Брз почеток: ICAP сервер. Минимални системски барања за ICAP сервер

Почетна страница на модулот

Услуга која им овозможува на клиентите да упатуваат индиректни барања до други мрежни услуги. Прво, клиентот се поврзува со прокси-серверот и бара некој веб-ресурс лоциран на друг сервер. Потоа, прокси-серверот или се поврзува со наведениот сервер и го добива ресурсот од него, или го враќа ресурсот од сопствената кеш меморија (ако еден од клиентите веќе пристапил до овој ресурс). Во некои случаи, барањето на клиентот или одговорот на серверот може да бидат изменети од прокси-серверот за одредени цели.

Исто така, прокси-серверот ви овозможува да ги анализирате барањата на клиентот HTTP што минуваат низ серверот, да го филтрирате и снимате сообраќајот по URL и типови на мимика. Дополнително, прокси-серверот имплементира механизам за пристап до Интернет со користење на најава/лозинка.

Прокси-серверот кешира објекти што ги добиваат корисниците од Интернет и со тоа ја намалува потрошувачката на сообраќај и ја зголемува брзината на вчитување на страницата.

Кога влегувате во модулот, се прикажуваат статусот на услугите, копчето „Оневозможи“ (или „Овозможи“ ако модулот е оневозможен) и најновите пораки во дневникот.

Поставки

Обично, за да работите преку прокси-сервер, треба да ја наведете неговата адреса и порта во поставките на прелистувачот. Меѓутоа, ако не се користи овластување на корисникот со најава/лозинка, тогаш можете да ја користите функцијата транспарентен прокси.

Во овој случај, сите HTTP барања од локалната мрежа автоматски се пренасочуваат преку прокси-серверот. Ова овозможува филтрирање и снимање на сообраќајот по URL, без оглед на поставките на компјутерите на клиентите.

Стандардната порта за прокси-сервер е 3128, во поставките на модулот можете да ја промените на која било бесплатна порта.

Видови овластувања

Прокси-серверот ICS поддржува два методи на авторизација: преку IP адресата на корисникот и со лозинка за најава.

Овластувањето по IP адреса е погодно за случаи кога корисникот постојано го користи истиот компјутер. Проксито одредува кој корисник го поседува овој или оној сообраќај врз основа на IP адресата на неговиот компјутер. Овој метод не е погоден за терминални сервери, бидејќи во овој случај неколку корисници работат од иста IP адреса. Исто така, овој метод не е погоден за организации во кои корисниците постојано се движат помеѓу работните станици. Дополнително, корисникот може да ја смени IP адресата на неговиот компјутер и, ако MAC адресата не е конфигурирана да се поврзе со IP, ICS ќе го помеша со некој друг.

Овластувањето со најава/лозинка го решава проблемот со поврзување на корисниците со сопствен компјутер. Во овој случај, првиот пат кога ќе пристапите до кој било Интернет ресурс, прелистувачот ќе го поттикне корисникот за најава/лозинка за пристап на Интернет. Ако корисниците на вашата мрежа се овластени во домен, можете да го поставите типот на авторизација на „Преку домен“. Во овој случај, ако ICS е поврзан со контролер на домен и корисниците се увезени од доменот, овластувањето ќе се изврши транспарентно, без да се бара најава/лозинка.

Дополнително, треба да запомните дека овластувањето за прокси се користи само за кориснички http сообраќај. Пристапот до Интернет за програми кои користат протоколи различни од http е регулиран со заштитен ѕид, кој има само еден метод за авторизација: со IP адреса. Со други зборови, ако корисникот користи само овластување за најава/лозинка, тој нема да може да користи пошта, jabber клиент, torrent клиент и други програми кои не поддржуваат работа преку http прокси.

Веб најавување

За да ги овластите корисниците без регистриран прокси-сервер користејќи корисничко име и лозинка, можете да користите веб-овластување (заробен портал) со овозможување на соодветното поле за избор. Веб-овластувањето овозможува, на пример, да се интегрира страница за авторизација во корпоративен портал и да се користи како страница за авторизација. Стандардно, портата за овластување за веб е 82, исто така можете да ја промените на која било бесплатна.

За да не регистрирате рачно прокси-сервер на секоја клиентска машина, можете да го користите авто-конфигураторот. Опцијата „Автоматска конфигурација на прокси“ мора да биде поставена во прелистувачот на клиентот; сите други поставки ќе бидат одредени од ICS.

Тоа е овозможено со штиклирање на полето во соодветното јазиче. Можете да изберете еден или повеќе протоколи од достапните (HTTP, HTTPS, FTP).

Опцијата за објавување скрипта за автоматска конфигурација одредува дали ќе биде достапна преку IP адресата на серверот или од креираниот виртуелен хост со име на домен. Кога ќе изберете виртуелен домаќин, тој автоматски ќе се креира во системот. Поле за избор „Креирај запис на DNS-серверот“автоматски ќе додаде зона со потребната евиденцијаза овој виртуелен домаќин.

Објавете скрипта за автоматска конфигурација преку DHCP- овој параметар ги пренесува поставките за прокси до сите DHCP клиенти на серверот.

Родител прокси

Ако вашата организација има неколку прокси-сервери лоцирани хиерархиски, тогаш прокси-серверот супериорен во однос на ICS ќе биде негов родителски полномошник. Покрај тоа, секој мрежен јазол може да дејствува како родителски прокси.

За да може ICS да ги пренасочува барањата што доаѓаат до неговиот прокси-сервер кон родителскиот прокси, наведете ја неговата IP адреса и дестинација во табулаторот „Родителски прокси“.

Прокси-серверите можат да ги разменуваат своите податоци за кешот користејќи го протоколот ICP. Ако мрежата работи преку неколку прокси, ова може значително да ја забрза работата. Ако родителскиот прокси го поддржува протоколот, штиклирајте го соодветното поле и наведете ја сервисната порта (стандардно 3130).

Издадени IP адреси

Ова јазиче содржи список на IP адреси и корисници кои се најавени на прокси-серверот користејќи веб-овластување.

Содржина на кешот

Јазичето „Дневник“ содржи резиме на сите системски пораки од прокси-серверот. Списанието е поделено на страници; со помош на копчињата „напред“ и „назад“ можете да се движите од страница на страница или да го внесете бројот на страницата во полето и да се префрлите директно на него.

Записите во дневникот се означени во боја во зависност од видот на пораката. Редовните системски пораки се означени со бело, пораките за статусот на системот (вклучено/исклучено, обработка на кешот) се зелено, грешките се со црвена боја.

На десно горниот аголмодул има линија за пребарување. Со негова помош, можете да пребарувате во дневникот за записите што ви се потребни.

Дневникот секогаш прикажува настани за тековниот датум. За да ги видите настаните на различен ден, изберете го саканиот датум користејќи го календарот во горниот лев агол на модулот.

ICRA (Internet Content Rating Association) е нова иницијатива развиена од независна непрофитна организацијасо истото име. Главната цел на оваа иницијатива е да ги заштити децата од пристап до забранети содржини. Оваа организација има договори со многу компании (големи телекомуникациски и софтверски компании) за да обезбеди посигурна заштита.

ICRA обезбедува софтвер кој ви овозможува да ја проверите специјалната ознака вратена од страницата и да одлучите дали да пристапите до тие податоци. Софтверот работи само на платформата Microsoft Windows, но благодарение на отворената спецификација, можно е да се креираат софтверски имплементации за филтрирање за други платформи.

Целите и задачите што ги реши оваа организација, како и сите Потребни документиможе да се најде на веб-страницата на ICRA - http://www.icra.org/.

Предностите на овој пристап го вклучуваат фактот дека е потребен само специјален софтвер за обработка на податоците и нема потреба да се ажурираат базите на податоци за адреси и/или категории, бидејќи сите информации се пренесуваат од самата страница. Но, недостаток е тоа што страницата може да укаже на погрешна категорија, што ќе доведе до неправилно обезбедување или одбивање на пристап до податоци. Сепак, овој проблем може да се реши (и веќе се решава) преку употреба на алатки за проверка на податоците, како што се дигитални потписи итн.

Филтрирање сообраќај во светот на Web 2.0

Масовното воведување на таканаречените Web 2.0 технологии во голема мера го комплицираше филтрирањето на содржината на веб сообраќајот. Бидејќи во многу случаи податоците се пренесуваат одделно од дизајнот, постои можност несаканите информации да бидат протечени до или од корисникот. Кога работите со сајтови кои користат такви технологии, мора да направите сеопфатна анализапренесените податоци, одредувајќи го преносот на дополнителни информации и земајќи ги предвид податоците собрани во претходните фази.

Во моментов, ниту една од компаниите кои произведуваат алатки за филтрирање на содржината на веб сообраќајот не дозволува сеопфатна анализа на податоците пренесени со помош на технологиите AJAX.

Интеграција со надворешни системи

Во многу случаи, прашањето за интегрирање на системите за анализа на содржина со други системи станува доста акутно. Во овој случај, системите за анализа на содржината можат да дејствуваат и како клиенти и како сервери или во двете улоги одеднаш. За овие цели, развиени се неколку стандардни протоколи - протокол за адаптација на содржината на Интернет (ICAP), услуги за отворени приклучни рабови (OPES). Покрај тоа, некои производители создадоа свои протоколи за да овозможат одредени производи да комуницираат едни со други или со софтвер од трета страна. Тие вклучуваат Cisco Web Cache Coordination Protocol (WCCP), Check Point Content Vectoring Protocol (CVP) и други.

Некои протоколи - ICAP и OPES - се дизајнирани така што тие можат да се користат за имплементација на услуги за филтрирање содржини и други услуги - преведувачи, поставување реклами, испорака на податоци, во зависност од политиката на нивната дистрибуција итн.

ICAP протокол

Во моментов, протоколот ICAP е популарен меѓу авторите на софтвер за филтрирање содржина и креаторите на софтвер за идентификување на злонамерна содржина (вируси, шпионски софтвер/малициозен софтвер). Сепак, вреди да се напомене дека ICAP првенствено беше дизајниран да работи со HTTP, што наметнува многу ограничувања за неговата употреба со други протоколи.

ICAP е усвоен од Работната група за Интернет инженерство (IETF) како стандард. Самиот протокол е дефиниран со RFC 3507 со некои дополнувања наведени во нацртот на ICAP Extensions. Овие документи и дополнителни информациидостапен од серверот ICAP Форум - http://www.i-cap.org.

Системската архитектура при користење на протоколот ICAP е прикажана во. Клиентот ICAP е системот преку кој се пренесува сообраќајот. Системот кој врши анализа и обработка на податоци се нарекува ICAP сервер. ICAP серверите можат да дејствуваат како клиенти за други сервери, што овозможува поврзување на неколку услуги за колективна обработка на истите податоци.

Слика 1. Шема на интеракција помеѓу ICAP серверите и клиентите

За интеракција помеѓу клиентот и серверот, се користи протокол сличен на HTTP верзијата 1.1 и се користат истите методи за кодирање на информации. Според стандардот ICAP, може да ги обработува и појдовниот (REQMOD - Request Modification) и дојдовниот (RESPMOD - Response Modification) сообраќај. Одлуката за тоа кои од пренесените податоци ќе бидат обработени ја носи клиентот ICAP, во некои случаи тоа го прави невозможно целосна анализаподатоци. Поставките на клиентот целосно зависат од имплементацијата и во многу случаи не можат да се променат.

