Бърз старт: ICAP сървър. Минимални системни изисквания за ICAP сървър

Начална страница на модула

Услуга, която позволява на клиентите да правят индиректни заявки към други мрежови услуги. Първо, клиентът се свързва с прокси сървъра и изисква някакъв уеб ресурс, разположен на друг сървър. След това прокси сървърът или се свързва с посочения сървър и получава ресурса от него, или връща ресурса от собствения си кеш (ако някой от клиентите вече има достъп до този ресурс). В някои случаи клиентската заявка или отговорът на сървъра може да бъде променен от прокси сървъра за определени цели.

Също така, прокси сървърът ви позволява да анализирате клиентски HTTP заявки, преминаващи през сървъра, да филтрирате и записвате трафик по URL и типове mime. В допълнение, прокси сървърът реализира механизъм за достъп до Интернет чрез потребителско име/парола.

Прокси сървърът кешира обекти, получени от потребителите от Интернет, и по този начин намалява потреблението на трафик и увеличава скоростта на зареждане на страницата.

При влизане в модула се показват състоянието на услугите, бутонът „Деактивиране“ (или „Активиране“, ако модулът е деактивиран) и последните съобщения в дневника.

Настройки

Обикновено, за да работите чрез прокси сървър, трябва да посочите неговия адрес и порт в настройките на браузъра. Въпреки това, ако не се използва потребителско оторизиране чрез вход/парола, тогава можете да използвате прозрачната прокси функция.

В този случай всички HTTP заявки от локалната мрежа автоматично се насочват през прокси сървъра. Това дава възможност за филтриране и записване на трафик по URL адрес, независимо от настройките на клиентските компютри.

Портът на прокси сървъра по подразбиране е 3128, в настройките на модула можете да го промените на всеки свободен порт.

Видове разрешения

ICS прокси сървърът поддържа два метода за оторизация: чрез IP адрес на потребителя и чрез парола за вход.

Упълномощаването чрез IP адрес е подходящо за случаи, когато потребителят постоянно използва един и същ компютър. Проксито определя кой потребител притежава този или онзи трафик въз основа на IP адреса на неговия компютър. Този метод не е подходящ за терминални сървъри, тъй като в този случай няколко потребителя работят от един и същ IP адрес. Освен това този метод не е подходящ за организации, в които потребителите постоянно се движат между работните станции. В допълнение, потребителят може да промени IP адреса на своя компютър и ако MAC адресът не е конфигуриран да се свързва с IP, ICS ще го сбърка с някой друг.

Упълномощаването чрез вход/парола решава проблема със свързването на потребителите към собствен компютър. В този случай, когато за първи път влезете в който и да е интернет ресурс, браузърът ще подкани потребителя за вход/парола за достъп до Интернет. Ако потребителите във вашата мрежа са упълномощени в домейн, можете да зададете типа оторизация на „Чрез домейн“. В този случай, ако ICS е свързан към домейн контролер и потребителите са импортирани от домейна, оторизацията ще се извърши прозрачно, без да се изисква влизане/парола.

Освен това трябва да запомните, че прокси упълномощаването се използва само за потребителски http трафик. Достъпът до интернет за програми, използващи протоколи, различни от http, се регулира от защитна стена, която има само един метод за оторизация: чрез IP адрес. С други думи, ако потребител използва само оторизация за вход/парола, той няма да може да използва поща, jabber клиент, торент клиент и други програми, които не поддържат работа през http прокси.

Влизане в мрежата

За да упълномощите потребители без регистриран прокси сървър с потребителско име и парола, можете да използвате уеб упълномощаване (captive portal), като поставите отметка в съответното квадратче. Уеб авторизацията позволява например да се интегрира страница за авторизация в корпоративен портал и да се използва като страница за авторизация. По подразбиране портът за уеб авторизация е 82, можете също да го промените на всеки безплатен.

За да не регистрирате ръчно прокси сървър на всяка клиентска машина, можете да използвате автоматичния конфигуратор. Опцията „Автоматично конфигуриране на прокси“ трябва да бъде зададена в браузъра на клиента; всички други настройки ще бъдат определени от ICS.

Активира се, като поставите отметка в квадратчето в съответния раздел. Можете да изберете един или повече протоколи от наличните (HTTP, HTTPS, FTP).

Опцията за публикуване на скрипт за автоматично конфигуриране определя дали той ще бъде достъпен от IP адреса на сървъра или от създаден виртуален хост с име на домейн. Когато изберете виртуален хост, той автоматично ще бъде създаден в системата. Квадратче за отметка „Създайте запис на DNS сървъра“автоматично ще добави зона с необходимите записиза този виртуален хост.

Публикуване на скрипт за автоматично конфигуриране чрез DHCP- този параметър предава прокси настройки на всички DHCP клиенти на сървъра.

Родителски пълномощник

Ако вашата организация има няколко прокси сървъра, разположени йерархично, тогава прокси сървърът, който е по-висш от ICS, ще бъде нейният родителски пълномощник. Освен това всеки мрежов възел може да действа като родителски прокси.

За да може ICS да пренасочва заявките, идващи към неговия прокси сървър, към родителския прокси, посочете неговия IP адрес и целевия порт в раздела „Родителски прокси“.

Прокси сървърите могат да обменят своите кеш данни, използвайки ICP протокола. Ако мрежата работи чрез няколко проксита, това може значително да ускори работата. Ако родителският прокси поддържа протокола, поставете отметка в съответното поле и посочете сервизния порт (по подразбиране 3130).

Издадени IP адреси

Този раздел съдържа списък с IP адреси и потребители, които са влезли в прокси сървъра чрез уеб оторизация.

Съдържание на кеша

Разделът „Дневник“ съдържа обобщение на всички системни съобщения от прокси сървъра. Списанието е разделено на страници, с помощта на бутоните „напред“ и „назад“ можете да се придвижвате от страница на страница или да въведете номера на страницата в полето и да превключите директно към нея.

Записите в дневника се маркират с цвят в зависимост от типа на съобщението. Редовните системни съобщения са маркирани в бяло, съобщенията за състоянието на системата (включено/изключено, обработка на кеша) са в зелено, грешките са в червено.

Вдясно горния ъгълмодул има ред за търсене. С негова помощ можете да търсите в дневника нужните записи.

Дневникът винаги показва събития за текущата дата. За да видите събития в друг ден, изберете желаната дата с помощта на календара в горния ляв ъгъл на модула.

ICRA (Асоциация за оценка на интернет съдържание) е нова инициатива, разработена от независима организация с нестопанска целсъс същото име. Основната цел на тази инициатива е да защити децата от достъп до забранено съдържание. Тази организация има споразумения с много компании (големи телекомуникационни и софтуерни компании) за осигуряване на по-надеждна защита.

ICRA предоставя софтуер, който ви позволява да проверите специалния етикет, върнат от даден сайт, и да решите дали да получите достъп до тези данни. Софтуерът работи само на платформата Microsoft Windows, но благодарение на отворената спецификация е възможно да се създават филтриращи софтуерни реализации за други платформи.

Целите и задачите, решени от тази организация, както и всички необходими документиможете да намерите на уебсайта на ICRA - http://www.icra.org/.

Предимствата на този подход включват факта, че е необходим само специален софтуер за обработка на данните и не е необходимо да се актуализират базите данни с адреси и/или категории, тъй като цялата информация се предава от самия сайт. Но недостатъкът е, че сайтът може да посочи грешна категория, което ще доведе до неправилно предоставяне или отказ на достъп до данни. Този проблем обаче може да бъде разрешен (и вече се решава) чрез използването на инструменти за проверка на данни, като цифрови подписи и др.

Филтриране на трафик в света на Web 2.0

Масовото въвеждане на така наречените Web 2.0 технологии значително усложни филтрирането на съдържанието на уеб трафика. Тъй като в много случаи данните се предават отделно от дизайна, съществува възможност за изтичане на нежелана информация към или от потребителя. Когато работите със сайтове, които използват такива технологии, трябва да направите цялостен анализпредадени данни, определящи предаването на допълнителна информация и вземайки предвид данните, събрани в предишни етапи.

Понастоящем никоя от компаниите, произвеждащи инструменти за филтриране на съдържание на уеб трафик, не позволява цялостен анализ на данните, предавани с помощта на технологиите AJAX.

Интеграция с външни системи

В много случаи въпросът за интегрирането на системи за анализ на съдържание с други системи става доста остър. В този случай системите за анализ на съдържанието могат да действат едновременно като клиенти и сървъри или в двете роли едновременно. За тези цели са разработени няколко стандартни протокола – Internet Content Adaptation Protocol (ICAP), Open Pluggable Edge Services (OPES). Освен това някои производители са създали свои собствени протоколи, за да позволят на конкретни продукти да комуникират помежду си или със софтуер на трети страни. Те включват Cisco Web Cache Coordination Protocol (WCCP), Check Point Content Vectoring Protocol (CVP) и други.

Някои протоколи - ICAP и OPES - са проектирани така, че да могат да се използват за реализиране както на услуги за филтриране на съдържание, така и на други услуги - преводачи, поставяне на реклами, доставка на данни, в зависимост от политиката на тяхното разпространение и др.

ICAP протокол

В момента протоколът ICAP е популярен сред авторите на софтуер за филтриране на съдържание и създателите на софтуер за идентифициране на злонамерено съдържание (вируси, шпионски/злонамерен софтуер). Заслужава обаче да се отбележи, че ICAP е проектиран предимно да работи с HTTP, което налага много ограничения върху използването му с други протоколи.

ICAP е приет от Internet Engineering Task Force (IETF) като стандарт. Самият протокол е дефиниран от RFC 3507 с някои допълнения, описани в проекта за разширения на ICAP. Тези документи и допълнителна информациядостъпен от сървъра на форума на ICAP - http://www.i-cap.org.

Архитектурата на системата при използване на протокола ICAP е показана в. ICAP клиентът е системата, през която се предава трафикът. Системата, която извършва анализ и обработка на данни, се нарича ICAP сървър. ICAP сървърите могат да действат като клиенти за други сървъри, което прави възможно свързването на няколко услуги за колективна обработка на едни и същи данни.

Фигура 1. Схема на взаимодействие между ICAP сървъри и клиенти

За взаимодействие между клиента и сървъра се използва протокол, подобен на HTTP версия 1.1, и се използват същите методи за кодиране на информация. Според стандарта ICAP може да обработва както изходящ (REQMOD - Request Modification), така и входящ (RESPMOD - Response Modification) трафик. Решението кои от предадените данни ще бъдат обработени се взема от ICAP клиента, в някои случаи това прави невъзможно пълен анализданни. Настройките на клиента зависят изцяло от изпълнението и в много случаи не могат да бъдат променяни.

