Опыт внедрения решений в области информационной безопасности

Case 1: Ритейлер: дискаунтеры, гипермаркеты, супермаркеты 2008 Задача Мониторинг электронной почты (SMTP + POP3 + HTTP): 1500 рабочих станций. Функция поиска по доменным пользователям необязательна, но должны обрабатываться почтовые адреса. Мониторинг сообщений, отправленных в блоги, форумы и прочие веб-сервисы (HTTP POST): 1500 рабочих станций. Мониторинг документов, отправленных на съемные носители: 500 рабочих станций. Выборочный мониторинг рабочих станций: 100 машин. Особенности инфраструктуры В центральном офисе занято более 2000 работников Разветвленная локальная сеть в центральном офисе с несколькими подсетями. Пропускная способность сетей – 1Гб/с. Пользовательский доступ в интернет через прокси-сервер.

Case 1: решение Два сервера перехвата NetworkSniffer (SMTP + POP3, HTTP + HTTP POST). Сервер DeviceSniffer + DeviceLock. Сервер индексации рабочих станций. Отдельный сервер баз данных (Microsoft SQL Server 2005). Отдельный сервер индексации АРМ аудитора (AlertCenter + клиенты) и АРМ администратора (удаленный доступ). Конфигурация серверов: Core2Quad-Q8300\4 gb DDR-2\1 tb Раз в месяц в виду большого объема трафика создается новый индекс.

Case 2: Энергетическая компания 2010 Задача Контроль Интернет трафика (ICQ, HTTP почта, HTTP посты, Skype). Перехваченная информация должна храниться в БД в головном офисе – контроль осуществляется в головном офисе. Особенности инфраструктуры 4 тысяч пользователей в головном офисе в региональных офисах Несколько доменов. Сложная сеть с кластером SQUID и ISA-серверами. Самостоятельный выход в интернет в региональных офисах Весь почтовый трафик ходит через почтовый сервер головного офиса Между офисами настроен VPN канал

Case 2: мониторинг трафика HTTP и ICQ Трафик НТТР и ICQ идет через локальные интернет-шлюзы. Поэтому перехват HTTP и ICQ осуществляется локально в каждом офисе. Трафик зеркалируется на установленные локально серверы NetworkSniffer. Были созданы доверительные отношения между доменами - сервер NetworkSniffer получает имена пользователей всех доменов. Трафик, перехваченный в региональном офисе, передается по VPN-каналу в SQL-базу головного офиса.

Case 2: мониторинг Skype Трафик Skype перехватывается агентами, установленными на рабочие станции пользователей. Агенты передают перехваченные чаты, звонки, файлы и SMS- сообщения на серверы SkypeSniffer, установленные и в головном, и в региональном офисах компании. Имена доменных пользователей перехватываются на рабочих станциях пользователей. В дальнейшем, региональный сервер SkypeSniffer передает перехваченный трафик по VPN-каналу в SQL-базу головного офиса.

Case 2: общее решение Для решения поставленных задач, модули были разнесены на 5 серверов: 3 в головном офисе – серверы NetworkSniffer, SkypeSniffer, MS SQL + индексация. 2 в региональном офисе – серверы NetworkSniffer и SkypeSniffer. Весь перехваченный трафик записывается в базу и индексируется в головном офисе. AlertCenter и поисковые клиенты тоже установлены в головном офисе – весь контроль осуществляется только в головном офисе. Конфигурация серверов: СPU: Intel 2.8ГГц ОЗУ: 8 ГБ DDR3 Жесткий диск: 2 ТБ Windows Server 2008 MS SQL 2005

Case 3: Федеральное государственное учреждение 2010 Задача Контроль почтового трафика. Контроль данных, записанных на USB-устройства и CD/DVD- матрицы. Перехваченная информация храниться локально в каждом офисе – контроль осуществляется в каждом офисе и централизованно в головном офисе. Особенности инфраструктуры 250 пользователей в головном офисе 9 региональных офисов, 50 – 90 пользователей в каждом Самостоятельный выход в интернет во всех региональных офисах Весь почтовый трафик ходит через региональные почтовые серверы Между головным офисом и региональными настроены VPN каналы.

Case 3: Мониторинг почты и USB, CD/DVD Для перехвата данных, в каждом офисе установлен сервер NetworkSniffer + DeviceSniffer, на который зеркалируется почтовый трафик и передаются данные с агентов DeviceSniffer, установленных на рабочих станциях. Число контролируемых рабочих мест: Москва, 250 Казань, 55 Екатеринбург, 65 Красноярск, 70 Омск 65 Ростов-на-Дону 80 Санкт-Петербург 85 Саратов 70 Хабаровск 55 Ханты-Мансийск 55

Case 3: общее решение Для решения поставленных задач, в головном офисе разворачиваем 2 сервера: NetworkSniffer + DeviceSniffer MS SQL + индексация + AlertCenter. Региональные офисы работают независимо от головного – устанавливаем по отдельному серверу со всеми модулями – информация перехватывается, индексируется и анализируется в каждом офисе. В головном офисе установлено АРМ аудитора с клиентами MailSniffer, DeviceSniffer и AlertCenter. При срабатывании AlertCenter в региональных офисах, аудитор головного офиса получает уведомление. По RDP-соеди- нению, аудитор подключается к региональному офису и проводит расследование по факту инцидента. Всего 11 серверов Конфигурация: Xeon E GHz 4 GB ОЗУ HDD 500…1000 ГБ Windows Server 2003

Case 4: Нефтегазовая компания 2009 Задача Мониторинг активности пользователей Skype. Система должна обеспечивать устойчивую работу при развертывании агентов на 5000 рабочих станций. Особенности инфраструктуры Территориально распределенная инфраструктура сети. Пропускная способность линий связи между сегментами от 10 Мб/с до 10 ГБ/с. Есть и ВОЛС и VPN.

Case 4: решение Учитывая большое число агентов, создаем отдельный сегмент в составе: сервер управления (серверный модуль SkypeSniffer), сервер баз данных (MS SQL Server 2005), сервер индексации (сервер SearchInform). Создаем два рабочих места – АРМ аудитора (AlertCenter + клиентский модуль SkypeSniffer), АРМ администратора (удаленный доступ к компонентам) и включаем в один из пользовательских сегментов. Создаем в GPO политики принудительной установки агентов. Сетевой трафик около 1 Мб/с на 100 агентов. Т.к. медленная сеть в направлении одного пользовательского сегмента – 10 Мб/с, ограничиваем число агентов в данном сегменте – на 100 рабочих станций.

Case 4: упрощенная структурная схема