По добивањето на податоците од клиентот, ICAP серверот ги обработува и, доколку е потребно, ги менува податоците. Податоците потоа се враќаат на клиентот ICAP и тој ги пренесува на серверот или клиентот, во зависност од насоката во која се пренесени.

ICAP најшироко се користи во производи против малициозен софтвер бидејќи дозволува овие проверки да се користат на повеќе производи и е независен од платформата на која работи клиентот ICAP.

Недостатоците од користењето на ICAP го вклучуваат следново:

  • дополнителните мрежни интеракции помеѓу клиентот и серверот донекаде ја забавуваат брзината на пренос на податоци помеѓу надворешните системи и потрошувачите на информации;
  • Има проверки кои треба да се извршат не на клиентот, туку на ICAP серверот, како на пример одредување на типот на податоци итн. Ова е релевантно бидејќи во многу случаи клиентите на ICAP се потпираат на наставката на датотеката или на типот на податоци пријавени од надворешниот сервер, што може да предизвика прекршување на безбедносната политика;
  • Тешката интеграција со системи кои користат протоколи различни од HTTP ја спречува употребата на ICAP за длабока анализа на податоци.

OPES протокол

За разлика од ICAP, протоколот OPES беше развиен земајќи ги предвид карактеристиките на специфичните протоколи. Дополнително, при неговиот развој беа земени предвид и недостатоците на ICAP протоколот, како што се недостаток на автентикација на клиенти и сервери, недостаток на автентикација итн.

Како и ICAP, OPES е усвоен како стандард од страна на Работната група за Интернет инженерство. Структурата на интеракцијата на услугите, протоколот за интеракција, барањата за услуги и решенијата за обезбедување безбедност на услугата се утврдени во документите RFC 3752, 3835, 3836, 3837 и други. Списокот редовно се ажурира со нови документи кои ја опишуваат примената на OPES не само за обработка на интернет сообраќај, туку и за обработка на сообраќајот по пошта, а во иднина, можеби и други видови протоколи.

Структурата на интеракцијата помеѓу OPES серверите и клиентите (OPES Processor) е прикажана во. Општо земено, таа е слична на шемата на интеракција помеѓу ICAP серверите и клиентите, но има значителни разлики:

  • постојат барања за имплементација на клиентите на OPES, што овозможува попогодно управување со нив - поставување политики за филтрирање итн.;
  • потрошувачот на податоци (корисник или информациски систем) може да влијае на обработката на податоците. На пример, кога користите автоматски преведувачи, добиените податоци може автоматски да се преведат на јазикот што го користи корисникот;
  • системите кои обезбедуваат податоци, исто така, можат да влијаат на резултатите од обработката;
  • Серверите за обработка можат да користат за анализа податоци специфични за протоколот преку кој податоците се пренесени до клиентот OPES;
  • Некои сервери за обработка може да добијат почувствителни податоци доколку имаат доверлив однос со клиентот OPES, потрошувачите и/или давателите на информации.

Слика 2. Шема на интеракција помеѓу клиентите и серверите OPES

Сите горенаведени способности зависат исклучиво од конфигурацијата што се користи при имплементирање на системот. Поради овие способности, користењето на OPES е поперспективно и поудобно отколку користењето на протоколот ICAP.

Производите кои поддржуваат OPES заедно со протоколот ICAP се очекува да се појават во блиска иднина. Пионер во развојот и употребата на OPES е Secure Computing со својата производна линија Webwasher.

Бидејќи во моментов нема полноправни имплементации со користење на OPES, невозможно е да се извлечат конечни заклучоци за недостатоците на овој пристап, иако теоретски останува само еден недостаток - зголемувањето на времето за обработка поради интеракцијата помеѓу клиентите и серверите на OPES.

HTTPS и други видови шифриран сообраќај

Некои аналитичари проценуваат дека до 50% од интернет сообраќајот се пренесува во шифрирана форма. Проблемот со контролирање на шифрираниот сообраќај сега е релевантен за многу организации, бидејќи корисниците можат да користат шифрирање за да создадат канали за истекување информации. Покрај тоа, шифрираните канали може да се користат и со злонамерен код за да навлезат во компјутерските системи.

Постојат неколку задачи поврзани со обработка на шифриран сообраќај:

  • анализа на податоците пренесени преку шифрирани канали;
  • проверка на сертификатите што ги користат серверите за организирање на шифрирани канали.

Релевантноста на овие задачи се зголемува секој ден.

Контрола на шифрирана пренос на податоци

Контрола на преносот на податоци испратени преку шифрирани канали е веројатно најмногу важна задачаза организации чии вработени имаат пристап до интернет ресурси. За да се имплементира оваа контрола, постои пристап наречен „Man-in-the-Middle“ (исто така наречен „Main-in-the-Middle“ во некои извори), кој може да го користат напаѓачите за пресретнување на податоци. Шема за обработка на податоци за овој методдадена на .

Слика 3. Обработка на шифрирани податоци

Процесот на обработка на податоците е како што следува:

  • Специјално издаден сертификат е инсталиран во Интернет-прелистувачот на корисникот за да се воспостави врска со прокси-серверот;
  • кога воспоставува врска со прокси-сервер, користи познат сертификат за дешифрирање на пренесените податоци;
  • дешифрираните податоци се анализираат на ист начин како и редовниот HTTP сообраќај;
  • прокси-серверот воспоставува врска со серверот на кој мора да се пренесат податоците и го користи сертификатот на серверот за шифрирање на каналот;
  • Податоците вратени од серверот се дешифрираат, анализираат и се пренесуваат до корисникот, шифрирани со сертификат за прокси-сервер.

При користење на оваа шема за обработка на шифрирани податоци, може да се појават проблеми поврзани со потврдување на автентичноста на корисникот. Дополнително, потребна е работа за инсталирање на сертификатот во интернет прелистувачите на сите корисници.

Следниве производи моментално се нудат на пазарот за контрола на преносот на шифрирани податоци: Webwasher SSL скенер од Secure Computing, Breach View SSL TM, WebCleaner.

Автентикација на сертификатот

Втората задача што се јавува при користење на шифрирани канали за пренос на податоци е проверка на автентичноста на сертификатите обезбедени од серверите со кои работат корисниците.

Напаѓачите можат да ги нападнат информациските системи со создавање на лажен запис за DNS што ги пренасочува барањата на корисниците не на страницата што им е потребна, туку на онаа што ја креираат самите напаѓачи. Со помош на такви лажни сајтови, важни кориснички податоци како што се броеви на кредитни картички, лозинки итн.

За да се спречат вакви случаи, постои специјализиран софтвер кој ја проверува усогласеноста на сертификатите што ги дава серверот со податоците што ги известува.

Доколку има несовпаѓање, системот може да го блокира пристапот до таквите страници или да обезбеди пристап по експлицитна потврда од страна на корисникот. Во овој случај, обработката на податоците се врши речиси на ист начин како и при анализа на податоците пренесени преку шифрирани канали, само што во овој случај не се анализираат податоците, туку сертификатот што го дава серверот.

Филтрирање на сообраќајот на пошта

Кога користат е-пошта, организациите се соочуваат со потребата да обезбедат безбедност и за дојдовниот и за појдовниот сообраќај. Но, решените задачи за секоја насока се сосема различни. Влезниот сообраќај мора да се контролира за малициозен софтвер, фишинг и спам, додека излезната пошта мора да се контролира за содржина што може да доведе до протекување. важна информација, дистрибуција на компромитирачки материјали и слично.

Повеќето производи на пазарот обезбедуваат само контрола на дојдовниот сообраќај. Ова се прави преку интеграција со анти-вирусни системи и имплементација на различни механизми за заштита од спам и фишинг. Многу од овие функции се веќе вградени во клиентите за е-пошта, но тие не можат целосно да го решат проблемот.

Заштитата од фишинг најчесто се врши со споредување на примените е-пораки со постоечката база на податоци со адреси и пораки на веб-локации. Ваквите бази на податоци се обезбедени од добавувачи на софтвер.

Во моментов има неколку начини за заштита на корисниците од спам:

  • споредба на примените пораки со постоечката база на податоци за пораки. При споредување може да се користи различни техники, вклучително и употреба генетски алгоритми, кои ви дозволуваат да ги изолирате клучните зборови дури и ако се искривени;
  • динамична категоризација на пораките според нивната содржина. Ви овозможува многу ефикасно да откриете присуство на несакана кореспонденција. За да се спротивстават на овој метод, дистрибутерите на спам користат пораки во форма на слика со текст внатре и/или групи зборови од речници, кои создаваат шум што го попречува работењето на овие системи. Меѓутоа, во иднина може да има анти-спам системи кои можат да препознаат текст во сликите и на тој начин да ја одредат нивната содржина;
  • Списоците за пристап со сива, бела и црна боја ви овозможуваат да ја опишете политиката за прифаќање е-пораки од познати или непознати локации. Употребата на сиви списоци во многу случаи помага да се спречи преносот на несакани пораки поради специфичната работа на софтверот што испраќа спам. За одржување на црните листи за пристап, може да се користат и локални бази на податоци управувани од администраторот и глобални бази на податоци, надополнети врз основа на кориснички пораки од целиот свет. Сепак, употребата на глобални бази на податоци го ризикува фактот дека во нив може да паднат цели мрежи, вклучително и оние што содржат „добри“ сервери за пошта.

За борба против протекувањето информации, најмногу различни начини, врз основа на пресретнување и длабока анализа на пораките во согласност со сложената политика за филтрирање. Во овој случај, постои потреба правилно да се одредат типовите на датотеки, јазиците и шифрирањето на текстот и да се спроведе семантичка анализа на пренесените пораки.

Друга употреба на системите за филтрирање пошта е создавање на шифрирани текови на пошта, каде што системот автоматски ја потпишува или шифрира пораката, а податоците автоматски се дешифрираат на другиот крај на врската. Оваа функционалност е многу погодна ако сакате да ја обработите целата појдовна пошта, но таа мора да стигне до примачот во шифрирана форма.

Филтрирање инстант пораки

Алатките за инстант пораки постепено стануваат активно користена алатка во многу компании. Тие обезбедуваат брза интеракција со вработените и/или клиентите на организациите. Затоа, сосема е природно што развојот на алатки, кои, меѓу другото, може да се покажат како канал за истекување на информации, доведе до појава на алатки за следење на пренесените информации.

Во моментов, најчесто користените протоколи за инстант пораки се MSN (Microsoft Network), AIM (AOL Instant Messaging), Yahoo! Chat, Jabber и нивните корпоративни колеги се Microsoft Live Communication Server (LCS), IBM SameTime и Yahoo Corporate Messaging Server протоколи. Системот ICQ, кој сега е во сопственост на AOL и го користи речиси истиот протокол како AIM, стана широко распространет во ЗНД. Сите овие системи го прават речиси истото - пренесуваат пораки (и преку серверот и директно) и датотеки.

Сега речиси сите системи имаат можност да остваруваат повици од компјутер до компјутер и/или до обични телефони, што создава одредени потешкотии за контролните системи и бара VoIP поддршка за имплементирање на полноправни прокси-сервери.

Вообичаено, производите за контрола на сообраќајот IM се имплементираат како порта за апликации што ги анализира пренесените податоци и го блокира преносот на забранети податоци. Сепак, постојат и имплементации во форма на специјализирани IM сервери кои ги вршат потребните проверки на ниво на сервер.

