Заключительный этап установки рассматриваемой системы - инсталляция клиентских модулей на все компьютеры, которые нуждаются в мониторинге. Сделать это можно двумя способами (вариант с ручной установкой мы по понятным причинам не рассматриваем). Первый из них предполагает использование консоли управления. После ее запуска в левой панели главного окна расположено несколько групп. Нужно найти среди них и открыть дерево "Компьютеры и приложения", после чего раскрыть ветку "Без приложений". В ней будет приведен полный список компьютеров, входящих в локальную сеть, на которые не установлена система Zlock.

Для запуска процедуры инсталляции клиентских частей администратору необходимо выбрать компьютер или компьютеры (в том числе можно указать целый домен) назначения и нажать на кнопку "Установить или обновить Zlock…", размещенную на панели инструментов. В открывшемся окне следует указать папку с дистрибутивом программы (оптимальным вариантом будет сетевая папка, к которой есть доступ у всех пользователей), а также выбрать вариант установки. Всего их три: с ручной или принудительной перезагрузкой компьютеров, а также без перезагрузки. Стоит отметить, что последний, наиболее удобный вариант нельзя применять для обновления установленных ранее клиентских частей. В заключение останется только выбрать ПК, на которые будет осуществляться установка (возможно, вы не хотите устанавливать Zlock на все компьютеры сети), а также указать пользователя, обладающего правами локального администратора. Причем программа в случае нехватки полномочий может запросить ввод данных другого пользователя.

Другой вариант развертывания системы защиты на корпоративные рабочие станции - использование групповых политик. Для этого в комплект поставки Zlock входит специальный инсталляционный пакет. Сама процедура установки знакома практически всем системным администраторам. В первую очередь нужно создать сетевую папку, скопировать в нее файлы Zlock30. msi и Zlockmsi. ini и предоставить к ней доступ всем пользователям домена. Если у вас уже есть конфигурационный файл, то его можно поместить в эту же директорию. В этом случае он будет автоматически применен ко всем установленным клиентским модулям. Если такого файла нет, система применит политику по умолчанию, которую необходимо будет настроить в будущем.

После этого в свойствах корпоративного домена (доступ к ним осуществляется через консоль Active Directory) нужно перейти на вкладку "Групповая политика" и создать новую политику. В окне этой политики необходимо раскрыть дерево "Конфигурация компьютера", выбрать пункт "Установка программ" и создать новый пакет, в свойствах которого указать сетевой путь к файлу Zlock30. msi. В результате инсталляция системы Zlock осуществляется стандартными средствами ОС.

Настройка политик доступа

Самой, пожалуй, важной операцией в процессе внедрения системы защиты Zlock является настройка политик доступа. Именно они определяют возможность всех пользователей работать с теми или иными устройствами. Каждая политика состоит из трех частей. Первая представляет собой список устройств или их групп, для каждого из которых прописаны права доступа к ним разных пользователей. Вторая часть политики - настройки теневого копирования файлов, копируемых на различные накопители. Ну а третья часть определяет настройки теневого копирования распечатываемых на принтерах документах. Кроме того, у каждой политики есть целый ряд дополнительных свойств, которые мы рассмотрим ниже.

Принцип работы политик следующий. На каждой рабочей станции находится одна или несколько политик, назначенных администратором. При наступлении любого события, контролируемого системой защиты (подключение устройства, попытка копирования файла на съемный накопитель, распечатка документа и пр.), клиентский модуль проверяет его на соответствие всем политикам по очереди (очередность устанавливается системой приоритетов) и применяет первую из тех, которой оно соответствует. То есть в Zlock нет привычной всем системы исключений. Если вам, к примеру, нужно запретить все USB-флешки, кроме одной определенной, нужно использовать две политики. Первая с низким приоритетом запрещает использование съемных накопителей. А вторая, с более высоким, разрешает применение конкретного экземпляра. Кроме созданных администратором, существует еще политика по умолчанию. Она определяет права доступа к тем устройствам, которые не описаны в других политиках.

Ну а теперь давайте разберем процедуру создания политики. Для ее запуска нужно выбрать в дереве консоли управления нужную рабочую станцию и установить к ней подключение. После этого необходимо выбрать в меню "Политика" пункт "Добавить". Открывшееся при этом окно состоит из пяти вкладок. Первая из них называется "Доступ". На ней задается наименование создаваемой политики, ее приоритет и права доступа к устройствам. Здесь доступны четыре варианта: полный доступ для всех пользователей, доступ к устройствам только на чтение для всех пользователей, запрет доступа к устройствам для всех пользователей и индивидуальная настройка прав доступа к устройствам для пользователей и групп. Назначения первых трех понятны из их названий. А вот последний вариант стоит отметить отдельно. С его помощью можно задать разные права для отдельных пользователей, что весьма удобно, поскольку часто за одним компьютером могут работать различные сотрудники. Для ввода прав доступа необходимо нажать на кнопку "Редактировать" и добавить в открывшемся окне необходимые учетные записи (локального компьютера или домена), определив для каждой из них полномочия.

После ввода основных параметров необходимо задать перечень устройств и групп, на которые будет распространяться действие политики. Для этого используется вкладка "Устройства". Для ввода оборудования в Zlock предусмотрено четыре способа.

· Типовые устройства. Данный вариант предполагает выбор всех устройств определенного типа, например, все съемные накопители, CD/DVD-приводы, жесткие диски и пр.

· USB-устройство с заданными характеристиками. Позволяет задавать USB-устройства по типу, производителю, названию продукта, серийному номеру устройства и пр.

