Лекция 2

1. Системы противодействия утечке данных

2.

2. СЕРВЕРНЫЕ КОМПОНЕНТЫ
ПРОГРАММНОГО КОМПЛЕКСА «КИБ»
2.1. Платформа Network Sniffer: особенности
реализации сетевого перехвата трафика

3.

Платформа
Network
Sniffer
предназначена для перехвата сетевого
трафика, извлечения из него сообщений и
файлов, записи в базу данных и поиска по
ней
Способ
перехвата
Зеркалирование трафика с коммутатора

4.

Доступные для перехвата протоколы
Электронная
почта
SMTP, POP3, IMAP, MAPI, HTTP, HTTPS
Новостные
ленты
NNTP
Обмен
мгновенными
сообщениями
ICQ, XMPP (экс Jabber), MMP (агент Mail.ru),
MSN, YAHOO, Gadu-Gadu

5.

Доступные для перехвата протоколы
Обмен
мультимедиа
и файлами
HTTP(S), SIP, FTP

6.

Перехват на уровне сетевых протоколов
Фильтрация по IP, MAC, имени ПК, логину
Индексирование данных (Softinform Search)
База данных (SQL Server)
Проверка индексов (Alert Center)
Управление сервером (Administrator Console)

7.

Настройка параметров сетевого перехвата

8.

Настройка «Параметры сервиса» службы перехвата

9.

Запуск службы перехвата
Отключен
Запуск
производится
пользователем
запрещает перезапуск службы
для получения доменных имен
пользователей учетная запись, под которой
работает служба перехвата, должна иметь
права чтения журналов безопасности

10.

Параметры «Логирование» службы перехвата
Обычный
(рекомендуется)
Детальный
фиксируются серьезные ошибки службы
синхронизации и консоли управления сервером,
повлекшие прерывание или аварийное
завершение работы, а также факты запуска
внутренних функций программы
дополнительно фиксируется запуск
внутренних функций программы в
подробном виде (используется по
требованию техподдержки ПО)

11.

Параметры «Сетевые адаптеры» службы перехвата

12.

Параметры «Сетевые адаптеры» службы перехвата
1
Выбрать только те устройства (физические или
виртуальные) с которых ведется перехват – увеличиваем
производительность системы
2
В настройках (свойствах) NIC отключить все offload
параметры для предотвращения потери пакетов
3
WAN Miniport – используют только когда Network Sniffer
получает данные от сервера ISA/TMG (в режиме
интеграции). Физические NIC нужно отключить

13.

Параметры «Настройки» службы перехвата
1
Включить протокол ICAP, установив соответствующий
«флажок»
2
Указать IP-адрес сервера NetworkSniffer, который будет
выступать в качестве ICAP-сервера. Прокси-сервер в
данном случае должен быть настроен как ICAP-клиент
3
Указать прослушиваемый ICAP-сервером порт
Используются для взаимодействия NetworkSniffer с прокси-серверами
работающими по протоколу ICAP

14.

Настройка параметров протоколов
Платформа NetworkSniffer выполняет парсинг протоколов – разбор и
запись в соответствующие SQL базы данных:
1
Microsoft SQL Server 2005+
2
PostgreSQL 8.3+
3
SQLite (только для тестирования)

15.

Совместимость протоколов
1. Отдельная база
2. Объединение с учетом совместимости

16.

Настройка портов
WEB MAIL / HTTP POST / HTTP IM / CLOUD – 80;
IMAP – 143;
MAPI – 1118;
NNTP – 119 (NNTPS - 563);
MMP – 443;
MSN – 1863;
ICQ – 443;
SIP – 5060;
POP3 – 110;
SMTP – 25;
XMPP – 5222;
FTP – 21

17.

Перехват туннелированного трафика
IM > MSN-HTTP
Туннелирование – организация передачи данных одного протокола
посредством другого
Снять «флажок» «Ограничить перехват трафика указанными портами» если номер порта неизвестен

18.

Перехват http трафика
WebMail
входящих/исходящих почтовых сообщений с
сервисов веб-почты
HTTP POST
данных, отправляемых в блоги, форумы,
чаты при помощи веб-форм (POST), а также
запросы поисковых систем (GET)
HTTP IM
отправленных и полученных сообщений в
социальных сетях

19.