Најпопуларните функции на производите за следење IM сообраќај:

  • контрола на пристап користејќи поединечни протоколи;
  • контрола на користени клиенти итн.;
  • контрола на пристап за индивидуални корисници:
    • дозволувајќи му на корисникот да комуницира само во рамките на компанијата;
    • дозволувајќи му на корисникот да комуницира само со одредени корисници надвор од компанијата;
  • контрола на пренесените текстови;
  • контрола на пренос на датотеки. Предметите на контрола се:
    • големина на Фајлот;
    • тип на датотека и/или екстензија;
  • насока на пренос на податоци;
  • следење на присуството на злонамерна содржина;
  • SPIM дефиниција;
  • зачувување на пренесените податоци за последователна анализа.

Во моментов, следните производи ви дозволуваат да го контролирате преносот на инстант пораки:

  • CipherTrust IronIM со безбедно пресметување. Овој производ ги поддржува протоколите AIM, MSN, Yahoo!. Чет, Microsoft LCS и IBM SameTime. Ова сега е едно од најкомплетните решенија;
  • IM Manager од Symantec (развиен од IMLogic, кој беше купен од Symantec). Овој производ ги поддржува следните протоколи - Microsoft LCS, AIM, MSN, IBM SameTime, ICQ и Yahoo! Разговор;
  • Антигенот за инстант пораки на Мајкрософт исто така ви овозможува да работите со речиси сите популарни протоколи за инстант пораки;
  • Филтер за инстант пораки на Webwasher, од Secure Computing.

Производите од други компании (ScanSafe, ContentKeeper) имаат помалку способности од оние наведени погоре. Вреди да се напомене дека две руски компании - Гран при (производ SL-ICQ) и Mera.ru (производ на Сормович) - обезбедуваат производи за следење на преносот на пораки користејќи го протоколот ICQ.

VoIP филтрирање

Зголемената популарност на средствата за пренос на аудио информации помеѓу компјутерите (исто така наречени Voice over IP (VoIP)) го прави неопходно да се преземат мерки за контрола на преносот на таквите информации. Постојат различни имплементации за повикување од компјутер на компјутер и/или на обични телефони.

Постојат стандардизирани протоколи за размена на такви информации, вклучувајќи го и Протоколот за воспоставување сесија (SIP), усвоен од IETF и H.323, развиен од ITU. Овие протоколи се отворени, што овозможува нивна обработка.

Покрај тоа, постојат протоколи развиени од одредени компании кои немаат отворена документација, што ја отежнува работата со нив. Една од најпопуларните имплементации е Skype, кој се здоби со широка популарност низ целиот свет. Овој систем ви овозможува да остварувате повици помеѓу компјутери, да остварувате повици кон фиксни и мобилни телефони и да примате повици од фиксни и мобилни телефони. ВО најновите верзииПоддржана е можноста за размена на видео информации.

Повеќето од моментално достапните производи можат да се поделат во две категории:

  • производи кои ви дозволуваат да го идентификувате и блокирате VoIP сообраќајот;
  • производи кои можат да го идентификуваат, доловат и анализираат VoIP сообраќајот.
  • Производи на Dolphian кои ви дозволуваат да го идентификувате и дозволите или негирате VoIP сообраќајот (SIP и Skype) што е инкапсулиран во стандардниот HTTP сообраќај;
  • Производи на Verso Technologies;
  • различни типови на заштитни ѕидови кои ја имаат оваа способност.
  • производ руска компанија„Сормович“ поддржува снимање, анализа и складирање на гласовни информации што се пренесуваат преку протоколите H.323 и SIP;
  • библиотеката со отворен код Oreka () ви овозможува да ја одредите сигналната компонента на аудио сообраќајот и да ги снимите пренесените податоци, кои потоа може да се анализираат со други средства;
  • Неодамна се дозна дека производ развиен од ERA IT Solutions AG ви овозможува да пресретнете VoIP сообраќај што се пренесува преку Skype. Но, за да извршите таква контрола, треба да инсталирате специјализиран клиент на компјутерот на кој работи Skype.

Филтрирање од peer-to-peer

Употребата на различни peer-to-peer (p2p) мрежи од страна на вработените ги претставува следните закани за организациите:

  • дистрибуција на малициозен код;
  • истекување на информации;
  • дистрибуција на податоци заштитени со авторски права, што може да резултира со правна постапка;
  • намалена продуктивност на трудот;

Има голем број мрежи кои работат во peer-to-peer формат. Постојат мрежи кои имаат централни сервери кои се користат за координација на корисниците, а има и мрежи кои се целосно децентрализирани. Во вториот случај, тие се особено тешко да се контролираат со користење на стандардни алатки како што се заштитните ѕидови.

За да се реши овој проблем, многу компании создаваат производи кои им овозможуваат да детектираат и обработуваат сообраќај p2p. Постојат следниве решенија за обработка на сообраќај p2p:

  • Филтер за инстант пораки SurfControl, кој се справува со p2p, како и со инстант пораки;
  • пакетот Websense Enterprise, исто така, им обезбедува на корисниците алатки за контрола на сообраќајот p2p;
  • Филтерот за инстант пораки Webwasher ви овозможува да го контролирате пристапот до различни p2p мрежи.

Употребата на овие или други производи кои не се наведени овде драматично ги намалува ризиците поврзани со пристапот на корисниците до p2p мрежите.

Унифицирано управување со заканите

Решенија кои се во согласност со концептот за унифицирано управување со заканите се нудат од многу продавачи на безбедност. По правило, тие се градат врз основа на заштитни ѕидови, кои покрај главните функции вршат и функции за филтрирање на содржината. Вообичаено, овие функции се фокусираат на спречување на упади, злонамерен код и несакани пораки.

Многу од овие производи се имплементирани во форма на хардверски и софтверски решенија кои не можат целосно да ги заменат решенијата за филтрирање на е-пошта и интернет сообраќај, бидејќи тие работат само со ограничен број на можности обезбедени од специфични протоколи. Тие обично се користат за да се избегне дуплирање на функционалноста кај различни производи и да се осигура дека сите протоколи за апликација се обработуваат според истата позната база на податоци за закани.

Најпопуларните решенија на концептот за унифицирано управување со заканите се следните производи:

  • SonicWall Gateway Анти-вирус, анти-шпионски софтвер и заштита од упади обезбедува анти-вирус и друга заштита за податоци пренесени преку SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, протоколи за инстант пораки и многу протоколи за стриминг што се користат за пренос на аудио и видео информации ;
  • серија мултифункционални безбедносни уреди на ISS Proventia, дизајнирани како софтверски и хардверски системи, блокираат малициозен код, несакани пораки и упади. Вклучено во испораката голем бројпроверки (вклучително и за VoIP), кои корисникот може да ги прошири;
  • Хардверската платформа за Network Gateway Security на Secure Computing, освен што штити од злонамерен код и несакани пораки, има и поддршка за VPN. Оваа платформа ги комбинира речиси сите решенија за безбедни компјутери.

Постојат и други производи, но оние наведени погоре се широко достапни.

Пресретнување податоци

Законското следење речиси секогаш било користено од разузнавачките агенции за собирање и анализа на пренесените информации. Меѓутоа, неодамна прашањето за следење податоци (не само интернет сообраќај, туку и телефонија и други видови) стана многу актуелно во светлината на борбата против тероризмот. Дури и оние држави кои отсекогаш биле против ваквите системи почнале да ги користат за контрола на преносот на информации.

Со оглед на тоа што се пресретнуваат разни видови податоци, кои често се пренесуваат преку канали со голема брзина, имплементацијата на таквите системи бара специјализиран софтвер за снимање и парсирање на податоците и посебен софтвер за анализа на собраните податоци. Како таков, може да се користи софтвер за филтрирање содржина на одреден протокол.

Можеби најпознатиот од овие системи е англо-американскиот систем Ешелон, кој долго време се користи за пресретнување на податоци во интерес на различни оддели во САД и Англија.

Меѓу Руски производиМожеме да споменеме решенија од компанијата Сормович, кои ви овозможуваат да снимате и анализирате пошта, аудио и интернет сообраќај.

Производи на компанијата "Jet Infosystems"

Jet Infosystems работи на пазарот за филтрирање содржини повеќе од шест години. Започна со систем за филтрирање на сообраќајот на е-пошта, а потоа развојот се пресели во други области на примена на филтрирање содржина, а компанијата нема да застане тука.

Во последните шест месеци имаше неколку настани поврзани со производите за филтрирање на содржината на компанијата. Тоа е заза објавувањето на четвртата верзија на системот за следење и архивирање на поштенските пораки Dozor-Jet (SMAP) и почетокот на развојот на втората верзија на системот за контрола на веб-сообраќајот Dozor-Jet (SCVT). Двата производи имаат многу разлики и иновации во споредба со претходните верзии.

Покрај горенаведените производи, компанијата разви и друг софтвер поврзан со проблемите на филтрирање на содржината - библиотеки за дефиниција на типови на податоци и модул за дефиниција и распакување на типови на податоци за Lotus/Cerberus.

SMAP „Дозор-џет“

Така, во четвртата верзија на Dozor-Jet SMAP, имплементирани се нови функции кои обезбедуваат повеќе високо нивофилтрирање на тековите на пошта. Промените што влијаеле на системот може да се поделат на неколку делови:

  • општи промени;
  • промени во потсистемот за филтрирање;
  • промени во контролниот потсистем;
  • промени во модулите за проширување.

Некои промени радикално го разликуваат овој производ од оние што ги нудат другите компании. Ова ќе се дискутира во соодветните делови.

Преминот кон нова верзија се врши без губење на воспоставените политики за филтрирање - за таа цел се развиени алатки за миграција на податоци и документација за нивната употреба.

Дополнителни информации за SMAP „Dozor-Jet“ може да се најдат на веб-страницата на производот на компанијата Jet Infosystems: http://www.jetsoft.ru/ или од други изданија на билтенот Jet Info, електронска верзија:.

Општи промени

Општите промени ги вклучуваат оние кои влијаат на сите делови на системот, на пример:

  • Поддршка за Уникод - сите делови на системот користат Уникод како внатрешно кодирање на податоци. Оваа промена овозможува системот да се користи во повеќејазични средини и да поддржува различни јазици и за обработка на пошта и за кориснички интерфејс. Можно е веднаш да се префрли јазикот на контролниот потсистем. Во моментов, тој поддржува руски, англиски и јапонски јазици;
  • шемата на базата на податоци беше редизајнирана, што овозможи да се зголеми брзината на додавање пораки во архивата и да се забрзаат пребарувањата во архивата;
  • испраќањето пораки е поделено во посебен потсистем, ова ја зголеми веродостојноста на обработката на пораките и поедноставена интеграција со системи за надворешна пошта;
  • Системот сега доаѓа со стандардни политики кои ги содржат најчесто користените услови, знаменца и други објекти на политиката за филтрирање;
  • Oracle 10g и PostgreSQL 8.x се користат како бази на податоци, што овозможи да се зголеми обемот на складирање без значително да се менуваат барањата за серверите за бази на податоци. Дополнително, во моментов се работи на модул за интеракција со Microsoft SQL Server за претпријатија кои не користат Oracle DBMS.