· Физические устройства или символьные ссылки. Используется для указания устройств по физическому названию, букве диска или классу (например, устройства обработки изображений и пр.).

· Принтеры. Используется для ввода определенных локальных или сетевых принтеров.

С помощью этих способов можно создать весьма точный и гибкий список устройств. Примечательно, что выбирать можно не только ту аппаратуру, которая подключена к ПК в данный момент, но и ту, которая когда-то на нем использовалась (весьма актуально для съемных накопителей). Кроме того, администратор может создать так называемый каталог устройств. Это файл, в котором перечислены все устройства, подключенные к компьютерам корпоративной сети. Он может создаваться как вручную, так и автоматически путем сканирования всех рабочих станций.

В принципе, после этого мы уже имеем вполне работоспособную политику. Однако в Zlock предусмотрен ряд дополнительных настроек, расширяющих функциональные возможности системы защиты. Так, например, если создается политика, которая должна действовать не постоянно, то необходимо задать расписание ее работы. Делается это на одноименной вкладке. На ней можно определить интервалы, во время которых действует политика. Администратор может ввести срок действия политики, время, дни недели или числа месяца, в которые она будет активна.

Если компьютер, для которого создается политика, может отключаться от корпоративной сети и/или подключаться к ней через Интернет, то можно определить для него особые параметры. Для этого необходимо перейти на вкладку "Правила применения". На ней перечислены три пункта возможного состояния ПК относительно корпоративного домена: домен доступен локально, домен доступен через VPN, домен недоступен. Для того, чтобы отключить действие политики для любого из них достаточно просто деактивировать соответствующий чекбокс. Например, если вы хотите, чтобы с компьютера, отключенного от корпоративной сети, невозможно было что-то распечатать, достаточно создать политику, запрещающую использование принтеров и в правилах применения активировать пункты "Домен недоступен" и "Домен доступен через VPN".

После создания одной или нескольких политик на одном из компьютеров, можно быстро распространить их и на другие ПК. Для этого в консоли управления требуется установить соединение со всеми нужными станциями и выбрать в меню "Сервис" пункт "Распространить конфигурацию". В открывшемся окне отметьте "галочками" нужные политики и компьютеры, активируйте чекбокс "Фоновое распространение политики" и выберите действие, которое должна выполнить программа при обнаружении политик с совпадающими именами (спрашивать, перезаписывать или не перезаписывать). После этого нажмите на кнопку "ОК" и дождитесь завершения процесса.

В будущем любую политику можно изменить. Для этого достаточно подключиться к компьютеру, на котором она была изначально создана, найти ее в "дереве" и дважды кликнуть по ней мышкой. При этом будет открыто уже знакомое по процедуре создания политики окно, в котором можно изменить те или иные параметры. Обратите внимание, что если политика, которую вы отредактировали, была в свое время распространена на другие компьютеры, то перед ее изменением предварительно нужно установить соединение со всеми этими ПК. В этом случае при сохранении изменений программа Zlock сама предложить синхронизировать устаревшие политики с новой. Точно так же выполняется и удаление политик.

Настройка журналирования и теневого копирования

В системе Zlock предусмотрена система журналирования. Благодаря ней администратор или другое ответственное за информационную безопасность лицо может просматривать и анализировать все отслеживаемые события. Для ее включения необходимо выбрать в меню "Сервис" пункт "Настройки" и перейти в открывшемся окне на вкладку "Журналирование". На ней перечислены все возможные события (запрет записи на устройство, изменение доступа к сети, изменение конфигурации, применение политик доступа и пр.), а также их состояние в плане ведения логов.

Для включения журналирования по одному или нескольким событиям необходимо нажать на "плюсик" и выбрать вариант ведения лога: запись в файл (системный Event Log или произвольный файл формата TXT или XML), в базу данных на SQL-сервере или сервере журналов, отправка письма по электронной почте.

После этого в открывшемся окне нужно настроить параметры лога (они зависят от выбранного варианта: имя файла, параметры доступа к базе данных и пр.), отметить нужные события и нажать на кнопку "ОК".

Отдельно настраивается журналирование файловых операций. Под ними подразумеваются такие действия, как создание, изменение и редактирование файлов, создание и удаление каталогов и пр. Понятно, что подобные логи имеет смысл вести только при использовании съемных накопителей. А поэтому данный вид журналирования привязывается к политикам доступа. Для его настройки необходимо в консоли управления выбрать в меню "Сервис" пункт "Файловые операции". В открывшемся окне в первую очередь нужно отметить политики, для которых будет осуществляться журналирование. Имеет смысл выбрать те из них, которые контролируют использование съемных накопителей: USB-устройств, CD/DVD-приводов и пр. После этого нужно ввести действия, которые будет выполнять система при обнаружении файловых операций. Для добавления каждого из них необходимо нажать на "плюсик" и выбрать нужный вариант. Три действия относятся к ведению логов - это запись информации о событии в файл, в базу данных или отправка сообщения по электронной почте. Последний же вариант заключается в запуске указанной программы или скрипта.

Далее можно переходить к настройке теневого копирования. Это весьма важная функция системы Zlock, которой не стоит пренебрегать. Она обеспечивает незаметное для пользователя дублирование копируемых или распечатываемых файлов в специальное хранилище. Теневое копирование необходимо тогда, когда использование принтеров или съемных накопителей сотрудникам нужно для выполнения своих профессиональных обязанностей. В таких случаях предотвратить утечку информации техническими средствами практически невозможно. Но теневое копирование позволит быстро среагировать на нее и пресечь будущие инциденты.

