Traffic Monitor
Назначение системы
Архитектура продукта
Рабочий стол офицера безопасности
Схема работы: Device Monitor
Возможности Device Monitor
Как работает блокировка на агенте
Traffic Monitor
Транспортные режимы
Сетевое оборудование
Прокси сервер
Почтовый сервер
Traffic Monitor
Архитектура Traffic Monitor
Архитектура Traffic Monitor
Филиальная структура
Traffic Monitor
Схемы развертывания Системы
Выбор типа установки
Аппаратные и программные требования
Сетевые настройки сервера
RHEL7, Oracle Linux
Установка и настройка RHEL, Oracle Linux
Настройка параметров при установке ОС
Разбиение дискового пространства
Настройка параметров при установке ОС
Настройки сети
Настройки сети
Настройка Oracle Linux 7.7 и выше
Настройка Oracle Linux 7.7 и выше
Настройка прокси сервера Oracle Linux 7.7 и выше
1.60M
Similar presentations:
Транспортный уровень (Transport)
Транспортный уровень (Transport)
Серверные компоненты программного комплекса «КИБ»
Серверные компоненты программного комплекса «КИБ»
Служба виртуализации на базе VMware vSphere 5 и VMware vCenter Server
Служба виртуализации на базе VMware vSphere 5 и VMware vCenter Server
Платформа Network Sniffer: особенности реализации сетевого перехвата трафика. Платформа Network
Платформа Network Sniffer: особенности реализации сетевого перехвата трафика. Платформа Network
Построение и настройка защищенного удаленного доступа к сети организации банка
Построение и настройка защищенного удаленного доступа к сети организации банка
Каталог программных продуктов семейства Oracle Database
Каталог программных продуктов семейства Oracle Database
Настройка файлового сервера в локальной сети на Windows/Linux
Настройка файлового сервера в локальной сети на Windows/Linux
Опыт использования платформы IBM Cloud в регионе RCIS
Опыт использования платформы IBM Cloud в регионе RCIS
Основы работы с Microsoft Configuration Manager 2012
Основы работы с Microsoft Configuration Manager 2012
Протоколы прикладного уровня
Протоколы прикладного уровня

Лекция 1

1. Traffic Monitor

Основы

2. Назначение системы

InfoWatch Traffic Monitor – автоматизированная система
контроля информационных потоков организации для
выявления утечек информации и других внутренних
угроз
Мониторинг
трафика
Автоматический
анализ и
классификация
Выполнение
действий
согласно
политикам
Анализ и
проведение
расследований

3.

Технологии анализа Traffic Monitor
Лингвистический
анализ
и Автолингвист
Детектор
текстовых
объектов
Детектор
эталонных
документов
Детектор
заполненных
бланков
* . * “abc”
- Категории
- База контентной
фильтрации (БКФ)
- Четкий порядок
символов
- Регулярные
выражения
- Цифровые отпечатки
- Цитаты из эталонных
документов
- «Замусоривание»
(модификации) текста
Детектор
эталонных
печатей
Детектор
выгрузок из
баз данных
КОМПАНИЯ
Детектор
графических
объектов
0000 0000 0000
КОМПАНИЯ
- Разные форматы
бланков
- Сканированные и от
руки заполненные
- Частично
заполненные
- В теле сообщения
- Детектирование
круглых и
треугольных
печатей
- Комбинация
столбцов
- Паспорт гражданина
РФ и кредитные карты
- Детектирование
выгрузок в
нестандартном
формате (html, txt)
- Графические объекты
под заказ (чертежи,
карты местности)

4. Архитектура продукта

IW
PREDICTION
Локальные
Сетевые
Устройства
Хранилища
IW VISION
SharePoint
Сетевые
хранилища
Файлы
Data-at-rest
IW DATA
DISCOVERY
IW TRAFFIC
MONITOR
IW DEVICE
MONITOR
Удаленные
Mail Server
Proxy Server
Network Devices
Сетевой
трафик
Интернет
Разрешенный трафик
Рабочие
Станции
Traffic Monitor
Data Base

5. Рабочий стол офицера безопасности

TM Server
TM Консоль
управления
DB
TM Database
IW TRAFFIC
MONITOR
DM Server
DM Консоль
управления
DM Client
IW DEVICE
MONITOR
DM Database
Консоль управления
Центра расследований
Рабочий стол
офицера
безопасности
IW DAT
DB
IW PREDICTION
IW ACTIVITY MONITOR
IW DATA DISCOVERY
IW VISION
IW DEVICE CONTROL

6.

