Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Моніторинг і аналіз мережевого трафіку

  1. Створення гібридного DLP-рішення за допомогою EtherSensor і endpoint-компонентів DeviceLock DLP
  2. Як працює сервер DeviceLock EtherSensor
  3. Мережеві комунікації, контрольовані DeviceLock EtherSensor

Серверний модуль DeviceLock EtherSensor, автономний продукт в складі програмного комплексу DeviceLock DLP, дозволяє організаціям забезпечити всеосяжний моніторинг мережевого трафіку, працюючи при цьому на серійному серверному обладнанні або в віртуальному середовищі на ОС Windows з широкими можливостями налаштування для аналізу великих потоків даних (гігабіта в секунду без втрати пакетів).

Серверний модуль DeviceLock EtherSensor, автономний продукт в складі програмного комплексу DeviceLock DLP, дозволяє організаціям забезпечити всеосяжний моніторинг мережевого трафіку, працюючи при цьому на серійному серверному обладнанні або в віртуальному середовищі на ОС Windows з широкими можливостями налаштування для аналізу великих потоків даних (гігабіта в секунду без втрати пакетів)

Сервер EtherSensor дозволяє протоколювати мережеві події і передаються по мережі повідомлення і файли, які не задіюючи при цьому агенти DeviceLock, з метою контролю використання внутрішньокорпоративної і зовнішньої електронної пошти (включаючи вхідну пошту), веб-пошти, соціальних мереж, широкого ряду месенджерів, сервісів пошуку роботи , форумів і блогів. Також перехоплюються і записуються передача файлів по протоколах HTTP, FTP і в хмарні сховища. Перехоплені дані зберігаються в базі даних в DeviceLock DLP для подальшого зберігання та аналізу, включаючи можливості повнотекстового пошуку за допомогою DeviceLock Search Server.

Створення гібридного DLP-рішення за допомогою EtherSensor і endpoint-компонентів DeviceLock DLP

Спільне використання агентів DeviceLock DLP, які забезпечують повнофункціональний DLP-контроль робочих станцій, і сервера перехоплення і аналізу мережевого трафіку DeviceLock EtherSensor, дозволяє побудувати унікальну гібридну DLP-систему в організації будь-якого масштабу. Завдяки поєднанню двох різних DLP-архітектур (мережевий і агентської) для контролю мережевого трафіку служби інформаційної безпеки отримують можливість забезпечити DLP-контроль корпоративної інформації в різних сценаріях, створюючи гнучкі DLP-політики з різними рівнями контролю і реакції на події, підвищити надійність DLP-системи при вирішенні завдання запобігання і виявлення витоків інформації. Єдина база даних подієвого протоколювання і тіньового копіювання, що наповнюється подіями і даними, отриманими під час перехоплення трафіку з рівня мережі і в результаті контролю мережевих комунікацій і пристроїв на робочих станціях, дозволяє виявляти інциденти інформаційної безпеки для найширшого спектра потенційних каналів витоку даних.

Гібридна DLP-система ефективно вирішує відразу кілька проблем і завдань, що стоять перед службами інформаційної безпеки - моніторингу мережевого трафіку з комп'ютерів і мобільних пристроїв, на яких з технічних причин неможливо встановити або експлуатувати DLP-агент, або зниження навантаження на робочі станції користувачів за рахунок роздільного контролю різних мережевих сервісів і протоколів на різних рівнях. Автоматичне перемикання різних комбінацій DLP-політик для контролю мережевого трафіку в агента DeviceLock DLP в залежності від наявності підключення до корпоративної мережі та / або корпоративних серверів дозволяє забезпечити надзвичайно гнучкий контроль користувачів, коли, наприклад, на рівні агента при знаходженні лептопа в офісі зберігається контроль пристроїв , принтерів і особливо критичних мережевих додатків і сервісів, в тому числі із застосуванням контентної фільтрації в режимі реального часу, а контроль та інспекція інших мережевих протоколів і сервісів покладається на модуль EtherSensor.

Як працює сервер DeviceLock EtherSensor

Сервер DeviceLock EtherSensor виконує три завдання:

  • пасивний перехоплення мережевого трафіку канального рівня;
  • аналіз перехопленого (віддзеркалювати) трафіку для вилучення з нього корисних об'єктів рівня додатки (об'єкти, їх контент, події і т.д.);
  • збереження результатів аналізу в базі даних сервера DeviceLock Enterprise Server. EtherSensor функціонує без використання агентів DeviceLock, що встановлюються на робочих станціях для реалізації інших функцій DLP-контролю. Висока продуктивність EtherSensor дозволяє використовувати серійне серверне обладнання або середу віртуалізації для аналізу великих потоків даних (гігабіта в секунду без втрати пакетів) при досить низьких системних вимогах. EtherSensor працює в пасивному режимі отримання мережевого трафіку, отже, не впливає на мережеву інфраструктуру і не вимагає її зміни, крім необхідності відведення копії мережевого трафіку за допомогою віддзеркалення трафіку або мережевого ответвителя на EtherSensor.