Для установки параметров теневого копирования необходимо в меню "Сервис" выбрать одноименный пункт. В первую очередь можно настроить локальное хранилище. Для этого необходимо указать папку, в которой будут сохраняться файлы, ввести доступный объем (в мегабайтах или процентах от свободного места на жестком диске), а также выбрать действие при переполнении (перезаписывать файлы в хранилище, запретить или разрешить копирование и печать).

При необходимости можно настроить теневое копирование в сетевое хранилище. Для этого нужно перейти на вкладку "Копирование на сервер" и активировать чекбокс "Передавать информацию о теневом копировании и файлы на сервер". Если передача должна осуществляться немедленно, то стоит выбрать пункт "Передавать файлы как можно раньше". Возможен и другой вариант - система будет копировать файлы с заданной периодичностью. После этого нужно выбрать сетевую папку, в которую и будут записываться файлы. Обратите внимание, что имеет смысл выбрать такой каталог, доступ к которому есть только у администратора. В противном случае сотрудник сможет зайти в него и удалить или хотя бы просмотреть сохраненные файлы. При выборе такой папки необходимо ввести логин и пароль пользователя, у которого есть полномочия на запись в нее информации.

Ну и в завершение настройки остается перейти на вкладку "Политики" и указать те политики, при действии которых теневое копирование будет работать.

Система временных разрешений

В принципе, процесс внедрения Zlock мы с вами, уважаемые читатели, уже разобрали. После его завершения система защиты от инсайдеров будет работать, помогая компании избежать утечки коммерческой и персональной информации. Однако в Zlock есть еще одна весьма интересная возможность, которая позволяет заметно облегчить жизнь администратору. Речь идет о системе выдачи временных разрешений на использование тех или иных устройств.

Почему хочется заострить внимание именно на этом моменте? Все очень просто. Практика показывает, что достаточно часто возникают ситуации, когда кому-то из сотрудников нужно использование обычно запрещенного для них устройства. Причем такая необходимость может возникнуть срочно. В результате возникает паника, срочно ищется администратор, который должен изменить политику доступа и, самое главное, не забыть потом вернуть ее обратно. Конечно же, это весьма неудобно. Гораздо лучше использовать систему выдачи временных разрешений.

Для ее применения сначала необходимо сгенерировать сертификат администратора. Для этого нужно в меню "Сервис" выбрать пункт "Сертификат…", а в открывшемся окне нажать на кнопку "Изменить сертификат". После этого в мастере необходимо выбрать переключатель "Создать новый сертификат" и ввести его имя. Далее остается только подключиться к удаленным компьютерам, выбрать в меню "Сервис" пункт "Настройки", перейти в открывшемся окне на вкладку "Общие" и нажать на кнопку "Установить".

В Zlock временные разрешения можно использовать двумя способами - с помощью электронной почты и по телефону. В первом случае создание запроса выполняется следующим образом. Пользователь должен кликнуть правой кнопкой мыши на значке Zlock в системном трее и выбрать в выпадающем меню пункт "Создать запрос". В открывшемся окне ему необходимо выбрать нужное устройство и права доступа (только для чтения или полный доступ), ввести адрес администратора и, при необходимости, краткий комментарий. При этом в почтовом клиенте, установленном в системе по умолчанию, будет сгенерировано письмо с прикрепленным к нему файлом-запросом. Получив его, администратор должен дважды кликнуть по нему мышкой. При этом будет открыто окно с информацией о запросе. Если администратор согласен его обработать, то ему необходимо нажать на кнопку "Далее". При этом будет открыто окно создания новой политики, в котором уже введено требуемое устройство. Администратору остается только установить расписание работы этой политики. Она может быть как постоянной, так и одноразовой. Во втором случае политика будет действовать только до завершения пользователем сессии Windows или до извлечения устройства (зависит от выбора администратора). Эта политика может быть передана на компьютер сотрудника обычным способом или же с помощью специального файла по электронной почте (он будет защищен с помощью сертификата администратора). При его получении пользователю необходимо просто запустить его, после чего он получит доступ к нужному устройству.

Система выдачи разрешений по телефону работает схожим образом. Сначала пользователь должен создать запрос. Эта процедура практически идентична рассмотренной нами выше. Только на последнем этапе формируется не электронное письмо, а специальный код, состоящий из пяти блоков цифр и букв. Сотрудник должен позвонить администратору и продиктовать ему этот набор символов. От администратора требуется ввести этот код в специальное окно (оно вызывается с помощью пункта "Обработать запрос" меню "Политика"). При этом на экране появится подробная информация о запросе. Далее администратор может создать политику уже знакомым нам образом. Единственное отличие - на последнем этапе система сформирует еще один код. Его администратор дожжен продиктовать сотруднику, который, введя его в специальное поле, может активировать доступ к устройству.

Подводим итоги

Итак, как мы видим, процедура внедрения в эксплуатацию системы защиты от инсайдеров, в принципе, не сложна. Для ее выполнения не нужно обладать какими-то особыми умениями. Справиться с ней может любой системный администратор, обладающий базовыми знаниями сетевых технологий. Впрочем, стоит отметить, что эффективность работы защиты целиком и полностью зависит от того, насколько грамотно и полно составлены политики доступа. Именно к этому моменту стоит подходить с максимальной серьезностью и выполнять эту работу должен ответственный сотрудник.