Овие промени значително влијаеја на архитектурата на системот и ги елиминираа повеќето ограничувања и недостатоци кои постоеја во претходните верзии.

Промени во потсистемот за филтрирање

Промените на потсистемот за филтрирање имаа значително влијание врз перформансите на системот. Тие вклучуваат:

  • Новиот парсер на букви имплементира механизми за „мрзливо“ распакување на букви и предмети. Овој механизам значително ја зголемува продуктивноста, бидејќи пораката и нејзините составни објекти се отпакуваат само кога е исполнет соодветен услов (проверка на типот на датотеката, присуство на текст во датотеката, присуство на грешки при распакување).
  • Новиот систем за откривање тип ви овозможува многу прецизно да ги одредите типовите на пренесените податоци и да ги изберете соодветните ракувачи.
  • Новиот систем за одредување јазици и шифрирања правилно го одредува кодирањето и јазикот на текстуалните објекти и ги претвора во внатрешно претставување на потсистемот за филтрирање - Уникод.
  • ВО нова верзијаОзнаките не се врзани за пораката, како што беше случајот претходно, туку за објектите на пораката, што ви овозможува да креирате посложени политики за филтрирање, на пример, дали сите датотеки се шифрирани или да одредите која датотека ја предизвикала грешката при декомпресија.
  • Во потсистемот за филтрирање се појавија нови услови за филтрирање:
    • услов за проверка на времето од денот - овозможува да се спроведе одложена испорака на пораки, за некои од нивните типови, на пример, кои содржат датотеки со аудио и видео информации;
    • може да се користи услов за проверка на денот во неделата за откривање невообичаена активност во неработни денови.
  • Беа спроведени и нови акции:
    • одложено доставување писма - обично се користи заедно со други услови, како што се големината на писмото или времето на испраќање, и гарантира дека писмата се испраќаат по одредено време;
    • Приоритетната испорака на пошта обезбедува брза испорака на одредени видови пошта.
  • Нови отпакувачи и конвертори:
    • додадена поддршка за архиви со 7zip, deb, rpm и cpio;
    • додаден е анализатор на текстуални датотеки, кој ви овозможува да извлечете бинарни податоци кодирани со користење на base64, uuecode и цитирани-печатливи од текст. Оваа алатка правилно се справува со неправилно проследените букви и оние случаи кога корисниците се обидуваат да ги кодираат препратените податоци за да го измамат системот;
    • датотеки, rar, прикачени на датотеки од други видови - MS Word, tiff, jpeg и други се обработуваат правилно;
    • извлечени текстуални коментари од сите видови архиви и mp3 датотеки.
  • Анти-вирусната поддршка сега се имплементира само со помош на протоколот ICAP, кој овозможува користење на следниве антивируси: Symantec, Trendmicro, DrWeb, Clamav (со користење на програмата c-icap), Kaspersky ICAP Server и други кои имаат поддршка ICAP.
  • Стана возможно да се поврзат модули за претходна обработка на пораки, а сега системи за анти-спам од трети страни може да се користат за обработка на пораки.

Промени во контролниот потсистем

Интерфејсот за управување со системот претрпе драматични промени. Тој доби нов дизајн, за нејзина имплементација беше користена технологија Ајакс, што ја зголеми брзината на одговор на корисничките дејства на системот. Општ приказ на новиот кориснички интерфејс е претставен на.

Слика 4. Општ приказ на корисничкиот интерфејс на системот

  • Модул за сегментација на архивата на поштацелосно редизајниран за да обезбеди подобро ракување со сегментите и да овозможи автоматско управување со сегментот.
  • Модул за реконструкцијапрепишани за да користите нови функции - сега можете да бришете делови од букви врз основа не само на типот на дел од буквата, туку и на ознаките поставени на овој дел.
  • Модул за пребарување на архива со целосен текстсега е вклучена во основната системска испорака.
  • Модул за поддршка на дигитален потписобезбедува верификација на дигиталниот потпис на писмото, инсталирање на дигиталниот потпис на писмото и шифрирање/дешифрирање на писмото. Поддржани се различни алгоритми за шифрирање, вклучително и ГОСТ.

    • СКВТ „Дозор-џет“

    Системот за контрола на веб сообраќајот (SCVT) „Dozor-Jet“ е релативно нов производ на компанијата, но веќе добро се докажа меѓу корисниците. Помина една и пол година од неговото објавување; во моментов, во тек е активен развој на втората верзија на Dozor-Jet SKVT. Планирани се следните промени:

    • Корисничкиот интерфејс е радикално редизајниран:
      • Технологијата Ajax се користи за да се забрза работата на корисниците, интерфејсот станува посличен на интерфејсот на 4-та верзија на Dozor-Jet SMAP;
      • корисничкиот интерфејс поддржува работа со различни јазици - моментално руски, англиски и јапонски;
      • управување со помошни комунални услуги (преземање податоци од базата на податоци, резервна копија, итн.) се врши преку веб-интерфејс со можност за конфигурирање на работата според распоред.
    • Во потсистемот за филтрација:
      • додадено филтрирање според кое било од заглавијата на барањето или одговорот;
      • додадено филтрирање со команди на протоколот HTTP;
      • корисникот може да се автентицира користејќи неколку критериуми - име/лозинка, IP адреса, MAC адреса;
      • За да се воспостави категорија на страницата, се користат и надворешни бази на податоци за категории на страници и семантичка анализа на содржината на страницата. Системот поддржува работа со бази на податоци на категории на веб-локации од NetStar и ISS/Cobion;
      • имплементирана е поддршка за протоколот ICAP за интеракција со антивирусен софтвер;
      • Надворешните конвертори може да се користат за анализа на текстот во појдовните документи;
      • Спроведено известување до администраторот кога се активираат одредени услови;
      • Барањата за POST може да се зачуваат во базата на податоци и може да се анализираат подоцна.
    • Подсистемот за известување е многу редизајниран:
      • Додадени се нови стандардни извештаи - Top-N корисници по сообраќај, Top-N најпосетувани сајтови, Top-N најактивно користени формати на датотеки и други;
      • имплементирана способност за автоматско генерирање извештаи на распоред;
      • излезни резултати во различни формати - HTML со слики, PDF, CSV.

    Втората верзија на Dozor-Jet SKVT се планира да се појави во руски пазарво првиот квартал од 2007 година.

    Заштитен ѕид Z-2

    Заштитниот ѕид Z-2 може да се класифицира како алатка која го имплементира концептот UTM. Системот вклучува основни средства за филтрирање на содржината на пренесените податоци, вклучително и антивирусно скенирање за сите протоколи за кои постојат протоколски анализатори.

    Новата верзија имплементира антивирусно скенирање на пренесените податоци преку ICAP во портите HTTP, FTP, SMTP и POP3, што овозможува лесна интеграција со голем број популарни AV решенија.

    Портата на протоколот SMTP го поддржува протоколот SPF и механизмот за сива листа. Во комбинација со други способности за обработка на SMTP стримови, ова може значително да го намали бројот на несакани пораки пред да бидат обработени од алатките за филтрирање содржина, намалувајќи го оптоварувањето на нив.

    Дополнителните функции вклучуваат ограничување на пропусниот опсег врз основа на типот на содржина во портата HTTP.

    Систем за дефиниција на типови

    Дефинирањето на типовите на податоци игра важна улога кога се развиваат производи за филтрирање содржина. Многу компании ја користат широко користената алатка за датотеки за оваа намена, добро позната на корисниците на оперативни системи слични на UNIX. Сепак, оваа алатка има бројни недостатоци што доведуваат до чести грешки за заклучување на типот. Затоа, компанијата разви сопствен систем за одредување тип, што ја прави оваа операција многу прецизна.

    Новиот систем за дефиниција на типови на податоци ги има следните можности:

    • специјализиран јазик за опишување на проверки на типови на податоци ви овозможува да спроведете многу сложени проверки. Тоа е полноправно програмски јазик со следниве карактеристики:
      • Поддржани типови податоци: броеви (големи и мали ендијани), низи, знаци, списоци;
      • поддршка за многу операции - споредби, аритметички, битови, логички;
      • Поддржано е директно и индиректно адресирање на податоците што се проверуваат, што ви овозможува да анализирате информации врз основа на информациите прочитани во претходните фази на анализа;
      • поддршката за условни изјави ви овозможува да ги направите условите пофлексибилни;
      • форматиран излез ви овозможува да го контролирате излезот на резултатите;
      • способноста за проширување на јазикот за верификација ви овозможува да анализирате дури и многу сложени структури.
    • Можно е да се поврзат дополнителни модули за анализа. Во моментов, постојат следните дополнителни модули за анализа:
      • модул за одредување типови за OLE датотеки - Microsoft Visio, Project, Word, Excel, PowerPoint;
      • модул за одредување текст и методи за негово кодирање;
      • модул за откривање MS-DOS извршни датотеки (.com датотеки).
    • Експлицитното мапирање на потписи на типови на мимика го избегнува дуплирањето на информациите (што е присутно во стандардната алатка за датотеки).

    Модул за откривање и распакување тип на податоци за Lotus/Cerberus

    Овој модул е ​​додаток на софтверот Cerberus за Lotus Domino, кој ги извршува функциите на анализа на пораките пренесени како дел од системот Lotus Domino. Сепак, овој систем има мала способност да ги анализира типовите на пренесените податоци. Овој модул е ​​развиен за да се реши овој проблем.

    Модулот ви овозможува да ги извршувате следните задачи:

    • одржува листа на дозволени и забранети типови на податоци;
    • за дозволените типови на податоци, можете да наведете дополнителна команда за обработка од овој типдатотеки, на пример, отпакувајте архива или извлечете текст од датотеките на Microsoft Word.

    Модулот работи под оперативниот систем Microsoft Windows и во моментов успешно се користи во една од најголемите руски банки.

    Заклучок

    Развојот на информациските системи доведува до појава на се повеќе и повеќе нови закани. Затоа, развојот на производи за филтрирање содржина не само што продолжува, туку понекогаш дури и предвидува појава на нови закани, намалувајќи ги ризиците за заштитените информациски системи.

    Протоколот за адаптација на содржината на Интернет (RFC, предмет на погрешни грешки) специфицира како прокси-серверот HTTP (клиент ICAP) може да го нарача адаптацијата на содржината на надворешен ICAP-сервер. Најпопуларните прокси, вклучувајќи го и Squid, поддржуваат ICAP. Ако вашиот алгоритам за адаптација се наоѓа во ICAP сервер, тој ќе може да работи во различни средини и нема да зависи од еден проект за прокси или продавач. Не се потребни модификации на прокси-кодот за повеќето адаптации на содржина користејќи ICAP.

      Добрите: API независен од прокси, фокусиран на адаптација, без модификации на Squid, поддржува сервери за далечинско прилагодување, скалабилни. Конс: Доцнење на комуникацијата, ограничувања на функционалноста на протоколот, потребен е самостоен процес или кутија на серверот ICAP.

    Еден прокси може да пристапи до многу ICAP сервери, а до еден ICAP сервер може да пристапат многу прокси. Серверот ICAP може да живее на истата физичка машина како Squid или да работи на оддалечен домаќин. Во зависност од конфигурацијата и контекстот, некои неуспеси на ICAP може да се заобиколат, што ги прави невидливи за крајните корисници на прокси.