След получаване на данни от клиента, ICAP сървърът ги обработва и при необходимост модифицира данните. След това данните се връщат на ICAP клиента и той ги предава на сървъра или клиента, в зависимост от посоката, в която са прехвърлени.

ICAP се използва най-широко в продуктите против зловреден софтуер, защото позволява тези проверки да се използват в множество продукти и е независим от платформата, на която работи ICAP клиентът.

Недостатъците на използването на ICAP включват следното:

• допълнителните мрежови взаимодействия между клиента и сървъра донякъде забавят скоростта на пренос на данни между външни системи и потребители на информация;
• Има проверки, които трябва да се извършат не на клиента, а на ICAP сървъра, като например определяне на типа данни и т.н. Това е уместно, тъй като в много случаи ICAP клиентите разчитат на файловото разширение или типа данни, докладвани от външния сървър, което може да причини нарушение на политиката за сигурност;
• Трудната интеграция със системи, използващи протоколи, различни от HTTP, предотвратява използването на ICAP за задълбочен анализ на данни.

OPES протокол

За разлика от ICAP, протоколът OPES е разработен, като се вземат предвид характеристиките на конкретни протоколи. Освен това по време на разработката му са взети предвид недостатъците на протокола ICAP, като липса на удостоверяване на клиенти и сървъри, липса на удостоверяване и др.

Подобно на ICAP, OPES е приет като стандарт от Internet Engineering Task Force. Структурата на взаимодействието на услугата, протоколът за взаимодействие, изискванията за услугата и решенията за осигуряване на сигурност на услугата са изложени в документи RFC 3752, 3835, 3836, 3837 и др. Списъкът редовно се актуализира с нови документи, описващи приложението на OPES не само за обработката на интернет трафик, но и за обработката на пощенски трафик, а в бъдеще, вероятно, и на други видове протоколи.

Структурата на взаимодействие между OPES сървъри и клиенти (OPES процесор) е показана в. В общи линии тя е подобна на схемата за взаимодействие между ICAP сървъри и клиенти, но има значителни разлики:

• има изисквания за внедряване на OPES клиенти, което позволява по-удобното им управление – задаване на политики за филтриране и др.;
• потребителят на данни (потребител или информационна система) може да повлияе на обработката на данните. Например, когато се използват автоматични преводачи, получените данни могат да бъдат автоматично преведени на езика, използван от потребителя;
• системите, предоставящи данни, също могат да повлияят на резултатите от обработката;
• Обработващите сървъри могат да използват за анализ данни, специфични за протокола, чрез който данните са предадени на OPES клиента;
• Някои обработващи сървъри може да получат по-чувствителни данни, ако имат доверителна връзка с OPES клиента, потребителите и/или доставчиците на информация.

Фигура 2. Схема на взаимодействие между клиенти и OPES сървъри

Всички горепосочени възможности зависят единствено от конфигурацията, използвана при внедряването на системата. Поради тези възможности използването на OPES е по-обещаващо и удобно от използването на протокола ICAP.

В близко бъдеще се очаква да се появят продукти, които поддържат OPES заедно с протокола ICAP. Пионер в разработването и използването на OPES е Secure Computing със своята продуктова линия Webwasher.

Тъй като понастоящем няма пълноценни реализации, използващи OPES, е невъзможно да се направят окончателни заключения за недостатъците на този подход, въпреки че теоретично остава само един недостатък - увеличаването на времето за обработка поради взаимодействието между клиенти и OPES сървъри.

HTTPS и други видове криптиран трафик

Някои анализатори смятат, че до 50% от интернет трафика се предава в криптирана форма. Проблемът с контролирането на криптирания трафик вече е актуален за много организации, тъй като потребителите могат да използват криптиране, за да създадат канали за изтичане на информация. В допълнение, криптираните канали могат също да бъдат използвани от зловреден код за проникване в компютърни системи.

Има няколко задачи, свързани с обработката на криптиран трафик:

• анализ на данни, предавани по криптирани канали;
• проверка на сертификати, които се използват от сървърите за организиране на криптирани канали.

Уместността на тези задачи нараства всеки ден.

Криптиран контрол на предаването на данни

Контролът на предаването на данни, изпратени по криптирани канали, е може би най-много важна задачаза организации, чиито служители имат достъп до интернет ресурси. За прилагането на този контрол има подход, наречен „Човек по средата“ (наричан още „Главен по средата“ в някои източници), който може да се използва от нападателите за прихващане на данни. Схема за обработка на данни за този методдадено на .

Фигура 3. Обработка на криптирани данни

Процесът на обработка на данните е както следва:

• В интернет браузъра на потребителя се инсталира специално издаден сертификат за установяване на връзка с прокси сървъра;
• при установяване на връзка с прокси сървър, той използва известен сертификат за дешифриране на предадените данни;
• дешифрираните данни се анализират по същия начин като обикновения HTTP трафик;
• прокси сървърът установява връзка със сървъра, към който трябва да се прехвърлят данните, и използва сертификата на сървъра, за да криптира канала;
• Данните, върнати от сървъра, се дешифрират, анализират и предават на потребителя, криптирани със сертификат за прокси сървър.

При използване на тази схема за обработка на криптирани данни могат да възникнат проблеми, свързани с потвърждаването на автентичността на потребителя. Освен това е необходима работата, необходима за инсталиране на сертификата в интернет браузърите на всички потребители.

В момента на пазара се предлагат следните продукти за контрол на предаването на криптирани данни: Webwasher SSL Scanner от Secure Computing, Breach View SSL TM, WebCleaner.

Удостоверяване на сертификат

Втората задача, която възниква при използване на криптирани канали за предаване на данни, е проверката на автентичността на сертификатите, предоставени от сървърите, с които работят потребителите.

Нападателите могат да атакуват информационни системи, като създадат фалшив DNS запис, който пренасочва потребителските заявки не към сайта, от който се нуждаят, а към такъв, създаден от самите нападатели. С помощта на такива фалшиви сайтове могат да бъдат откраднати важни потребителски данни като номера на кредитни карти, пароли и др., както и да бъде изтеглен зловреден код под прикритието на софтуерни актуализации.

За предотвратяване на подобни случаи има специализиран софтуер, който проверява съответствието на сертификатите, предоставени от сървъра, с данните, които докладва.

Ако има несъответствие, системата може да блокира достъпа до такива сайтове или да предостави достъп след изрично потвърждение от потребителя. В този случай обработката на данни се извършва почти по същия начин, както при анализиране на данни, предавани по криптирани канали, само че в този случай не се анализират данните, а сертификатът, предоставен от сървъра.

Филтриране на пощенски трафик

Когато използват имейл, организациите са изправени пред необходимостта да осигурят сигурност както за входящия, така и за изходящия трафик. Но задачите, които се решават за всяко едно от направленията, са доста различни. Входящият трафик трябва да се контролира за злонамерен софтуер, фишинг и спам, докато изходящата поща трябва да се контролира за съдържание, което може да доведе до изтичане. важна информация, разпространение на компрометиращи материали и други подобни.

Повечето продукти на пазара осигуряват само контрол на входящия трафик. Това става чрез интеграция с антивирусни системи и внедряване на различни защитни механизми срещу спам и фишинг. Много от тези функции вече са вградени в имейл клиентите, но не могат напълно да решат проблема.

Защитата срещу фишинг най-често се осъществява чрез сравняване на получените имейл съобщения със съществуваща база данни с адреси на уебсайтове и съобщения. Такива бази данни се предоставят от доставчици на софтуер.

В момента има няколко начина за защита на потребителите от спам:

• сравнение на получените съобщения със съществуващата база данни за съобщения. При сравняване може да се използва различни техники, включително използване генетични алгоритми, които ви позволяват да изолирате ключови думи, дори ако са изкривени;
• динамична категоризация на съобщенията по тяхното съдържание. Позволява ви много ефективно да откриете наличието на нежелана кореспонденция. За да противодействат на този метод, разпространителите на спам използват съобщения под формата на изображение с текст вътре и/или набори от думи от речници, които създават шум, който пречи на работата на тези системи. Въпреки това, в бъдеще може да има анти-спам системи, които могат да разпознават текст в изображения и по този начин да определят тяхното съдържание;
• сиви, бели и черни списъци за достъп ви позволяват да опишете правилата за приемане на имейл съобщения от известни или непознати сайтове. Използването на сиви списъци в много случаи помага за предотвратяване на предаването на нежелани съобщения поради специфичната работа на софтуера, който изпраща спам. За поддържане на черни списъци за достъп могат да се използват както локални бази данни, управлявани от администратора, така и глобални бази данни, попълвани въз основа на потребителски съобщения от цял ​​свят. Въпреки това, използването на глобални бази данни рискува факта, че цели мрежи, включително тези, съдържащи „добри“ пощенски сървъри, могат да попаднат в тях.

За борба с изтичането на информация най-много различни начини, базирано на прихващане и задълбочен анализ на съобщения в съответствие със сложна политика за филтриране. В този случай е необходимо правилно да се определят типове файлове, езици и текстови кодировки и да се извърши семантичен анализ на предадените съобщения.

Друга употреба на системите за филтриране на поща е да създават криптирани потоци от поща, където системата автоматично подписва или криптира съобщението, а данните автоматично се дешифрират в другия край на връзката. Тази функционалност е много удобна, ако искате да обработвате цялата изходяща поща, но тя трябва да достигне до получателя в криптирана форма.

Филтриране на незабавни съобщения

Инструментите за незабавни съобщения постепенно се превръщат в активно използван инструмент в много компании. Те осигуряват бързо взаимодействие със служители и/или клиенти на организации. Ето защо е напълно естествено, че развитието на инструменти, които освен всичко друго могат да се окажат и канал за изтичане на информация, доведе до появата на инструменти за наблюдение на предаваната информация.

В момента най-често използваните протоколи за мигновени съобщения са MSN (Microsoft Network), AIM (AOL Instant Messaging), Yahoo! Chat, Jabber и техните корпоративни двойници са Microsoft Live Communication Server (LCS), IBM SameTime и Yahoo Corporate Messaging Server протоколи. Системата ICQ, която сега е собственост на AOL и използва почти същия протокол като AIM, стана широко разпространена в ОНД. Всички тези системи правят почти едно и също нещо - предават съобщения (както през сървъра, така и директно) и файлове.

Сега почти всички системи имат възможност да осъществяват разговори от компютър към компютър и/или към обикновени телефони, което създава определени затруднения за системите за управление и изисква VoIP поддръжка за внедряване на пълноценни прокси сървъри.

