Infowatch device monitor руководство администратора

Предложите, как улучшить StudyLib

(Для жалоб на нарушения авторских прав, используйте

другую форму
)

Ваш е-мэйл

Заполните, если хотите получить ответ

Оцените наш проект

1

2

3

4

5

1. Введение

2. Функциональные возможности InfoWatch Device Monitor 5.1

3. Системные требования InfoWatch Device Monitor 5.1

4. Установка InfoWatch Device Monitor 5.1

4.1. Установка серверной части

4.2. Установка клиентской части

4.3. Установка консоли управления

5. Работа с InfoWatch Device Monitor 5.1

5.1. Первоначальная настройка сервера InfoWatch Device Monitor

5.2. Настройка политик контроля рабочих станций в InfoWatch Device Monitor 5.1

6. Выводы

Введение

Современная DLP-система обязана контролировать практически все возможные каналы возможных утечек конфиденциальных данных. Хорошей практикой стал подход создания многокомпонентных DLP-систем, где защита различных каналов утечек конфиденциальной информации обеспечивается взаимосвязанными модулями. Это обеспечивает гибкость в развёртывании и управлении самой системой, полноту контроля и защиты данных и единое пространство политик безопасности для всех модулей. InfoWatch Traffic Monitor Enterprise полностью соответствует данной схеме работы.

В первой части обзора мы рассказывали о  компоненте InfoWatch Traffic Monitor, предназначенного для контроля сетевого трафика на уровне шлюза. Во второй части мы расскажем о другом компоненте — InfoWatch Device Monitor, который предназначен для контроля над использованием внешних устройств на рабочих станциях, а также контроля отдельных сетевых протоколов и активностей, которые невозможно отслеживать на уровне шлюза.

Функциональные возможности InfoWatch Device Monitor 5.1

InfoWatch Device Monitor 5.1 предназначен, в первую очередь, для предотвращения утечки конфиденциальной информации через съёмные устройства, порты, локальную или сетевую печать. Поддержка большого количества различных видов устройств позволяет обеспечить широкие возможности контроля рабочих станций. Также InfoWatch Device Monitor 5.1 способен создавать теневые копии потоков информации для их сохранения и последующего анализа.

Кроме того, InfoWatch Device Monitor 5.1 позволяет осуществлять контроль трафика по протоколам POP3, SMTP, IMAP, MAPI, S/MIME, FTP и HTTPS на уровне рабочих станций. Также он может осуществлять контроль систем передачи мгновенных сообщений Skype, Jabber (прокол XMPP) и Mail.ru агент (протокол ММР). Для Skype возможна запись голосовых сеансов связи для дальнейшей расшифровки и перевода в текст.

Важной особенностью клиентской части InfoWatch Device Monitor 5.1 является то, что агенты могут работать даже в том случае, когда операционная система загружена в безопасном режиме. Но при этом функциональность агентов будет частично ограничена (например, будет невозможен контроль устройств, доступ к которым в безопасном режиме запрещён операционной системой).

Отменить загрузку агента в безопасном или даже отладочном режиме невозможно, так как драйвер агента подписан Microsoft и является компонентом обязательным к загрузке.

Процесс агента невозможно выгрузить из памяти равно как и изменить ключи реестра связанные с ним, поскольку защита обеспечивается уровне драйвера.

На рисунке 1 показана схема принципа работы InfoWatch Device Monitor 5.1.

Рисунок 1. Схема принципа работы InfoWatch Device Monitor 5.1

Схема принципа работы InfoWatch Device Monitor 5.1

С общей схемой работы InfoWatch Traffic Monitor Enterprise можно ознакомиться в первой части обзора.

Системные требования InfoWatch Device Monitor 5.1

Аппаратные требования всех частей InfoWatch Device Monitor 5.1 соответствуют минимальным системным требованиям,  предъявляемым к используемой операционной системе, на которой они работают.

В таблице 1 показаны аппаратные и программные требования InfoWatch Device Monitor 5.1.

Таблица 1. Аппаратные и программные требования InfoWatch Device Monitor 5.1

Компонент Аппаратная часть ОС Другое ПО
Сервер InfoWatch Device Monitor 5.1 CPU: Intel Xeon x86 3GHzRAM 4 GBHD 300GB  Windows Server 2003-2012 (x86, x64) БД Oracle 11БД Microsoft SQL Server 2005, 2008, 2012 (все редакции)Microsoft .NET Framework 4.0
Клиент InfoWatch Device Monitor 5.1 CPU: Intel Pentium 4 2GHz или вышеRAM 512 MB  Microsoft Windows 2000 SP4 (ограниченная поддержка), XP — Windows 8.1 (x86, x64)  
Консоль управления InfoWatch Device Monitor 5.1   Все вышеперечисленные ОС  

Установка InfoWatch Device Monitor 5.1

Установка серверной части InfoWatch Device Monitor 5.1

В обзоре InfoWatch Device Monitor 4.0 мы уже рассматривали процесс установки этого модуля. В версии 5.1 кардинальных изменений процесса установки не произошло. Однако есть только два отличия:

  1. Появилась возможность автоматической публикации сервера InfoWatch Device Monitor в Active Directory (весьма полезная возможность, особенно в сложных инфраструктурах);
  2.  Более недоступна возможность использования встроенной БД и PostgreSQL.

В остальном, всё проходит аналогично. Тем не менее, для цельности изложения, пошагово, опишем процесс установки InfoWatch Device Monitor 5.1.

После запуска пакета установки и принятия лицензионного соглашения, необходимо указать какой вариант установки будет осуществляться: будет ли этот сервер InfoWatch Device Monitor 5.1 основным  или вспомогательным. Данная возможность обусловлена, что в InfoWatch Device Monitor 5.1 предусмотрена возможность балансировки нагрузки между серверами.

Рисунок 2. Выбор варианта установки InfoWatch Device Monitor 5.1

Выбор варианта установки InfoWatch Device Monitor 5.1

Если на предприятии используется служба Microsoft Active Directory, следует указать, что сервер нужно опубликовать в Active Directory.

В том случае, если уже есть отдельный сервер БД, который используется в работе InfoWatch Traffic Monitor Enterprise, можно снять флажок «Установить новую базу данных». В противном случае оставляем вариант по умолчанию. Далее необходимо

выбрать тип базы данных. Поддерживаются базы данных Oracle или Microsoft SQL, см. рисунок 3.

Рисунок 3. Выбор базы данных InfoWatch Device Monitor 5.1

Выбор базы данных InfoWatch Device Monitor 5.1

В нашем случае выбираем Microsoft SQL Server и переходим к настройке параметров соединения с сервером базой данных, как это показано на рисунке 4.

Рисунок 4. Настройка параметров соединения с сервером БД для InfoWatch Device Monitor 5.1

Настройка параметров соединения с сервером БД для InfoWatch Device Monitor 5.1

В соответствующих полях указываем адрес или имя сервера БД, имя базы данных.

С точки зрения безопасности лучше использовать аутентификацию Windows для авторизации с БД. Но можно использовать и встроенную в SQL Server.

Поскольку мы проводим тестовую установку,  выбираем более простой вариант — встроенную аутентификацию. Далее проводится автоматическая проверка связи с сервером БД. Если всё введено корректно, то система перейдёт к следующему этапу установки. В противном случае будет показано отдельное окно с сообщением о том, что соединиться с сервером БД не удалось.

На следующем этапе необходимо настроить сетевые параметров сервера InfoWatch Device Monitor, они показаны на рисунке 5.

Рисунок 5. Настройка сетевых параметров сервера InfoWatch Device Monitor 5.1

Настройка сетевых параметров сервера InfoWatch Device Monitor 5.1

Порты подключения, которые предлагаются по умолчанию, можно не изменять.

