Статьи Современные коммерческие снифферы

Discussion in 'Статьи' started by painfull, 23 Aug 2010.

  1. painfull

    painfull New Member

    Joined:
    23 Aug 2010
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Взято отсюда - http://myzarabotok.ru/?p=3228

    Итак, если вы заботитесь о безопасности личных данных и не желаете потерять свои деньги в результате утечки информации, и хотите, чтобы сеть работала без ошибок и перебоев, то вам просто необходимы программы средства защиты информации. На сегодняшний день можно выделить немало подобных систем, и особенно популярными являются снифферы – программы-анализаторы, перехватывающие сетевой трафик, который предназначен для сторонних узлов. По данным исследования Perimetrix 2008 для 80-ти процентов опрошенных контентная фильтрация остаётся самым популярным средством защиты от утечек.



    Давайте разложим по полочкам и попытаемся выяснить, что такое сниффер и с чем его едят.

    Сниффер – это аналитическая программа, основной задачей которой является перехват входящего и исходящего трафика. В данном контексте основной частью этого трафика является интернет-трафик.

    Эти программы помогают во многом: вычисление вирусного трафика, обнаружение вредоносного программного обеспечения, отправленного на ваши компьютеры с целью взлома (получение паролей, перехват cookies), локализация сетевых ошибок.



    Далее мы будем рассматривать частный случай снифферов - это корпоративные снифферы. Они предназначены для фильтрации, анализа, а также реагирования на передаваемые в интернет данные. Например вложения электронной почты или посещения интернет-сайтов.

    Сниффер, таким образом, это решение всевозможных проблем, связанных с сетевыми ресурсами вашей компании. Вычислить нерадивого сотрудника, отлынивающего от работы? Пожалуйста! Исправление багов в работе сайта? На здоровье. Нахождение ошибок, их анализ – все это сделает сниффер. Остается один весьма важный вопрос – какой сниффер лучше всего? Какой выбрать для решения максимального круга задач?

    Разработок сегодня на рынке программного обеспечения очень много на любой вкус о кошелёк. Думаю рассматривать бесплатные решения тут не стоит т.к. функционал у них несколько не дотягивает до необходимой планки анализа корпоративного трафика, да и задачи несколько иные. Мы постараемся сравнить цены (которые обычно скрываются для прямого выхода на клиентов) и функционал программ.





    В нашем обзоре мы остановимся на трёх популярных снифферах должного уровня: SearchInform, TamoSoft NetResident и pTraffer.







    SearchInform, пожалуй, можно назвать одним из самых знаменитых снифферов на рынке стран СНГ и России в том числе. Пользователями SearchInform являются многие крупные компании, чья деятельность связана с самыми разнообразными сферами жизни – от кораблестроения и банковского дела до производства бытовой техники и других агрегатов.



    Нельзя отрицать тот факт, что SearchInform по праву является столь популярной программой, ведь все обязанности, которые на нее возлагаются, она выполняет отменно. И перед многими другими снифферами она имеет массу преимуществ, среди которых, по словам разработчиков, главными являются следующие:

    легкость в инсталляции и эксплуатации, что позволяет работать с программой без какого-либо сотрудника компании-разработчика ПО;
    установка ПО не влияет на существующее функционирование сети;
    возможность прослеживать все каналы утечки информации, а также выполнять выбор лишь некоторых модулей;
    контроль над Skype;
    смежность с операционной системой Windows;
    абсолютную интеграцию с любой доменной структурой;
    возможность настройки системы оповещения без привлечения сторонних программистов и эффективная защита данных при минимальных затратах;
    позволяет разграничить права доступа к перехваченной информации
    возможность прослеживать места, где было замечено появление конфиденциальной информации;
    Возможность отследить активность определенного пользователя и просмотра информации, его интересующей;
    сохранение истории операций, когда-либо проводимых в данной сети.