Дополнительный
модуль
Device Monitor

7. Схема работы: Device Monitor

DEVICE MONITOR
CLIENT
IW TRAFFIC
MONITOR
Traffic Monitor
Data Base
DM Консоль
управления
DEVICE MONITOR
CLIENT
DEVICE MONITOR
SERVER
DB
DEVICE MONITOR
CLIENT
DEVICE MONITOR
DATABASE
Рабочий стол
офицера
безопасности

8. Возможности Device Monitor

Контроль доступа
Перехват
Копия
DM Консоль
управления
DM Консоль
управления
TM Консоль
управления
FTP
Облачные
хранилища
Принтеры
FTP
Буфер
обмена
Ввод с
клавиатуры
Буфер
обмена
Интернет
Почта
Интернет
Копирование
файлов
Печать
Приложения
Снимки
экрана
Обмен
сообщениями
Ресурсы
Обмен
сообщениями
Съемные
Файлы
устройства и
сетевые ресурсы
Печать
Защищаемые данные
*.*
FILES
Сети
Почта
Съемные
устройства и
сетевые ресурсы
Категории и Текстовые
термины
объекты
Форматы
файлов

9.

Блокировка агентом Device Monitor
Технологии, работающие на
агенте Device Monitor
Лингвистический
анализ
Детектор
текстовых
объектов
*.*
- Категории
- База контентной
фильтрации (БКФ)
- Четкий порядок
символов
- Регулярные
выражения
Формат (сигнатура) файлов
Комбинированные объекты
защиты
*.*

10. Как работает блокировка на агенте

Traffic Monitor
Распространение
конфигурации и
правил на агенты
Конфигурация
Персоны и компьютеры
Периметры
Политики защиты данных на агентах
Категории и текстовые объекты
Объекты защиты, в составе которых
есть только категории и текстовые
объекты
Отображение
событий в
консоли ТМ
Device Monitor Server
Анализ событий и
применение
политик ТМ
Device Monitor
Agent
Правила политик DM:
● Приложения
● Буфер обмена
● Хранилища (Облачные и FTP)
● Принтер
● Почта и мессенджеры
● Съемные устройства и сетевые ресурсы
● Снимки экрана
● Веб-ресурсы и сеть
Передача событий c
результатами анализа и
теневых копий на TM
Анализ, блокирование,
создание событий
Передача событий,
теневых копий, вердикта
и результатов анализа на
DM Server

11. Traffic Monitor

Режимы перехвата

12. Транспортные режимы

В разрыв
Теневая
копия

13. Сетевое оборудование

Режим SPAN-копия
Коммутатор
SMTP, HTTP
SPAN or Port mirroring
SMTP, HTTP
Интернет
Копия SMTP-,
HTTP-трафика
DATABASE
IW TRAFFIC
MONITOR
Модуль IW_SNIFFER

14. Прокси сервер

Копия / Блокировка
Proxy Server
+ ICAP-клиент
HTTP(S)
HTTP(S)
Интернет
ICAP
(копия HTTP(S))
DATABASE
IW TRAFFIC
MONITOR
Модуль IW_ICAP

15. Почтовый сервер

Копия / Блокировка
Mail Server
SMTP
SMTP
Интернет
SMTP
SMTP
DATABASE
IW TRAFFIC
MONITOR
Процесс
IW_SMTPD
Или Exim

16.

Канал передачи данных
SPAN
HTTP
HTTPS
FTP, FTPS
SMTP, POP3, IMAP4
SMTPS, POP3S, IMAP4S
NRPC
NRPC/SSL
MAPI
S/MIME
Jabber (XMPP)
M S Lync
Внешние носители
Печать
Cloud Storages
Контроль сетевых соединений
Контроль доступа к приложениям
Контроль создания скриншотов
Хранилища информации

ICAP
BCC правило
Domino агент
Lync адаптер
DM агент




Data Discovery
























17. Traffic Monitor

Архитектура

18. Архитектура Traffic Monitor

TM Сервер
XML + DAT
Обработка
и анализ
Данные
Сбор
данных
Запись
в БД
Инфраструктура
TM
DATABASE
TM Консоль
управления

19. Архитектура Traffic Monitor

Незашифрованные
данные (SPAN)
Обработка и анализ
HTTP, SMTP, POP3,
IMAP, NRPC
EXTRACTORS
FRAMEWORK
eth1
Сбор данных
POP3, IMAP,
NRPC
XML
+
DAT
HTTP
IW_SNIFFER
SMTP
IW_PROXY_SMTP
IW_CAPSTACK
MIME
IW_SMTPD
IW_XAPI
IW_WARPD
IW_X2DB
Консоль управления
IW_CAS
WEB (GUI)
3
IW_PAS
DATABASE
4
IW_ANALYSIS
MIME
IW_X2X
1
IW_PROXY_HTTP
IW_MESSED
MIME
Запись данных
2
MIME
IW_ICAP
XML
+
DAT
IW_LUAENGINED
NOT MAIL
(PostgreSQL
Oracle)
IW_UPDATER
Postfix/Exim
UNLOCKED SMTP
IW_DELIVER
eth0
ICAP
SMTP
API
IW_ADLIBITUM
LDAP
Инфраструктура
Proxy Server
Mail Server
WEB (Frontend)
IW DEVICE MONITOR /
IW DATA DISCOVERY /
ADAPTORS
ACTIVE
DIRECTORY