Далее необходимо будет указать от имени какой учётной записи будут запускать службы серверной части InfoWatch Device Monitor.

Рисунок 6. Выбор учётной записи для запуска InfoWatch Device Monitor 5.1

Выбор учётной записи для запуска InfoWatch Device Monitor 5.1

Можно оставить вариант по умолчанию — Local System. Если же этот вариант не подходит с точки зрения политики безопасности, принятой в инфраструктуре, можно указать другую учётную запись пользователя.

Для управления сервером InfoWatch Device Monitor необходимо создать учётную запись администратор сервера InfoWatch Device Monitor и установить сложный пароль.

Рисунок 7. Создание учётной записи администратора InfoWatch Device Monitor 5.1

Создание учётной записи администратора InfoWatch Device Monitor 5.1

Поскольку схема развёртывания InfoWatch Device Monitor подразумевает использование сервера InfoWatch Trafic Monitor для анализа данных, собранных сервером InfoWatch Device Monitor, необходимо указать параметры соединения с сервером InfoWatch Traffic Monitor.

Рисунок 8. Настройка параметров соединения с сервером InfoWatch Traffic Monitor 5.1

Настройка параметров соединения с сервером InfoWatch Traffic Monitor 5.1

Также можно дополнительно указать, что данный сервер InfoWatch Device Monitor будет работать в автономном режиме. Тогда становится активной опция «Сохранять теневые копии», что позволит хранить теневые копии перехваченных данных конкретно на этом сервере.

После этого установка продолжится в автоматическом режиме и не будет требовать вмешательства пользователя. По окончанию установки сервер InfoWatch Device Monitor готов к работе.

Теперь кратко расскажем об установке клиентской части InfoWatch Device Monitor.

Установка клиентской части InfoWatch Device Monitor 5.1

Установка агентов на конечные точки сети происходит очень просто. Единственное, что нужно будет указать в процессе установки — это параметры соединения клиента с сервером InfoWatch Device Monitor, как это показано на рисунке 9.

Рисунок 9. Настройка параметров соединения клиента с сервером InfoWatch Device Monitor 5.1

Настройка параметров соединения клиента с сервером InfoWatch Device Monitor 5.1

Клиентская часть InfoWatch Device Monitor может быть установлена как в ручном режиме, так и с помощью средств удалённой установки приложений на рабочих станциях, например, с помощью GPO в среде Microsoft Active Directory или же собственными средствами.

По окончанию установки — рабочую станцию необходимо перезагрузить, после чего клиент полностью готов к работе. В большинстве случаев подобное программное обеспечение желательно устанавливать скрытно, без каких-либо уведомлений для пользователя, так называемая «тихая установка» (silent install).Клиентская часть InfoWatch Device Monitor поддерживает такой вариант установки.

Рисунок 10. Окно управлениями задачами удалённой работы с агентами InfoWatch Device Monitor 5.1

Окно управлениями задачами удалённой работы с агентами InfoWatch Device Monitor 5.1

Установка Консоли управления InfoWatch Device Monitor 5.1

Консоль управления включена в состав пакета установки серверной части InfoWatch Device Monitor и может быть установлена как на сервер с InfoWatch Device Monitor, так и на любую другую рабочую станцию. Для этого достаточно запустить пакет установки InfoWatch Device Monitor и в окне выбора компонентов (см. рисунок 11), отключить установку сервера, оставив только консоль.

Рисунок 11. Окно выбора компонентов InfoWatch Device Monitor 5.1

Окно выбора компонентов InfoWatch Device Monitor 5.1

На этом мы закончим рассмотрение процесса установки InfoWatch Device Monitor и перейдём к описанию порядка работы с InfoWatch Device Monitor 5.1.

Работа с InfoWatch Device Monitor 5.1

Работа с InfoWatch Device Monitor осуществляется с помощью консоли управления.

В отличие от общей веб-консоли InfoWatch Traffic Monitor, консоль управления InfoWatch Device Monitor – это отдельно устанавливаемое программное обеспечение. Эти две консоли никак не связаны между собой и не могут использоваться для управления «не родными» компонентами.

Консоль InfoWatch Device Monitor используется в первую очередь для конфигурирования перехватчиков на рабочих станциях. Политики безопасности контроля типов данных и методы анализа задаются с помощью консоли InfoWatch Traffic Monitor.

При первом запуске консоли управления необходимо указать адрес сервера и учётные данные администратора сервера InfoWatch Device Monitor, как это показано на рисунке 12.

Рисунок 12. Окно выбора сервера для подключения к InfoWatch Device Monitor 5.1

Окно выбора сервера для подключения к InfoWatch Device Monitor 5.1

После удачной авторизации, откроется главное окно консоли управления InfoWatch Device Monitor, которое показано на рисунке 13.

Рисунок 13. Главное окно консоли управления InfoWatch Device Monitor 5.1

Главное окно консоли управления InfoWatch Device Monitor 5.1

Как видим, консоль управления достаточно хорошо продумана и имеет интуитивно понятный интерфейс. Все разделы консоли однородны и управляются по единому принципу.

Первоначальная настройка сервера InfoWatch Device Monitor

Первым шагом, который нужно сделать в начале работы с InfoWatch Device Monitor — это добавить учётные записи пользователей, которые смогут работать с сервером InfoWatch Device Monitor с помощью консоли управления и назначить им соответствующие роли для распределения прав доступа.

Дело в том, что та учётная запись администратора, которую мы создавали в процессе установки InfoWatch Device Monitor — это учётная запись суперпользователя, который обладает полным набором прав. Данная учётная запись не рекомендуется для использования рядовыми сотрудниками отдела информационной безопасности, так как она имеет избыточные права.

Как и в InfoWatch Traffic Monitor, , в InfoWatch Device Monitor аналогичная схема разделения прав доступа в консоли управления. Создаются пользователи, пользователям назначаются роли (наборы прав). Но есть и отличия в InfoWatch Device Monitor,— роли редактировать нельзя.

Есть две предустановленные роли: «Офицер безопасности» и «Локальный администратор».

Роль «Локальный администратор» используется для управления учётными записями консоли управления, а роль «Офицер безопасности» используется для управления сервером InfoWatch Device Monitor.

Для того, чтобы создать новую учётную запись пользователя консоли управления, идём в меню «Инструменты» и выбираем «Пользователи консоли».

Рисунок 14. Создание новой учётной записи пользователя консоли управления InfoWatch Device Monitor 5.1

Создание новой учётной записи пользователя консоли управления InfoWatch Device Monitor 5.1

Следующий шаг — проверка и корректировка настроек сервера, доступ к которым есть в меню «Инструменты» — «Настройки».

Кратко пройдёмся по настройкам.

Сперва посмотрим общие настройки сервера InfoWatch Device Monitor, а именно: параметры соединения с клиентами, контроля дискового пространства на клиентах, логирования и уведомлений (см. рисунок 15).

Рисунок 15. Общие настройки сервера InfoWatch Device Monitor 5.1

Общие настройки сервера InfoWatch Device Monitor 5.1

Для контроля трафика на уровне рабочих станций, необходимо указать сегменты корпоративной сети.

Также нужно указать существующие в инфраструктуре домены и заполнить список разрешённых серверов, где следует перечислить все сервера с InfoWatch Device Monitor.

Это можно сделать в меню «Корпоративная сеть» (рисунок 16).

Рисунок 16. Настройка параметров корпоративной сети в InfoWatch Device Monitor 5.1

Настройка параметров корпоративной сети в InfoWatch Device Monitor 5.1

Кроме этого, в меню «Настройки» содержится много других опций, которые отвечают за работу всей системы. Например, настройки контроля программ обмена мгновенными сообщениями: как часто делать копии чата; разрешение на работу Skype и т.д. А также указать исключения, для которых исходящий трафик не должен контролироваться. Разрешение внешних адресов может понадобиться, например, для обеспечения работы с внешними ресурсами и обновления установленных программ.