Джерела даних для EtherSensor:

  1. Мережеві інтерфейси фізичного або віртуального сервера EtherSensor підключаються до Mirror-порту (SPAN, rx і tx пакети) для прослуховування трафіку з критичних пристроїв або цілих сегментів мережі. Аналогічно настроюється інтеграція з рішеннями класу NGFW, здатними розшифровувати SSL / TLS (PaloAlto Networks, FortiGate, і т.д.), коли копія розшифрованого SSL-трафіку направляється на мережевий інтерфейс EtherSensor для аналізу.
  2. Проксі-сервери за умови ICAP-інтеграції, що мають можливість розшифровки HTTPS-трафіку і передачі результатів по ICAP в EtherSensor (Blue Coat SG, Cisco WSA, SQUID і т.д).
  3. PCAP-файли на файлову систему. EtherSensor періодично опитує каталог на предмет появи нових PCAP-файлів із записаним трафіком. При виявленні такі файли негайно обробляються і аналізуються EtherSensor.
  4. Lotus Notes Transaction Log для отримання всіх повідомлень, що проходять через поштову систему IBM (Lotus) Notes. Також проводиться виявлення поштових повідомлень Lotus Notes в оброблюваному трафіку.
  5. Плагін для сервера Microsoft Skype for Business (Lync) з роллю Edge, що відправляє копію листування на сервер EtherSensor.

Сервер EtherSensor реконструює і аналізує об'єкти трафіку, починаючи з рівня 2 моделі OSI і до рівня 7 - об'єкти, специфічні для певного додатка, користувача і Інтернет-сервісу, при цьому число підтримуваних сервісів перевищує кілька тисяч. Для вирішення завдання аналізу SSL / TLS трафіку EtherSensor інтегрується з будь-якими сторонніми рішеннями, що мають функцію розшифровки SSL. Крім того, вбудований ICAP-сервер дозволяє серверу EtherSensor взаємодіяти з ICAP-клієнтами, обробними HTTPS-трафік. Крім цього, для вирішення завдання розтину SSL / TLS методом MITM може використовуватися додатковий програмний продукт SSLSplitter.

Отримані в результаті перехоплення дані проходять попередню фільтрацію з метою виключення свідомо нецікавого або сміттєвого трафіку з використанням технології Berkeley Packet Filter (BPF), яка дозволяє надавати для подальшого аналізу дані саме з тих сегментів мережі, які затребувані службою ІБ.

Мережеві комунікації, контрольовані DeviceLock EtherSensor

Соціальні мережі: виділення з трафіку методом пасивного перехоплення повідомлень різних типів (авторизація, повідомлення, коментарі тощо) в соціальних мережах і на форумах: Facebook, LinkedIn, Vk.com, Odnoklassniki, Mamba.ru, phpbb, ipb, vbulletin , mybb, а також SMS / MMS-повідомлення користувачів, що відправляються через спеціалізовані веб-сервіси (500+ доменів).

Електронна пошта: виділення з трафіку методом пасивного перехоплення повідомлень електронної пошти, переданих по протоколах SMTP, POP3 та IMAP4.

Протоколи та служби передачі файлів: виділення з трафіку методом пасивного перехоплення файлів, переданих по протоколах HTTP, FTP, SMB / CIFS і WebDAV.

Сервіси миттєвих повідомлень: виділення з трафіку методом пасивного перехоплення повідомлень, відправлених і отриманих через служби миттєвих повідомлень, такі як Skype (включаючи MS Lync / Skype for Business), ICQ, Google Hangout, Mail.ru Агент і інші сервіси, що працюють по протоколах IRC , MSN, XMPP / Jabber, Yahoo і OSCAR.

Вхідна та вихідна веб-пошта: виділення з трафіку методом пасивного перехоплення вхідних і вихідних повідомлень служб веб-пошти: Mail.RU, Yandex.RU, Pochta.RU, GMail і т.п. (40+ доменів), а також сервісів на популярних webmail-двигунах.

Сервіси пошуку роботи: виділення з трафіку методом пасивного перехоплення повідомлень, вакансій, відгуків та інших подій сервісів вакансій і пошуку роботи, таких як HH.ru, SuperJob.ru, Job.ru і т.п. (150 + доменів).

Поштова служба IBM (Lotus) Notes: виділення з трафіку методом пасивного перехоплення повідомлень системи Lotus Notes (зараз IBM Notes). У тому випадку, якщо застосовується шифрування трафіку, повідомлення можуть вилучатись з Lotus Notes Transaction Log (даний метод ніяк не впливає на роботу Lotus Notes).

У комплект поставки модуля DeviceLock EtherSensor також входить програмне рішення EtherStat, призначене для аналізу мережевий статистики, отриманої від сервера EtherSensor. EtherStat дозволяє будувати звіти різної складності про мережеві події з використанням фільтрів в ручному та автоматичному режимах, об'єднуючи отриману від EtherSensor статистику з інформацією про користувачів EtherStat і їх пристроях, що беруть участь в мережевих з'єднаннях.

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.