Zlock: контролируйте доступ к USB-устройствам

Тестируем Zlock

Главными предполагаемыми преимуществами системы, наряду с основными функциональными характеристиками, должны быть простота внедрения и интуитивная понятность действий по ее настройке и конфигурированию.

Рисунок 1. Политика доступа по умолчанию

После необходимо продумать политики доступа к самой службе Zlock, которая также распространится при установке на клиентские места. Отредактируйте политику доступа к настройкам клиентской части программы, разрешив или запретив пользователям видеть значок и получать предупреждения об изменении политики доступа. С одной стороны - данные предупреждения являются удобными, так как, отправив администратору заявку на получение доступа, пользователь будет оповещен, если измененная политика будет применена к его рабочей станции. С другой стороны - часто системные администраторы предпочитают не предоставлять пользователям лишние визуальные подтверждения работающих на рабочей станции защитных служб.

Затем созданная политика (в данном случае она пока остается локальной для консольной рабочей станции) сохраняется в виде файла с именем default. zcfg в папку с дистрибутивом клиентской части.

Все. На этом глобальная подготовка системы к массовой установке закончена. В продукте импонирует простота создания политик, связанная с применением стандартного принципа создания прав пользователей типа ACL.

Для установки на все компьютеры пользователям было отправлено pop-up-сообщение с просьбой включить все рабочие станции сети, находящиеся рядом, но не используемые в данный момент. Выбрав из списка компьютеров для подключения все рабочие станции сети (вернее, выбрав все и затем исключив серверы), я запустил процесс подключения для дальнейшей установки клиентской части. Подключение к такому количеству компьютеров (150), конечно, заняло относительно продолжительное время, так как осуществляется последовательно, а если компьютер выключен - то происходит ожидание тайм-аута по подключению. Однако процедуру придется выполнить только при первоначальной установке, дальше политики будут контролироваться на основе персональных потребностей пользователей. При попытке "разом" установить клиентскую часть на все 150 компьютеров локальной сети я столкнулся с незначительными проблемами на нескольких рабочих станциях, однако на большинство компьютеров система установилась автоматически. Проблема в установке, собственно была одна - несовместимость Zlock с устаревшими версиями драйвера защиты CD-дисков - StarForce. Для корректного взаимодействия необходимо обновить драйвер StarForce, скачав его с сайта производителя. Это было также сделано удаленно, при помощи службы удаленной установки. Объяснение причины этой несовместимости, на мой взгляд, имеет право на жизнь - ведь Zlock взаимодействует с подсистемой ввода-вывода на более низком уровне, нежели прикладные функции ОС, - так же, как защита от копирования CD.

После выбора рабочих станций вам предложат указать, откуда необходимо запускать дистрибутив установщика. Именно эта функция и дает возможность таким образом устанавливать и другие программы, не сходя с рабочего места. Будьте внимательны при выборе варианта установки - "С перезагрузкой" или "Требуется перезагрузка". В случае если вы выберете "С перезагрузкой" - после завершения установки клиентские рабочие станции перезагрузятся автоматически, не спрашивая подтверждения пользователя.

На этом первоначальная установка закончена, и после перезагрузки клиентская часть Zlock начнет исполнять предписанную политику безопасности. При этом в трее появляется значок службы Zlock, предоставляющий пользователям возможность создавать запросы на предоставление доступа, а также самостоятельно редактировать политики, если, конечно, это было им разрешено созданной нами политикой по умолчанию.

Стремясь к полной конфиденциальности…

После этого, собственно говоря, и начинается тонкая настройка системы Zlock. Если в вашей компании сотрудникам часто необходимо что-то сохранять на съемных носителях, а политику безопасности хотелось бы поддерживать на самом строгом уровне, то скоординируйте свой рабочий график так, чтобы иметь возможность в следующую за установкой неделю как можно чаще присутствовать на рабочем месте. Для поддержания максимальной строгости политики доступа рекомендуется создавать правила для конкретных съемных устройств, так как Zlock позволяет предоставлять доступ к устройствам даже на основе его полных характеристик, таких, как марка, модель, серийный номер и т.п. Сложнее обстоит дело в IT-фирмах, так как сотрудникам постоянно приходится записывать всевозможную информацию на диски CD/DVD-R/RW. В данном случае можно порекомендовать использовать выделенные рабочие станции с записывающими приводами, на которых системными политиками безопасности будут созданы правила, не позволяющие получить с этих компьютеров доступ в сеть. Однако такие тонкости выходят за рамки статьи, посвященной Zlock.

Как это работает на практике?

Теперь посмотрим, как это все выглядит в работе. Напоминаю, что созданная мной политика доступа позволяет пользователям производить чтение со всех съемных устройств и запрещает запись на них. Сотрудник отдела обслуживания приходит в офис для того, чтобы сдать отчеты и записать задания на диск. При подключении съемного устройства система ограничивает доступ и выдает соответствующее предупреждение (см. рис.2).

Рисунок 2. Предупреждение об ограничении доступа

Сотрудник считывает с него принесенную информацию, после чего безуспешно пытается записать полученные от руководителя задания. При необходимости получить доступ он либо связывается с администратором по телефону, либо формирует автоматический запрос при помощи Zlock Tray Applet с указанием устройства, к которому он хотел бы получить доступ, называет свою учетную запись и мотивирует необходимость такого доступа.

Администратор, получив такой запрос, принимает решение о предоставлении/не предоставлении такого доступа и при положительном решении изменяет политику для данной рабочей станции. При этом созданный запрос содержит всю информацию об устройстве, включая производителя, модель, серийный номер и т.д., а система Zlock позволяет создавать любые политики на основании этих данных. Таким образом мы получаем возможность предоставить право записи конкретному пользователю на указанное устройство, при необходимости ведя журнал всех файловых операций (см. рис. 3).