Для зарегистрированных серверов InfoWatch Device Monitor можно изменять параметры соединения с общим сервером InfoWatch Trafic Monitor, на который могут пересылаться события для анализа.

Есть возможность настройки интеграции с LDAP-серверами, которая позволяет синхронизировать списки учётных записей сотрудников и рабочих станций, что упрощает эксплуатацию InfoWatch Device Monitor для сотрудников службы безопасности.

В зависимости от нужд компании и предпочтений службы безопасности, можно настраивать тип и текст уведомлений агента, которые может получать пользователь на рабочей станции.

Последнее, на что стоит обратить внимание в настройках, — это возможность исключения приложений из перехвата (см. рисунок 17). Исключения необходимы как для обеспечения корректной работы операционной системы, отдельных приложения, а также целых категорий приложений (к примеру, средства защиты). В системе уже есть предустановленный список исключений, который можно дополнять и редактировать.

Рисунок 17. Список исключённых из перехвата приложений в InfoWatch Device Monitor 5.1

Список исключённых из перехвата приложений в InfoWatch Device Monitor 5.1

Настройка политик контроля рабочих станций в InfoWatch Device Monitor 5.1

После того как первоначальная настройка сервера выполнена, можно переходить к следующему этапу — настройке системы для контроля рабочих станций.

Анализ данных осуществляется на основе политик. Политики — это наборы правил, которые указывают какие данные, с каких устройств и по каким каналам связи необходимо контролировать. Политики назначаются группам сотрудников и группам рабочих станций.

Политики, группы станций и сотрудников, белые списки устройств и сигнатуры форматов файлов в совокупности называются «Схемой безопасности».

В процессе работы схема безопасности может неоднократно редактироваться, при этом последняя сохранённая версия считается текущей. Старые варианты схем безопасности не удаляются, а хранятся в базе данных. Всегда можно вернуться к прежней схеме или же посмотреть когда и кем она редактировалась.

Перейдём непосредственно к работе с политиками.

Средство управления конфигурациями позволяет как редактировать существующие политики, так и создавать новые.

Для дальнейшей демонстрации работы системы, изменим ряд готовых правил.

На рисунке 18 показан общий принцип редактирования правил. В качестве примера мы запретим использование протокола FTP.

Рисунок 18. Редактирование правила контроля FTP InfoWatch Device Monitor 5.1

Редактирование правила контроля FTP InfoWatch Device Monitor 5.1

Как видим, правилам можно задавать даже период действия или размер файла, который может быть перехвачен.

В политику контроля на устройства добавим правило запрета локальной печати.

Для этого выберем эту политику и нажмём кнопку «Добавить правило».

В открывшемся окне обязательно укажем имя правила, в качестве перехватчика выбираем «Device Monitor», а в списке устройств — «Локальный принтер».

Рисунок 19. Создание правила запрета локальной печати в InfoWatch Device Monitor 5.1

Создание правила запрета локальной печати в InfoWatch Device Monitor 5.1

Нажимаем кнопку «Сохранить» и сохраняем новую версию схемы безопасности.

Можем считать, что тестовая политика безопасности у нас создана.

Теперь переходим к следующему разделу консоли управления — «Группы сотрудников».

Как мы уже говорили, нельзя применить политику безопасности к отдельно взятому сотруднику. Политика безопасности применяется только к группам сотрудников. Поэтому, даже если есть необходимость применить политику к отдельному сотруднику, нужно создать новую группу и поместить туда учётную запись соответствующего сотрудника.

Также стоит учитывать, что на сотрудников влияют и политики для рабочих станций. Поэтому, в случае применения нескольких правил, приоритет отдаётся более строгому правилу, т.е. запрещающее правило имеет более высокий приоритет перед разрешающим.

Чтобы сотрудникам службы безопасности было легче отслеживать применение политик к группам сотрудников и рабочих станций, в InfoWatch Device Monitor существует возможность просмотра результирующей политики.

После установки сервера InfoWatch Device Monitor автоматически создаётся группа сотрудников по умолчанию, куда помещаются все сотрудники, список которых получен с рабочих станций и серверов каталогов инфраструктуры.

Создадим отдельную группу TEST, куда поместим учётные записи пользователей нашего домена и применим к этой группе политику теневого копирования.

Как видно на рисунке 20, это достаточно просто сделать.

Рисунок 20. Создание новой группы сотрудников в InfoWatch Device Monitor 5.1

Создание новой группы сотрудников в InfoWatch Device Monitor 5.1

Аналогично ведётся работа и с группами рабочих станций.

В качестве примера мы создали группу рабочих станций TEST и поместили туда две рабочие станции. К этой группе мы применили политику на устройства (см. рисунок 21).

Рисунок 21. Создание группы рабочих станций в InfoWatch Device Monitor 5.1

Создание группы рабочих станций в InfoWatch Device Monitor 5.1

Поскольку в компаниях всегда используется очень большое количество устройств, то нет необходимости контролировать или запрещать их все. Тому может быть много причин. Чтобы исключить эти устройства из проверки и контроля, предусмотрена возможность создания белых списков. Устройства, которые помещены в этот список будет всегда безусловно разрешены для использования.

Добавлять устройства в белый список можно как по модели, так и по идентификатору устройства.

Для контроля файловых операций в InfoWatch Device Monitor используются сигнатуры. Они представляют собой готовые описания структуры форматов файлов.

Список сигнатур очень обширен и содержит несколько тысяч записей, разбитых на определённые категории (CAD-системы, аудио, архивы и прочее).

Рисунок 22. Предустановленные категории сигнатур в InfoWatch Device Monitor 5.1

Предустановленные категории сигнатур в InfoWatch Device Monitor 5.1

Также можно создавать свои категории и добавлять в них сигнатуры из списка имеющихся.

Для сотрудников отдела информационной безопасности всегда важно знать кто и когда работал в системе. Для предоставления актуальной информации касательно работы с системой предназначен журнал событий консоли управления. В нём можно посмотреть все события, которые связаны с работой в консоли управления (см. рисунок 23).

Также можно создавать свои журналы для автоматической фильтрации событий, чтобы всегда можно было получать актуальную оперативную информацию.

Рисунок 23. Журнал работы консоли управления InfoWatch Device Monitor 5.1

Журнал работы консоли управления InfoWatch Device Monitor 5.1

Любая DLP-система обязана предоставлять сотрудникам службы безопасности полные и детализированные отчёты о зарегистрированных инцидентах. InfoWatch Device Monitor этому не исключение. Все события, которые произошли на рабочих станциях и были зафиксированы агентами можно просмотреть в журнале событий сервера.

Можно просмотреть все события, а можно создать свой фильтр, с выборкой по определённому периоду. По каждому событию можно получить самую детальную информацию. На рисунке 24 показаны все события, которые были зафиксированы, а также результаты применения настроенных ранее политик.

Рисунок 24. Списоксобытий InfoWatch Device Monitor 5.1

Список событий InfoWatch Device Monitor 5.1

Как видим, система работает корректно. Локальная печать была заблокирована, попытка записи файла на съёмное устройство была зафиксирована, файл передан на анализ на сервер InfoWatch Traffic Monitor, тоже самое и касается данных, которые были перехвачены по протоколу HTTPS.

На этом мы заканчиваем обзор InfoWatch Device Monitor 5.1 и переходим к выводам.

Выводы

Как видим, InfoWatch Traffic Monitor Enterprise 5.1 обеспечивает надёжную защиту рабочих станций от утечек информации через внешние устройства благодаря компоненту InfoWatch Device Monitor. Простая и понятная логика работы этой системы позволяет в краткие сроки развернуть её в инфраструктуре и обучить персонал.

