baza de date existentă de mesaje. La comparare, pot fi folosite diverse tehnici, inclusiv utilizarea algoritmilor genetici care vă permit să izolați cuvintele cheie chiar dacă sunt distorsionate;
  • clasificarea dinamică a mesajelor după conținutul lor. Vă permite să determinați foarte eficient prezența corespondenței nedorite. Pentru a contracara această metodă, spammerii folosesc mesaje imagine cu text în interior și/sau seturi de cuvinte din dicționare, care creează zgomot care interferează cu funcționarea acestor sisteme. Cu toate acestea, deja acum, pentru a combate astfel de spam, se folosesc diverse metode, cum ar fi analiza wavelet și/sau recunoașterea textului în imagini;
  • listele de acces gri, alb și negru vă permit să descrieți politica de primire a mesajelor e-mail de pe site-uri cunoscute sau necunoscute. Utilizarea listelor gri în multe cazuri ajută la prevenirea transmiterii mesajelor nedorite din cauza specificului software-ului care trimite spam. Pentru a menține liste negre de acces, pot fi folosite atât bazele de date locale gestionate de administrator, cât și bazele de date globale completate pe baza mesajelor de la utilizatori din întreaga lume. Cu toate acestea, utilizarea bazelor de date globale este plină de faptul că rețele întregi, inclusiv cele care conțin servere de e-mail „bune”, pot intra în ele.

Pentru combaterea scurgerilor de informații sunt utilizate o varietate de metode, bazate pe interceptarea și analiza aprofundată a mesajelor în conformitate cu o politică complexă de filtrare. În acest caz, devine necesar să se determine corect tipurile de fișiere, limbile și codificările textului și să se efectueze o analiză semantică a mesajelor transmise.

O altă aplicație a sistemelor de filtrare a traficului de corespondență este crearea de fluxuri de mail criptate, atunci când sistemul semnează sau criptează automat mesajul, iar datele sunt decriptate automat la celălalt capăt al conexiunii. Această funcționalitate este foarte convenabilă dacă doriți să procesați toate e-mailurile trimise, dar trebuie să ajungă la destinatar în formă criptată.

Filtrarea mesajelor instantanee

Mesageria instantanee se deplasează încet în categoria instrumentelor utilizate în mod activ în multe companii. Acestea oferă o interacțiune rapidă cu angajații și/sau clienții organizațiilor. Prin urmare, este destul de firesc ca dezvoltarea instrumentelor, care, printre altele, se pot dovedi a fi un canal de scurgere de informații, a dus la apariția instrumentelor de control al informațiilor transmise.

În prezent, cele mai frecvent utilizate protocoale pentru mesageria instant sunt MSN (Microsoft Network), AIM (AOL Instant Messaging), Yahoo! Chat, Jabber și omologii lor corporativi sunt protocoale Microsoft Live Communication Server (LCS), IBM SameTime și Yahoo Corporate Messaging Server. Pe teritoriul CSI, sistemul ICQ, care acum este deținut de AOL și folosește aproape același protocol ca AIM, a devenit larg răspândit. Toate aceste sisteme fac aproape același lucru - transmit mesaje (atât prin server, cât și direct) și fișiere.

Acum, aproape toate sistemele au capacitatea de a efectua apeluri de la un computer la un computer și/sau la telefoane obișnuite, ceea ce creează anumite dificultăți pentru sistemele de control și necesită suport VoIP pentru a implementa servere proxy cu drepturi depline.

În mod obișnuit, produsele de control al traficului IM sunt implementate ca un gateway de aplicație care analizează datele transmise și blochează transmiterea datelor interzise. Există însă și implementări sub formă de servere IM specializate care efectuează verificările necesare la nivel de server.