Обикновено продуктите за контрол на IM трафика се внедряват като шлюз за приложения, който анализира предаваните данни и блокира предаването на забранени данни. Съществуват обаче и реализации под формата на специализирани IM сървъри, които извършват необходимите проверки на ниво сървър.

Най-популярните функции на продукти за наблюдение на IM трафик:

• контрол на достъпа по индивидуални протоколи;
• контрол на използваните клиенти и др.;
• контрол на достъпа за отделни потребители:
  • позволяващи на потребителя да комуникира само в рамките на компанията;
  • позволяване на потребителя да комуникира само с определени потребители извън компанията;
• контрол на предаваните текстове;
• контрол на прехвърлянето на файлове. Обектите на контрол са:
  • размер на файла;
  • тип и/или разширение на файла;
• посока на трансфер на данни;
• наблюдение за наличие на злонамерено съдържание;
• SPIM дефиниция;
• запазване на предадените данни за последващ анализ.

В момента следните продукти ви позволяват да контролирате предаването на незабавни съобщения:

• CipherTrust IronIM от Secure Computing. Този продукт поддържа протоколите AIM, MSN, Yahoo! Чат, Microsoft LCS и IBM SameTime. Сега това е едно от най-пълните решения;
• IM Manager от Symantec (разработен от IMLogic, който беше придобит от Symantec). Този продукт поддържа следните протоколи - Microsoft LCS, AIM, MSN, IBM SameTime, ICQ и Yahoo! Чат;
• Antigen for Instant Messaging на Microsoft също ви позволява да работите с почти всички популярни протоколи за незабавни съобщения;
• Филтър за незабавни съобщения Webwasher от Secure Computing.

Продуктите на други компании (ScanSafe, ContentKeeper) имат по-малко възможности от изброените по-горе. Заслужава да се отбележи, че две руски компании - Grand Prix (продукт SL-ICQ) и Mera.ru (продукт Sormovich) - предоставят продукти за наблюдение на предаването на съобщения чрез протокола ICQ.

VoIP филтриране

Нарастващата популярност на средствата за предаване на аудио информация между компютри (наричани още Voice over IP (VoIP)) налага да се предприемат мерки за контрол на трансфера на такава информация. Има различни реализации за обаждане от компютър на компютър и/или към обикновени телефони.

Съществуват стандартизирани протоколи за обмен на такава информация, включително Session Instatiation Protocol (SIP), приет от IETF, и H.323, разработен от ITU. Тези протоколи са отворени, което ги прави възможни за обработка.

Освен това има протоколи, разработени от конкретни компании, които нямат отворена документация, което прави работата с тях много трудна. Едно от най-популярните приложения е Skype, което придоби широка популярност по целия свят. Тази система ви позволява да осъществявате повиквания между компютри, да осъществявате повиквания към стационарни и мобилни телефони и да получавате обаждания от стационарни и мобилни телефони. IN най-новите версииПоддържа се възможност за обмен на видео информация.

Повечето от предлаганите в момента продукти могат да бъдат разделени на две категории:

• продукти, които ви позволяват да идентифицирате и блокирате VoIP трафик;
• продукти, които могат да идентифицират, улавят и анализират VoIP трафик.

• Dolphian продукти, които ви позволяват да идентифицирате и разрешите или откажете VoIP трафик (SIP и Skype), който е капсулиран в стандартен HTTP трафик;
• продукти на Verso Technologies;
• различни видове защитни стени, които имат тази възможност.

• продукт Руска компания"Sormovich" поддържа улавяне, анализ и съхранение на гласова информация, която се предава чрез протоколи H.323 и SIP;
• библиотеката с отворен код Oreka () ви позволява да определите компонента на сигнала на аудио трафика и да заснемете предадените данни, които след това могат да бъдат анализирани с други средства;
• Наскоро стана известно, че продукт, разработен от ERA IT Solutions AG, ви позволява да прихващате VoIP трафик, предаван чрез Skype. Но за да извършите такъв контрол, трябва да инсталирате специализиран клиент на компютъра, на който работи Skype.

Peer-to-peer филтриране

Използването на различни peer-to-peer (p2p) мрежи от служители представлява следните заплахи за организациите:

• разпространение на зловреден код;
• изтичане на информация;
• разпространение на защитени с авторски права данни, което може да доведе до правни действия;
• намалена производителност на труда;

Има голям брой мрежи, работещи във формат peer-to-peer. Има мрежи, които имат централни сървъри, използвани за координиране на потребителите, и има мрежи, които са напълно децентрализирани. Във втория случай те са особено трудни за контролиране с помощта на стандартни инструменти като защитни стени.

За да решат този проблем, много компании създават продукти, които им позволяват да откриват и обработват p2p трафик. Съществуват следните решения за обработка на p2p трафик:

• SurfControl Instant Messaging Filter, който обработва p2p, както и незабавни съобщения;
• пакетът Websense Enterprise също предоставя на потребителите инструменти за контрол на p2p трафика;
• Филтърът за незабавни съобщения Webwasher ви позволява да контролирате достъпа до различни p2p мрежи.

Използването на тези или други продукти, които не са изброени тук, драстично намалява рисковете, свързани с потребителския достъп до p2p мрежи.

Унифицирано управление на заплахи

Решения, които отговарят на концепцията за Unified Threat Management, се предлагат от много доставчици на сигурност. По правило те са изградени на базата на защитни стени, които освен основните функции изпълняват и функции за филтриране на съдържание. Обикновено тези функции се фокусират върху предотвратяване на прониквания, злонамерен код и нежелани съобщения.

Много от тези продукти са реализирани под формата на хардуерни и софтуерни решения, които не могат напълно да заменят решенията за филтриране на имейл и интернет трафик, тъй като работят само с ограничен брой възможности, предоставени от конкретни протоколи. Те обикновено се използват, за да се избегне дублиране на функционалност в различни продукти и да се гарантира, че всички протоколи на приложения се обработват според една и съща известна база данни за заплахи.

Най-популярните решения на концепцията за Unified Threat Management са следните продукти:

• SonicWall Gateway Anti-Virus, Anti-Spyware и Intrusion Prevention Service осигурява антивирусна и друга защита за данни, предавани чрез SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, протоколи за незабавни съобщения и много протоколи за стрийминг, използвани за предаване на аудио и видео информация ;
• серия от ISS Proventia Network Multi-Function Security устройства, проектирани като софтуерни и хардуерни системи, блокират зловреден код, нежелани съобщения и прониквания. Включено в доставката голям бройпроверки (включително за VoIP), които могат да се разширяват от потребителя;
• Хардуерната платформа Network Gateway Security на Secure Computing, в допълнение към защитата срещу зловреден код и нежелани съобщения, има и VPN поддръжка. Тази платформа съчетава почти всички решения за защитени компютри.

Има и други продукти, но изброените по-горе са широко достъпни.

Прихващане на данни

Законното прихващане почти винаги е било използвано от разузнавателните агенции за събиране и анализ на предадена информация. Напоследък обаче въпросът за прихващането на данни (не само интернет трафик, но и телефония и други видове) стана много актуален в светлината на борбата с тероризма. Дори тези държави, които винаги са били против подобни системи, започнаха да ги използват за контрол на трансфера на информация.

Тъй като се прихващат различни видове данни, често предавани по високоскоростни канали, внедряването на такива системи изисква специализиран софтуер за улавяне и парсиране на данни и отделен софтуер за анализ на събраните данни. Като такъв може да се използва софтуер за филтриране на съдържание на определен протокол.

Може би най-известната от тези системи е англо-американската система Echelon, която отдавна се използва за прихващане на данни в интерес на различни отдели в САЩ и Англия.

Сред руски продуктиМожем да споменем решенията на компанията Sormovich, които ви позволяват да улавяте и анализирате поща, аудио и интернет трафик.

Продукти на фирма "Jet Infosystems"

Jet Infosystems оперира на пазара за филтриране на съдържание повече от шест години. Започна със система за филтриране на имейл трафик, след това разработките се преместиха в други области на приложение на филтриране на съдържание и компанията няма да спре дотук.

През последните шест месеца имаше няколко събития, свързани с продуктите на компанията за филтриране на съдържание. Става въпрос заотносно пускането на четвъртата версия на системата за мониторинг и архивиране на пощенски съобщения Dozor-Jet (SMAP) и началото на разработването на втората версия на системата за контрол на уеб трафика Dozor-Jet (SCVT). И двата продукта имат много разлики и иновации в сравнение с предишните версии.

В допълнение към горните продукти, компанията е разработила друг софтуер, също свързан с проблемите на филтрирането на съдържанието - библиотеки за дефиниране на типове данни и модул за дефиниране и разопаковане на типове данни за Lotus/Cerberus.

СМАП "Дозор-Джет"

И така, в четвъртата версия на Dozor-Jet SMAP са внедрени нови функции, които предоставят повече високо нивофилтриране на потоци от поща. Промените, които засегнаха системата, могат да бъдат разделени на няколко раздела:

• общи промени;
• промени в подсистемата за филтриране;
• промени в управляващата подсистема;
• промени в модулите за разширение.

Някои промени коренно отличават този продукт от предлаганите от други компании. Това ще бъде обсъдено в съответните раздели.

Преходът към нова версия се извършва без загуба на установените политики за филтриране - за тази цел са разработени инструменти за мигриране на данни и документация за тяхното използване.

Допълнителна информация за Dozor-Jet SMAP можете да намерите на уебсайта на продукта на компанията Jet Infosystems: http://www.jetsoft.ru/ или от други издания на бюлетина Jet Info, електронна версия:.

Общи промени

Общите промени включват тези, които засягат всички части на системата, например:

• Поддръжка на Unicode - всички части на системата използват Unicode като вътрешно кодиране на данните. Тази промяна позволява на системата да се използва в многоезични среди и да поддържа различни езици както за обработка на пощата, така и за потребителския интерфейс. Възможно е мигновено превключване на езика на подсистемата за управление. В момента поддържа руски, английски и японски езици;
• схемата на базата данни беше преработена, което даде възможност да се увеличи скоростта на маркиране на съобщения в архива и да се ускорят търсенията в архива;
• изпращането на съобщения е отделено в отделна подсистема, което повишава надеждността на обработката на съобщенията и опростява интеграцията с външни пощенски системи;
• Системата вече се предлага със стандартни политики, които съдържат най-често използваните условия, флагове и други обекти на политика за филтриране;
• Като бази данни се използват Oracle 10g и PostgreSQL 8.x, което направи възможно увеличаването на обемите за съхранение, без да се променят значително изискванията за сървърите на бази данни. Освен това в момента се работи върху модул за взаимодействие с Microsoft SQL Server за предприятия, които не използват СУБД Oracle.