Достоинства:

  • Возможность контроля сетевого трафика на рабочих станциях по протоколам POP3, SMTP, IMAP, MAPI, S/MIME, FTP, HTTPS на уровне рабочих станций;
  • Возможность контроля систем обмена мгновенными сообщениями такими как GTalk, Skype, Mail.Ru Агент, Jabber на уровне рабочих станций;
  • Большой список поддерживаемых устройств;
  • Большой список сигнатур файлов для анализа;
  • Контроль принадлежности рабочей станции к корпоративной сети (при смене сети на рабочей станции сужается круг разрешённых сетевых соединений, в данном случае предусмотрена возможность принудительного использования VPN);
  • Теневое копирование данных с устройств даже при отсутствии соединения с корпоративной сетью;
  • Высокий уровень защиты агента от постороннего вмешательства в его работу или принудительного завершения его работы;
  • Возможность предоставления сотрудником службы безопасности временного доступа к какому-либо устройству на рабочей станции по коду доступа, который можно сообщить работнику, к примеру, в телефонном режиме;
  • Простота в установке и настройке;
  • Удобная интуитивно понятная консоль управления;
  • Детальная информация по инцидентам.

Недостатки:

  • На наш взгляд стоит придерживаться единой политики относительно консоли управления. Если InfoWatch Traffic Monitor снабжён новой веб-консолью, то этого же стоит ожидать и для других компонентов системы. Несколько видов консолей создают неудобство в использовании;
  • Для списка событий крайне желательно наличие фильтрации не только по временному периоду, а и по другим атрибутам событий;
  • Отсутствие возможности контроля буфера обмена (в т. ч. Print Screen);
  • Отсутствие средств анализа статистики инцидентов и построения отчетов в консоли управления InfoWatch Device Monitor.
  • Отсутствие контроля запуска приложений (планируется в 2014 году).

В первой части обзора мы рассмотрели нововведения и общие функциональные возможности InfoWatch Traffic Monitor Enterprise 5.1. А также узнали как выполнять установку, первоначальную настройку и основные принципы работы с шлюзовой частью этого продукта.

Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 1 — защита от утечек на шлюзе 

Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 3 — поиск конфиденциальных данных

Page 1: Руководство по установке и конфигурированию

InfoWatch Traffic Monitor Enterprise 3.5 Руководство по установке и конфигурированию

Page 2: Руководство по установке и конфигурированию

INFOWATCH TRAFFIC MONITOR ENTERPRISE 3 .5

Руководство по установке и

конфигурированию

© ЗАО “ИнфоВотч” Тел. +7 (495) 229-00-22 • Факс +7 (495) 229-00-22

http://www.infowatch.com

Дата редакции: март 2011 года

Page 3: Руководство по установке и конфигурированию

СОДЕРЖАНИЕ

ВВЕДЕНИЕ………………………………………………………………………………………………………………………………………………………… 5

Аудитория ……………………………………………………………………………………………………………………………………………………… 5

Структура руководства ………………………………………………………………………………………………………………………………….. 5

Дополнительная документация …………………………………………………………………………………………………………………….. 6

Условные обозначения …………………………………………………………………………………………………………………………………. 6

Техническая поддержка пользователей ………………………………………………………………………………………………………… 7

ГЛАВА 1. ОБЗОР INFOWATCH TRAFFIC MONITOR ENTERPRISE 3.5 ……………………………………………………………… 8

1.1. Функции InfoWatch Traffic Monitor Enterprise 3.5 ………………………………………………………………………………………. 8

1.2. Состав InfoWatch Traffic Monitor Enterprise 3.5 …………………………………………………………………………………………. 9

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ ………………………………………………………………………………………………………….. 10

2.1. Схемы развертывания Системы …………………………………………………………………………………………………………… 10

2.1.1. Перехват копии SMTP-трафика (работа с почтовым relay-сервером) ……………………………………………. 10

2.1.2. Перехват копии трафика при помощи Sniffer …………………………………………………………………………………. 12

2.1.3. Перехват HTTP-трафика, передаваемого по протоколу ICAP ……………………………………………………….. 16

2.1.4. Прием объектов, перехваченных InfoWatch Device Monitor ……………………………………………………………. 19

2.1.5. Прием объектов от DeviceLock ………………………………………………………………………………………………………. 21

2.2. Аппаратные и программные требования ………………………………………………………………………………………………. 23

2.2.1. Traffic Monitor Server……………………………………………………………………………………………………………………….. 23

2.2.2. Sniffer ……………………………………………………………………………………………………………………………………………… 24

2.2.3. Модуль IW ICAP …………………………………………………………………………………………………………………………….. 25

2.2.4. Модуль взаимодействия с удаленной базой данных ……………………………………………………………………… 25

2.2.5. Сервер СУБД Oracle ………………………………………………………………………………………………………………………. 26

2.2.6. Management Console ……………………………………………………………………………………………………………………… 26

2.3. Настройка Postfix …………………………………………………………………………………………………………………………………… 27

ГЛАВА 3. УСТАНОВКА СИСТЕМЫ ………………………………………………………………………………………………………………….. 28

3.1. Схема базы данных ………………………………………………………………………………………………………………………………. 28

3.1.1. Рекомендации по созданию схемы базы данных …………………………………………………………………………… 28

3.1.2. Создание схемы базы данных ……………………………………………………………………………………………………….. 30

3.2. Traffic Monitor Server ……………………………………………………………………………………………………………………………… 39

3.2.1. Установка и настройка …………………………………………………………………………………………………………………… 40

3.2.2. Установка и замена лицензии на перехватчики ……………………………………………………………………………… 45

3.2.2.1. Особенности использования лицензионного ключа ………………………………………………………………… 45

3.2.2.2. Установка и замена лицензионного ключа ……………………………………………………………………………… 47

3.2.3. Установка и замена лицензии на технологии контентного анализа ……………………………………………….. 47

3.2.3.1. Особенности использования лицензии …………………………………………………………………………………… 47

3.2.3.2. Установка и замена лицензии …………………………………………………………………………………………………. 48

3.2.4. Настройка DNS для поддержки Active Directory ……………………………………………………………………………… 48

3.2.5. Проверка интеграции Postfix и Traffic Monitor Server ………………………………………………………………………. 49

3.2.6. Настройка параметров взаимодействия со Sniffer …………………………………………………………………………. 50

3.2.6.1. Прием копии трафика от Sniffer ………………………………………………………………………………………………. 50

3.2.6.2. Создание кластера Traffic Monitor Server …………………………………………………………………………………. 51

3.2.7. Установка и настройка модуля взаимодействия с удаленной базой данных …………………………………. 52

3.2.7.1. Установка клиентской части модуля взаимодействия с удаленной БД (филиал) ……………………. 52

3.2.7.2. Установка серверной части модуля взаимодействия с удаленной БД (центральный офис) …… 54

Page 4: Руководство по установке и конфигурированию

4 InfoWatch Traffic Monitor Enterprise 3.5

3.2.8. Установка и настройка модуля IW ICAP …………………………………………………………………………………………. 55

3.2.9. Кластер Traffic Monitor Server c одним Сервером контентного анализа………………………………………….. 59

3.3. Sniffer …………………………………………………………………………………………………………………………………………………….. 59

3.4. Management Console …………………………………………………………………………………………………………………………….. 60

3.4.1. Установка Management Console …………………………………………………………………………………………………….. 60

3.4.2. Настройка соединения с сервером СУБД Oracle ……………………………………………………………………………. 61

3.4.3. Настройка параметров анализа и мониторинга объектов ……………………………………………………………… 62