Cele mai solicitate caracteristici ale produselor pentru monitorizarea traficului IM:

  • control acces prin protocoale separate;
  • controlul clienților uzați etc.;
  • controlul accesului utilizatorului individual:
  • permite utilizatorului să comunice numai în cadrul companiei;
  • permite utilizatorului să comunice numai cu anumiți utilizatori din afara companiei;
  • controlul textelor transmise;
  • controlul transferului de fișiere. Obiectele de control sunt:
    • mărime fișier;
    • tipul de fișier și/sau extensia;
  • direcția transferului de date;
  • controlul prezenței conținutului rău intenționat;
  • definiția SPIM;
  • salvarea datelor transmise pentru analiza ulterioară.

În prezent, controlul mesageriei instantanee vă permite să rulați următoarele produse:

  • CipherTrust IronIM de Secure Computing. Acest produs acceptă AIM, MSN, Yahoo! Chat, Microsoft LCS și IBM SameTime. Aceasta este una dintre cele mai complete soluții în acest moment;
  • Symantec IM Manager (dezvoltat de IMLogic, care a fost achiziționat de Symantec). Acest produs acceptă următoarele protocoale - Microsoft LCS, AIM, MSN, IBM SameTime, ICQ și Yahoo! conversație;
  • Antigen for Instant Messaging de la Microsoft vă permite, de asemenea, să lucrați cu aproape toate protocoalele populare pentru mesageria instantanee.

Produsele altor companii (ScanSafe, ContentKeeper) au mai puține funcții decât cele enumerate mai sus.

Este de remarcat faptul că două companii rusești, Grand Prix (un produs al SL-ICQ) și Mera.ru (un produs al lui Sormovici), furnizează produse pentru monitorizarea transmiterii mesajelor folosind protocolul ICQ.

filtrare VoIP

Popularitatea tot mai mare a mijloacelor de transfer de informații audio între computere (numite și Voice over IP (VoIP)) face necesară luarea de măsuri pentru controlul transferului de astfel de informații. Există diferite implementări pentru apeluri telefonice obișnuite de la PC la PC și/sau.

Există protocoale standardizate pentru schimbul de astfel de informații, cum ar fi Session Instantiation Protocol (SIP) adoptat de IETF și H.323 dezvoltat de ITU. Aceste protocoale sunt deschise, ceea ce face posibilă procesarea lor.

În plus, există protocoale dezvoltate de anumite companii care nu au documentație deschisă, ceea ce îngreunează foarte mult lucrul cu acestea. Una dintre cele mai populare implementări este Skype, care a câștigat o mare popularitate în întreaga lume. Acest sistem vă permite să efectuați apeluri între computere, să efectuați apeluri către linii fixe și telefoane mobile și să primiți apeluri de la liniile fixe și telefoanele mobile. Cele mai recente versiuni acceptă partajarea video.

Majoritatea produselor disponibile în prezent pot fi împărțite în două categorii:

  • produse care vă permit să identificați și să blocați traficul VoIP;
  • produse care pot detecta, capta și analiza traficul VoIP.
  • Produse Dolphian care vă permit să detectați și să permiteți sau să interziceți traficul VoIP (SIP și Skype) care este încapsulat în traficul HTTP standard;
  • produse Verso Technologies;
  • diferite tipuri de firewall-uri care au această capacitate.
  • produsul companiei ruse „Sormovich” acceptă capturarea, analiza și stocarea informațiilor vocale, care sunt transmise prin protocoalele H.323 și SIP;
  • biblioteca open source Oreka () vă permite să determinați componenta de semnalizare a traficului audio și să captați datele transmise, care pot fi apoi analizate prin alte mijloace.

Recent a devenit cunoscut faptul că produsul dezvoltat de ERA IT Solutions AG vă permite să interceptați traficul VoIP transmis folosind programul Skype. Dar pentru a efectua un astfel de control, trebuie să instalați un client specializat pe computerul care rulează Skype.