    ICAP сервери

    Додека пишувањето уште еден ICAP сервер од нула е секогаш можност, следните ICAP сервери може да се изменат за да ги поддржат адаптациите што ви се потребни. Некои ICAP сервери дури прифаќаат прилагодени модули или приклучоци за адаптација.

      Traffic Spicer (C++)

      ПОЕЗИЈА (Јава)

      (Јава и Javascript)

      оригинална референтна имплементација од Network Appliance.

    Горенаведената листа не е сеопфатна и не е наменета како поддршка. Секој ICAP сервер ќе има единствен сет на добрите илошите страни во контекст на вашиот проект за адаптација.

    Повеќе информации за ICAP се достапни на Форумот ICAP. Иако веб-страницата на Форумот не се одржува активно, нејзината група за вести само за членови е сè уште добро место за дискусија за прашањата на ICAP.

    Детали за лигњи

    Squid-3.0 и подоцна доаѓаат со интегрирана ICAP поддршка. Поддржани се векторските точки REQMOD и RESPMOD пред кешот, вклучително и задоволување на барањата. Squid-2 има ограничена поддршка на ICAP преку збир на лошо одржувани и многу закрпи закрпи. Вреди да се напомене дека програмерите на Squid веќе официјално не ја поддржуваат работата на Squid-2 ICAP.

    Squid поддржува примање 204 (без модификација) одговори од ICAP серверите. Ова обично се користи кога серверот не сака да врши никакви измени на HTTP порака. Корисно е да се заштеди пропусниот опсег со спречување на серверот да ја испрати HTTP пораката назад до Squid како што е примена. ИмаСепак, две ситуации кога Squid нема да прифати одговор 204:

    • Големината на товарот е поголема од 64 kb.
    • Големината на товарот не може (лесно) да се обезбеди.

    Причината за ова е едноставна: ако серверот треба да одговори на Squid со 204, Squid треба да одржува копија од оригиналната HTTP порака во меморијата. Овие две основни барања се основна оптимизација за ограничување на користењето на меморијата на Squid при поддршка на 204s.

    Конфигурација на лигњи

    Лигњи 3.1

    Лигњи-3.1

    icap_enable на icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/барање adaptation_access service_req дозволи ги сите icap_service service_resp respmod_precache bypass=0 icap://127.0.0.0.0.11 адаптација на услугата:

      адаптација_пристап

      адаптација_услуга_сет

      icap_client_username_encode

      icap_client_username_header

      icap_connect_timeout

      icap_default_options_ttl

      icap_enable

      icap_io_timeout

      icap_persistent_connections

      icap_preview_enable

      icap_preview_size

      icap_send_client_ip

      icap_send_client_username

      icap_service

      icap_service_failure_limit

      icap_service_revival_delay

    Лигњи 3.0

    Следниот пример му дава инструкции на Squid-3.0 да разговара со две услуги на ICAP, една за барање и една за адаптација на одговор:

    icap_enable на icap_service service_req reqmod_precache 1 icap://127.0.0.1:1344/request icap_class class_req service_req icap_access class_req дозволи сите icap_service service_resp respmod_precache 0 icap_icaresp://012. _resp icap_access class_resp дозволи сите

    Постојат и други опции кои можат да контролираат различни аспекти на ICAP:

    За правилна интеграција на системот, мора да го конфигурирате и прокси-серверот на организацијата. Општо барањеЕдна од поставките е потребата да се конфигурира IP адресата на серверот SecureTower ICAP на прокси-серверот. За да го направите ова, ICAP-модулот на прокси-серверот мора да биде конфигуриран така што заглавието на барањето испратено до серверот ICAP го вклучува полето X-Client-IP што ја содржи IP адресата на корисникот. Барањата без наведената IP адреса ќе бидат прифатени, но нема да бидат сервисирани од ICAP серверот.

    Меѓу другото, SecureTower поддржува интеграција со најпопуларните прокси-сервери SQUID и MS Forefront.

    ЛИГАЊА

    Системот SecureTower поддржува SQUID верзии постари од 3.0. Кога инсталирате/компајлирате прокси-сервер, мора да ја активирате опцијата за овозможување поддршка на ICAP и да ги наведете следните опции во поставките ICAP:

    • вклучено icap_enable
    • icap_send_client_ip вклучен - IP адреса на клиентот
    • icap_service_req service_reqmod_precache 0 icap://192.168.45.1:1344/reqmod, каде што 192.168.45.1 е IP адресата на серверот SecureTower ICAP
    • adaptation_access service_req дозволи сите

    MS Forefront

    За да работите во мрежи организирани врз основа на прокси-серверот TMG Forefront, мора дополнително да го инсталирате приклучокот ICAP, бидејќи Стандардно, ICAP не е поддржан од овој прокси-сервер. Приклучокот е достапен на http://www.collectivesoftware.com/solutions/content-filtering/icapclient.

    Во поставките на приклучокот ICAP треба да ја наведете адресата на серверот SecureTower ICAP. Како резултат на тоа, сите податоци пренесени во протоколот HTTP(S) преку прокси-серверот MS Forefront ќе бидат зачувани од серверот SecureTower ICAP.

    Минимални системски барања за ICAP сервер

    • Процесор: 2 GHz или повисок, 2 јадра или повеќе
    • Мрежен адаптер: 100 Mbit/1 Gbit
    • RAM меморија: најмалку 6 GB
    • Хард диск: 100 GB партиција за оперативниот систем и датотеките SecureTower; вториот дел за складирање на пресретнати податоци со брзина од 1,5 GB податоци од секој контролиран корисник месечно плус 3% од обемот на пресретнати податоци за датотеки со индекс на пребарување
    • Windows .Net Framework: 4.7 и повисоко
    • операционен систем: Microsoft Windows Server 2008R2/2012/2016 x64

    Во моментов, филтрирањето на содржината не може да се идентификува како посебна област на компјутерска безбедност, бидејќи е толку испреплетена со други области. Во обезбедувањето компјутерска безбедност, филтрирањето на содржината е многу важно бидејќи ви овозможува да идентификувате потенцијално опасни работи и правилно да ги обработите. Пристапите што произлегоа од развојот на производи за филтрирање содржина се користат во производите за да се спречи откривање на упад (IDS), ширење на малициозен код и други негативни активности.

    Врз основа на новите технологии и производи од областа на филтрирање на содржини, се креираат дополнителни услуги за корисниците, се подобрува квалитетот на заштитата и се обезбедува можност не само за обработка на постоечките закани, туку и за спречување на цели класи на нови закани.

    Нови трендови во филтрирањето на содржината

    Еден од општи трендовиразвој на производи за безбедност на информации - желбата за спроведување различни функцииво еден уред или софтверско решение. Како по правило, програмерите се обидуваат да имплементираат решенија кои, покрај функциите за филтрирање на содржината, ги извршуваат и функциите на антивирус, заштитен ѕид и/или систем за откривање и спречување на упад. Од една страна, ова им овозможува на компаниите да ги намалат трошоците за купување и одржување на безбедносните системи, но од друга страна, функционалноста на таквите системи често е ограничена. На пример, во многу производи, функциите за филтрирање на веб-сообраќајот се ограничени само на проверка на адресите на страниците во однос на некоја база на податоци за категории на локации.

    Оваа област, исто така, вклучува развој на производи во согласност со концептот за унифицирано управување со заканите ( ОУЗ), кој обезбедува унифициран пристап за спречување закани без оглед на тоа кој протокол или податоци се обработуваат.

    Овој пристап ви овозможува да избегнете дуплирање на заштитните функции, како и да се осигурате дека податоците што ги опишуваат заканите се ажурирани за сите надгледувани ресурси.

    Во областите на филтрирање содржини кои постојат подолго време - контрола на поштата и сообраќајот на Интернет - исто така се случуваат промени и се појавуваат нови технологии.

    Кај производите за следење на сообраќајот на е-пошта, функцијата против фишинг почна да доаѓа до израз. И кај производите за следење на интернет сообраќајот, постои промена од користење на претходно подготвени бази на податоци за адреси кон категоризација по содржина, што е многу важна задача кога се работи со различни портални решенија.

    Покрај двете области споменати погоре, се појавуваат нови области на примена на филтрирање на содржината - пред извесно време почнаа да се појавуваат производи за следење на преносот на инстант пораки (инстант пораки) и врските од peer-to-peer (p2p). Во моментов активно се развиваат и производи за следење на VoIP сообраќајот.

    Многу земји почнаа активно да развиваат средства за пресретнување и анализа на многу видови информации кои се користат за различни видови истраги (законско следење). Овие настани се одржуваат во државно нивоа најчесто се поврзуваат со истрагата за терористички закани. Ваквите системи пресретнуваат и анализираат не само податоци што се пренесуваат преку Интернет, туку и преку други видови на комуникација - телефонски линии, радио канали итн. Повеќето познат системза пресретнување на информации е Echelon - систем што го користи американското разузнавање за собирање информации. Во Русија, исто така, постојат различни имплементации на системот на оперативни истражни мерки (СОРМ), кои се користат за фаќање и анализа на информации во интерес на разузнавачките служби.

    Еден од трендовите на пазарот за производи за филтрирање содржина е масовната консолидација на компании кои произведуваат такви решенија. Иако овој тренд во голема мера ја отсликува организациската страна на процесот, може да доведе до појава на нови производи и насоки за компаниите кои ги немале овие насоки или пак заземале мал дел од пазарниот сектор на таквите компании. Горенаведеното може да се илустрира со следниве случаи на спојувања/придобивки на компании:

    • Secure Computing, која минатата година го купи Cyberguard, која има добар асортиман на алатки за филтрирање на интернет сообраќајот, се спои летото со друга компанија, CipherTrust, која има големо искуство во развивање алатки за филтрирање на сообраќајот на е-пошта;
    • компанијата MailFrontier, која произведуваше алатки за заштита на сообраќајот на е-пошта, беше апсорбирана од SonicWall, која претходно немаше решенија со таков квалитетен развој;
    • на крајот на јули 2006 година, SurfControl, познат по своите решенија во областа на филтрирање на содржината, го купи BlackSpider, кој обезбедуваше напредни компјутерски безбедносни услуги;
    • На крајот на август 2006 година се случи најамбициозното преземање - Internet Security Systems (ISS) потпиша договор за спојување со IBM. Ова спојување е пример за силен интерес за безбедноста на информациите кај големите софтверски компании;
    • Во јануари 2007 година, Cisco го купи IronPort, кој има силна линија на производи за безбедност на е-пошта;
    • Во текот на изминатите неколку години, Мајкрософт купи неколку компании вклучени во безбедност на информации. Најголемото од нив беше купувањето на Sybari, со својата линија на производи за заштита од вируси и други малициозни кодови, како и алатки за филтрирање содржина за е-пошта и инстант пораки. Стекнувањето на Sybari и други компании му овозможува на Мајкрософт успешно да се натпреварува на пазарот за компјутерска безбедност што е нов за него.

    Исто така, вреди да се напомене дека во последните годиниПочнаа да се појавуваат производи со отворен код за филтрирање содржина. Во повеќето случаи, тие не ја постигнуваат истата функционалност како комерцијалните апликации, но постојат специфични решенија и апликации каде што можат да претставуваат вистинска закана.