Тези промени значително повлияха на системната архитектура и премахнаха повечето от ограниченията и недостатъците, които съществуваха в предишните версии.

Промени във филтриращата подсистема

Промените в подсистемата за филтриране оказаха значително влияние върху производителността на системата. Те включват:

• Новият анализатор на букви реализира механизми за "мързеливо" разопаковане на букви и обекти. Този механизъм значително повишава производителността, тъй като съобщението и неговите съставни обекти се разопаковат само когато е изпълнено подходящото условие (проверка на типа на файла, наличието на текст във файла, наличието на грешки при разопаковане).
• Новата система за откриване на тип ви позволява много точно да определите типовете предавани данни и да изберете подходящите манипулатори.
• Новата система за откриване на език и кодиране правилно определя кодирането и езика на текстовите обекти и ги преобразува във вътрешното представяне на подсистемата за филтриране - Unicode.
• IN нова версияМаркировките са обвързани не със съобщението, както беше преди, а с обектите на съобщението, което ви позволява да създавате по-сложни политики за филтриране, например дали всички файлове са криптирани или да определите кой файл е причинил грешката при декомпресия.
• В подсистемата за филтриране се появиха нови условия за филтриране:
  • условие за проверка на времето от деня - дава възможност за прилагане на забавена доставка на съобщения, за някои от техните видове, например, съдържащи файлове с аудио и видео информация;
  • условие за проверка на деня от седмицата може да се използва за откриване на необичайна активност в неработни дни.
• Бяха изпълнени и нови действия:
  • забавена доставка на писма - обикновено се използва заедно с други условия, като размер на писмото или време на изпращане, и гарантира, че писмата се изпращат след определено време;
  • Приоритетната доставка на поща гарантира ускорена доставка на определени видове поща.
• Нови програми за разопаковане и преобразуване:
  • добавена поддръжка за 7zip, deb, rpm и cpio архиви;
  • добавен е анализатор на текстови файлове, който ви позволява да извличате от текста двоични данни, кодирани с помощта на base64, uuencode и citat-printable. Тази помощна програма правилно обработва неправилно препратени писма и онези случаи, когато потребителите се опитват да кодират препратени данни, за да излъжат системата;
  • файлове, rar, прикачени към файлове от друг тип - MS Word, tiff, jpeg и други се обработват правилно;
  • извлечени текстови коментари от всички видове архиви и mp3 файлове.
• Антивирусната поддръжка вече се реализира само с помощта на протокола ICAP, който позволява използването на следните антивируси: Symantec, Trendmicro, DrWeb, Clamav (с помощта на програмата c-icap), Kaspersky ICAP Server и други, които имат поддръжка на ICAP.
• Стана възможно да се свържат модули за предварителна обработка на съобщения и сега могат да се използват анти-спам системи на трети страни за обработка на съобщения.

Промени в подсистемата за управление

Интерфейсът за управление на системата претърпя драматични промени. Той получи нов дизайн, за внедряването му беше използвана технологията Ajax, която увеличи скоростта на реакция на потребителските действия на системата. Общ изглед на новия потребителски интерфейс е представен на.

Фигура 4. Общ изглед на потребителския интерфейс на системата

Модул за сегментиране на архив на имейл съобщениянапълно преработен, за да осигури по-добра обработка на сегменти и да позволи автоматизирано управление на сегменти.

Модул за реконструкцияпренаписани, за да използвате нови функции - сега можете да изтривате части от букви въз основа не само на типа на частта от буквата, но и на маркировките, зададени за тази част.

Модул за пълнотекстово търсене в архиввече е включена в основната доставка на системата.

Модул за поддръжка на цифров подписосигурява проверка на цифровия подпис на писмото, инсталиране на цифровия подпис върху писмото и криптиране/дешифриране на писмото. Поддържат се различни алгоритми за криптиране, включително GOST.

СКВТ "Дозор-Джет"

Системата за контрол на уеб трафика (SCVT) "Dozor-Jet" е сравнително нов продукт на компанията, но вече се е доказала добре сред потребителите. Изминаха година и половина от пускането му на пазара, в момента тече активна разработка на втората версия на Dozor-Jet SKVT. Планирани са следните промени:

• Потребителският интерфейс е радикално преработен:
  • Технологията Ajax се използва за ускоряване на работата на потребителите, интерфейсът става по-близък до интерфейса на 4-та версия на Dozor-Jet SMAP;
  • потребителският интерфейс поддържа работа с различни езици - в момента руски, английски и японски;
  • управлението на спомагателните помощни програми (изтегляне на данни от базата данни, архивиране и т.н.) се осъществява чрез уеб интерфейс с възможност за конфигуриране на работа по график.
• В подсистемата за филтриране:
  • добавено филтриране по всяко от заглавките на заявката или отговора;
  • добавено филтриране по команди на HTTP протокол;
  • потребителят може да бъде удостоверен по няколко критерия - име/парола, IP адрес, MAC адрес;
  • За създаване на категория на сайта се използват както външни бази данни с категории сайтове, така и семантичен анализ на съдържанието на сайта. Системата поддържа работа с бази данни от категории сайтове от NetStar и ISS/Cobion;
  • въведена е поддръжка на ICAP протокола за взаимодействие с антивирусен софтуер;
  • Външни конвертори могат да се използват за анализ на текст в изходящи документи;
  • Внедрено известяване на администратора при задействане на определени условия;
  • POST заявките могат да се записват в база данни и да се анализират по-късно.
• Подсистемата за отчитане е значително преработена:
  • добавени са нови стандартни справки - Топ-N потребители по трафик, Топ-N най-посещавани сайтове, Топ-N най-активно използвани файлови формати и други;
  • реализирана възможност за автоматично генериране на отчети по график;
  • изходни резултати в различни формати - HTML с изображения, PDF, CSV.

Втората версия на Dozor-Jet SKVT е планирана за пускане на пазара руски пазарпрез първото тримесечие на 2007 г.

Защитна стена Z-2

Защитната стена Z-2 може да се класифицира като инструмент, който прилага UTM концепцията. Системата включва основни средства за филтриране на съдържанието на предаваните данни, включително антивирусно сканиране за всички протоколи, за които съществуват анализатори на протоколи.

Новата версия реализира антивирусно сканиране на предавани данни чрез ICAP в HTTP, FTP, SMTP и POP3 шлюзове, което позволява лесна интеграция с редица популярни AV решения.

Шлюзът на SMTP протокола поддържа SPF протокола и механизма за сив списък. В комбинация с други възможности за обработка на SMTP поток, това може значително да намали броя на нежеланите съобщения, преди да бъдат обработени от инструменти за филтриране на съдържание, намалявайки натоварването върху тях.

Допълнителните функции включват ограничаване на честотната лента въз основа на типа съдържание в HTTP шлюза.

Система за определяне на типа

Дефинирането на типове данни играе важна роля при разработването на продукти за филтриране на съдържание. Много компании използват широко използваната помощна програма за файлове за тази цел, добре позната на потребителите на UNIX-подобни операционни системи. Тази помощна програма обаче има множество недостатъци, които водят до чести грешки при извеждане на типа. Поради това компанията е разработила собствена система за определяне на типа, което прави тази операция много точна.

Новата система за дефиниране на типове данни има следните възможности:

• специализиран език за описание на проверките на типа данни ви позволява да реализирате много сложни проверки. Това е пълноправен език за програмиране със следните характеристики:
  • Поддържани типове данни: числа (big & little endian), низове, знаци, списъци;
  • поддръжка на много операции - сравнения, аритметика, побитови, логически;
  • поддържа се пряко и непряко адресиране на проверяваните данни, което ви позволява да анализирате информация въз основа на информация, прочетена на предишни етапи на анализ;
  • поддръжката на условни изрази ви позволява да направите условията по-гъвкави;
  • форматираният изход ви позволява да контролирате изхода на резултатите;
  • възможността за разширяване на езика за проверка ви позволява да анализирате дори много сложни структури.
• Има възможност за свързване на допълнителни модули за анализ. В момента съществуват следните допълнителни модули за анализ:
  • модул за определяне на типове за OLE файлове - Microsoft Visio, Project, Word, Excel, PowerPoint;
  • модул за определяне на текст и методи за кодирането му;
  • модул за откриване на MS-DOS изпълними файлове (.com файлове).
• Изричното съпоставяне на подписите към типовете mime избягва дублирането на информация (което присъства в стандартната помощна програма за файлове).

Модул за откриване на тип данни и разопаковане за Lotus/Cerberus

Този модул е ​​допълнение към софтуера Cerberus за Lotus Domino, който изпълнява функциите за анализиране на съобщения, предавани като част от системата Lotus Domino. Тази система обаче има малка способност да анализира видовете предавани данни. Този модул е ​​разработен за решаване на този проблем.

Модулът ви позволява да изпълнявате следните задачи:

• поддържа списък с разрешени и забранени типове данни;
• за разрешените типове данни можете да посочите допълнителна команда за обработка от този типфайлове, например, разопаковане на архив или извличане на текст от файлове на Microsoft Word.

Модулът работи под операционната система Microsoft Windows и в момента се използва успешно в една от най-големите руски банки.

Заключение

Развитието на информационните системи води до появата на все повече нови заплахи. Поради това развитието на продуктите за филтриране на съдържание не само поддържа, но понякога дори предвижда появата на нови заплахи, намалявайки рисковете за защитените информационни системи.

Протоколът за адаптиране на интернет съдържание (RFC, подлежи на грешки) указва как HTTP прокси (ICAP клиент) може да възложи адаптирането на съдържание към външен ICAP сървър. Повечето популярни проксита, включително Squid, поддържат ICAP. Ако вашият алгоритъм за адаптиране се намира в ICAP сървър, той ще може да работи в различни среди и няма да зависи от единичен прокси проект или доставчик. Не са необходими модификации на прокси кода за повечето адаптации на съдържание с помощта на ICAP.

плюсове: Независим от прокси, фокусиран върху адаптиране API, без модификации на Squid, поддържа сървъри за отдалечено адаптиране, мащабируем. минуси: Закъснения на комуникацията, функционални ограничения на протокола, нуждае се от самостоятелен ICAP сървърен процес или кутия.

Един прокси сървър може да има достъп до много ICAP сървъри и един ICAP сървър може да бъде достъпен от много прокси сървъри. ICAP сървърът може да се намира на същата физическа машина като Squid или да работи на отдалечен хост. В зависимост от конфигурацията и контекста, някои грешки на ICAP могат да бъдат заобиколени, което ги прави невидими за крайните потребители на прокси.