Рисунок 3. Создание политики на основании запроса пользователя

Таким образом процесс создания дополнительных разрешающих политик облегчен для администратора до предела и сводится к принципу Check&Click, что, несомненно, радует.

Проблемы

Неудается открыть порты в файрволе для удаленного администрирования Zlock?

Решение

Для удаленного администрирования Zlock в межсетевом экране достаточно открыть один порт. По умолчанию это порт 1246, но он может быть изменен, если этот номер по каким-либо причинам не подходит. Этим, кстати, наш продукт выгодно отличается от некоторых аналогов, которые используют для администрирования службу удаленного вызова процедур (Remote Procedure Calls - RPC), которая по умолчанию требует открытия множества портов и довольно уязвима к внешним атакам. Как известно, большинство современных вирусов использовали как раз уязвимости в RPC для внедрения в компьютер и получения в нем администраторских привилегий.

2) Проблема

У нас возникла следующая ситуация. В одном отделе на одном компьютере работают два сотрудника. У каждого есть флешка. Стоит задача сделать так что бы флешка первого сотрудника читалась, а флешка второго нет. Главная проблема в том что у этих флешек одинаковые номера (VID_058F&PID_6387), Флешки фирмы Transcend 256Mb и 1Gb. Подскажите пожалуйста как поступить в данной ситуации? Большое спасибо.

Решение

Номера, о которых Вы говорите, - это идентификаторы продукта (Product ID) и производителя (Vendor ID). Для разграничения доступа устройств с одинаковыми идентификаторами продукта и производителя в политиках Zlock необходимо указать их серийный номер. Стоит заметить, что не все производители USB-накопителей присваивают своим продуктам уникальные серийные номера, обычно отсутствием серийных номеров грешат noname-производители.

II. Обзор SecurITZgate

В данном обзоре мы начинаем подробный рассказ о SecurIT Zgate, корпоративном решении, предназначенном для анализа интернет-трафика на уровне шлюза с целью обнаружения и блокирования попыток утечки конфиденциальных данных или иных несанкционированных действий сотрудников.

Введение

Согласно концепции комплексной защиты от внутренних угроз, продвигаемой компаний SecurIT, шлюзовой продукт SecurIT Zgate важной частью IPC-системы. Концепция IPC включает в себя DLP (Data Loss Prevention) и решения для защиты данных при хранении. Впервые совмещение различных на первый взгляд технологий было предложено аналитиком IDC Брайаном Бюрком в отчете Information Protection and Control Survey: Data Loss Prevention and Encryption Trends.

В системах IPC контролируется стандартный для DLP-систем список каналов: электронная почта, Web-ресурсы (Web-почта, социальные сети, блоги), ICQ, USB-устройства и принтеры. В IPC к этим возможностям добавляется шифрование данных на серверах, магнитных лентах и в конечных точках сети - на ПК, ноутбуках и мобильных накопителях. Кроме перечня контролируемых каналов и шифруемых носителей информации, IPC существенно различаются набором методов детектирования конфиденциальных данных.

Таким образом, система SecurIT Zgate позволяющая предотвращать утечки конфиденциальной информации по сетевым каналам, является важной, если не сказать ключевой, частью единой IPC системы. SecurIT Zgate анализирует все данные, передаваемые сотрудниками за пределы информационной сети организации. В SecurIT Zgate используются современные технологии автоматического детектирования, которые безошибочно определяют уровень конфиденциальности передаваемой информации с учетом особенностей бизнеса и требований различных отраслевых стандартов.

1. Системные требования

Минимальные системные требования для решения SecurIT Zgate представлены в таблице ниже.

Процессор	Pentium 4 и выше
Оперативная память	1 ГБ и выше
Объем на жестком диске	50 МБ	80 МБ + место для временного хранения писем	30 МБ
Порты		USB
ОС	MS Windows 2000 SP4, 2000 Server SP4, XP SP3,2003 SP2, Vista SP1, 2008
Прочие программные средства		MS SQL Server 2000 SP2, 2005. Oracle Database 10g Release 2 (10.2) Microsoft Windows (32-Bit) - для архива почтовых сообщений и карантина.	MS SQL Server 2000 SP2, 2005. Oracle Database 10g Release 2 (10.2) Microsoft Windows (32- Bit)

2. Основные возможности SecurIT Zgate:

Фильтрация входящего, исходящего и внутреннего трафика.

Контентный анализ передаваемых сообщений и файлов с помощью любой комбинации методов автоматической категоризации.

Совместимость с любой почтовой системой (MTA), работающей по протоколу SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix и др.

Работа в пассивном режиме мониторинга со снятием копии передаваемых данных или в активном режиме блокирования инцидентов в режиме реально времени.

Гибкие политики проверки, блокировки и архивирования данных с возможностью настройки до 30 параметров.

Применение политик в зависимости от времени передачи, направления трафика и местоположения пользователей.

Удобные инструменты для управления словарями, описывающими различные категории документов.

Возможность ручной проверки подозрительных сообщений и файлов.

Модификация сообщений и возможность уведомления пользователей о результатах фильтрации.

Интеграция со сторонними приложениями для дополнительной обработки антивирусами и системами борьбы со спамом.

Возможность ведения полного архива передаваемых данных, включая файлы-вложения, в Microsoft SQL Server или Oracle Database.