    Модерни закани

    Модерната ИТ инфраструктура е предмет на многу напади, насочени и кон обичните корисници и компании, без оглед на нивната големина. Најрелевантните видови закани се:

    • Фишинг— неодамна широко распространетите методи за пресретнување важни кориснички податоци (лозинки, броеви на кредитни картички, итн.) со помош на техники за социјално инженерство, кога лажно писмо или порака од одредена организација се користи за да се принуди корисникот да внесе одредени податоци на локација контролирана од напаѓач;
    • Spyware и Malware- разни алатки кои ви дозволуваат да пресретнувате податоци или да стекнете контрола над компјутерот. Постојат многу видови на такви алатки, кои се разликуваат по степенот на опасност за компјутерот - од едноставно прикажување рекламни пораки до пресретнување на податоците внесени од корисниците и преземање контрола над компјутерските операции;
    • вируси и други малициозни кодови— вирусите, црвите и тројанците се долго позната закана за ИТ инфраструктурата. Но, секоја година се појавуваат нови модификации на малициозен код, кои често ги искористуваат пропустите во постоечкиот софтвер, што им овозможува да се шират автоматски;
    • СПАМ/СПИМ- Несаканите пораки испратени преку е-пошта (SPAM) или инстант пораки (SPIM) предизвикуваат корисниците да губат време за обработка на несакана кореспонденција. Во моментов, SPAM-от опфаќа повеќе од 70% од сите пренесени е-пораки;
    • напади врз инфраструктурата— ИТ инфраструктурата на компаниите е многу важна, нападите насочени кон нејзино оневозможување се крајно опасни. Тие можат да вклучат цели мрежи на компјутери заразени со некој вид на вирус што се користи за пресретнување на контролата. На пример, пред некое време беше дистрибуиран вирус кој содржеше код кој требаше да изврши дистрибуиран напад на веб-локациите на Microsoft во одредено време за да ги оневозможи. Неколку милиони компјутери беа заразени, а само грешка во кодот на вирусот го спречи планираниот напад да се изврши;
    • истекување на деловни информации— спречувањето на такви протекувања е една од главните задачи на производите за филтрирање содржина. Протекувањето на важни информации може да предизвика непоправлива штета на компанијата, понекогаш споредлива со загубата на основни средства. Затоа, многу производи развиваат алатки за идентификување на скриените канали за пренос на податоци, како што е употребата на стеганографија;
    • закана за кривично гонење— овој тип на закана е исклучително релевантен за компаниите доколку нивните вработени можат да користат мрежи за споделување датотеки за преземање и/или дистрибуција на музика, филмови и друга содржина заштитена со авторски права. Можно е и гонење за ширење на клеветнички и/или клеветнички информации кои се однесуваат на трети лица.

    Првите пет типа на закани ги изложуваат и домашните компјутери и компјутерите на корпоративните мрежи. Но, последните две закани се особено релевантни за компаниите од сите видови.

    Филтрирање на веб сообраќај

    Во последно време се случуваат различни промени на полето на филтрирањето на интернет сообраќајот, поради појавата на нови технологии за филтрирање и промените во технологиите кои се користат за изградба на интернет страници.

    Еден од најважните трендови во развојот на производи за филтрирање содржини во однос на следењето на интернет сообраќајот е преминот од користење на бази на податоци на категории на страници до одредување на категоријата на страницата според неговата содржина. Ова стана особено важно со развојот на различни портали, кои може да содржат содржини од различни категории, кои се менуваат со текот на времето и/или се прилагодуваат на поставките на клиентот.

    Технологиите и алатките за градење интернет-страници кои неодамна станаа популарни, како што се Ajax, Macromedia Flash и други, бараат промени во технологиите за филтрирање на интернет сообраќајот.

    Употребата на шифрирани канали за интеракција со интернет-страниците ги штити податоците од пресретнување од трети страни, но во исто време, преку овие канали за пренос на податоци, важни информации може да протекуваат или злонамерен код да навлезе во компјутерските системи.

    Останува релевантен проблемот со интегрирање на безбедносните алатки со системи кои обезбедуваат функционирање на ИТ инфраструктурата, како што се прокси-сервери, веб-сервери, сервери за пошта, сервери за директориуми итн. Различни компании и непрофитни организации развиваат протоколи за интеракција помеѓу различни системи.

    ЗА сегашната ситуацијаработи во оваа област ќе разговарамеподолу.

    Пристапи за категоризација на сајтови и податоци

    • користење на предефинирани бази на податоци на категории на сајтови со редовни ажурирањасписоци на локации и категории;
    • категоризирајте ги податоците во лет со анализа на содржината на страницата;
    • употреба на податоци за категорија, информации за чие членство ги дава самата страница.

    Секој од овие методи има свои предности и недостатоци.

    Предефинирани бази на податоци за категории на страници

    Користењето на претходно подготвени бази на податоци за адреси на веб-локации и поврзани категории е долго користен и добро докажан метод. Во моментов, такви бази на податоци се обезбедени од многу компании, како што се Websense, Surfcontrol, ISS/Cobion, Secure Computing, Astaro AG, NetStar и други. Некои компании ги користат овие бази на податоци само во нивните производи, други им дозволуваат да бидат поврзани со производи на трети страни. Базите на податоци обезбедени од Websense, Secure Computing, SurfControl и ISS/Cobion се сметаат за најкомплетни; тие содржат информации за милиони сајтови на различни јазици и во различни земји, што е особено важно во ерата на глобализацијата.

    Категоризацијата на податоците и формирањето бази на податоци за категории обично се изведуваат во полуавтоматски режим - прво, анализата на содржината и одредувањето на категоријата се вршат со помош на специјално развиени алатки, кои дури може да вклучуваат и системи за препознавање текст на слики. И во втората фаза, добиените информации често се проверуваат од луѓе кои донесуваат одлуки за тоа во која категорија може да се класифицира одредена страница.

    Многу компании автоматски ја надополнуваат базата на податоци за категориите врз основа на резултатите од работата со клиентите доколку се открие локација што сè уште не е доделена на ниту една од категориите.

    Во моментов, се користат два методи за поврзување на предефинирани бази на податоци на категории на страници:

    • користење локална база на податоци за категории со редовни ажурирања. Овој метод е многу удобен за големи организации кои имаат посветени сервери за филтрирање и опслужуваат голем број барања;
    • користејќи база на податоци за категории хостирана на оддалечен сервер. Овој метод често се користи во различни уреди - мали заштитен ѕидови, ADSL модеми итн. Користењето на далечинска база на податоци за категории малку го зголемува оптоварувањето на каналите, но осигурува дека се користи тековната база на податоци за категоријата.

    Предностите на користењето на базите на податоци со предефинирани категории го вклучуваат фактот дека пристапот е одобрен или одбиен во фазата на издавање барање од страна на клиентот, што може значително да го намали оптоварувањето на каналите за пренос на податоци. И главниот недостаток на користењето на овој пристап е доцнењето во ажурирањето на базите на податоци за категориите на сајтови, бидејќи анализата ќе потрае некое време. Покрај тоа, некои сајтови ја менуваат својата содржина доста често, поради што информациите за категоријата зачувани во базата на адреси стануваат ирелевантни. Некои сајтови може да обезбедат и пристап до разни информации, во зависност од корисничкото име, географскиот регион, времето од денот итн.

    Категоризирајте ги податоците во лет

    Еден од едноставни опцииимплементација на ваквото решение е употребата на баезиски алгоритми, кои доста добро се докажаа во борбата против спам. Сепак, оваа опција има свои недостатоци - неопходно е периодично повторно да се учи и да се прилагодуваат речниците во согласност со пренесените податоци. Затоа, некои компании користат повеќе сложени алгоритмиопределување на категоријата на сајт по содржина покрај едноставни методи. На пример, ContentWatch обезбедува посебна библиотека која ги анализира податоците според лингвистичките информации за одреден јазик и, врз основа на овие информации, може да ја одреди категоријата на податоци.

    Категоризирањето на податоците во лет ви овозможува брзо да одговорите на појавата на нови сајтови, бидејќи информациите за категоријата на страницата не зависат од нејзината адреса, туку само од нејзината содржина. Но, овој пристап има и недостатоци - неопходно е да се анализираат сите пренесени податоци, што предизвикува мало намалување на перформансите на системот. Вториот недостаток е потребата да се одржуваат ажурирани бази на податоци за категории за различни јазици. Сепак, некои производи го користат овој пристап додека истовремено користат бази на податоци за категории на страници. Ова вклучува употреба на виртуелен контролен агент во производите на SurfControl, механизми за одредување категории на податоци во Dozor-Jet SKVT.

    Податоци за категоријата обезбедени од сајтови

    Покрај базите на податоци за адреси и категоризацијата на содржини при летот, постои уште еден пристап за одредување на категоријата на сајтови - самиот сајт известува на која категорија припаѓа.

    Овој пристап е првенствено наменет за употреба од страна на домашните корисници, каде што, на пример, родителите или наставниците можат да поставуваат политики за филтрирање и/или да следат кои страници се посетени.

    Постојат неколку начини за спроведување на овој пристап за категоризација на ресурсите:

    • PICS (Платформа за избор на содржини на Интернет) е спецификација развиена од конзорциумот W3 пред околу десет години и има различни екстензии насочени кон обезбедување на веродостојноста на системот за оценување. За контрола, може да се користи специјално развиен софтвер, достапен за преземање од страната на проектот. Повеќе детални информации PICS може да се најде на веб-страницата на конзорциумот W3.org (http://www.w3.org/PICS/).
    • ICRA (Internet Content Rating Association) е нова иницијатива развиена од независна непрофитна организација со исто име. Главната цел на оваа иницијатива е да ги заштити децата од пристап до забранети содржини. Оваа организација има договори со многу компании (големи телекомуникациски и софтверски компании) за да обезбеди посигурна заштита.
      ICRA обезбедува софтвер кој ви овозможува да ја проверите специјалната ознака вратена од страницата и да донесувате одлуки за пристап до овие податоци. Софтверот работи само на платформата Microsoft Windows, но благодарение на отворената спецификација, можно е да се креираат софтверски имплементации за филтрирање за други платформи. Целите и задачите што ги реши оваа организација, како и сите потребни документи може да се најдат на веб-страницата на ICRA - http://www.icra.org/.

    Предностите на овој пристап го вклучуваат фактот дека е потребен само специјален софтвер за обработка на податоците и нема потреба да се ажурираат базите на податоци за адреси и/или категории, бидејќи сите информации се пренесуваат од самата страница. Но, недостаток е тоа што страницата може да укаже на погрешна категорија, што ќе доведе до неправилно обезбедување или одбивање на пристап до податоци. Сепак, овој проблем може да се реши (и веќе се решава) преку употреба на алатки за проверка на податоците, како што се дигитални потписи итн.

    Филтрирање сообраќај во светот на Web 2.0

    Масовното воведување на таканаречените Web 2.0 технологии во голема мера го комплицираше филтрирањето на содржината на веб сообраќајот. Бидејќи во многу случаи податоците се пренесуваат одделно од дизајнот, постои можност несаканите информации да бидат протечени до или од корисникот. Кога работите со сајтови кои користат такви технологии, неопходно е да се направи сеопфатна анализа на пренесените податоци, да се утврди трансферот на дополнителни информации и да се земат предвид податоците собрани во претходните фази.

    Во моментов, ниту една од компаниите кои произведуваат алатки за филтрирање на содржината на веб сообраќајот не дозволува сеопфатна анализа на податоците пренесени со помош на технологиите AJAX.