ICAP сървъри

Докато писането на още един ICAP сървър от нулата винаги е възможност, следните ICAP сървъри могат да бъдат модифицирани, за да поддържат адаптациите, от които се нуждаете. Някои ICAP сървъри дори приемат персонализирани модули за адаптиране или добавки.

Traffic Spicer (C++)

ПОЕЗИЯ (Java)

(Java и Javascript)

оригинална референтна реализация от Network Appliance.

Горният списък не е изчерпателен и не е предназначен като одобрение. Всеки ICAP сървър ще има уникален набор от плюсове иминуси в контекста на вашия проект за адаптация.

Повече информация за ICAP можете да намерите на форума на ICAP. Въпреки че сайтът на форума не се поддържа активно, неговата дискусионна група само за членове все още е добро място за обсъждане на въпроси, свързани с ICAP.

Подробности за калмари

Squid-3.0 и по-нови идват с интегрирана ICAP поддръжка. Поддържат се точки за векторизиране на REQMOD и RESPMOD преди кеширане, включително удовлетворяване на заявката. Squid-2 има ограничена поддръжка на ICAP чрез набор от лошо поддържани и много бъгови пачове. Струва си да се отбележи, че разработчиците на Squid вече не поддържат официално работата на Squid-2 ICAP.

Squid поддържа получаване на 204 (без модификация) отговора от ICAP сървъри. Това обикновено се използва, когато сървърът не иска да извършва модификации на HTTP съобщение. Полезно е да спестите честотна лента, като попречите на сървъра да изпрати HTTP съобщението обратно към Squid, както е получено. имадве ситуации обаче, при които Squid няма да приеме отговор 204:

• Размерът на полезния товар е по-голям от 64kb.
• Размерът на полезния товар не може да бъде (лесно) гарантиран.

Причината за това е проста: ако сървърът трябва да отговори на Squid с 204, Squid трябва да поддържа копие на оригиналното HTTP съобщение в паметта. Тези две основни изисквания са основна оптимизация за ограничаване на използването на паметта на Squid при поддържане на 204s.

Конфигурация на Squid

Калмари 3.1

Калмари-3.1

icap_enable на icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/request adaptation_access service_req разреши всички icap_service service_resp respmod_precache bypass=0 icap://127.0.0.1:1344/response adaptation_access service_resp разреши всички

адаптация_достъп

адаптация_услуга_набор

icap_client_username_encode

icap_client_username_header

icap_connect_timeout

icap_default_options_ttl

icap_enable

icap_io_timeout

icap_persistent_connections

icap_preview_enable

icap_preview_size

icap_send_client_ip

icap_send_client_username

icap_service

icap_service_failure_limit

icap_service_revival_delay

Squid 3.0

Следният пример инструктира Squid-3.0 да говори с две ICAP услуги, една за заявка и една за адаптиране на отговор:

icap_enable on icap_service service_req reqmod_precache 1 icap://127.0.0.1:1344/request icap_class class_req service_req icap_access class_req разреши всички icap_service service_resp respmod_precache 0 icap://127.0.0.1:1344/response icap_class class_re sp service_resp icap_access class_re sp разреши всички

Има и други опции, които могат да контролират различни аспекти на ICAP:

За правилна интеграция на системата трябва да конфигурирате и прокси сървъра на организацията. Общо изискванеЕдна от настройките е необходимостта от конфигуриране на IP адреса на ICAP сървъра SecureTower на прокси сървъра. За да направите това, ICAP модулът на прокси сървъра трябва да бъде конфигуриран така, че заглавката на заявката, изпратена до ICAP сървъра, да включва полето X-Client-IP, съдържащо IP адреса на потребителя. Заявки без посочения IP адрес ще бъдат приети, но няма да бъдат обслужвани от ICAP сървъра.

Между другото, SecureTower поддържа интеграция с най-популярните прокси сървъри SQUID и MS Forefront.

КАЛМАРИ

Системата SecureTower поддържа версии на SQUID, по-стари от 3.0. Когато инсталирате/компилирате прокси сървър, трябва да активирате опцията за активиране на ICAP поддръжка и да посочите следните опции в настройките на ICAP:

• icap_enable включен
• icap_send_client_ip on - IP адрес на клиента
• icap_service_req service_reqmod_precache 0 icap://192.168.45.1:1344/reqmod, където 192.168.45.1 е IP адресът на ICAP сървъра на SecureTower
• adaptation_access service_req разреши всички

MS Forefront

За да работите в мрежи, организирани на базата на прокси сървъра TMG Forefront, трябва допълнително да инсталирате плъгина ICAP, т.к. По подразбиране ICAP не се поддържа от този прокси сървър. Плъгинът е достъпен на http://www.collectivesoftware.com/solutions/content-filtering/icapclient.

В настройките на ICAP плъгина трябва да посочите адреса на ICAP сървъра на SecureTower. В резултат на това всички данни, прехвърлени към HTTP(S) протокола през прокси сървъра на MS Forefront, ще бъдат запазени от ICAP сървъра на SecureTower.

Минимални системни изисквания за ICAP сървър

• Процесор: 2 GHz или по-висок, 2 ядра или повече
• Мрежов адаптер: 100 Mbit/1 Gbit
• RAM: минимум 6 GB
• Твърд диск: 100 GB дял за операционната система и SecureTower файловете; вторият раздел за съхраняване на прихванати данни в размер на 1,5 GB данни от всеки контролиран потребител на месец плюс 3% от обема на прихванатите данни за индексни файлове за търсене
• Windows .Net Framework: 4.7 и по-нова версия
• операционна система: Microsoft Windows Server 2008R2/2012/2016 x64

Понастоящем филтрирането на съдържание не може да бъде идентифицирано като отделна област на компютърната сигурност, тъй като е толкова преплетено с други области. Филтрирането на съдържание е много важно за гарантиране на компютърната сигурност, тъй като ви позволява да идентифицирате потенциално опасни неща и да ги обработвате правилно. Подходите, възникнали при разработването на продукти за филтриране на съдържание, се използват в продукти за предотвратяване на откриване на проникване (IDS), разпространение на зловреден код и други негативни дейности.

Въз основа на новите технологии и продукти в областта на филтрирането на съдържание се създават допълнителни услуги за потребителите, подобрява се качеството на защита и се предоставя възможност не само за обработка на съществуващи заплахи, но и за предотвратяване на цели класове нови заплахи.

Нови тенденции във филтрирането на съдържание

Един от общи тенденцииразработване на продукти за информационна сигурност – желание за внедряване различни функциив едно устройство или софтуерно решение. По правило разработчиците се опитват да внедрят решения, които освен функциите за филтриране на съдържание изпълняват и функциите на антивирусна програма, защитна стена и/или система за откриване и предотвратяване на проникване. От една страна, това позволява на компаниите да намалят разходите за закупуване и поддръжка на системи за сигурност, но от друга страна, функционалността на такива системи често е ограничена. Например в много продукти функциите за филтриране на уеб трафик са ограничени само до проверка на адресите на сайтове спрямо някаква база данни с категории сайтове.

Тази област включва и разработването на продукти в съответствие с концепцията за унифицирано управление на заплахи ( UTM), който осигурява унифициран подход за предотвратяване на заплахи, независимо кой протокол или данни се обработват.

Този подход ви позволява да избегнете дублирането на защитни функции, както и да гарантирате, че данните, описващи заплахи, са актуални за всички наблюдавани ресурси.

В областите на филтриране на съдържание, които съществуват от доста дълго време - контрол на пощата и интернет трафика - също настъпват промени и се появяват нови технологии.

В продуктите за наблюдение на имейл трафика функцията против фишинг започна да излиза на преден план. А при продуктите за следене на интернет трафик се преминава от използването на предварително подготвени бази данни с адреси към категоризиране по съдържание, което е много важна задача при работа с различни портални решения.

В допълнение към двете области, споменати по-горе, се появяват нови области на приложение на филтрирането на съдържание - преди известно време започнаха да се появяват продукти за наблюдение на преноса на незабавни съобщения (instant messaging) и peer-to-peer (p2p) връзки. В момента активно се разработват и продукти за мониторинг на VoIP трафик.

Много държави са започнали активно да разработват средства за прихващане и анализ на много видове информация, която се използва за различни видове разследвания (законно прихващане). Тези събития се провеждат в държавно нивои най-често се свързват с разследването на терористични заплахи. Такива системи прихващат и анализират не само данни, предавани чрез интернет, но и чрез други видове комуникация - телефонни линии, радиоканали и др. Повечето известна системаза прихващане на информация е Echelon – система, използвана от американското разузнаване за събиране на информация. В Русия също има различни реализации на системата за оперативно-следствени действия (SORM), които се използват за улавяне и анализ на информация в интерес на разузнавателните служби.

Една от тенденциите на пазара за продукти за филтриране на съдържание е масовата консолидация на компании, произвеждащи такива решения. Въпреки че тази тенденция до голяма степен отразява организационната страна на процеса, тя може да доведе до появата на нови продукти и направления за компании, които не са имали тези направления или са заемали малка част от пазарния сектор на такива компании. Горното може да се илюстрира със следните случаи на сливане/придобиване на компании:

• Secure Computing, която миналата година купи Cyberguard, която има добра гама от инструменти за филтриране на интернет трафик, се сля през лятото с друга компания, CipherTrust, която има богат опит в разработването на инструменти за филтриране на имейл трафик;
• компанията MailFrontier, която произвеждаше инструменти за защита на имейл трафика, беше погълната от SonicWall, която преди това не разполагаше с решения с такова качествено развитие;
• в края на юли 2006 г. SurfControl, известна с решенията си в областта на филтрирането на съдържание, закупи BlackSpider, която предоставя модерни услуги за компютърна сигурност;
• В края на август 2006 г. се случи най-амбициозното поглъщане - Internet Security Systems (ISS) подписа договор за сливане с IBM. Това сливане е пример за силния интерес към информационната сигурност сред големите софтуерни компании;
• През януари 2007 г. Cisco придоби IronPort, която има силна линия от продукти за сигурност на електронната поща;
• През последните няколко години Microsoft придоби няколко компании, участващи в информационна сигурност. Най-голямото от тях беше придобиването на Sybari с нейната линия продукти за защита срещу вируси и друг зловреден код, както и инструменти за филтриране на съдържание за имейли и мигновени съобщения. Придобиването на Sybari и други компании позволява на Microsoft успешно да се конкурира на пазара за компютърна сигурност, който е нов за нея.

Заслужава да се отбележи също, че в последните годиниЗапочнаха да се появяват продукти с отворен код за филтриране на съдържание. В повечето случаи те не постигат същата функционалност като комерсиалните приложения, но има конкретни решения и приложения, при които могат да представляват реална заплаха.