Масштабируемость и модульная архитектура, позволяющая учесть самые жесткие требования к производительности.

Установка и управление через единую консоль для всех продуктов SECURIT.

Широкие возможности для разделения ролей администраторов.

Поддержка импорта статистической информации в различные конструкторы отчётов, например, Crystal Reports или FastReport.

3. Установка SecurIT Zgate

Важно! Если планируется использовать средства SecurIT Zgate по обработке почты внутри Microsoft Exchange 2007/2010, серверная часть SecurIT Zgate должна устанавливаться на тот же компьютер, где установлен Microsoft Exchange.

SecurIT Zgate для установки использует стандартный InstallShield. Примечательно то, что вся установка проста и сложностей не вызывает.

Рисунок 1: Начало установки SecurIT Zgate

Обратите внимание на рисунок 2, сервер журналов по умолчанию не устанавливается. Его можно развернуть на другом компьютере. Журнал событий можно хранить в XML-файле, использовать отдельный сервер журналов или использовать базу данных (MSSQL Server или Oracle Database).

Рисунок 2: Выбор модулей для установки SecurIT Zgate

Работа с SecurIT Zgate ведётся через консоль управления. Для связи с сервером SecurIT Zgate консоль управления использует протокол TCP/IP и порт 1246. Не забудьте открыть этот порт в фаерволле. В дальнейшем можно при необходимости изменить этот порт.

Если хотите использовать SecurIT Zgate в режимах сниффера, то необходимо установить драйвер WinPcap на компьютер с уже установленным сервером SecurIT Zgate. Драйвер WinPcap идёт в комплекте вместе с дистрибутивом SecurIT Zgate.

Консоль управления можно установить на том же компьютере, где уже установлен SecurIT Zgate, или на отдельный.

Итак, начинаем работу с Zgate SecurIT.

4. Начало работы и первоначальная настройка SecurIT Zgate

Рисунок 3: Общий вид консоли управления SecurIT Zgate

Для начала работы необходимо установить соединение с компьютером, на котором расположена серверная часть системы. Список компьютеров находится в левой части консоли управления в элементе дерева "Без приложений". В нашем примере мы устанавливали сервер SecurIT Zgate на компьютер VM-2003TEST, его мы и выберем.

После того, как мы выбрали нужный нам компьютер, и соединение с ним прошло успешно, он переносится из раздела "Без приложений" в узлы тех приложений, которые на нем установлены (в нашем случае это SecurIT Zgate) и открывается древовидный список настроек и возможностей (рисунок 4).

Рисунок 4: Соединение с компьютером прошло успешно - доступны новые возможности

Следует отметить, что список компьютеров в домене определяется либо через NetBIOS, либо загружается из Active Directory. Если у Вас большое количество компьютеров в сети, Вы можете воспользоваться опцией поиска.

Если же компьютер отсутствует в списке "Без приложений", соединение можно установить вручную. Для этого необходимо в консоли управления раскрыть меню "Соединение" и выбрать пункт "Создать соединение". В открывшемся окне вводите имя компьютера, IP-адрес, порт (по умолчанию 1246) и данные о пользователе (рисунок 5). По умолчанию права доступа для конфигурирования SecurIT Zgate настроены таким образом, что пользователи, входящие в группу локальных администраторов, имеют полный доступ ко всем функциям системы.

Рисунок 5: Создание соединения вручную

Итак, давайте поочереди рассмотрим настройки сервера SecurIT Zgate.

Общие. В этом разделе (рисунок 6) задаются настройки внутреннего почтового сервера, порт внутреннего почтового сервера, режим работы сервера, каталог для временного хранения обрабатываемых сообщений и указывается максимальный объём этого каталога.

Рисунок 6: Общие настройки сервера для почтового сервера в SecurIT Zgate

Как видно из рисунка, режимы работы "Фильтрация почты внутри Microsoft Exchange 2007/2010" и "Журналирование почты внутри Microsoft Exchange 2007/2010" недоступны, поскольку у нас нет в данный момент установленного и настроенного Microsoft Exchange. Режим зеркалирования (анализ копии передаваемого трафика) доступен, потому что драйвер WinPcap установлен.

Зеркалирование сообщений, передаваемых при помощи шифрованного трафика SMTP (созданного с помощью протокола TLS командой STARTTTLS) и с помощью расширения XEXCH50 протокола Exchange ESMTP не поддерживается.

Приём. В этом разделе ведётся настройка приема почты для работы в различных режимах работы сервера (рисунок 7).

Рисунок 7: Настройка приема почты для работы в режиме прокси (журналирования)

При настройке фильтрации или журналирования в режиме прокси, задаются сетевой интерфейс и номер порта (по умолчанию 25) для приема почты снаружи системой SecurIT Zgate; сетевой интерфейс и номер порта, который используется для приема почты от внутреннего почтового сервера; каталог для входящих сообщений и его максимальный объем. В каталоге для входящих сообщений хранятся письма, поступившие в SecurIT Zgate, до их обработки или пересылки.

В этой же вкладке настраивается защита от атак типа "Отказ в обслуживании". Как видно из рисунка 7, защита от атак в обслуживании состоит из ряда условий, при несоблюдении которых сообщение не принимается. Эти условия можно включать или отключать в зависимости от надобности или ненадобности той или иной проверки.

Если же сервер SecurIT Zgate работает в режиме анализа зеркалированного трафика (включается на вкладке настроек Общие), то вкладка Приём имеет следующий вид (рисунок 8).