ГЛАВА 4. ОБНОВЛЕНИЕ СИСТЕМЫ ………………………………………………………………………………………………………………. 63

4.1. Порядок обновления Системы ……………………………………………………………………………………………………………… 63

4.2. Загрузка очередей объектов …………………………………………………………………………………………………………………. 64

4.3. Схема базы данных ………………………………………………………………………………………………………………………………. 65

4.3.1. Подготовка к обновлению схемы базы данных ………………………………………………………………………………. 65

4.3.2. Обновление схемы базы данных …………………………………………………………………………………………………… 67

4.3.3. Подготовка схемы базы данных к работе ………………………………………………………………………………………. 69

ГЛАВА 5. УДАЛЕНИЕ СИСТЕМЫ …………………………………………………………………………………………………………………….. 70

5.1. Схема базы данных ………………………………………………………………………………………………………………………………. 70

5.1.1. Подготовка к удалению ………………………………………………………………………………………………………………….. 70

5.1.2. Удаление схемы базы данных ……………………………………………………………………………………………………….. 71

5.2. Модуль взаимодействия с удаленной базой данных …………………………………………………………………………….. 72

5.3. Модуль IW ICAP ……………………………………………………………………………………………………………………………………. 72

5.4. Traffic Monitor Server ……………………………………………………………………………………………………………………………… 73

5.5. Sniffer …………………………………………………………………………………………………………………………………………………….. 74

5.6. Management Console …………………………………………………………………………………………………………………………….. 74

ПРИЛОЖЕНИЕ A. РЕКОМЕНДАЦИИ ПО УСТАНОВКЕ СУБД ORACLE ………………………………………………………….. 75

A.1. Сервер СУБД Oracle …………………………………………………………………………………………………………………………….. 75

A.1.1. Рекомендации по установке ………………………………………………………………………………………………………….. 75

A.1.2. Подготовка к установке ………………………………………………………………………………………………………………….. 75

A.1.3. Установка сервера базы данных ……………………………………………………………………………………………………. 77

A.1.4. Настройка сервера базы данных …………………………………………………………………………………………………… 81

A.2. Клиент СУБД Oracle ……………………………………………………………………………………………………………………………… 82

A.2.1. Рекомендации по установке клиента СУБД Oracle на платформу Linux ………………………………………… 83

A.2.1.1. Подготовка к установке …………………………………………………………………………………………………………… 83

A.2.1.2. Установка клиента ………………………………………………………………………………………………………………….. 84

A.2.2. Настройка параметров соединения с сервером СУБД Oracle ……………………………………………………….. 85

A.2.3. Проверка взаимодействия между клиентом и сервером СУБД Oracle …………………………………………… 85

ПРИЛОЖЕНИЕ B. РЕКОМЕНДАЦИИ ПО СОСТАВЛЕНИЮ ИМЕН И ПАРОЛЕЙ …………………………………………….. 86

ПРИЛОЖЕНИЕ C. РАЗРЕШЕНИЕ ПРОБЛЕМ …………………………………………………………………………………………………. 88

C.1. Проблемы со схемой базы данных ………………………………………………………………………………………………………. 88

C.2. Проблемы с Traffic Monitor Server …………………………………………………………………………………………………………. 92

ПРИЛОЖЕНИЕ D. ЛИЦЕНЗИИ ТРЕТЬИХ СТОРОН ………………………………………………………………………………………… 93

ГЛОССАРИЙ ……………………………………………………………………………………………………………………………………………………. 94

УКАЗАТЕЛЬ …………………………………………………………………………………………………………………………………………………….. 96

Page 5: Руководство по установке и конфигурированию

ВВЕДЕНИЕ

В настоящем руководстве вы можете найти сведения по установке и настройке InfoWatch Traffic Monitor Enterprise 3.5.

Аудитория

Информация, содержащаяся в руководстве, предназначена для пользователей, выполняющих установку и настройку InfoWatch Traffic Monitor.

Руководство рассчитано на пользователей, знакомых с основами работы в среде той операционной сис-темы, в которой выполняется установка компонентов InfoWatch Traffic Monitor (Linux, Microsoft Windows). InfoWatch Traffic Monitor взаимодействует с базой данных, находящейся под управлением СУБД Oracle. Поэтому при настройке Системы также необходимы навыки администрирования СУБД Oracle.

Структура руководства

В настоящем руководстве вы можете найти следующую информацию:

Глава 1. Обзор InfoWatch Traffic Monitor Enterprise 3.5 (стр. 8).

Содержит общие сведения о Системе.

Глава 2. Подготовка к установке (стр. 10).

Описывает требования к аппаратному и программному обеспечению, необходимому для работы Системы; порядок установки компонентов Системы.

Глава 3. Установка системы (стр. 28).

Содержит рекомендации по установке компонентов Системы и описание установки. Также здесь описываются правила получения и установки лицензионного ключа.

Глава 4. Обновление системы (стр. 63).

В разделе содержится информация по обновлению компонентов Системы.

Глава 5. Удаление системы (стр. 70).

Приводятся сведения по удалению компонентов Системы.

Приложение A. Рекомендации по установке СУБД Oracle (стр. 75).

Содержит рекомендации по установке серверной и клиентской части СУБД Oracle. Также здесь приводятся рекомендации по настройке взаимодействия между базой данных и другими компонен-тами Системы.

Приложение B. Рекомендации по составлению имен и паролей (стр. 86).

Приводится набор правил для составления имен и паролей пользователей, даются рекомендации по составлению надежных паролей.

Приложение C. Разрешение проблем (стр. 88).

В приложении описываются проблемы, которые могут возникнуть в процессе установки и настрой-ки Системы, а также способы их разрешения.

Приложение D. Лицензии третьих сторон (стр. 93).

Содержит информацию о лицензиях на стороннее программные компоненты, использованные в продукте.

Page 6: Руководство по установке и конфигурированию

6 InfoWatch Traffic Monitor Enterprise 3.5

Дополнительная документация

Сведения по некоторым дополнительным вопросам вы можете найти в следующих документах:

«InfoWatch Traffic Monitor Enterprise 3.5. Руководство пользователя».

В документе описывается работа с InfoWatch Traffic Monitor Enterprise (настройка конфигурации, экспорт/импорт данных, правила составления сценария обработки объектов).

«InfoWatch Traffic Monitor Enterprise 3.5. Руководство администратора».

Содержит информацию по администрированию Системы (база данных, серверная часть).

«InfoWatch Device Monitor. Руководство пользователя»

Содержит описание принципов работы системы InfoWatch Device Monitor.

«InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию».

В документе описывается установка и первоначальная настройка InfoWatch DeviceLock Adapter.

«InfoWatch DeviceLock Adapter. Руководство администратора».

В документе приводятся сведения по настройке и мониторингу работы InfoWatch DeviceLock Adapter.

В настоящем руководстве не рассматриваются вопросы установки и настройки СУБД Oracle. За получе-нием необходимых сведений вы можете обратиться к соответствующей документации.

Условные обозначения

Для наглядности в тексте документации используются различные стили оформления. Области примене-ния стилей указаны в таблице 1.

Таблица 1. Стили оформления

Стиль оформления Область применения Пример

Полужирный шрифт Названия элементов графического пользовательского интерфейса (кнопки, команды меню и пр.)

Нажмите кнопку Старт

Курсив При описании таблиц, в примерах, описаниях – названия и значения атрибутов объектов

После выполнения запроса Запрещено

Шрифт Courier New Имена файлов, примеры текста про-грамм.

При описании конфигурационных файлов – значения параметров, примеры настройки

Проверка запуска Traffic Monitor Server осуществляется командами:

service iw-trafmon status

service iw-caserv status

ШРИФТ COURIER NEW

(ВЕРХНИЙ РЕГИСТР)

При описании конфигурационных файлов – названия секций файла (в квадратных скобках), переменных, параметров.