Filtrare peer-to-peer

Utilizarea diferitelor rețele peer-to-peer (p2p) de către angajați reprezintă următoarele amenințări pentru organizații:

  • distribuirea de cod rău intenționat;
  • scurgere de informații;
  • distribuirea datelor protejate prin drepturi de autor, ceea ce poate duce la urmărire penală;
  • scăderea productivității muncii;

Există un număr mare de rețele peer-to-peer. Există rețele care au servere centrale folosite pentru coordonarea utilizatorilor și există rețele care sunt complet descentralizate. În al doilea caz, acestea sunt deosebit de dificil de controlat folosind instrumente standard, cum ar fi firewall-urile.

Pentru a rezolva această problemă, multe companii creează produse care permit detectarea și procesarea traficului p2p. Există următoarele soluții pentru procesarea traficului p2p:

  • SurfControl Instant Messaging Filter, care gestionează p2p la egalitate cu mesageria instantanee;
  • pachetul Websense Enterprise oferă utilizatorilor instrumente de control al traficului p2p;
  • Filtrul de mesaje instantanee Webwasher vă permite să controlați accesul la diverse rețele p2p.

Utilizarea acestor produse sau a altor produse care nu sunt enumerate aici reduce drastic riscurile asociate cu accesul utilizatorilor la rețelele p2p.

Managementul unificat al amenințărilor

Soluțiile Unified Threat Management sunt oferite de mulți furnizori de securitate. De regulă, acestea sunt construite pe baza de firewall-uri, care, pe lângă funcțiile principale, îndeplinesc și funcțiile de filtrare a conținutului datelor. De obicei, aceste caracteristici se concentrează pe prevenirea intruziunilor, a pătrunderii codului rău intenționat și a spam-ului.

Multe dintre aceste produse sunt implementate ca soluții hardware și software care nu pot înlocui complet soluțiile de e-mail și de filtrare a traficului pe Internet, deoarece funcționează doar cu un număr limitat de capabilități furnizate de protocoale specifice. Ele sunt utilizate de obicei pentru a evita duplicarea funcționalității între produse și pentru a se asigura că toate protocoalele de aplicație sunt gestionate în baza aceleiași baze de date cunoscute pentru amenințări.

Cele mai populare soluții Unified Threat Management sunt următoarele produse:

  • SonicWall Gateway Anti-Virus, Anti-Spyware and Intrusion Prevention Service oferă protecție antivirus și alte date pentru SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, protocoale de mesagerie instantanee și multe protocoale de streaming utilizate pentru a transfera informații audio și video;
  • o serie de dispozitive ISS Proventia Network Multi-Function Security, realizate sub formă de sisteme software și hardware, asigură blocarea codului rău intenționat, a mesajelor nedorite și a intruziunilor. Livrarea include un număr mare de verificări (inclusiv cele pentru VoIP), care pot fi extinse de către utilizator;
  • Platforma hardware Network Gateway Security a Secure Computing, pe lângă protecția împotriva codului rău intenționat și a spam-ului, are și suport VPN. Aproape toate soluțiile Secure Computing sunt integrate în această platformă.

Există și alte produse, dar cele enumerate mai sus sunt utilizate pe scară largă.

Interceptarea datelor

Interceptarea datelor (interceptarea legală) a fost aproape întotdeauna folosită de agențiile de informații pentru a colecta și analiza informațiile transmise. Cu toate acestea, recent problema interceptării datelor (nu doar traficul pe internet, ci și telefonia și alte tipuri) a devenit foarte relevantă în lumina luptei împotriva terorismului. Chiar și acele state care au fost întotdeauna împotriva unor astfel de sisteme au început să le folosească pentru a controla transferul de informații.

Deoarece sunt interceptate diverse tipuri de date, adesea transmise pe canale de mare viteză, implementarea unor astfel de sisteme necesită software specializat pentru captarea și analizarea datelor și software separat pentru analiza datelor colectate. Ca atare, se poate folosi software pentru filtrarea conținutului unuia sau altuia.

