- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch 20
- •3.6. Особливості розгортання субд Oracle 102
- •3.7. Вирішення проблем 106 вступ
- •1. Контроль та захист інформації від внутрішніх загроз
- •1.1 Інформація та ризик
- •1.2 Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •1.2.1 InfoWatch Mail Monitor
- •1.2.2 InfoWatch Web Monitor
- •1.2.3 InfoWatch Device Monitor
- •1.2.3 InfoWatch Mail Storage
- •1.2.4 InfoWatch Net Monitor
- •1.2.5 InfoWatch Enterprise Solution
- •Структура InfoWatch Enterprise Solution наведена на рисунку 6.
- •1.3 Сервіси
- •Розділ 2. Засоби та методи захисту мереж від витоків інформації
- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •2.1.1. Склад Traffic Monitor
- •2.1.2. Traffic Monitor Server
- •2.1.3. Traffic Monitor isa Server Plugin
- •2.1.4. Traffic Monitor Security Administrator
- •2.1.5. Traffic Monitor Security Officer
- •2.1.6. Traffic Monitor db Administrator
- •2.1.7. Traffic Monitor Analyser
- •2.1.8. Traffic Monitor Eraser
- •2.1.9. Схема роботи Traffic Monitor
- •2.1.10. Розподіл ролей
- •2.2. Принципи фільтрації
- •2.2.1. Загальний аналіз листа
- •2.2.2. Контентний аналіз листа
- •2.2.3. Дії над листами
- •2.3. Фільтрація Web-пошти
- •2.3.1. Цикл обробки Web-пошти
- •2.3.2. Особливості обробки Web-пошти
- •2.3.2.1. Авторизований і неавторизований режими роботи Web-фільтра
- •2.3.2.2. Обробка форм авторизації
- •2.3.2.3. Визначення кодування листа
- •2.4. Профілі фільтрації
- •2.4.1. Спеціальні заголовки
- •InfoWatch-Formal-Categories;
- •InfoWatch-WebMail-Fin.
- •2.4.2. Виявлення ознак порушення
- •2.5. Робота з Traffic Monitor Security Administrator
- •2.5.1. Головне вікно програми
- •2.5.2. Дерево конфігурацій
- •2.5.3. Конфігурація сервера контентної фільтрації
- •2.6. База профілів
- •2.6.1. Правила фільтрації
- •2.6.2. Призначення умов і дій у правилі фільтрації
- •2.7. Списки адрес
- •2.8. Робота з Traffic Monitor Security Officer
- •2.8.1. Головне вікно програми
- •2.8.2. Пошук листів
- •2.8.3. Моніторинг і аналіз листів
- •2.8.4. Перегляд листів
- •2.8.5. Ухвалення рішення
- •2.8.6. Робота з листами
- •2.8.8. Довідник X-InfoWatch-Status
- •2.9. Робота з Traffic Monitor db Administrator
- •2.9.1. Головне вікно програми
- •2.9.2. Керування обліковими записами
- •2.9.3. Сегменти даних
- •2.9.4 Перегляд статистики
- •2.10. Робота з Traffic Monitor Analyser
- •2.10.1. Головне вікно програми
- •2.10.2. Аналіз листів
- •2.10.3. Перегляд листів
- •2.10.4. Робота з листами
- •2.11. Робота з Traffic Monitor Eraser
- •2.11.1. Головне вікно програми
- •2.11.2. Пошук листів
- •2.11.3. Перегляд листів
- •2.12. Утиліта архівування
- •Розділ 3. Встановлення та конфігурування системи traffic monitor
- •3.1. Вимоги до апаратного та програмного забезпечення
- •3.1.1. Traffic Monitor Server
- •3.1.2. Traffic Monitor isa Server Plugin
- •3.1.3. Traffic Monitor Security Administrator, Traffic Monitor Security Officer
- •3.1.4. Traffic Monitor db Administrator, Traffic Monitor Analyser, Traffic Monitor Create Database Wizard, Traffic Monitor Eraser
- •3.2. Traffic Monitor Create Database Wizard
- •3.3. Створення схем баз даних
- •3.4. Traffic Monitor Server
- •3.4.1. Підготовка до встановлення
- •3.4.2. Встановлення Traffic Monitor Server
- •3.4.3. Настроювання Traffic Monitor Server
- •3.4.4. Настроювання з'єднання із сервером субд Oracle
- •3.4.5. Настроювання інтеграції з Postfix
- •3.4.6. Взаємодія із серверами субд Oracle
- •3.5. Traffic Monitor isa Server Plugin
- •3.5.1. Встановлення Traffic Monitor isa Server Plugin
- •3.5.2. Настроювання Traffic Monitor isa Server Plugin
- •3.6. Особливості розгортання субд Oracle
- •3.6.1 Вимоги до обов'язкового набору функціональності субд Oracle
- •3.6.2. Короткий опис процесу установки
- •3.6.3. Вирішення проблеми зв'язку із сервером субд Oracle
- •3.7. Вирішення проблем
- •Перелік використаних джерел
2.3. Фільтрація Web-пошти
Фільтр Web-пошти, що діє в складі Proxy-серверу Microsoft ISA Server, здійснює перехоплення вихідних HTTP-запитів, формує із цих запитів SMTP-листи та передає ці листи на cервер поштової фільтрації для розпізнавання. Обробка HTTP-запитів значно відрізняється від обробки звичайного листа. Особливості фільтрації Web-пошти розглядаються в цьому розділі.