При описании базы данных – ключе-вые слова SQL, инструкции PL/SQL, типы данных, привилегии

Параметры автозапуска задаются в фай-ле /usr/local/infowatch/tm3/etc/tm.

conf, секция [AUTO_RESTART]

В таблице 2 приводятся условные обозначения, используемые при описании командной строки.

Page 7: Руководство по установке и конфигурированию

Введение 7

Таблица 2. Условные обозначения для командной строки

Условное обозначение Расшифровка Пример

Шрифт Courier New Команды и параметры Остановите процессы Traffic Mon-itor Server:

service iw-trafmon stop

Шрифт Courier New (курсив) Значения, вводимые пользовате-лем

File путь_к_файлу

[Параметр] Необязательные параметры [Дата]

Значение 1 | Значение 2 Набор, из которого нужно указать одно значение

On | Off

Техническая поддержка пользователей

При возникновении проблем и вопросов, связанных с работой продукта вы можете обратиться в службу технической поддержки:

Если вы приобрели продукт у партнера компании InfoWatch, то обратитесь в службу технической поддержки партнера.

Если продукт приобретен у компании InfoWatch напрямую, то вы можете обратиться в службу тех-нической поддержки компании InfoWatch по адресу [email protected]

Часы работы Службы технической поддержки – с 10-00 до 18-00 с понедельника по пятницу по мо-сковскому времени, исключая официальные выходные и праздничные дни в РФ.

Вы также можете посетить раздел технической поддержки на нашем сайте: http://www.infowatch.ru/support.html.

Перед обращением в службе технической поддержки мы рекомендуем вам посетить раздел База знаний на нашем сайте: http://www.infowatch.ru/faq/infowatch-traffic-monitor-enterprise. Возможно там уже содер-жится ответ, на интересующий вас вопрос или описано решение возникшей у вас проблемы.

Page 8: Руководство по установке и конфигурированию

ГЛАВА 1. ОБЗОР INFOWATCH TRAFFIC

MONITOR ENTERPRISE 3.5

В этой главе:

Функции InfoWatch Traffic Monitor Enterprise 3.5 (п. 1.1 на стр. 8).

Состав InfoWatch Traffic Monitor Enterprise 3.5 (п. 1.2 на стр. 9).

1.1. Функции InfoWatch Traffic Monitor

Enterprise 3.5

InfoWatch Traffic Monitor Enterprise 3.5 позволяет контролировать информационные потоки в корпоратив-ной среде для выявления и предотвращения случаев несанкционированного использования конфиден-циальных данных.

Основные функции InfoWatch Traffic Monitor Enterprise 3.5:

Перехват SMTP-трафика. Возможен перехват трафика (или копии трафика), передаваемого через почтовый relay-сервер; перехват копии трафика, проходящего через оборудование с поддержкой технологии CISCO SPAN.

Перехват HTTP-трафика. Возможен перехват трафика, передаваемого через прокси-сервер, под-держивающий ICAP-протокол, перехват копии трафика, проходящего через оборудование с под-держкой технологии CISCO SPAN.

Примечание:

При интеграции с прокси-сервером Blue Coat возможен перехват HTTPS-трафика, если прокси-сервер обрабатывает HTTPS-трафик как HTTP-трафик.

Перехват копии ICQ-трафика (протокол OSCAR), проходящего через оборудование с поддержкой технологии CISCO SPAN. При подключении ICQ через HTTP Система перехватывает ICQ-трафик аналогично трафику HTTP

Важная информация!

Не поддерживается перехват и анализ зашифрованного ICQ-трафика, в том числе по протоко-лу SSL.

Анализ содержимого перехваченного трафика с целью выявления нарушений корпоративной по-литики безопасности.

Фильтрация перехваченного трафика путем выдачи разрешения/запрещения на доставку опреде-ленных данных.

Примечание:

Функция недоступна при работе с копией трафика.

Анализ теневых копий файлов и заданий на печать, перехваченных системой InfoWatch Device Monitor с целью выявления нарушений корпоративной политики безопасности.

Анализ теневых копий файлов, перехваченных системой DeviceLock ЗАО «Смарт Лайн Инк» (вер-сии 6.3 и выше), с целью выявления нарушений корпоративной политики безопасности.

Page 9: Руководство по установке и конфигурированию

Обзор InfoWatch Traffic Monitor Enterprise 3.5 9

1.2. Состав InfoWatch Traffic Monitor Enterprise

3.5

Компонент InfoWatch Traffic Monitor Назначение компонента

Серверная часть (Traffic Monitor Serv-er, Sniffer, модуль IW ICAP, модуль взаимодействия с удаленной базой данных)

Traffic Monitor Server: перехват, анализ и фильтрация трафика, анализ данных, получаемых от систем InfoWatch Device Monitor, DeviceLock.

Sniffer: перехват и передача на анализ копии трафика, проходя-щего через SPAN-порт коммутатора.

Модуль IW ICAP: перехват, анализ и фильтрация HTTP-трафика, передаваемого по протоколу ICAP.

Модуль взаимодействия с удаленной базой данных: передача данных на хранение в удаленную базу данных по медленным каналам связи

База данных Хранение информации, связанной с работой Системы (перехва-ченные данные, результаты анализа перехваченных данных)

Management Console Настройка правил анализа и фильтрации трафика, анализ полу-ченных данных

Page 10: Руководство по установке и конфигурированию

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ

В этой главе:

Схемы развертывания Системы (п. 2.1 на стр. 10).

Аппаратные и программные требования (п. 2.2 на стр. 23).

Настройка Postfix (п. 2.3 на стр. 27).

2.1. Схемы развертывания Системы

В этом разделе описаны наиболее общие схемы развертывания Системы:

Перехват копии SMTP-трафика (работа с почтовым relay-сервером) (п. 2.1.1 на стр. 10).

Перехват копии трафика при помощи Sniffer (п. 2.1.2 на стр. 12).

Перехват HTTP-трафика, передаваемого по протоколу ICAP (п. 2.1.3 на стр. 16).

Прием объектов, перехваченных InfoWatch Device Monitor (п. 2.1.4 на стр. 19).

Прием объектов от DeviceLock (п. 2.1.5 на стр. 21).

Для каждой схемы дается порядок развертывания.

2.1.1. Перехват копии SMTP-трафика (работа с

почтовым relay-сервером)

Доставка SMTP-трафика осуществляется корпоративной почтовой системой. Копия SMTP-трафика пере-дается на Traffic Monitor Server для анализа и загрузки в базу данных.

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 1).

Рисунок 1. Перехват копии SMTP-трафика

Вариант 2. SMTP-трафик, перехваченный в филиалах, передается в центральный офис по медленному каналу связи (см. рис. 2). В центральном офисе SMTP-трафик загружается в базу данных.

Page 11: Руководство по установке и конфигурированию

Подготовка к установке 11

Рисунок 2. Передача копии SMTP-трафика из филиала в центральный офис

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

Шаг 2. Настройка параметров Postfix

Почтовый сервер Postfix должен быть установлен и настроен до установки Traffic Monitor Server. О на-стройке Postfix см. в. п. 2.3 на стр. 27.

Шаг 3. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 4. Создание схемы базы данных

1. На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (прил. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (прил. A.2.3 на стр. 85).

2. Создайте схему базы данных (п. 3.1 на стр. 28).

Page 12: Руководство по установке и конфигурированию

12 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 5. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 1). Система будет установлена в одном офисе. Загрузка в удаленную БД не требует-ся:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 2). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно перехватывать SMTP-трафик:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 6. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчика Smtp транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.1.2. Перехват копии трафика при помощи Sniffer

Трафик (SMTP, HTTP, ICQ) проходит через коммутатор CISCO, оборудованный SPAN-портом. Копия трафика направляется на Sniffer. Sniffer передает копию трафика на Traffic Monitor Server для анализа и загрузки в базу данных.