Съвременни заплахи

Съвременната ИТ инфраструктура е обект на много атаки, насочени както към обикновени потребители, така и към компании, независимо от техния размер. Най-подходящите видове заплахи са:

• Фишинг— напоследък широко разпространени методи за прихващане на важни потребителски данни (пароли, номера на кредитни карти и др.) с помощта на техники за социално инженерство, когато се използва фалшиво писмо или съобщение от определена организация, за да се принуди потребителят да въведе определени данни в сайт, контролиран от нападател;
• Шпионски и зловреден софтуер- различни инструменти, които ви позволяват да прихванете данни или да установите контрол над компютър. Има много видове такива инструменти, които се различават по степента на опасност за компютъра - от просто показване на рекламни съобщения до прихващане на въведени от потребителите данни и изземване на контрол върху компютърните операции;
• вируси и друг зловреден код— вирусите, червеите и троянските коне са отдавна известна заплаха за ИТ инфраструктурата. Но всяка година се появяват нови модификации на зловреден код, които често използват уязвимости в съществуващ софтуер, което им позволява да се разпространяват автоматично;
• СПАМ/СПИМ- Непоисканите съобщения, изпратени по имейл (SPAM) или незабавни съобщения (SPIM), карат потребителите да губят време за обработка на нежелана кореспонденция. В момента СПАМ представлява повече от 70% от всички изпратени имейл съобщения;
• атаки срещу инфраструктура— ИТ инфраструктурата на компаниите е много важна, атаките, насочени към нейното деактивиране, са изключително опасни. Те могат да включват цели мрежи от компютри, заразени с някакъв вид вирус, използван за прихващане на контрола. Например, преди време беше разпространен вирус, който съдържаше код, който трябваше да стартира разпределена атака срещу уебсайтовете на Microsoft в определен момент, за да ги деактивира. Няколко милиона компютъра бяха заразени и само грешка в кода на вируса попречи на планираната атака да бъде извършена;
• изтичане на бизнес информация— предотвратяването на такива течове е една от основните задачи на продуктите за филтриране на съдържание. Изтичането на важна информация може да причини непоправими щети на компанията, понякога сравними със загубата на дълготрайни активи. Поради това много продукти разработват инструменти за идентифициране на скрити канали за предаване на данни, като например използването на стеганография;
• заплаха от наказателно преследване— този тип заплахи са изключително подходящи за компаниите, ако техните служители могат да използват мрежи за споделяне на файлове, за да изтеглят и/или разпространяват музика, филми и друго съдържание, защитено с авторски права. Съдебно преследване е възможно и за разпространение на клеветническа и/или оклеветяваща информация относно трети лица.

Първите пет вида заплахи излагат както домашните компютри, така и компютрите в корпоративните мрежи. Но последните две заплахи са особено подходящи за компании от всякакъв вид.

Филтриране на уеб трафик

Напоследък се случват различни промени в областта на филтрирането на интернет трафика, поради появата на нови технологии за филтриране и промени в технологиите, които се използват за изграждане на интернет сайтове.

Една от най-важните тенденции в развитието на продуктите за филтриране на съдържание по отношение на мониторинга на интернет трафика е преходът от използване на бази данни с категории сайтове към определяне на категорията на сайта според неговото съдържание. Това стана особено актуално с развитието на различни портали, които могат да съдържат съдържание от различни категории, променящо се във времето и/или адаптирано към настройките на клиента.

Технологиите и инструментите за изграждане на интернет сайтове, станали популярни напоследък, като Ajax, Macromedia Flash и други, изискват промени в технологиите за филтриране на интернет трафик.

Използването на криптирани канали за взаимодействие с интернет сайтове предпазва данните от прихващане от трети страни, но в същото време през тези канали за предаване на данни може да изтече важна информация или злонамерен код да проникне в компютърните системи.

Остава актуален проблемът за интегрирането на средства за сигурност със системи, които осигуряват функционирането на ИТ инфраструктурата, като прокси сървъри, уеб сървъри, пощенски сървъри, сървъри на директории и др. Различни компании и организации с нестопанска цел разработват протоколи за взаимодействие между различни системи.

ЗА текуща ситуациядела в тази област ще говоримпо-долу.

Подходи за категоризиране на сайтове и данни

• използване на предварително дефинирани бази данни от категории сайтове с редовни актуализациисписъци със сайтове и категории;
• категоризирайте данните в движение, като анализирате съдържанието на страницата;
• използване на данни за категория, информация за чието членство се предоставя от самия сайт.

Всеки от тези методи има своите предимства и недостатъци.

Предварително дефинирани бази данни от категории сайтове

Използването на предварително подготвени бази данни с адреси на уебсайтове и свързани категории е отдавна използван и добре доказан метод. В момента такива бази данни се предоставят от много компании, като Websense, Surfcontrol, ISS/Cobion, Secure Computing, Astaro AG, NetStar и други. Някои компании използват тези бази данни само в своите продукти, други позволяват да бъдат свързани с продукти на трети страни. Базите данни, предоставени от Websense, Secure Computing, SurfControl и ISS/Cobion, се считат за най-пълните, те съдържат информация за милиони сайтове на различни езици и в различни страни, което е особено важно в ерата на глобализацията;

Категоризирането на данни и формирането на бази данни с категории обикновено се извършва в полуавтоматичен режим - първо се извършва анализ на съдържанието и определяне на категория с помощта на специално разработени инструменти, които могат дори да включват системи за разпознаване на текст на изображения. И на втория етап получената информация често се проверява от хора, които вземат решения за това към коя категория може да бъде класифициран даден сайт.

Много компании автоматично попълват базата данни с категории въз основа на резултатите от работата с клиенти, ако бъде открит сайт, който все още не е присвоен към нито една от категориите.

Понастоящем се използват два метода за свързване на предварително дефинирани бази данни от категории сайтове:

• използване на локална база данни с категории с редовни актуализации. Този метод е много удобен за големи организации, които имат специални филтриращи сървъри и обслужват голям брой заявки;
• използване на база данни с категории, хоствана на отдалечен сървър. Този метод често се използва в различни устройства - малки защитни стени, ADSL модеми и др. Използването на отдалечена база данни за категории леко увеличава натоварването на каналите, но гарантира, че се използва текущата база данни за категории.

Предимствата на използването на предварително дефинирани категории бази данни включват факта, че достъпът се предоставя или отказва на етапа на издаване на заявка от клиента, което може значително да намали натоварването на каналите за предаване на данни. И основният недостатък на използването на този подход е забавянето на актуализирането на базите данни с категории сайтове, тъй като анализът ще отнеме известно време. Освен това някои сайтове променят съдържанието си доста често, поради което информацията за категорията, съхранявана в адресната база данни, става неуместна. Някои сайтове може също да предоставят достъп до различна информация, в зависимост от потребителското име, географския регион, времето от деня и т.н.

Категоризирайте данните в движение

Един от прости опцииизпълнението на такова решение е използването на байесови алгоритми, които са се доказали доста добре в борбата срещу спама. Тази опция обаче има своите недостатъци - необходимо е периодично да я пренаучавате и да коригирате речниците в съответствие с предадените данни. Поради това някои компании използват повече сложни алгоритмиопределяне на категорията на сайта по съдържание в допълнение към простите методи. Например, ContentWatch предоставя специална библиотека, която анализира данни според лингвистична информация за конкретен език и въз основа на тази информация може да определи категорията на данните.

Категоризирането на данни в движение ви позволява бързо да реагирате на появата на нови сайтове, тъй като информацията за категорията на даден сайт не зависи от неговия адрес, а само от неговото съдържание. Но този подход има и недостатъци - необходимо е да се анализират всички предадени данни, което води до лек спад в производителността на системата. Вторият недостатък е необходимостта от поддържане на актуални бази данни с категории за различни езици. Някои продукти обаче възприемат този подход, като същевременно използват бази данни за категории на сайтове. Това включва използването на Virtual Control Agent в продуктите на SurfControl, механизми за определяне на категории данни в Dozor-Jet SKVT.

Данни за категории, предоставени от сайтове

Освен базите с адреси и категоризирането на съдържанието в движение, има и друг подход за определяне на категорията на сайтовете – сайтът сам отчита към коя категория принадлежи.

Този подход е предназначен предимно за използване от домашни потребители, където например родители или учители могат да задават политики за филтриране и/или да наблюдават кои сайтове се посещават.

Има няколко начина за прилагане на този подход за категоризиране на ресурси:

• PICS (Platform for Internet Content Selection) е спецификация, разработена от консорциума W3 преди около десет години и има различни разширения, насочени към осигуряване на надеждността на рейтинговата система. За контрол може да се използва специално разработен софтуер, достъпен за изтегляне от страницата на проекта. повече подробна информация PICS може да се намери на уебсайта на консорциума W3.org (http://www.w3.org/PICS/).
• ICRA (Internet Content Rating Association) е нова инициатива, разработена от едноименна независима организация с нестопанска цел. Основната цел на тази инициатива е да защити децата от достъп до забранено съдържание. Тази организация има споразумения с много компании (големи телекомуникационни и софтуерни компании) за осигуряване на по-надеждна защита.
  ICRA предоставя софтуер, който ви позволява да проверявате специалния етикет, върнат от сайта, и да вземате решения относно достъпа до тези данни. Софтуерът работи само на платформата Microsoft Windows, но благодарение на отворената спецификация е възможно да се създават филтриращи софтуерни реализации за други платформи. Целите и задачите, които решава тази организация, както и всички необходими документи могат да бъдат намерени на уебсайта на ICRA - http://www.icra.org/.

Предимствата на този подход включват факта, че е необходим само специален софтуер за обработка на данните и не е необходимо да се актуализират базите данни с адреси и/или категории, тъй като цялата информация се предава от самия сайт. Но недостатъкът е, че сайтът може да посочи грешна категория, което ще доведе до неправилно предоставяне или отказ на достъп до данни. Този проблем обаче може да бъде разрешен (и вече се решава) чрез използването на инструменти за проверка на данни, като цифрови подписи и др.

Филтриране на трафик в света на Web 2.0

Масовото въвеждане на така наречените Web 2.0 технологии значително усложни филтрирането на съдържанието на уеб трафика. Тъй като в много случаи данните се предават отделно от дизайна, съществува възможност за изтичане на нежелана информация към или от потребителя. При работа със сайтове, които използват такива технологии, е необходимо да се направи цялостен анализ на предадените данни, като се определи трансферът на допълнителна информация и се вземат предвид данните, събрани на предишни етапи.