Рисунок 8: Настройка приема почты в режиме анализа зеркалированного трафика

В настойках этого режима работы задаётся сетевой интерфейс, на который осуществляется приём зеркалированного трафика, IP-адрес зеркалируемого почтового сервера, порты, которые зеркалируемый сервер использует для получения и отправки почты, а также каталог для хранения входящих сообщений и его объём.

Важно! Для работы SecurIT Zgate в режиме зеркалирования необходимо, чтобы сетевой коммутатор, к которому подключен компьютер с SecurIT Zgate, поддерживал функцию зеркалирования. Зеркальное копирование портов (Port Mirroring) позволяет копировать трафик на контрольный порт, чтобы можно было его анализировать, не вмешиваясь в поток.

Но, наличие коммутатора с возможностью Port Mirroring не является обязательным в том случае, если SecurIT Zgate установлен на прокси-сервере организации или если SecurIT Zgate установлен на том компьютере, трафик с которого отслеживается.

При выборе на вкладке Общие режимов работы сервера Фильтрация почты внутри Microsoft Exchange 2007/2010 либо Журналирование почты внутри Microsoft Exchange 2007/2010, вкладки Прием и Передача заменяются вкладкойMicrosoft Exchange.

На вкладке Microsoft Exchange настраиваются каталога входящих и исходящих сообщений и их максимальный объем (каталоги предназначены для организации очереди сообщений, отправляемых на обработку или на почтовый сервер адресата). Также на этой вкладке можно выбрать опцию "Контролировать внутреннюю почту". В этом режиме будут проверяться и внутренние письма между клиентами контролируемого почтового сервера. Данная возможность является очень важной, поскольку становится возможным контролировать и внутреннюю переписку сотрудников.

В нижней части вкладки отображается информация об ошибках или предупреждениях.

Передача. Настройки передачи почты не зависят от режима работы сервера и одинаковы как для фильтрации и журналирования в режиме прокси, так и для зеркалирования (рисунок 9).

Рисунок 9: Настройки параметров передачи почты в SecurIT Zgate

Здесь настраиваются следующие параметры: максимальное количество одновременных исходящих соединений; схемы попыток соединения; список почтовых доменов, которые обслуживает внутренний почтовый сервер; сервер доставки, на который передается почта, отправляемая наружу (если сервер доставки не задан и домен адресата не внутренний, то почту доставляет сам SecurIT Zgate, соединяясь напрямую с почтовым сервером адресата); смарт-хост, на который пересылаются письма для адресатов из обслуживаемых доменов, но отсутствующие в списках лицензирования; каталог для исходящих сообщений и его максимальный объем. Также, на смарт-хост пересылаются письма, для которых SecurIT Zgate не смог определить адрес почтового сервера через DNS, или почтовый сервер сообщил, что получатель не существует.

Схема соединения с почтовым сервером адресата состоит из серий. Серия состоит из определенного количества попыток соединений с сервером получателя сообщения и интервала в минутах между попытками. Если не удалось установить соединение согласно схеме, то письмо удаляется, и в журнал выводится соответствующее сообщение. При этом отправителю посылается письмо с сообщением об ошибке.

Вкладка Zgate Web предназначена для предотвращения утечек информации через Интернет, например, в случае, когда сотрудники умышленно или случайно отправляют конфиденциальные данные через свою веб-почту, публикует на форуме или блоге, или отправляет по ICQ.

Работа Zgate Web обеспечивается зеркалированием портов на коммутаторе или перехватом сетевого трафика на компьютере, на котором установлен SecurIT Zgate. Для использования Zgate Web на компьютер, на котором устанавливается сервер SecurIT Zgate, должен быть установлен драйвер WinPcap.

В текущей версии Zgate Web осуществляет перехват трафика, передаваемого с использованием следующих протоколов и ресурсов:

протокол службы мгновенных сообщений AOL ICQ;

протокол передачи файлов FTP;

протокол передачи данных HTTP;

почтовые сервисы: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;

сервисы социальных сетей: Odnoklassniki.ru, VKontakte.ru, Livejournal.com, Blogger.com, Loveplanet.ru, LinkedIn.com, Twitter.com, Icq2go.com, Facebook.com, MySpace.com;

службы отправки сообщений SMS/MMS: Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms;

форумы, реализованные на базе ПО PhpBb, IpBoard, Vbulletin.

Как видим, возможности контроля трафика впечатляют.

Для каждого сообщения модуль перехвата Zgate Web генерирует письмо, содержащее информацию о сообщении и набор дополнительных параметров, связанных с используемой службой. Это письмо помещается во входящие сообщения и обрабатывается системой SecurIT Zgate так же, как обычное письмо, пришедшее по протоколу SMTP.

Настройки Zgate Web отображены на рисунке 10.

Рисунок 10: Настройки Zgate Web

На этой вкладке можно включить или отключить Zgate Web, а также указать сетевой интерфейс, с которого осуществляется копирование трафика, просмотреть и отредактировать список диапазонов адресов анализируемых пакетов (есть возможность добавлять свои диапазоны), выбрать каталог для хранения временных файлов и его объём, а также выбрать необходимые для работы модули анализа.

Для того чтобы добавить свой диапазон адресов анализируемых пакетов нужно нажать на кнопку "+", которая находится справа от списка анализируемых пакетов, откроется такое окно (рисунок 11).

Рисунок 11: Добавление диапазона адресов анализируемых пакетов вSecurIT Zgate

После указания нужных нам адресов и портов, а также выбора действия (анализировать или исключить из анализа), нажимаем кнопку ОК. Новый диапазон готов к работе.

