- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch 20
- •3.6. Особливості розгортання субд Oracle 102
- •3.7. Вирішення проблем 106 вступ
- •1. Контроль та захист інформації від внутрішніх загроз
- •1.1 Інформація та ризик
- •1.2 Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •1.2.1 InfoWatch Mail Monitor
- •1.2.2 InfoWatch Web Monitor
- •1.2.3 InfoWatch Device Monitor
- •1.2.3 InfoWatch Mail Storage
- •1.2.4 InfoWatch Net Monitor
- •1.2.5 InfoWatch Enterprise Solution
- •Структура InfoWatch Enterprise Solution наведена на рисунку 6.
- •1.3 Сервіси
- •Розділ 2. Засоби та методи захисту мереж від витоків інформації
- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •2.1.1. Склад Traffic Monitor
- •2.1.2. Traffic Monitor Server
- •2.1.3. Traffic Monitor isa Server Plugin
- •2.1.4. Traffic Monitor Security Administrator
- •2.1.5. Traffic Monitor Security Officer
- •2.1.6. Traffic Monitor db Administrator
- •2.1.7. Traffic Monitor Analyser
- •2.1.8. Traffic Monitor Eraser
- •2.1.9. Схема роботи Traffic Monitor
- •2.1.10. Розподіл ролей
- •2.2. Принципи фільтрації
- •2.2.1. Загальний аналіз листа
- •2.2.2. Контентний аналіз листа
- •2.2.3. Дії над листами
- •2.3. Фільтрація Web-пошти
- •2.3.1. Цикл обробки Web-пошти
- •2.3.2. Особливості обробки Web-пошти
- •2.3.2.1. Авторизований і неавторизований режими роботи Web-фільтра
- •2.3.2.2. Обробка форм авторизації
- •2.3.2.3. Визначення кодування листа
- •2.4. Профілі фільтрації
- •2.4.1. Спеціальні заголовки
- •InfoWatch-Formal-Categories;
- •InfoWatch-WebMail-Fin.
- •2.4.2. Виявлення ознак порушення
- •2.5. Робота з Traffic Monitor Security Administrator
- •2.5.1. Головне вікно програми
- •2.5.2. Дерево конфігурацій
- •2.5.3. Конфігурація сервера контентної фільтрації
- •2.6. База профілів
- •2.6.1. Правила фільтрації
- •2.6.2. Призначення умов і дій у правилі фільтрації
- •2.7. Списки адрес
- •2.8. Робота з Traffic Monitor Security Officer
- •2.8.1. Головне вікно програми
- •2.8.2. Пошук листів
- •2.8.3. Моніторинг і аналіз листів
- •2.8.4. Перегляд листів
- •2.8.5. Ухвалення рішення
- •2.8.6. Робота з листами
- •2.8.8. Довідник X-InfoWatch-Status
- •2.9. Робота з Traffic Monitor db Administrator
- •2.9.1. Головне вікно програми
- •2.9.2. Керування обліковими записами
- •2.9.3. Сегменти даних
- •2.9.4 Перегляд статистики
- •2.10. Робота з Traffic Monitor Analyser
- •2.10.1. Головне вікно програми
- •2.10.2. Аналіз листів
- •2.10.3. Перегляд листів
- •2.10.4. Робота з листами
- •2.11. Робота з Traffic Monitor Eraser
- •2.11.1. Головне вікно програми
- •2.11.2. Пошук листів
- •2.11.3. Перегляд листів
- •2.12. Утиліта архівування
- •Розділ 3. Встановлення та конфігурування системи traffic monitor
- •3.1. Вимоги до апаратного та програмного забезпечення
- •3.1.1. Traffic Monitor Server
- •3.1.2. Traffic Monitor isa Server Plugin
- •3.1.3. Traffic Monitor Security Administrator, Traffic Monitor Security Officer
- •3.1.4. Traffic Monitor db Administrator, Traffic Monitor Analyser, Traffic Monitor Create Database Wizard, Traffic Monitor Eraser
- •3.2. Traffic Monitor Create Database Wizard
- •3.3. Створення схем баз даних
- •3.4. Traffic Monitor Server
- •3.4.1. Підготовка до встановлення
- •3.4.2. Встановлення Traffic Monitor Server
- •3.4.3. Настроювання Traffic Monitor Server
- •3.4.4. Настроювання з'єднання із сервером субд Oracle
- •3.4.5. Настроювання інтеграції з Postfix
- •3.4.6. Взаємодія із серверами субд Oracle
- •3.5. Traffic Monitor isa Server Plugin
- •3.5.1. Встановлення Traffic Monitor isa Server Plugin
- •3.5.2. Настроювання Traffic Monitor isa Server Plugin
- •3.6. Особливості розгортання субд Oracle
- •3.6.1 Вимоги до обов'язкового набору функціональності субд Oracle
- •3.6.2. Короткий опис процесу установки
- •3.6.3. Вирішення проблеми зв'язку із сервером субд Oracle
- •3.7. Вирішення проблем
- •Перелік використаних джерел
3.4.3. Настроювання Traffic Monitor Server
Усе компоненти сервера поштової фільтрації використовують загальний файл настроювань mm2.conf. Даний файл розташований за адресою:
/usr/local/infowatch/mm2/bin/mm2.conf
У конфігураційному файлі mm2.conf є ряд настроювань, які не описуються в даному розділі. Дані настроювання змінювати не рекомендується.
Частина параметрів, зазначених у конфігураційному файлі, задається в процесі установки сервера поштової фільтрації.