Для увеличения производительности можно создавать кластеры Traffic Monitor Server. Один кластер мо-жет содержать два экземпляра Traffic Monitor Server. Не рекомендуется использовать более 3 кластеров.

Важная информация!

При использовании кластера сетевое соединение между Sniffer и Traffic Monitor Server должно обеспе-чивать скорость передачи, в два раза превышающую скорость, с которой трафик поступает на Sniffer.

Возможно несколько вариантов развертывания.

Page 13: Руководство по установке и конфигурированию

Подготовка к установке 13

Вариант 1. Перехват и анализ копии трафика выполняется на одном компьютере (см. рис. 3). Кластер не создается. Система устанавливается в одном офисе, филиалов нет.

Коммутатор CISCO

Sniffer + Traffic Monitor Server

Копия SMTP-, HTTP-,

ICQ-трафика

SMTP-, HTTP-, ICQ-трафикSMTP-, HTTP-, ICQ-трафик

База данных

Рисунок 3. Перехват и анализ трафика на одном компьютере

Вариант 2. Перехват и анализ копии трафика выполняется на разных компьютерах, кластеризация не используется (см. рис. 4). Система устанавливается в одном офисе, филиалов нет.

Коммутатор CISCO

Traffic Monitor Server

Sniffer

SMTP-, HTTP, ICQ-трафик

Копия SMTP-, HTTP, ICQ-трафика

SMTP-, HTTP, ICQ-трафик

База данных

Рисунок 4. Перехват и анализ копии трафика на разных компьютерах

Page 14: Руководство по установке и конфигурированию

14 InfoWatch Traffic Monitor Enterprise 3.5

Вариант 3. Перехват и анализ копии трафика выполняется на разных компьютерах. Для увеличения про-изводительности создан кластер из двух экземпляров Traffic Monitor Server (см. рис. 5). Система устанав-ливается в одном офисе, филиалов нет.

Коммутатор CISCO

Traffic Monitor Server

Sniffer

Копия SMTP-, HTTP-, ICQ-трафика

SMTP-, HTTP-, ICQ-трафик SMTP-, HTTP-, ICQ-трафик

База данных

Traffic Monitor Server

Рисунок 5. Кластер из двух экземпляров Traffic Monitor Server

Вариант 4. Перехват и анализ копии трафика выполняется на разных компьютерах. Кластер не создает-ся. Копия трафика из филиала передается в центральный офис по медленному каналу связи. В цен-тральном офисе копия трафика загружается в базу данных (см. рис. 6).

Центральный офис

Филиал

Client

(Traffic Monitor Server)

SMTP-. HTTP-, ICQ-трафик

База данныхServer

(Traffic Monitor Server)

Медленный канал связи (от 128 кбит/с)

Sniffer

SMTP-. HTTP-, ICQ-трафик

SMTP-. HTTP-, ICQ-трафик

Коммутатор CISCO

Рисунок 6. Перехват копии трафика через Sniffer и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Sniffer (п. 2.2.2 на стр. 24).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

Page 15: Руководство по установке и конфигурированию

Подготовка к установке 15

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

1. На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

2. Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Sniffer и Traffic Monitor Server

Вариант 1 (см. рис. 3). Перехват и анализ трафика выполняется на одном компьютере. Увеличение про-изводительности не требуется (кластеризация не нужна). Система будет установлена в одном офисе, удаленных филиалов нет:

1. Установите и настройте Sniffer и Traffic Monitor Server на одном компьютере (п. 3.3 на стр. 59).

2. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 4). Перехват и анализ трафика выполняется на разных компьютерах. Увеличение производительности не требуется (кластеризация не нужна). Система будет установлена в одном офисе, удаленных филиалов нет:

1. На одном компьютере установите и настройте Sniffer (п. 3.3 на стр. 59).

2. На другом компьютере:

установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40);

настройте параметры приема копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 3 (см. рис. 5). Перехват и анализ трафика выполняется на разных компьютерах. Необходимо увеличить производительность Системы (требуется кластеризация). Система будет установлена в одном офисе, удаленных филиалов нет:

1. На одном компьютере установите и настройте Sniffer (п. 3.3 на стр. 59).

2. На другом компьютере установите экземпляр кластера Traffic Monitor Server:

установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

настройте параметры приема копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

укажите параметры кластеризации (п. 3.2.6.2 на стр. 51).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Повторите п.2, чтобы добавить в кластер еще один экземпляр Traffic Monitor Server.

Важная информация!

Если используется технология Цифровые отпечатки, то в Системе должен функционировать только один Сервер контентного анализа. При наличии в Системе нескольких экземпляров Traf-fic Monitor Server настройте Сервер контентного анализа только на одном экземпляре Traffic Monitor Server (см. п. 3.2.9 на стр. 59).

Page 16: Руководство по установке и конфигурированию

16 InfoWatch Traffic Monitor Enterprise 3.5

Вариант 4 (см. рис. 6). Перехват и анализ трафика выполняется на разных компьютерах. Увеличение производительности не требуется (кластеризация не нужна). Система будет установлена в центральном офисе и в удаленных филиалах.

В каждом удаленном филиале, где требуется перехватывать копию трафика:

1. На одном компьютере установите и настройте Sniffer (п. 3.3 на стр. 59).

2. На другом компьютере:

установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40);

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

настройте параметры приема копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчиков, принимающих копию трафика от Sniffer (Smtp, Http, Icq) транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.1.3. Перехват HTTP-трафика, передаваемого по

протоколу ICAP

Прокси-сервер с поддержкой протокола ICAP перехватывает HTTP-трафик и передает его на Traffic Moni-tor Server для анализа и загрузки в базу данных. Возможна также фильтрация трафика путем выдачи разрешения/запрещения на доставку данных.

Примечание:

Если в качестве прокси-сервера используется Blue Coat, то возможен также перехват HTTPS-трафика. Для этого прокси-сервер Blue Coat должен быть настроен так, чтобы полученный HTTPS-трафик обрабатывался и передавался на Traffic Monitor Server как HTTP-трафик.

В данной схеме перехвата поддерживается обработка данных пользователя при следующих методах ау-тентификации: NTLM, LDAP, Basic, Digest.

Важная информация!

Traffic Monitor Server и прокси-сервер с ICAP-клиентом должны находиться в одной подсети.

На каждой рабочей станции браузер должен быть настроен так, чтобы HTTP(S)-трафик проходил че-рез используемый прокси-сервер (SQUID, Blue Coat). Информацию по настройке вы можете получить из документации к браузеру.

Page 17: Руководство по установке и конфигурированию

Подготовка к установке 17

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 7).

Рисунок 7. Перехват HTTP-трафика, передаваемого по протоколу ICAP

Вариант 2 . Перехват, анализ и фильтрация HTTP-трафика осуществляется в филиале. Перехваченный HTTP-трафик передается в центральный офис по медленному каналу связи. В центральном офисе копия трафика загружается в базу данных (см. рис. 8).

Рисунок 8. Перехват HTTP-трафика, в филиале и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Модуль IW ICAP (п. 2.2.3 на стр. 25).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

Page 18: Руководство по установке и конфигурированию

18 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 7). Система будет установлена в одном офисе. Загрузка в удаленную БД не требует-ся:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте модуль IW ICAP (см. п. 3.2.8 на стр. 55).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 8). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно перехватывать HTTP—трафик, передаваемый по прото-колу ICAP:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте модуль IW ICAP (см. п. 3.2.8 на стр. 55).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

На компьютере с Traffic Monitor Server установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

Page 19: Руководство по установке и конфигурированию

Подготовка к установке 19

В сценарии обработки объектов установите для перехватчика Http транспортный режим Normal или Transparent.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.1.4. Прием объектов, перехваченных InfoWatch Device

Monitor

Объекты (теневые копии файлов, задания на печать), перехваченные системой InfoWatch Device Monitor, передаются на Traffic Monitor Server для анализа и загрузки в базу данных.