Настройка параметров протоколов сетевого перехвата

20.

Анонимайзеры

21.

Перехват «программных телефонов»

22.

SoftinformSearchServer
Назначение
осуществления операций с индексами
1
Создание, очистка и удаление
2
Обновление по расписанию или
вручную
3
Добавление и удаление
источников данных
4
Подключение существующего
индекса

23.

Этап 1
выбрать сервер SoftInform Search или
ввести его имя/IP-адрес, а также указать, к
чему создается подключение (к базе данных
или хранилищу файлов)
Создание индекса
Этап 2
при подключении к БД нужно выбрать тип
СУБД – Microsoft SQLServer, PostgreSQL,
после чего настроить подключение к базе
данных (создать новую или подключится к
уже существующей)
Этап 3
при подключении к хранилищу файлов в
диалоговом окне «Настройка источника
данных» вручную либо с помощью кнопки
нужно выбрать/создать *.sti-файл для
хранения перехваченных данных
Этап 4
необходимо выбрать протоколы данных,
включенных в индекс и установить флажок
«Автоматически запускать перехват»

24.

Создание индекса
Этап 5
ввести имя индекса и выбрать директорию,
в которой индекс будет храниться и
настроить расписание обновления

25.

Режимы обновления индекса
Автоматический
В ручном режиме
Настройка расписания «Планировщика»
Добавить расписание
Изменить расписание
Удалить расписание

26.

Добавление источников данных

27.

Подключение к существующему индексу
1
Локально
2
По сети

28.

Фильтрация
трафика
позволяет обрабатывать только те
сообщения, которые были отправлены или
получены определенными пользователями
Атрибуты фильтрации
DNS, имя компьютера
IP, MAC
Прокси, почтовые признаки

29.

Этап 1
перехват сетевого трафика
Порядок фильтрации
Этап 2
сверка атрибутов каждого полученного
пакета данных по имеющимся фильтрам
Этап 3
если фильтры не были установлены,
фильтрации не происходит, и все пакеты
данных без исключений передаются на
сервер баз данных или в хранилище
Этап 4
если фильтры были настроены, перехват
будет осуществляться согласно заданным
условиям

30.

Запрещающие
параметры
обрабатываются все сетевые пакеты, за исключением
совпадений с настроенными условиями. Должна быть
включена опция «Исключить из перехвата трафика»
Разрешающие
параметры
обработываются только сетевые пакеты, совпадающие с
настроенными условиями. Должна быть включена опция
«Включить в перехват трафика»
1. Одновременно можно использовать или запрещающие, или
разрешающие фильтры
2. Если фильтрация включена (разрешающая или запрещающая), но
условия не настроены (список фильтров пуст), обработка сетевых
пакетов осуществляется без ограничений

31.

Фильтры протоколов

32.

Настройка фильтров

33.

Фильтры прокси и почты

34.

Примеры масок доменных имен и адресов
1
*[email protected]*
2
*@company.ru*
3
*ivan.*@company*
4
*ivan.ivanov*
5
*ivan*

35.

Фильтры почты
Запрещающие
параметры
запись в базу не производится
Разрешающие
параметры
производится запись в базу
Фильтры имеют приоритет и применяются последовательно в том
порядке, в котором они заданы

36.

Фильтры почты
Строгое
совпадение
параметров
Не строгое
совпадение
параметров
фильтр сработает, если его условиям удовлетворяет хотя
бы один адресат. Он сохранит/не сохранит документ в
базу и запретит обработку всех следующих за ним
фильтров
фильтр сработает только в том случае, когда под условие
одного или нескольких фильтров попадут все адресаты

37.

Фильтрация HTTP
Атрибуты
1
Хост – адрес ресурса в сети
2
Содержимое – данные POST-/GETзапроса
3
Отправитель – полное доменное
имя отправителя запроса
4
Размер – размер запроса

38.

Фильтрация HTTP
Запрещающие
параметры
запись в базу не производится
Разрешающие
параметры
производится запись в базу

39.

Доступ к журналам безопасности
Этап 1
Выбрать «Доступ к журналам безопасности»
Этап 2
Выбрать «Использовать следующую
информацию для доступа к журналам
безопасности»
Этап 3
Добавить контроллер домена в формате
domain\user или [email protected], указать
пароль и проверить подключение