Poate că cel mai faimos dintre aceste sisteme este sistemul anglo-american Echelon, care a fost folosit de multă vreme pentru a intercepta date în interesul diferitelor agenții americane și britanice. În plus, Agenția de Securitate Națională a SUA folosește sistemul Narus, care permite monitorizarea și analiza în timp real a traficului pe Internet.

Dintre produsele rusești putem aminti soluții de la compania Sormovich, care permite captarea și analizarea e-mailurilor, audio și diverse tipuri de trafic pe Internet (HTTP și altele).

Concluzie

Dezvoltarea sistemelor informatice duce la aparitia a tot mai multe noi amenintari. Prin urmare, dezvoltarea produselor de filtrare a conținutului nu numai că nu rămâne în urmă, dar uneori chiar anticipează apariția de noi amenințări, reducând riscurile pentru sistemele informaționale protejate.

Pagina de pornire a modulului

Un serviciu care permite clienților să facă cereri indirecte către alte servicii de rețea. În primul rând, clientul se conectează la serverul proxy și solicită o resursă web situată pe un alt server. Apoi serverul proxy fie se conectează la serverul specificat și obține resursa de la acesta, fie returnează resursa din propriul cache (dacă unul dintre clienți a accesat deja această resursă). În unele cazuri, o solicitare a clientului sau un răspuns de la server poate fi modificată de un server proxy în anumite scopuri.

De asemenea, serverul proxy vă permite să analizați cererile HTTP ale clientului care trec prin server, să efectuați filtrarea și contabilizarea traficului după tipuri de URL și mime. În plus, serverul proxy implementează un mecanism de acces la Internet prin autentificare/parolă.

Serverul proxy realizează stocarea în cache a obiectelor primite de utilizatori de pe Internet și, prin urmare, reduce consumul de trafic și crește viteza de încărcare a paginii.

Când intrați în modul, sunt afișate starea serviciilor, butonul „Dezactivare” (sau „Activare” dacă modulul este dezactivat) și cele mai recente mesaje din jurnal.

Setări

De obicei, pentru a lucra printr-un server proxy, trebuie să specificați adresa și portul acestuia în setările browserului. Cu toate acestea, dacă nu este utilizată autorizarea de conectare/parolă a utilizatorului, atunci poate fi utilizată funcția proxy transparentă.

În acest caz, toate solicitările HTTP din rețeaua locală sunt direcționate automat printr-un server proxy. Astfel, devine posibilă filtrarea și contabilizarea traficului prin URL, indiferent de setările computerelor client.

Portul implicit al serverului proxy este 3128, în setările modulului îl puteți schimba în orice port liber.

Tipuri de autorizare

Serverul proxy ICS acceptă două metode de autorizare: prin adresa IP a utilizatorului și prin parola de conectare.

Autorizarea prin adresă ip este potrivită pentru cazurile în care utilizatorul folosește în mod constant același computer. Proxy-ul determină care utilizator deține acest sau acel trafic, pe baza adresei IP a computerului său. Această metodă nu este potrivită pentru serverele terminale, deoarece în acest caz mai mulți utilizatori lucrează de la o singură adresă ip. De asemenea, această metodă nu este potrivită pentru organizațiile în care utilizatorii se deplasează constant între joburi. În plus, utilizatorul poate schimba adresa IP a computerului său și, dacă legarea adresei MAC la IP nu este configurată, ICS o va lua pentru altcineva.

Autorizarea prin autentificare/parolă rezolvă problema legării utilizatorilor de propriul computer. În acest caz, atunci când accesați orice resursă de Internet pentru prima dată, browserul va solicita utilizatorului un login/parolă pentru a accesa Internetul. Dacă utilizatorii din rețeaua dvs. sunt autorizați într-un domeniu, puteți seta tipul de autorizare la Prin domeniu. În acest caz, dacă ICS este conectat la un controler de domeniu și utilizatorii au fost importați de pe domeniu, autorizarea se va face transparent, fără a fi nevoie de autentificare/parolă.