Понастоящем никоя от компаниите, произвеждащи инструменти за филтриране на съдържание на уеб трафик, не позволява цялостен анализ на данните, предавани с помощта на технологиите AJAX.

Интеграция с външни системи

В много случаи въпросът за интегрирането на системи за анализ на съдържание с други системи става доста остър. В този случай системите за анализ на съдържанието могат да действат едновременно като клиенти и сървъри или в двете роли едновременно. За тези цели са разработени няколко стандартни протокола – Internet Content Adaptation Protocol (ICAP), Open Pluggable Edge Services (OPES). Освен това някои производители са създали свои собствени протоколи, за да позволят на конкретни продукти да комуникират помежду си или със софтуер на трети страни. Те включват Cisco Web Cache Coordination Protocol (WCCP), Check Point Content Vectoring Protocol (CVP) и други.

Някои протоколи - ICAP и OPES - са проектирани така, че да могат да се използват за реализиране както на услуги за филтриране на съдържание, така и на други услуги - преводачи, поставяне на реклами, доставка на данни, в зависимост от политиката на тяхното разпространение и др.

ICAP протокол

В момента протоколът ICAP е популярен сред авторите на софтуер за филтриране на съдържание и създателите на софтуер за идентифициране на злонамерено съдържание (вируси, шпионски/злонамерен софтуер). Заслужава обаче да се отбележи, че ICAP е проектиран предимно да работи с HTTP, което налага много ограничения върху използването му с други протоколи.

ICAP е приет от Internet Engineering Task Force (IETF) като стандарт. Самият протокол е дефиниран от RFC 3507 с някои допълнения, описани в проекта за разширения на ICAP. Тези документи и допълнителна информация са достъпни от сървъра на форума на ICAP - http://www.i-cap.org.

Архитектурата на системата при използване на протокола ICAP е показана на фигурата по-горе. ICAP клиентът е системата, през която се предава трафикът. Системата, която извършва анализ и обработка на данни, се нарича ICAP сървър. ICAP сървърите могат да действат като клиенти за други сървъри, което прави възможно свързването на няколко услуги за колективна обработка на едни и същи данни.

За взаимодействие между клиента и сървъра се използва протокол, подобен на HTTP версия 1.1, и се използват същите методи за кодиране на информация. Според стандарта ICAP може да обработва както изходящ (REQMOD - Request Modification), така и входящ (RESPMOD - Response Modification) трафик.

Решението за това кои от предадените данни ще бъдат обработени се взема от ICAP клиента, в някои случаи това прави невъзможно пълният анализ на данните. Настройките на клиента зависят изцяло от изпълнението и в много случаи не могат да бъдат променяни.

След получаване на данни от клиента, ICAP сървърът ги обработва и при необходимост модифицира данните. След това данните се връщат на ICAP клиента и той ги предава на сървъра или клиента, в зависимост от посоката, в която са прехвърлени.

ICAP се използва най-широко в продуктите против зловреден софтуер, защото позволява тези проверки да се използват в множество продукти и е независим от платформата, на която работи ICAP клиентът.

Недостатъците на използването на ICAP включват следното:

• допълнителните мрежови взаимодействия между клиента и сървъра донякъде забавят скоростта на пренос на данни между външни системи и потребители на информация;
• Има проверки, които трябва да се извършат не на клиента, а на ICAP сървъра, като например определяне на типа данни и т.н. Това е уместно, тъй като в много случаи ICAP клиентите разчитат на файловото разширение или типа данни, докладвани от външния сървър, което може да причини нарушение на политиката за сигурност;
• Трудната интеграция със системи, използващи протоколи, различни от HTTP, предотвратява използването на ICAP за задълбочен анализ на данни.

OPES протокол

За разлика от ICAP, протоколът OPES е разработен, като се вземат предвид характеристиките на конкретни протоколи. Освен това по време на разработката му са взети предвид недостатъците на протокола ICAP, като липса на удостоверяване на клиенти и сървъри, липса на удостоверяване и др.

Подобно на ICAP, OPES е приет като стандарт от Internet Engineering Task Force. Структурата на взаимодействието на услугата, протоколът за взаимодействие, изискванията за услугата и решенията за осигуряване на сигурност на услугата са изложени в документи RFC 3752, 3835, 3836, 3837 и др. Списъкът редовно се актуализира с нови документи, описващи приложението на OPES не само за обработката на интернет трафик, но и за обработката на пощенски трафик, а в бъдеще, вероятно, и на други видове протоколи.

Структурата на взаимодействие между OPES сървъри и клиенти (OPES процесор) е показана на фигурата. В общи линии тя е подобна на схемата за взаимодействие между ICAP сървъри и клиенти, но има значителни разлики:

• има изисквания за внедряване на OPES клиенти, което позволява по-удобното им управление – задаване на политики за филтриране и др.;
• Потребителят на данни (потребител или информационна система) може да повлияе на обработката на данните. Например, когато се използват автоматични преводачи, получените данни могат да бъдат автоматично преведени на езика, използван от потребителя;
• системите, предоставящи данни, също могат да повлияят на резултатите от обработката;
• Обработващите сървъри могат да използват за анализ данни, специфични за протокола, чрез който данните са предадени на OPES клиента;
• Някои обработващи сървъри може да получат по-чувствителни данни, ако имат доверителна връзка с OPES клиента, потребителите и/или доставчиците на информация.

Всички горепосочени възможности зависят единствено от конфигурацията, използвана при внедряването на системата. Поради тези възможности използването на OPES е по-обещаващо и удобно от използването на протокола ICAP.

Очаква се в близко бъдеще да се появят продукти, които поддържат OPES заедно с протокола ICAP. Но тъй като понастоящем няма пълноценни реализации, използващи OPES, е невъзможно да се направят окончателни заключения за недостатъците на този подход, въпреки че теоретично остава само един недостатък - увеличаването на времето за обработка поради взаимодействието между клиенти и OPES сървъри.

HTTPS и други видове криптиран трафик

Някои анализатори смятат, че до 50% от интернет трафика се предава в криптирана форма. Проблемът с контролирането на криптирания трафик вече е актуален за много организации, тъй като потребителите могат да използват криптиране, за да създадат канали за изтичане на информация. В допълнение, криптираните канали могат също да бъдат използвани от зловреден код за проникване в компютърни системи.

Има няколко задачи, свързани с обработката на криптиран трафик:

• анализ на данни, предавани по криптирани канали;
• проверка на сертификати, които се използват от сървърите за организиране на криптирани канали.

Уместността на тези задачи нараства всеки ден.

Криптиран контрол на предаването на данни

Контролът на предаването на данни, изпратени по криптирани канали, е може би най-важната задача за организациите, чиито служители имат достъп до интернет ресурси. За прилагането на този контрол има подход, наречен „Човек по средата“ (наричан още „Главен по средата“ в някои източници), който може да се използва от нападателите за прихващане на данни. Диаграмата за обработка на данни за този метод е показана на фигурата:

Процесът на обработка на данните е както следва:

• В интернет браузъра на потребителя се инсталира специално издаден основен сертификат, който се използва от прокси сървъра за подписване на генерирания сертификат (без инсталиране на такъв сертификат браузърът на потребителя ще покаже съобщение, че сертификатът за подпис е издаден от ненадеждна организация );
• при установяване на връзка с прокси сървър се обменят данни и към браузъра се изпраща специално генериран сертификат с данни от целевия сървър, но подписан с известен ключ, който позволява на прокси сървъра да дешифрира предавания трафик;
• дешифрираните данни се анализират по същия начин като обикновения HTTP трафик;
• прокси сървърът установява връзка със сървъра, към който трябва да се прехвърлят данните, и използва сертификата на сървъра, за да криптира канала;
• Данните, върнати от сървъра, се дешифрират, анализират и предават на потребителя, криптирани със сертификат за прокси сървър.

При използване на тази схема за обработка на криптирани данни могат да възникнат проблеми, свързани с потвърждаването на автентичността на потребителя. Освен това е необходима работа за инсталиране на сертификата в интернет браузърите на всички потребители (ако такъв сертификат не е инсталиран, потребителят ще получи съобщение, че сертификатът е подписан от неизвестна компания, което ще му даде информация за наблюдение на трансфера на данни).

В момента на пазара се предлагат следните продукти за наблюдение на предаването на криптирани данни: Webwasher SSL Scanner от Secure Computing, Breach View SSL, WebCleaner.

Удостоверяване на сертификат

Второто предизвикателство, което възниква при използването на криптирани канали за предаване на данни, е проверката на автентичността на сертификатите, предоставени от сървърите, с които работят потребителите.

Нападателите могат да атакуват информационни системи, като създадат фалшив DNS запис, който пренасочва потребителските заявки не към сайта, от който се нуждаят, а към такъв, създаден от самите нападатели. С помощта на такива фалшиви сайтове могат да бъдат откраднати важни потребителски данни като номера на кредитни карти, пароли и др., както и да бъде изтеглен зловреден код под прикритието на софтуерни актуализации.

За предотвратяване на подобни случаи има специализиран софтуер, който проверява съответствието на сертификатите, предоставени от сървъра, с данните, които докладва.

Ако има несъответствие, системата може да блокира достъпа до такива сайтове или да предостави достъп след изрично потвърждение от потребителя. В този случай обработката на данни се извършва почти по същия начин, както при анализиране на данни, предавани по криптирани канали, само че в този случай не се анализират данните, а сертификатът, предоставен от сървъра.

Филтриране на пощенски трафик

Когато използват имейл, организациите са изправени пред необходимостта да осигурят сигурност както за входящия, така и за изходящия трафик. Но задачите, които се решават за всяко едно от направленията, са доста различни. Входящият трафик трябва да се контролира за злонамерен софтуер, фишинг и спам, докато изходящата поща се контролира за съдържание, което може да изтече чувствителна информация, да разпространява инкриминиращи материали и други подобни.

Повечето продукти на пазара осигуряват само контрол на входящия трафик. Това става чрез интеграция с антивирусни системи и внедряване на различни защитни механизми срещу спам и фишинг. Много от тези функции вече са вградени в имейл клиентите, но не могат напълно да решат проблема.