    Все эти плюсы действительно имеют место быть, но есть один большой минус, который, к сожалению, очень часто перечеркивает их все, делая их незаметными в тени жирной отрицательной оценки – SearchInform программа далеко не дешевая. Нашей редакции удалось получить коммерческое предложение на программный комплекс в рассчёте на 365 ПК.





    Правда, каждый пользователь может получить триал-версию на 30 дней, но потом ему все равно придется раскошелиться, и обойдется ему это в кругленькую сумму. Поэтому для многих фирм, не имеющих огромного бюджета, использование SearchInform становится нереальной мечтой.

    Вторым заметным минусом для SearchInform стала необходимость установки удалённых агентов на ПК пользователей, что в известной степени позволяет отследить факт слежения и определить ПО которым оно осуществляется. В общем продвинутых пользователей тут не проведёшь.





    Впрочем, это не так страшно, потому что SearchInform – не единственное подобное решение проблем, и TamoSoft NetResident также популярен среди российских предпринимателей. Эта программа давно завоевала популярность не только у нас, в России, но и в странах Европы, Соединенных Штатах Америки и даже в Японии. Тамософт – это один из ведущих лидеров на рынке перехвата информации в компьютерных сетях и сетевых анализаторов, что, безусловно, делают ему большую честь. Особенно если учесть, что программное обеспечение довольно-таки неповоротливо и неудобное, и требует немалого ума от пользователя. Конечно же, подобный комплекс вряд ли будет использовать человек с базовыми знаниями системного администрирования, однако легкость в использовании и эксплуатации еще никому не мешала. Так, многие из плюсов, которые имеет SearchInform, у Тамософт отсутствуют – не все, но многие. Например возможность индексирования данных, чтобы скажем по отправителю письма найти где он ещё фигурировал и с кем общался возможным не представляется - у нэт-резидента своя собственная БД со своим форматом... Работа с этой программой возможна только при наличии в штате мозговитого программиста, сисадмина, который и будет выполнять за вас всю работу и объяснит вам все, что потребуется, а иначе справиться с тамософтом не выйдет никак. Зато на выбор предлагается сразу множество продуктов на любой вкус, которые подойдут в том или ином случае. Какой из них стоит выбрать, выбор зависит только от того, что требуется в вашем случае, и поэтому нужно особенно внимательно следить за описанием каждого.

    Глубокий анализ информации в сети может быть проведен с помощью таких инструментов, как CommViewи CommViewforWiFi, которые соответственно подойдут для проводных и беспроводных сетей. Удаленные агенты RA этих программ способны проводить анализ удаленные сети – и для домашних ПК существует облегченная версия CommViewHome. Стоит она, кстати, тоже, как и весит – меньше обычной базовой версии.

    Продукт NetResident позволяет отслеживать события, происходящие со всеми вашими файлами, папками и прочими данными, размещенными в сети. В случае необходимости можно даже прослушать разговоры по телефону, если они проводились через вашу сеть.

    Для учета трафика на офисных или домашних компьютерах пригодится CommTraffic, наверно, лучший из всех предлагаемых этой компанией софт. Уникальная технология перехвата информации в сети позволит определить отправленный и полученный трафик до байта, а особые настройки помогут разобраться в ней даже новичку, в отличие от многих других программ Тамософта.







    Но все же лучшим решением, на наш взгляд станет, программное обеспечение pTraffer, которое и завоевало за совсем небольшой промежуток времени (официально проект анонсирован в глобальной сети в январе 2009-го года, до этого момента он использовался только частными организациями) огромную популярность среди пользователей различных сетей. Отличаясь легкостью в использовании, pTraffer станет удобным инструментом, как для специалистов-знатоков, так и новичков, которым нелегко управлять сложным ПО на компьютере. Система защиты информации, которая станет для вас надежным помощником – это именно ptraffer.

    С помощью pTraffer вы можете контролировать каждый поток информации, как принимаемой, так и исходящей, от каждого пользователя в отдельности и всего сегмента сети в целом.