2.3.1. Цикл обробки Web-пошти
У цьому розділі розглядаються принципи фільтрації Web-пошти. Як приклад використовується схема обробки HTTP-запитів, реалізована за допомогою предвстановлених профілів.
У процесі фільтрації виконується обробка HTTP-запитів до сайтів Web-пошти, форумів і т.ін. Обробка запиту виконується у два етапи: виявлення ознак порушень і маршрутизація листа.
Аналіз листа на першому етапі виконується з метою визначити статус листа, приналежність до контентних категорій.
На етапі маршрутизації приймається рішення про доставку листа адресатам. Рішення приймається на підставі статусу, привласненого листу на першому етапі. Залежно від ухваленого рішення модулю фільтрації POST-запитів направляється команда доставити лист зазначеним адресатам або блокувати доставку листа. По завершенні аналізу лист зберігається в базу даних (архів або карантин).
Далі в цьому розділі приводиться докладний опис схеми обробки HTTP-запитів:
Модуль фільтрації POST-запитів (далі також Web- фільтр), убудований у Proxy-сервер Microsoft ISA Server, здійснює перехоплення всіх запитів типу POST.
Перехоплення й аналіз типу запиту відбувається в такий спосіб:
При одержанні перших заголовків запиту Web-фільтр визначає тип запиту. Якщо запит, що надійшов, передається методом POST, то фільтр накопичує заголовки й дані запиту.
При виявленні запиту іншого типу Web-фільтр виключає себе з оброблювачів даного запиту, і запит проходить стандартний цикл обробки.
З даних POST-запиту формується SMTP-лист, у якому використовуються наступні дані запиту: ім'я (hostname) і IP-адреса відправника, а також ім'я сервера, до якого виробляється запит. Ці дані зберігаються в заголовках X-InfoWatch-ClientHost, X-InfoWatch-ClientIP і X-InfoWatch-WebMailHost відповідно й можуть бути проаналізовані на етапі фільтрації листів.
Також з даних POST-запиту виділяється наступна інформація:
адреси одержувачів, які виділяються з полів уведення адрес одержувача (To, CC і BCC) і зберігаються в заголовку листа X-InfoWatch-To;
адреса відправника, що формується з даних авторизації і зберігається в заголовку X-InfoWatch-From у наступному виді:
Domain-User(5).HostClientMX, де:
Domain - ім'я домена, у якому зареєстрований користувач (якщо є);
User - ім'я, під яким зареєстрований користувач;
Host - ім'я сервера Web-пошти, з якого виконувалося відправлення листа (відповідає значенню, збереженому в заголовку X-InfoWatch-WebMailHost);
ClientMX - загальний для всіх адрес префікс, що використовується для того, щоб відокремити Web-листи від звичайних електронних листів.
Ці заголовки використовуються в програмі Traffic Monitor Security Officer для відображення відправника та одержувача листів.
З даних запиту виділяються також поля теми та текстової частини листа. Тема листа зберігається в заголовку Subject, а тіло листа вставляється як перший inline-блок multipart-листа (який звичайно інтерпретується як тіло листа).
Значення тих параметрів, які не вдалося розпізнати, вставляються в лист як вкладення.
Сформований лист позначається заголовком X-InfoWatch-WebMail (ознака першого етапу обробки Web-листа; докладніше про роль, що виконує цей заголовок, буде показано нижче) і по TCP передається для обробки на сервер контентной фільтрації. При цьому в процесі передачі емулюються наступні дані:
ім'я (hostname) відправника по даним перехопленого POST-запиту (відповідає значенню, збереженому в заголовку X-InfoWatch-ClientHost);
адреса відправника (для віртуального SMTP-конверта), сформована за даними авторизації на Proxy-сервері (відповідає значенню, збереженому в заголовку X-InfoWatch-From, формат адреси відправника);
адреси всіх одержувачів (для віртуального SMTP-конверта), які виділяються з полів уведення адрес одержувача To, CC і BCC (відповідає значенню, збереженому в заголовку X-InfoWatch-To).
За результатами аналізу листа сервер контентної фільтрації передає Web-фільтру інформацію про те, що варто зробити із запитом:
Блокувати даний запит. Web-фільтр одержує команду Reject (Не приймати лист, послати повідомлення відправникові) або BlackHole (Не приймати лист, не посилати повідомлення відправникові).
Пропустити запит на зовнішній сервер. Web-фільтр одержує команду Accept (Відправити лист адресатам).
Переданий сервером контентної фільтрації список інших дій, які необхідно зробити з листом (наприклад, змінити заголовки або список одержувачів), Web-фільтр ігнорує. У цьому складається головна відмінність розпізнавання Web-листа від стандартної обробки SMTP-листів.
Web-фільтр, що одержав від серверу контентної фільтрації команду Accept, виключає себе зі списку оброблювачів даного запиту, після чого обробка даного POST-запиту триває природним шляхом (передача запиту на зовнішній сервер і трансляція клієнтові його відповіді).
У випадку, коли від сервера контентної фільтрації отримана команда на блокування запиту (Reject або BlackHole), Web-фільтр відправляє Proxy-серверу команду на формування відгуку ( http-response) і негайно припиняє обробку запиту. У цьому випадку ніякі дані із запиту користувача на вилучений сервер не передаються.
Одночасно модуль фільтрації POST-запитів міняє у віртуальному листі заголовок X-InfoWatch-WebMail на InfoWatch-WebMail-Fin (ознака етапу маршрутизації листа) і передає лист на сервер контентної фільтрації. Лист другий раз піддається аналізу, протоколюється й зберігається в базу даних (архів або карантин).