В момента има няколко начина за защита на потребителите от спам:

• сравнение на получените съобщения със съществуващата база данни за съобщения. При извършване на сравнения могат да се използват различни техники, включително използването на генетични алгоритми, които позволяват да се изолират ключови думи, дори ако са изкривени;
• динамична категоризация на съобщенията по тяхното съдържание. Позволява ви много ефективно да откриете наличието на нежелана кореспонденция. За да противодействат на този метод, разпространителите на спам използват съобщения под формата на изображение с текст вътре и/или набори от думи от речници, които създават шум, който пречи на работата на тези системи. Въпреки това, за борба с подобен спам вече се използват различни методи, като вълнов анализ и/или разпознаване на текст в изображения;
• сиви, бели и черни списъци за достъп ви позволяват да опишете правилата за приемане на имейл съобщения от известни или непознати сайтове. Използването на сиви списъци в много случаи помага за предотвратяване на предаването на нежелани съобщения поради специфичната работа на софтуера, който изпраща спам. За поддържане на черни списъци за достъп могат да се използват както локални бази данни, управлявани от администратора, така и глобални бази данни, попълвани въз основа на потребителски съобщения от цял ​​свят. Въпреки това, използването на глобални бази данни рискува факта, че цели мрежи, включително тези, съдържащи „добри“ пощенски сървъри, могат да попаднат в тях.

За борба с изтичането на информация се използват различни методи, базирани на прихващане и задълбочен анализ на съобщения в съответствие със сложна политика за филтриране. В този случай е необходимо правилно да се определят типове файлове, езици и текстови кодировки и да се извърши семантичен анализ на предадените съобщения.

Друга употреба на системите за филтриране на поща е създаването на криптирани потоци от поща, където системата автоматично подписва или криптира съобщението и автоматично дешифрира данните в другия край на връзката. Тази функционалност е много удобна, ако искате да обработвате цялата изходяща поща, но тя трябва да достигне до получателя в криптирана форма.

Филтриране на незабавни съобщения

Инструментите за незабавни съобщения постепенно се превръщат в активно използван инструмент в много компании. Те осигуряват бързо взаимодействие със служители и/или клиенти на организации. Ето защо е напълно естествено, че развитието на инструменти, които освен всичко друго могат да се окажат и канал за изтичане на информация, доведе до появата на инструменти за наблюдение на предаваната информация.

В момента най-често използваните протоколи за мигновени съобщения са MSN (Microsoft Network), AIM (AOL Instant Messaging), Yahoo! Chat, Jabber и техните корпоративни двойници са Microsoft Live Communication Server (LCS), IBM SameTime и Yahoo Corporate Messaging Server протоколи. Системата ICQ, която сега е собственост на AOL и използва почти същия протокол като AIM, стана широко разпространена в ОНД. Всички тези системи правят почти едно и също нещо - предават съобщения (както през сървъра, така и директно) и файлове.

Сега почти всички системи имат възможност да осъществяват разговори от компютър към компютър и/или към обикновени телефони, което създава определени затруднения за системите за управление и изисква VoIP поддръжка за внедряване на пълноценни прокси сървъри.

Обикновено продуктите за контрол на IM трафика се внедряват като шлюз за приложения, който анализира предаваните данни и блокира предаването на забранени данни. Съществуват обаче и реализации под формата на специализирани IM сървъри, които извършват необходимите проверки на ниво сървър.

Най-популярните функции на продукти за наблюдение на IM трафик:

• контрол на достъпа по индивидуални протоколи;
• контрол на използваните клиенти и др.;
• контрол на достъпа за отделни потребители:
• позволяващи на потребителя да комуникира само в рамките на компанията;
• позволяване на потребителя да комуникира само с определени потребители извън компанията;
• контрол на предаваните текстове;
• контрол на прехвърлянето на файлове. Обектите на контрол са:
  • размер на файла;
  • тип и/или разширение на файла;
• посока на трансфер на данни;
• наблюдение за наличие на злонамерено съдържание;
• SPIM дефиниция;
• запазване на предадените данни за последващ анализ.

В момента следните продукти ви позволяват да контролирате предаването на незабавни съобщения:

• CipherTrust IronIM от Secure Computing. Този продукт поддържа протоколите AIM, MSN, Yahoo! Чат, Microsoft LCS и IBM SameTime. Сега това е едно от най-пълните решения;
• IM Manager от Symantec (разработен от IMLogic, който беше придобит от Symantec). Този продукт поддържа следните протоколи - Microsoft LCS, AIM, MSN, IBM SameTime, ICQ и Yahoo! Чат;
• Antigen for Instant Messaging на Microsoft също поддържа почти всички популярни протоколи за незабавни съобщения.

Продуктите на други компании (ScanSafe, ContentKeeper) имат по-малко възможности от изброените по-горе.

Заслужава да се отбележи, че две руски компании - Grand Prix (продукт SL-ICQ) и Mera.ru (продукт Sormovich) - предоставят продукти за наблюдение на предаването на съобщения чрез протокола ICQ.

VoIP филтриране

Нарастващата популярност на средствата за предаване на аудио информация между компютри (наричани още Voice over IP (VoIP)) налага да се предприемат мерки за контрол на трансфера на такава информация. Има различни реализации за обаждане от компютър на компютър и/или към обикновени телефони.

Съществуват стандартизирани протоколи за обмен на такава информация, включително Session Instantiation Protocol (SIP), приет от IETF, и H.323, разработен от ITU. Тези протоколи са отворени, което ги прави възможни за обработка.

Освен това има протоколи, разработени от конкретни компании, които нямат отворена документация, което прави работата с тях много трудна. Едно от най-популярните приложения е Skype, което придоби широка популярност по целия свят. Тази система ви позволява да осъществявате повиквания между компютри, да осъществявате повиквания към стационарни и мобилни телефони и да получавате обаждания от стационарни и мобилни телефони. Последните версии поддържат възможност за обмен на видео информация.

Повечето от предлаганите в момента продукти могат да бъдат разделени на две категории:

• продукти, които ви позволяват да идентифицирате и блокирате VoIP трафик;
• продукти, които могат да идентифицират, улавят и анализират VoIP трафик.

• Dolphian продукти, които ви позволяват да идентифицирате и разрешите или откажете VoIP трафик (SIP и Skype), който е капсулиран в стандартен HTTP трафик;
• продукти на Verso Technologies;
• различни видове защитни стени, които имат тази възможност.

• продуктът на руската компания Sormovich поддържа улавяне, анализ и съхранение на гласова информация, предавана по протоколите H.323 и SIP;
• Библиотеката с отворен код Oreka() ви позволява да определите компонента на сигнала на аудио трафика и да заснемете предадените данни, които след това могат да бъдат анализирани с други средства.

Наскоро стана известно, че продукт, разработен от ERA IT Solutions AG, ви позволява да прихващате VoIP трафик, предаван чрез Skype. Но за да извършите такъв контрол, трябва да инсталирате специализиран клиент на компютъра, на който работи Skype.

Peer-to-peer филтриране

Използването на различни peer-to-peer (p2p) мрежи от служители представлява следните заплахи за организациите:

• разпространение на зловреден код;
• изтичане на информация;
• разпространение на защитени с авторски права данни, което може да доведе до правни действия;
• намалена производителност на труда;

Има голям брой мрежи, работещи във формат peer-to-peer. Има мрежи, които имат централни сървъри, използвани за координиране на потребителите, и има мрежи, които са напълно децентрализирани. Във втория случай те са особено трудни за контролиране с помощта на стандартни инструменти като защитни стени.

За да решат този проблем, много компании създават продукти, които им позволяват да откриват и обработват p2p трафик. Съществуват следните решения за обработка на p2p трафик:

• SurfControl Instant Messaging Filter, който обработва p2p, както и незабавни съобщения;
• пакетът Websense Enterprise също предоставя на потребителите инструменти за контрол на p2p трафика;
• Филтърът за незабавни съобщения Webwasher ви позволява да контролирате достъпа до различни p2p мрежи.

Използването на тези или други продукти, които не са изброени тук, драстично намалява рисковете, свързани с потребителския достъп до p2p мрежи.

Унифицирано управление на заплахи

Решения, които отговарят на концепцията за Unified Threat Management, се предлагат от много доставчици на сигурност. По правило те са изградени на базата на защитни стени, които освен основните функции изпълняват и функции за филтриране на съдържание. Обикновено тези функции се фокусират върху предотвратяване на прониквания, злонамерен код и нежелани съобщения.

Много от тези продукти са реализирани под формата на хардуерни и софтуерни решения, които не могат напълно да заменят решенията за филтриране на имейл и интернет трафик, тъй като работят само с ограничен брой възможности, предоставени от конкретни протоколи. Те обикновено се използват, за да се избегне дублиране на функционалност в различни продукти и да се гарантира, че всички протоколи на приложения се обработват според една и съща известна база данни за заплахи.

Най-популярните решения на концепцията за Unified Threat Management са следните продукти:

• SonicWall Gateway Anti-Virus, Anti-Spyware и Intrusion Prevention Service осигурява антивирусна и друга защита за данни, предавани чрез SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, протоколи за незабавни съобщения и много протоколи за стрийминг, използвани за предаване на аудио и видео информация ;
• серия от ISS Proventia Network Multi-Function Security устройства, проектирани като софтуерни и хардуерни системи, блокират зловреден код, нежелани съобщения и прониквания. Доставката включва голям брой проверки (включително за VoIP), които могат да бъдат разширени от потребителя;
• Хардуерната платформа Network Gateway Security на Secure Computing, в допълнение към защитата срещу зловреден код и нежелани съобщения, има и VPN поддръжка. Тази платформа съчетава почти всички решения за защитени компютри.

Има и други продукти, но изброените по-горе са широко достъпни.

Прихващане на данни

Законното прихващане почти винаги е било използвано от разузнавателните агенции за събиране и анализ на предадена информация. Напоследък обаче въпросът за прихващането на данни (не само интернет трафик, но и телефония и други видове) стана много актуален в светлината на борбата с тероризма. Дори тези държави, които винаги са били против подобни системи, започнаха да ги използват за контрол на трансфера на информация.

Тъй като се прихващат различни видове данни, често предавани по високоскоростни канали, внедряването на такива системи изисква специализиран софтуер за улавяне и парсиране на данни и отделен софтуер за анализ на събраните данни. Като такъв може да се използва софтуер за филтриране на съдържание на определен протокол.

Може би най-известната от тези системи е англо-американската система Echelon, която отдавна се използва за прихващане на данни в интерес на различни отдели в САЩ и Англия. Освен това Агенцията за национална сигурност на САЩ използва системата Narus, която позволява наблюдение и анализ на интернет трафика в реално време.

Сред руските продукти можем да споменем решенията на компанията Sormovich, които ви позволяват да улавяте и анализирате имейл, аудио и различни видове интернет трафик (HTTP и други).

Заключение

Развитието на информационните системи води до появата на все повече нови заплахи. Поради това развитието на продуктите за филтриране на съдържание не само поддържа, но понякога дори предвижда появата на нови заплахи, намалявайки рисковете за защитените информационни системи.