    С помощью этого продукта возможна работа с файлами дампа памяти и в режиме он-лайн, что стало возможным благодаря драйверу WinPcap. Пользователи pTraffer также могут в любое удобное для себя время восстановить переписку с каждым абонентом, а также использовать любой из доступных сейчас бесплатных индексаторов данных (Персональный яндекс, Google Desktop и т.п.) на свой вкус, что конечно выставляет продукт в выгодном цвете.

    При помощи данного системного продукта возможен перехват сообщений на более чем тридцати самых популярных на сегодняшний день сайтах знакомств России и СНГ и на двадцати пяти форумных движках, а также перехват запросов в более чем ста различных поисковых системах и CMS. Мы попросили от руководства проекта какие-то конкретные цифры о количестве поддерживаемых сайтов, ведь программа относительно новая, на что получили небольшой но говорящий список состоящий из ссылок.



    Сайты на форумном движке phpBB - примерно 2 540 000 000 сайтов

    Сайты на Invision Power Board (IPB) - примерно 5 360 000 сайтов

    Сайты на vBulletin - примерно 8 970 000 000 сайтов



    Сразу стало очевидно что подсчёты просто бессмыслены, ведь тут идёт речь только о форумных движках (3 из 24 гарантированных на сайте), а имеется ещё более сотни платных и бесплатных CMS движков.



    В этом программном обеспечении, в отличие от всех остальных, имеется возможность самостоятельного указания полей, например поисковых машин или сообщений на форумы. В интернете можно найти ролик в котором показан пример использования этого инструментария. Мы проверили - дайствительно можно самостоятельно расширять возможности функционала системы. Ранее подобного подхода, простого и логичного, мы не встречали, поэтому очевидно это уникальный плюс для pTraffer.

    Несомненным плюсом в копилку pTraffer`а будет система ежедневного контроля всех затрагиваемых web-ресурсов. Контроль может быть ручным и автоматическим, в зависимости от ваших умений. По факту это выглядит вот так



    По каждому пользователю видно какие именно страницы он посещал, его ИП, логин и другие необходимые данные. Важным замечанием является тот факт, что анализ идёт независимо от использования прокси-сервера и его портов (проверяются все порты).

    Также программа pTraffer «умеет» вычислять тех пользователей вашей компании, занимающихся вместо работы, скачиванием различных торрентов, при использовании Gmail, VNC, Google Talk, Jabber и прочих Интернет-сервисов. Это возможно благодаря сигнатурному анализу сессий, который работает полностью в автоматическом режиме.



    Удобный интерфейс и расширенный поисковый функционал (как встроенный, так и внешних индексаторов) позволяет проводить поиск в кратчайшие сроки по всем сохраненным ранее данным за несколько лет, при проведении расследований.



    Для каждой службы Вашей организации существует отдельный самостоятельный отчет. Так, например, служба безопасности получает:

    диалоги по определенному набору ключевых слов;
    общий список сообщений на всевозможные форумы, сайты, поисковые системы;
    исходящий и входящий трафик в мегабайтах;
    поисковые запросы отдельных сотрудников компании.


    Или, скажем, служба IT:

    отчеты по биллингу всего трафика в целом, либо разбитого по портам или протоколам;
    отчеты по сотрудникам: кто и какие сетевые сервисы использует по факту (Jabber, VNC, RDP, IRCи прочие);
    отчеты по Интернет-сайтам (независимо от прокси-сервера и портов).


    pTraffer разработан таким образом, что вы можете самостоятельно изменять функционал вашей копии системы, внося туда определенные коррективы и наработки. Также на форуме системы выложен внушнительный набор стандартных opensource-скрипов по расширению функционала.

    Общее впечатление от траффера создалось такое, что он вполне может выполнять роль части системы глобального эшелонирования населения, во всяком случае наши специалисты сошлись во мнении что часть разработок и идей продукта могут брать начало из системы COPM2 или её аналога.





    В ходе данной статьи мы познакомились с тремы системами мониторинга и контентного анализа, надеемся что чтение было приятным, а информация полезной!