У секції [General] задані загальні настроювання:
User = iwtm2 - ім'я користувача операційної системи, що виконує запуск процесів сервера поштової фільтрації.
Настійно не рекомендується міняти значення параметра User, тому що це може привести до непрацездатності системи. Якщо необхідність у зміні даного параметра все-таки виникла, то краще виконати переустановку системи за допомогою інсталятора.
Group = oinstall - група, членом якої є даний користувач.
Якщо в процесі роботи значення параметра Group буде змінено, то необхідно також указати нове значення даного параметра у файлі /etc/crontab.
Root = /usr/local/infowatch/mm2 - шлях до кореневого каталогу Системи.
У секції [SMTPD] зазначені параметри настроювання приймаючого SMTP-сервера:
Daemon = On - запуск у режимі демона (On/Off).
MaxThreads = 3 - максимальна кількість потоків.
MaxMsgSize = 8000000 - максимальний розмір повідомлення (у байтах).
Domain = smtp.dmz.xxx - доменне ім'я сервера.
CoreDumpSize = -1 - розмір (у байтах) дампу пам'яті ядра. Даний параметр використовується для розбору помилкових ситуацій. Значення 0 указують, якщо запис не ведеться. Значення, що рекомендується -1 (відсутність обмежень на розмір дампу пам'яті ядра).
ListenPort = 2025 - порт сервера, на якому запущений процес прослуховування.
ListenAddr = 0.0.0.0 - адреса сервера.
MinDiskSpace = 1 - мінімальний вільний обсяг дискового простору (у відсотках), при якому можливий прийом повідомлень.
LogLevel = 1 - рівень протоколювання (від 0 до 4). Якщо встановлено значення 0, то протоколювання не ведеться.
SocketTimeout=1200 - час очікування (у секундах) успішного завершення будь-яких мережних операцій.
NoDNSLookups = true - відмова від DNS-перетворення IP-адрес клієнтів (значення True). Відмова від DNS-перетворення дозволяє збільшити продуктивність демона iw_smtpd. Якщо потрібно виконувати DNS-перетворення, встановіть значення False.
MaxHopCount = N - максимальна кількість прийомів листа. При N=0 лист буде прийнято 1 раз (за замовчуванням N=10).
Вивід про те, що прийом листа здійснюється повторно, може бути зроблений на підставі наступних ознак:
Ім'я того комп'ютера, на якому запущений демон iw_smtpd, зустрічається в заголовках листа більше N раз. У цьому випадку лист не приймається: вважається, що відбулося зациклення системи.
Значення параметра ListenAddr з даної секції зустрічається в заголовку Received листа не менш N раз. Такий лист не приймається, тому що вважається, що лист уже був прийнятий раніше.
MaxLoadAvg = 10 - максимальне навантаження на систему, у якій запущений демон iw_smtpd (граничне значення, виражене в умовних одиницях). Якщо завантаження системи дорівнює або перевищує зазначене граничне значення, демон iw_smtpd припиняє прийом листів. Коли навантаження на систему буде знижене, прийом листів відновляється. Значення за замовчуванням 10.
У секції [MESSED] задані настроювання параметрів демона обробки повідомлень:
Daemon = On - запуск у режимі демона (On/Off).
MaxThreads = 8 - максимальне число обробних потоків.
StoreRule = 'all' - правила запису повідомлень у базу даних. Можливі наступні варіанти:
'all'. Всі повідомлення, що пройшли фільтрацію, зберігаються в базі даних (архів/карантин).
'quarantine'. У базу даних (у карантин) записуються тільки повідомлення, які за результатами фільтрації визнані такими, що порушуюють корпоративну політику безпеки.
'none'. Запис повідомлень у базу даних не ведеться.
CoreDumpSize = -1 - розмір (у байтах) дампу пам'яті ядра. Даний параметр використовується для розбору помилкових ситуацій. Значення 0 указують, якщо запис не ведеться. Значення, що рекомендується -1 (відповідає відсутності обмежень на розмір дампу пам'яті ядра).
Relay = 127.0.0.1 - доменне ім'я поштового relay-сервера.
RelayPort = 2020 - порт поштового relay-сервера.
LogLevel = 1 - рівень протоколювання (від 1 до 5). Якщо протоколювання не потрібно, установлюють значення 0.
Timeout = 1200 - час очікування (у секундах) SMTP-клієнта перед відправленням повідомлення.
Параметри демона доставки повідомлень із карантину зазначені в секції [DELIVERD]:
Daemon = On - запуск у режимі демона (On/Off).
LogLevel = 1 - рівень протоколювання (від 1 до 5). Якщо протоколювання не потрібно, то встановлюють значення 0.
MaxRetries = 3 - максимальне число спроб доставити повідомлення (значення за замовчуванням 3).
RetryTimeout = 10 - час очікування (у секундах), після закінчення якого починається чергова спроба доставити повідомлення (значення за замовчуванням 10).
CoreDumpSize = -1 - розмір (у байтах) дампу пам'яті ядра. Значення 0 указують, якщо запис не ведеться. Значення -1 відповідає необмеженому розміру дампу пам'яті ядра.
CheckPeriod = 5 - інтервал часу (у секундах) між перевірками на надходження нових повідомлень.
HeloDomain = smtp.dmz.xxx - значення команди HELLO SMTP-діалогу. Внутрішній домен smtp.dmz.xxx.
Relay = 127.0.0.1 - адреса поштового relay-сервера.
RelayPort = 2020 - порт поштового relay-сервера.
Timeout = 1200 - час очікування (у секундах) SMTP-клієнта перед відправленням повідомлень.