20. Филиальная структура

Internet
Главный Офис
Local Net
Local Net
HTTP(S)
SMTP
DATA
DISCOVERY
SMTP
HTTP(S)
SPAN
ICAP
IWDM
HTTP(S)
SMTP
( HTTP(S) )
TME NODE
SMTP
Филиал Б
DATABASE
RELAY
SERVER
HTTP(S)
Филиал А
TM
BCC
( SMTP )
ICAP
TME NODE
TME NODE
Primary
( HTTP(S) )
Internet
АРХИВ
ACTIVE
DIRECTORY
IWDM
NODE
Local Net
Internet

21. Traffic Monitor

Подготовка к установке

22. Схемы развертывания Системы

Критерий
Версия Enterprise
Версия Standard
Количество контролируемых
сотрудников
Не ограничено
До 500 человек
Поддержка СУБД
Oracle/PostgreSQL/Postgres Pro
Enterprise/Jatoba/Тантор
PostgreSQL
Распределенная установка
Поддерживается
Не поддерживается
Программа для оптического
распознавания символов (OCR)
Tesseract, ABBYY FineReader
Tesseract
Лицензирование
Функционал поставляется
Функционал поставляется одной
отдельными лицензиями/комплектами лицензией
лицензий
Срок хранения перехваченных данных Не ограничен
Не более 6 месяцев
Базы контентной фильтрации (БКФ)
для лингвистического анализа
Только стандартная БКФ
Любой набор БКФ

23. Выбор типа установки

Все-в-одном Standard
Все-в-одном Enterprise
Сервер Traffic Monitor + База данных

24. Аппаратные и программные требования

PostgreSQL
Oracle
Red Hat Enterprise Linux 7.x, 8.10
(последняя версия с платной подпиской)
Oracle Linux 7.7 и выше, 8.10
Astra Linux SE 1.7.5.9 или 1.7.5.16
РЕД ОС 7.3.3, 7.3.4, 7.3.5
Информация о требованиях к дисковой системе, процессору и оперативной памяти
размещена в базе знаний в статье «Аппаратные и программные требования».

25. Сетевые настройки сервера

▪ Внешний DNS-сервер должен преобразовывать имя хоста (hostname) в
IP-адрес, который задан на одном из сетевых интерфейсов сервера
▪ IP-адрес должен принадлежать диапазонам частных IP-адресов:
10.0.0.0 — 10.255.255.255 (RFC1918)
172.16.0.0 — 172.31.255.255 (RFC1918)
192.168.0.0 — 192.168.255.255 (RFC1918)
▪ Должна выполняться команда:
ping -c 1 <hostname>
где <hostname> - имя хоста
В результате выполнения команды должен быть успешно принят
пакет.

26. RHEL7, Oracle Linux

Установка и настройка

27. Установка и настройка RHEL, Oracle Linux

● В файле /etc/fstab проверьте, что опции точки монтирования не
содержат nosuid и noxattr
● Минимальный объем Swap-пространства - 500MB
Просмотр информации о Swap-пространстве:
# swapon -s
● Минимальный объем Root - 100GB после выделения места под
все разделы
● Настройте репозитории ОС с возможностью установить пакеты
redhat-lsb-core и lshw

28. Настройка параметров при установке ОС

29. Разбиение дискового пространства

30. Настройка параметров при установке ОС

31. Настройки сети

32. Настройки сети

33.

Настройка пароля суперпользователя
xxXX1234

34. Настройка Oracle Linux 7.7 и выше

1. После установки и перезагрузки операционной системы выбраем
1160.el7.x86_64 и удаляем ядро 5.4.17 с помощью команды
# yum remove kernel-uek-5.4.17
выполнить перезагрузку
2. Включаем репозиторий «optional»
С помощью любого текстового редактора открываем файл
/etc/yum.repos.d/oracle-linux-ol7.repo
и в секции
[ol7_optional_latest]
устанавливаем значение
enabled=1
3. Установить дополнительный пакет EPEL:
# yum install oracle-epel-release-el7.x86_64
загрузку ядра 3.10.0-

35. Настройка Oracle Linux 7.7 и выше

3. Добавляем в файл /etc/hosts
ip адрес и имя сервера Тraffic Мonitor:
Например выполняем команду:
# echo "10.70.15.20 iwtm" >> /etc/hosts
где
10.70.15.20 – ip адрес сервера Тraffic Мonitor
iwtm – имя сервера Тraffic Мonitor
4. При необходимости выполнить обновление и перезагрузку:
# yum upgrade && reboot

36. Настройка прокси сервера Oracle Linux 7.7 и выше

Если в сетевом окружении есть прокси сервер, то перед установкой TM
необходимо отредактировать параметры в файле «/etc/yum.conf»,после
раздела [main] добавить:
proxy=адрес proxy сервера:порт proxy сервера
proxy_username=имя пользователя для подключения к proxy (с
указанием домена)
proxy_password=пароль пользователя

37.

Документация по InfoWatch Traffic Monitor
База знаний InfoWatch: kb.infowatch.com
English     Русский Rules