În plus, ar trebui să rețineți că autorizarea proxy este utilizată numai pentru traficul http al utilizatorilor. Accesul la Internet pentru programele care folosesc alte protocoale decât http este reglementat de un firewall, care are o singură metodă de autorizare: prin adresa IP. Cu alte cuvinte, dacă un utilizator folosește doar autorizarea de conectare/parolă, el nu va putea folosi mail, client jabber, client torrent și alte programe care nu acceptă lucrul printr-un proxy http.

Autorizare Web

Pentru a autoriza utilizatorii fără un server proxy înregistrat prin nume de utilizator și parolă, puteți utiliza autorizarea web (portal captiv) activând caseta de selectare corespunzătoare. Autorizarea web permite, de exemplu, integrarea unei pagini de autorizare într-un portal corporativ și utilizarea acesteia ca pagină de autorizare. În mod implicit, portul de autorizare web este 82, de asemenea, îl puteți schimba cu oricare unul gratuit.

Pentru a nu înregistra manual un server proxy pe fiecare computer client, puteți folosi autoconfiguratorul. Opțiunea „Configurare automată proxy” trebuie setată în browserul clientului, toate celelalte setări vor fi determinate de ICS.

Este activat prin bifarea casetei din fila corespunzătoare. Puteți verifica unul sau mai multe dintre protocoalele disponibile (HTTP, HTTPS, FTP).

Opțiunea de a publica scriptul de autoconfigurare determină dacă acesta va fi disponibil după adresa IP a serverului sau de către gazda virtuală creată cu un nume de domeniu. Când selectați o gazdă virtuală, aceasta va fi creată automat în sistem. Caseta de bifat „Creează o intrare pe serverul DNS” va adăuga automat o zonă cu intrările necesare pentru această gazdă virtuală.

Publicați scriptul de autoconfigurare prin DHCP- acest parametru trimite setările proxy către toți clienții DHCP ai serverului.

Proxy părinte

Dacă organizația dvs. are mai multe servere proxy situate ierarhic, atunci serverul proxy din amonte pentru ICS va fi proxy părinte. În plus, orice nod de rețea poate acționa ca un proxy părinte.

Pentru ca ICS să redirecționeze cererile care vin pe serverul său proxy către proxy-ul părinte, specificați adresa IP și portul de destinație în fila „Proxy părinte”.

Serverele proxy își pot schimba datele din cache folosind protocolul ICP. În cazul funcționării în rețea prin mai mulți proxy, acest lucru poate accelera semnificativ munca. Dacă proxy-ul părinte acceptă protocolul, bifați caseta corespunzătoare și specificați portul pentru serviciu (3130 în mod implicit).

Adresele ip emise

Această filă conține o listă de adrese IP și utilizatori care sunt autorizați pe serverul proxy folosind autorizarea web.

Conținutul în cache

Fila Jurnal conține un rezumat al tuturor mesajelor de sistem de la serverul proxy. Revista este împărțită în pagini, folosind butoanele „înainte” și „înapoi” puteți trece de la o pagină la alta, sau introduceți numărul paginii în câmp și treceți imediat la ea.

Intrările din jurnal sunt evidențiate cu culoare în funcție de tipul de mesaj. Mesajele normale ale sistemului sunt marcate cu alb, mesajele de stare ale sistemului (pornire/oprire, procesare cache) cu verde, erorile cu roșu.

Există o bară de căutare în colțul din dreapta sus al modulului. Cu acesta, puteți căuta în jurnal intrările de care aveți nevoie.

Jurnalul afișează întotdeauna evenimente pentru data curentă. Pentru a vizualiza evenimentele din altă zi, selectați data dorită folosind calendarul din colțul din stânga sus al modulului.

ARTICOLE SIMILARE