Архив. Архив предназначен для централизованного хранения копий писем, их просмотра и пересылки. Кроме того, в архиве хранятся письма, помещенные в карантин. Архив в виде базы данных может быть организован средствами Oracle или Microsoft SQL Server (рисунок 12). Часть настроек, относящихся к параметрам настройки архива, находится на вкладке Дополнительно (пункт Настройки в меню Сервис).

Рисунок 12: Выбор базы данных и настройка параметров архива в SecurIT Zgate

Для того чтобы использовать архив, нам необходимо установить и настроить MSSQL Express или Oracle (указано в минимальных системных требованиях).

После того как мы указали необходимые настройки и пользователя для доступа к базе данных, можно проверить соединение с самой базой данных. Для этого предназначена кнопка "Проверить соединение" (рисунок 13). Также можно указать возможность сжатия данных. Выберете "золотую середину" между скоростью работы и объёмом данных.

Рисунок 13: Всё готово к работе с базой данных - соединение установлено

Лицензия. Предназначение вкладки ясно из самого названия. Здесь отображается количество лицензированных адресов электронной почты, срок действия лицензии, список лицензированных модулей SecurIT Zgate - Контроль электронной почты (Zgate Mail) и Контроль Web-трафика (Zgate Web). Лицензированные модули отмечены галочкой зеленого цвета (рисунок 14).

Рисунок 14: Просмотр и управление лицензиями в SecurIT Zgate

Статистика. С этой вкладкой тоже всё понятно. Здесь отображается статистика работы сервера SecurIT Zgate (рисунок 15).

Рисунок 15: Статистика работы сервера SecurIT Zgate

Дополнительно. На этой вкладке отображены дополнительные настройки системы (рисунок 16). Подробное описание каждого из параметров находится в документации к продукту.

Рисунок 16: Настройки дополнительных параметров работы SecurIT Zgate

Доступ. Система SecurIT Zgate предоставляет возможность разграничивать права доступа по управлению и работе с архивом сообщений между несколькими пользователями. На этой вкладке осуществляется настройка доступа к системе (рисунок 17).

Рисунок 17: Управление доступом к системе SecurIT Zgate

Как мы уже говорили, по умолчанию права доступа для конфигурирования SecurIT Zgate настроены таким образом, что пользователи, входящие в группу локальных администраторов, имеют полный доступ ко всем функциям.

Для добавления пользователя либо группы пользователей в список доступа нажмите кнопку "+" и выберите нужную учетную запись либо группу. Затем, в нижней части окна укажите права, которыми необходимо наделить указанную учетную запись. Значок "V" означает, что пользователь получает право на эту операцию, "Х" значит, что пользователю запрещается доступ к этой функции. Права пользователя и группы, в которую он входят, суммируются аналогично принятой системе контроля доступа в Windows.

В качестве примера мы выбрали пользователя Guest и дали ему право на просмотр параметров и статистики (рисунок 18).

Рисунок 18: Выбор пользователя и назначение ему соответствующих прав

Журналирование. Система SecurIT Zgate позволяет реализовывать дополнительную обработку выполняемых ей операций посредством механизма обработки событий. Одним из вариантов такой обработки является журналирование работы SecurIT Zgate в системный журнал Windows, в файл или на Microsoft SQL Server.

По умолчанию журналирование событий отключено (рисунок 19). Вы можете самостоятельно включить журналирование того или иного события и выбрать как именно будет осуществляться ведение журнала событий.

Рисунок 19: Список событий, за которыми будет вестись наблюдение вSecurIT Zgate

Включение журналирования для какого-либо события осуществляется очень просто. Для этого необходимо выбрать нужное нам событие и щёлкнуть кнопку "+" справа от списка событий, после чего выбрать нужный вариант журналирования. Давайте, в качестве примера, выберем вариант "журналирование" (рисунок 20).

Рисунок 20: Настройка параметров журналирования события в файл или в системный журнал

Видно, что в этом случае можно выбрать вариант журналирования в системный журнал, причём можно выбрать любой компьютер локальной сети для хранения этого журнала или же выбрать вариант журналирования в файл. Причём доступны три варианта для формата файла: текстовый ANSI, текстовый Unicode и XML. Отличие записи журнала в формат XML в отличие от записи в текстовый файл заключается в том, что файл журнала в формате XML можно анализировать средствами системы SecurIT Zgate. Для текстовых файлов такая возможность исключена.

Также можно выбрать место расположения файла журнала и права пользователя, от имени которого будет вестись журналирование.

После нажатия кнопки "Далее" откроется окно с уже выбранным событием, плюс можно выбрать ещё события для журналирования с такими же параметрами (рисунок 21).

Рисунок 21: Выбор событий для журналирования в SecurIT Zgate

После выбора необходимых событий остаётся только нажать кнопку "Готово". Результат виден на рисунке 22. Возле журналируемых событий появились соответствующие значки с указанием параметров журналирования и места, куда журнал будет записываться.

Рисунок 22: Видно три события, которые журналируются в XML-файл

Также можно вести журналирование на сервер журналов и на Microsoft SQL Server. Прижурналирование на SQL-сервер, запись информации о событии производится модулем обработки в базу данных, организованную средствами Microsoft SQL Server.

При выборе журналирования на Microsoft SQL Server необходимо будет выбрать сам сервер с MSSQL, указать параметры пользователя и проверить соединение с базой данных. Если всё будет верно, то при проверке соединения будет предложено создать новую базу данных, имя указано системой SecurIT Zgate (рисунок 23).