    Интеграција со надворешни системи

    Во многу случаи, прашањето за интегрирање на системите за анализа на содржина со други системи станува доста акутно. Во овој случај, системите за анализа на содржината можат да дејствуваат и како клиенти и како сервери или во двете улоги одеднаш. За овие цели, развиени се неколку стандардни протоколи - протокол за адаптација на содржината на Интернет (ICAP), услуги за отворени приклучни рабови (OPES). Покрај тоа, некои производители создадоа свои протоколи за да овозможат одредени производи да комуницираат едни со други или со софтвер од трета страна. Тие вклучуваат Cisco Web Cache Coordination Protocol (WCCP), Check Point Content Vectoring Protocol (CVP) и други.

    Некои протоколи - ICAP и OPES - се дизајнирани така што тие можат да се користат за имплементација на услуги за филтрирање содржини и други услуги - преведувачи, поставување реклами, испорака на податоци, во зависност од политиката на нивната дистрибуција итн.

    ICAP протокол

    Во моментов, протоколот ICAP е популарен меѓу авторите на софтвер за филтрирање содржина и креаторите на софтвер за идентификување на злонамерна содржина (вируси, шпионски софтвер/малициозен софтвер). Сепак, вреди да се напомене дека ICAP првенствено беше дизајниран да работи со HTTP, што наметнува многу ограничувања за неговата употреба со други протоколи.

    ICAP е усвоен од Работната група за Интернет инженерство (IETF) како стандард. Самиот протокол е дефиниран со RFC 3507 со некои дополнувања наведени во нацртот на ICAP Extensions. Овие документи и дополнителни информации се достапни од серверот на ICAP Форум - http://www.i-cap.org.

    Системската архитектура при користење на протоколот ICAP е прикажана на сликата погоре. Клиентот ICAP е системот преку кој се пренесува сообраќајот. Системот кој врши анализа и обработка на податоци се нарекува ICAP сервер. ICAP серверите можат да дејствуваат како клиенти за други сервери, што овозможува поврзување на неколку услуги за колективна обработка на истите податоци.

    За интеракција помеѓу клиентот и серверот, се користи протокол сличен на HTTP верзијата 1.1 и се користат истите методи за кодирање на информации. Според стандардот ICAP, може да ги обработува и појдовниот (REQMOD - Request Modification) и дојдовниот (RESPMOD - Response Modification) сообраќај.

    Одлуката за тоа кои од пренесените податоци ќе бидат обработени ја носи клиентот на ICAP, во некои случаи тоа ја оневозможува целосната анализа на податоците. Поставките на клиентот целосно зависат од имплементацијата и во многу случаи не можат да се променат.

    По добивањето на податоците од клиентот, ICAP серверот ги обработува и, доколку е потребно, ги менува податоците. Податоците потоа се враќаат на клиентот ICAP и тој ги пренесува на серверот или клиентот, во зависност од насоката во која се пренесени.

    ICAP најшироко се користи во производи против малициозен софтвер бидејќи дозволува овие проверки да се користат на повеќе производи и е независен од платформата на која работи клиентот ICAP.

    Недостатоците од користењето на ICAP го вклучуваат следново:

    • дополнителните мрежни интеракции помеѓу клиентот и серверот донекаде ја забавуваат брзината на пренос на податоци помеѓу надворешните системи и потрошувачите на информации;
    • Има проверки кои треба да се извршат не на клиентот, туку на ICAP серверот, како на пример одредување на типот на податоци итн. Ова е релевантно бидејќи во многу случаи клиентите на ICAP се потпираат на наставката на датотеката или на типот на податоци пријавени од надворешниот сервер, што може да предизвика прекршување на безбедносната политика;
    • Тешката интеграција со системи кои користат протоколи различни од HTTP ја спречува употребата на ICAP за длабока анализа на податоци.

    OPES протокол

    За разлика од ICAP, протоколот OPES беше развиен земајќи ги предвид карактеристиките на специфичните протоколи. Дополнително, при неговиот развој беа земени предвид и недостатоците на ICAP протоколот, како што се недостаток на автентикација на клиенти и сервери, недостаток на автентикација итн.

    Како и ICAP, OPES е усвоен како стандард од страна на Работната група за Интернет инженерство. Структурата на интеракцијата на услугите, протоколот за интеракција, барањата за услуги и решенијата за обезбедување безбедност на услугата се утврдени во документите RFC 3752, 3835, 3836, 3837 и други. Списокот редовно се ажурира со нови документи кои ја опишуваат примената на OPES не само за обработка на интернет сообраќај, туку и за обработка на сообраќајот по пошта, а во иднина, можеби и други видови протоколи.

    Структурата на интеракцијата помеѓу OPES серверите и клиентите (OPES Processor) е прикажана на сликата. Општо земено, таа е слична на шемата на интеракција помеѓу ICAP серверите и клиентите, но има значителни разлики:

    • постојат барања за имплементација на клиентите на OPES, што овозможува попогодно управување со нив - поставување политики за филтрирање итн.;
    • Потрошувачот на податоци (корисник или информациски систем) може да влијае на обработката на податоците. На пример, кога користите автоматски преведувачи, добиените податоци може автоматски да се преведат на јазикот што го користи корисникот;
    • системите кои обезбедуваат податоци, исто така, можат да влијаат на резултатите од обработката;
    • Серверите за обработка можат да користат за анализа податоци специфични за протоколот преку кој податоците се пренесени до клиентот OPES;
    • Некои сервери за обработка може да добијат почувствителни податоци доколку имаат доверлив однос со клиентот OPES, потрошувачите и/или давателите на информации.

    Сите горенаведени способности зависат исклучиво од конфигурацијата што се користи при имплементирање на системот. Поради овие способности, користењето на OPES е поперспективно и поудобно отколку користењето на протоколот ICAP.

    Производите кои поддржуваат OPES заедно со протоколот ICAP се очекува да се појават во блиска иднина. Но, бидејќи во моментов нема полноправни имплементации со користење на OPES, невозможно е да се извлечат конечни заклучоци за недостатоците на овој пристап, иако теоретски останува само еден недостаток - зголемувањето на времето за обработка поради интеракцијата помеѓу клиентите и серверите на OPES.

    HTTPS и други видови шифриран сообраќај

    Некои аналитичари проценуваат дека до 50% од интернет сообраќајот се пренесува во шифрирана форма. Проблемот со контролирање на шифрираниот сообраќај сега е релевантен за многу организации, бидејќи корисниците можат да користат шифрирање за да создадат канали за истекување информации. Покрај тоа, шифрираните канали може да се користат и со злонамерен код за да навлезат во компјутерските системи.

    Постојат неколку задачи поврзани со обработка на шифриран сообраќај:

    • анализа на податоците пренесени преку шифрирани канали;
    • проверка на сертификатите што ги користат серверите за организирање на шифрирани канали.

    Релевантноста на овие задачи се зголемува секој ден.

    Контрола на шифрирана пренос на податоци

    Контролирањето на преносот на податоците испратени преку шифрирани канали е веројатно најважната задача за организациите чии вработени имаат пристап до ресурсите на Интернет. За да се имплементира оваа контрола, постои пристап наречен „Man-in-the-Middle“ (исто така наречен „Main-in-the-Middle“ во некои извори), кој може да го користат напаѓачите за пресретнување на податоци. Дијаграмот за обработка на податоци за овој метод е прикажан на сликата:

    Процесот на обработка на податоците е како што следува:

    • Специјално издаден root сертификат е инсталиран во интернет прелистувачот на корисникот, кој го користи прокси-серверот за потпишување на генерираниот сертификат (без инсталирање таков сертификат, прелистувачот на корисникот ќе прикаже порака во која се наведува дека сертификатот за потпишување е издаден од недоверлива организација );
    • кога е воспоставена врска со прокси-сервер, податоците се разменуваат и специјално генериран сертификат со податоци од одредишниот сервер, но потпишан со познат клуч, се испраќа до прелистувачот, кој му овозможува на прокси-серверот да го дешифрира пренесениот сообраќај;
    • дешифрираните податоци се анализираат на ист начин како и редовниот HTTP сообраќај;
    • прокси-серверот воспоставува врска со серверот на кој мора да се пренесат податоците и го користи сертификатот на серверот за шифрирање на каналот;
    • Податоците вратени од серверот се дешифрираат, анализираат и се пренесуваат до корисникот, шифрирани со сертификат за прокси-сервер.

    При користење на оваа шема за обработка на шифрирани податоци, може да се појават проблеми поврзани со потврдување на автентичноста на корисникот. Дополнително, потребна е работата потребна за инсталирање на сертификатот во интернет прелистувачите на сите корисници (ако таков сертификат не е инсталиран, корисникот ќе добие порака во која се наведува дека сертификатот е потпишан од непозната компанија, што ќе му даде на корисникот информации за следење на преносот на податоци).

    Следниве производи моментално се нудат на пазарот за следење на преносот на шифрирани податоци: Webwasher SSL скенер од Secure Computing, Breach View SSL, WebCleaner.

    Автентикација на сертификатот

    Вториот предизвик што се јавува при користење на шифрирани канали за пренос на податоци е проверка на автентичноста на сертификатите обезбедени од серверите со кои работат корисниците.

    Напаѓачите можат да ги нападнат информациските системи со создавање на лажен запис за DNS што ги пренасочува барањата на корисниците не на страницата што им е потребна, туку на онаа што ја креираат самите напаѓачи. Со помош на такви лажни сајтови, важни кориснички податоци како што се броеви на кредитни картички, лозинки итн.

    За да се спречат вакви случаи, постои специјализиран софтвер кој ја проверува усогласеноста на сертификатите што ги дава серверот со податоците што ги известува.

    Доколку има несовпаѓање, системот може да го блокира пристапот до таквите страници или да обезбеди пристап по експлицитна потврда од страна на корисникот. Во овој случај, обработката на податоците се врши речиси на ист начин како и при анализа на податоците пренесени преку шифрирани канали, само што во овој случај не се анализираат податоците, туку сертификатот што го дава серверот.

    Филтрирање на сообраќајот на пошта

    Кога користат е-пошта, организациите се соочуваат со потребата да обезбедат безбедност и за дојдовниот и за појдовниот сообраќај. Но, решените задачи за секоја насока се сосема различни. Влезниот сообраќај треба да се контролира за малициозен софтвер, фишинг и спам, додека појдовната пошта е контролирана за содржини што може да протекуваат чувствителни информации, да шират инкриминирачки материјали и слично.

    Повеќето производи на пазарот обезбедуваат само контрола на дојдовниот сообраќај. Ова се прави преку интеграција со анти-вирусни системи и имплементација на различни механизми за заштита од спам и фишинг. Многу од овие функции се веќе вградени во клиентите за е-пошта, но тие не можат целосно да го решат проблемот.

    Во моментов има неколку начини за заштита на корисниците од спам:

    • споредба на примените пораки со постоечката база на податоци за пораки. Кога се прават споредби, може да се користат различни техники, вклучително и употреба на генетски алгоритми, кои овозможуваат изолирање на клучни зборови дури и ако се искривени;
    • динамична категоризација на пораките според нивната содржина. Ви овозможува многу ефикасно да откриете присуство на несакана кореспонденција. За да се спротивстават на овој метод, дистрибутерите на спам користат пораки во форма на слика со текст внатре и/или групи зборови од речници, кои создаваат шум што го попречува работењето на овие системи. Меѓутоа, за борба против таквиот спам, веќе се користат различни методи, како што се анализа на брановидни и/или препознавање текст во слики;
    • Списоците за пристап со сива, бела и црна боја ви овозможуваат да ја опишете политиката за прифаќање е-пораки од познати или непознати локации. Употребата на сиви списоци во многу случаи помага да се спречи преносот на несакани пораки поради специфичната работа на софтверот што испраќа спам. За одржување на црните листи за пристап, може да се користат и локални бази на податоци управувани од администраторот и глобални бази на податоци, надополнети врз основа на кориснички пораки од целиот свет. Сепак, употребата на глобални бази на податоци го ризикува фактот дека во нив може да паднат цели мрежи, вклучително и оние што содржат „добри“ сервери за пошта.

    За борба против протекувањето информации, се користат различни методи, базирани на пресретнување и длабинска анализа на пораките во согласност со сложената политика за филтрирање. Во овој случај, постои потреба правилно да се одредат типовите на датотеки, јазиците и шифрирањето на текстот и да се спроведе семантичка анализа на пренесените пораки.

    Друга употреба на системите за филтрирање пошта е создавање на шифрирани текови на пошта, каде што системот автоматски ја потпишува или шифрира пораката, а податоците автоматски се дешифрираат на другиот крај на врската. Оваа функционалност е многу погодна ако сакате да ја обработите целата појдовна пошта, но таа мора да стигне до примачот во шифрирана форма.

    Филтрирање инстант пораки

    Алатките за инстант пораки постепено стануваат активно користена алатка во многу компании. Тие обезбедуваат брза интеракција со вработените и/или клиентите на организациите. Затоа, сосема е природно што развојот на алатки, кои, меѓу другото, може да се покажат како канал за истекување на информации, доведе до појава на алатки за следење на пренесените информации.

    Во моментов, најчесто користените протоколи за инстант пораки се MSN (Microsoft Network), AIM (AOL Instant Messaging), Yahoo! Chat, Jabber и нивните корпоративни колеги се Microsoft Live Communication Server (LCS), IBM SameTime и Yahoo Corporate Messaging Server протоколи. Системот ICQ, кој сега е во сопственост на AOL и го користи речиси истиот протокол како AIM, стана широко распространет во ЗНД. Сите овие системи го прават речиси истото - тие пренесуваат пораки (и преку серверот и директно) и датотеки.

    Сега речиси сите системи имаат можност да остваруваат повици од компјутер до компјутер и/или до обични телефони, што создава одредени потешкотии за контролните системи и бара VoIP поддршка за имплементирање на полноправни прокси-сервери.

    Вообичаено, производите за контрола на сообраќајот IM се имплементираат како порта за апликации што ги анализира пренесените податоци и го блокира преносот на забранети податоци. Сепак, постојат и имплементации во форма на специјализирани IM сервери кои ги вршат потребните проверки на ниво на сервер.

    Најпопуларните функции на производите за следење IM сообраќај:

    • контрола на пристап користејќи поединечни протоколи;
    • контрола на користени клиенти итн.;
    • контрола на пристап за индивидуални корисници:
    • дозволувајќи му на корисникот да комуницира само во рамките на компанијата;
    • дозволувајќи му на корисникот да комуницира само со одредени корисници надвор од компанијата;
    • контрола на пренесените текстови;
    • контрола на пренос на датотеки. Предметите на контрола се:
      • големина на Фајлот;
      • тип на датотека и/или екстензија;
    • насока на пренос на податоци;
    • следење на присуството на злонамерна содржина;
    • SPIM дефиниција;
    • зачувување на пренесените податоци за последователна анализа.

    Во моментов, следните производи ви дозволуваат да го контролирате преносот на инстант пораки:

    • CipherTrust IronIM со безбедно пресметување. Овој производ ги поддржува протоколите AIM, MSN, Yahoo!. Чет, Microsoft LCS и IBM SameTime. Ова сега е едно од најкомплетните решенија;
    • IM Manager од Symantec (развиен од IMLogic, кој беше купен од Symantec). Овој производ ги поддржува следните протоколи - Microsoft LCS, AIM, MSN, IBM SameTime, ICQ и Yahoo! Разговор;
    • Антигенот за инстант пораки на Мајкрософт исто така ги поддржува практично сите популарни протоколи за инстант пораки.

    Производите од други компании (ScanSafe, ContentKeeper) имаат помалку способности од оние наведени погоре.

    Вреди да се напомене дека две руски компании - Гран при (производ SL-ICQ) и Mera.ru (производ на Сормович) - обезбедуваат производи за следење на преносот на пораки користејќи го протоколот ICQ.

    VoIP филтрирање

    Зголемената популарност на средствата за пренос на аудио информации помеѓу компјутерите (исто така наречени Voice over IP (VoIP)) го прави неопходно да се преземат мерки за контрола на преносот на таквите информации. Постојат различни имплементации за повикување од компјутер на компјутер и/или на обични телефони.

    Постојат стандардизирани протоколи за размена на такви информации, вклучувајќи го и Session Instantiation Protocol (SIP), усвоен од IETF и H.323, развиен од ITU. Овие протоколи се отворени, што овозможува нивна обработка.

    Покрај тоа, постојат протоколи развиени од одредени компании кои немаат отворена документација, што ја отежнува работата со нив. Една од најпопуларните имплементации е Skype, кој се здоби со широка популарност низ целиот свет. Овој систем ви овозможува да остварувате повици помеѓу компјутери, да остварувате повици кон фиксни и мобилни телефони и да примате повици од фиксни и мобилни телефони. Најновите верзии ја поддржуваат можноста за размена на видео информации.

    Повеќето од моментално достапните производи можат да се поделат во две категории:

    • производи кои ви дозволуваат да го идентификувате и блокирате VoIP сообраќајот;
    • производи кои можат да го идентификуваат, доловат и анализираат VoIP сообраќајот.
    • Производи на Dolphian кои ви дозволуваат да го идентификувате и дозволите или негирате VoIP сообраќајот (SIP и Skype) што е инкапсулиран во стандардниот HTTP сообраќај;
    • Производи на Verso Technologies;
    • различни типови на заштитни ѕидови кои ја имаат оваа способност.
    • производот на руската компанија Сормович поддржува снимање, анализа и складирање на гласовни информации пренесени преку протоколите H.323 и SIP;
    • Библиотеката со отворен код Oreka() ви овозможува да ја одредите сигналната компонента на аудио сообраќајот и да ги снимите пренесените податоци, кои потоа може да се анализираат со други средства.

    Неодамна се дозна дека производ развиен од ERA IT Solutions AG ви овозможува да пресретнете VoIP сообраќај што се пренесува преку Skype. Но, за да извршите таква контрола, треба да инсталирате специјализиран клиент на компјутерот на кој работи Skype.

    Филтрирање од peer-to-peer

    Употребата на различни peer-to-peer (p2p) мрежи од страна на вработените ги претставува следните закани за организациите:

    • дистрибуција на малициозен код;
    • истекување на информации;
    • дистрибуција на податоци заштитени со авторски права, што може да резултира со правна постапка;
    • намалена продуктивност на трудот;

    Има голем број мрежи кои работат во peer-to-peer формат. Постојат мрежи кои имаат централни сервери кои се користат за координација на корисниците, а има и мрежи кои се целосно децентрализирани. Во вториот случај, тие се особено тешко да се контролираат со користење на стандардни алатки како што се заштитните ѕидови.

    За да се реши овој проблем, многу компании создаваат производи кои им овозможуваат да детектираат и обработуваат сообраќај p2p. Постојат следниве решенија за обработка на сообраќај p2p:

    • Филтер за инстант пораки SurfControl, кој се справува со p2p, како и со инстант пораки;
    • пакетот Websense Enterprise, исто така, им обезбедува на корисниците алатки за контрола на сообраќајот p2p;
    • Филтерот за инстант пораки Webwasher ви овозможува да го контролирате пристапот до различни p2p мрежи.

    Употребата на овие или други производи кои не се наведени овде драматично ги намалува ризиците поврзани со пристапот на корисниците до p2p мрежите.

    Унифицирано управување со заканите

    Решенија кои се во согласност со концептот за унифицирано управување со заканите се нудат од многу продавачи на безбедност. По правило, тие се градат врз основа на заштитни ѕидови, кои покрај главните функции вршат и функции за филтрирање на содржината. Вообичаено, овие функции се фокусираат на спречување на упади, злонамерен код и несакани пораки.

    Многу од овие производи се имплементирани во форма на хардверски и софтверски решенија кои не можат целосно да ги заменат решенијата за филтрирање на е-пошта и интернет сообраќај, бидејќи тие работат само со ограничен број на можности обезбедени од специфични протоколи. Тие обично се користат за да се избегне дуплирање на функционалноста кај различни производи и да се осигура дека сите протоколи за апликација се обработуваат според истата позната база на податоци за закани.

    Најпопуларните решенија на концептот за унифицирано управување со заканите се следните производи:

    • SonicWall Gateway Анти-вирус, анти-шпионски софтвер и заштита од упади обезбедува анти-вирус и друга заштита за податоци пренесени преку SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, протоколи за инстант пораки и многу протоколи за стриминг што се користат за пренос на аудио и видео информации ;
    • серија мултифункционални безбедносни уреди на ISS Proventia, дизајнирани како софтверски и хардверски системи, блокираат малициозен код, несакани пораки и упади. Испораката вклучува голем број проверки (вклучително и за VoIP), кои корисникот може да ги прошири;
    • Хардверската платформа за Network Gateway Security на Secure Computing, освен што штити од злонамерен код и несакани пораки, има и поддршка за VPN. Оваа платформа ги комбинира речиси сите решенија за безбедни компјутери.

    Постојат и други производи, но оние наведени погоре се широко достапни.

    Пресретнување податоци

    Законското следење речиси секогаш било користено од разузнавачките агенции за собирање и анализа на пренесените информации. Меѓутоа, неодамна прашањето за следење податоци (не само интернет сообраќај, туку и телефонија и други видови) стана многу актуелно во светлината на борбата против тероризмот. Дури и оние држави кои отсекогаш биле против ваквите системи почнале да ги користат за контрола на преносот на информации.

    Со оглед на тоа што се пресретнуваат разни видови податоци, кои често се пренесуваат преку канали со голема брзина, имплементацијата на таквите системи бара специјализиран софтвер за снимање и парсирање на податоците и посебен софтвер за анализа на собраните податоци. Како таков, може да се користи софтвер за филтрирање содржина на одреден протокол.

    Можеби најпознатиот од овие системи е англо-американскиот систем Ешелон, кој долго време се користи за пресретнување на податоци во интерес на различни оддели во САД и Англија. Покрај тоа, американската Агенција за национална безбедност го користи системот Нарус, кој овозможува следење и анализа на интернет сообраќајот во реално време.

    Меѓу руските производи, можеме да споменеме решенија од компанијата Сормович, кои ви овозможуваат да снимате и анализирате е-пошта, аудио и разни видови интернет сообраќај (HTTP и други).

    Заклучок

    Развојот на информациските системи доведува до појава на се повеќе и повеќе нови закани. Затоа, развојот на производи за филтрирање содржина не само што продолжува, туку понекогаш дури и предвидува појава на нови закани, намалувајќи ги ризиците за заштитените информациски системи.