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 9).

Рисунок 9. Прием объектов от InfoWatch Device Monitor

Вариант 2. В филиале установлена система InfoWatch Device Monitor. Объекты, перехваченные Info-Watch Device Monitor, передаются для анализа на Traffic Monitor Server. Затем объекты передаются в центральный офис. В центральном офисе объекты загружаются в базу данных (см. рис. 10).

Рисунок 10. Прием объектов от InfoWatch Device Monitor и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

Page 20: Руководство по установке и конфигурированию

20 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

1. На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

2. Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 9). Система будет установлена в одном офисе. Загрузка в удаленную БД не требует-ся:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 10). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно принимать объекты от InfoWatch Device Monitor:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчика Device транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

Page 21: Руководство по установке и конфигурированию

Подготовка к установке 21

2.1.5. Прием объектов от DeviceLock

Объекты, перехваченные системой DeviceLock, передаются на Traffic Monitor Server для анализа и за-грузки в базу данных.

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 11).

Рисунок 11. Прием объектов от DeviceLock

Вариант 2. В филиале установлена система DeviceLock. Объекты, перехваченные DeviceLock, переда-ются для анализа на Traffic Monitor Server. Затем объекты передаются в центральный офис. В централь-ном офисе объекты загружаются в базу данных (см. рис. 12).

Рисунок 12. Прием объектов DeviceLock в филиале и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

InfoWatch DeviceLock Adapter (см. документ «InfoWatch DeviceLock Adapter. Руководство по уста-новке и конфигурированию»).

Page 22: Руководство по установке и конфигурированию

22 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 11). Система будет установлена в одном офисе. Загрузка в удаленную БД не требу-ется:

1. Установите и настройте InfoWatch DeviceLock Adapter. Рекомендации приводятся в документах:

«InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию».

«InfoWatch DeviceLock Adapter. Руководство администратора».

2. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

3. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 12). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно принимать объекты от DeviceLock:

1. Установите и настройте InfoWatch DeviceLock Adapter. Рекомендации приводятся в документах:

«InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию».

«InfoWatch DeviceLock Adapter. Руководство администратора».

2. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

3. На компьютере с Traffic Monitor Server:

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Page 23: Руководство по установке и конфигурированию

Подготовка к установке 23

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчика Dla транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.2. Аппаратные и программные требования

Требования приводятся в разделах:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Sniffer (п. 2.2.2 на стр. 24).

Модуль IW ICAP (п. 2.2.3 на стр. 25).

Модуль взаимодействия с удаленной базой данных (п. 2.2.4 на стр. 25).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

2.2.1. Traffic Monitor Server

Требования к аппаратному обеспечению

Типовая конфигурация Traffic Monitor Server при суммарной скорости входящего и исходящего трафика 50 Мбит/с:

Сервер: поддерживаются конфигурации, допустимые для Red Hat Enterprise Linux Server 5.5 x86-32: см. https://hardware.redhat.com/.

Рекомендуется HP ProLiant DL 360 G7 Server.

Процессор: Intel® Xeon® E5540 2.53 ГГц. Требуются 2 процессора с 4 ядрами каждый.

Оперативная память: DDR3 из расчета 2 Гб + по 4 Гб на каждый перехватчик.

Жесткий диск: SAS, 3 x 300 Гб (10000 rpm) с RAID 5.

Требования к программному обеспечению

Программное обеспе-чение

Требования

Операционная система Red Hat Enterprise Linux Server 5.5 x86-32 со всеми обновлениями.

Для установки всех пакетов, необходимых для корректной работы Системы, необходим доступ к репозиторию Linux.

Перечень пакетов Linux, требующихся для установки rpm-пакетов, входящих в дистрибутив, можно получить с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

Важная информация! При установке операционной системы выберите анг-лийскую локализацию.

СУБД Клиент СУБД Oracle версии 11g R2 (11.2.0.1.0).

Примечание: рекомендации по установке см. в прил. A.2.1 на стр. 83.

Page 24: Руководство по установке и конфигурированию

24 InfoWatch Traffic Monitor Enterprise 3.5

2.2.2. Sniffer

Требования к сетевому оборудованию

Сетевое оборудование Требования

Коммутатор Cisco Catalyst 2960 Series

Допускаются и другие модели коммутаторов с поддержкой функции SPAN

Sniffer получает копию трафика от коммутатора CISCO. После установки коммутатора настройте SPAN-порт в режиме RX/TX. Инструкции по настройке SPAN-порта для Cisco Catalyst 2960 Series можно найти по адресу:

http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_37_se/configuration/guide/swspan.html#wp1036816

Рекомендации по установке и настройке других моделей приводятся в сопроводительной документации коммутаторов.

Требования к аппаратному обеспечению

Требования к процессору и оперативной памяти:

Оборудование Минимальные требования при скорости трафика 100 Мбит/с

Процессор Intel Core2 Duo E6750 (частота 2,66 ГГц)

Оперативная память 2 Гб

Типовая конфигурация Sniffer при суммарной скорости входящего и исходящего трафика 50 Мбит/с:

Сервер: поддерживаются конфигурации, допустимые для Red Hat Enterprise Linux Server 5.5 x86-32: см. https://hardware.redhat.com/.

Рекомендуемая конфигурация — HP ProLiant DL 360 G7 Server.

Процессор: двухъядерный Intel® Xeon® E5502 1.87ГГц.

Оперативная память: 4 Гб DDR3.

Жесткий диск: SAS 300 Гб (10000 rpm).

Требования к сетевым картам:

Общие требования Рекомендуемые модели сетевых карт

Поддержка NAPI и режима Promiscuous mode. Intel Corporation 82540EM Gigabit Ethernet Controller

Broadcom Corporation NetXtreme II BCM5708 1Gb

Допускается использование сетевых карт серии Intel PRO/1000 GT

Поддержка Gigabit Ethernet

На Sniffer должны быть установлены как минимум две сетевые карты:

сетевая карта для приема копии трафика от одного SPAN-порта коммутатора CISCO. Если прием трафика будет осуществляться с нескольких SPAN-портов (которые могут быть настроены как на одном, так и на разных коммутаторах), то для каждого SPAN-порта потребуется отдельная сетевая карта.

сетевая карта для взаимодействия с прочими объектами сети. В частности, для передачи трафика на Traffic Monitor Server или для взаимодействия с базой данных (если Sniffer и Traffic Monitor Serv-er установлены на одном компьютере).

Требования к программному обеспечению

Если Sniffer будет установлен на одном компьютере c Traffic Monitor Server, то программное обеспечение должно соответствовать требованиям, предъявляемым к Traffic Monitor Server в п. 2.2.1 на стр. 23.

Page 25: Руководство по установке и конфигурированию

Подготовка к установке 25

Если Sniffer будет установлен на отдельном компьютере, то программное обеспечение должно удовле-творять требованиям:

Программное обеспе-чение

Требования

Операционная система Red Hat Enterprise Linux Server 5.5 x86-32 со всеми обновлениями.

Для установки всех пакетов, необходимых для корректной работы Системы, необходим доступ к репозиторию Linux.

Перечень пакетов Linux, требующихся для установки rpm-пакетов, входящих в дистрибутив, можно получить с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

Важная информация! При установке операционной системы выберите анг-лийскую локализацию.

2.2.3. Модуль IW ICAP

При интеграции с модулем IW ICAP передача HTTP-запросов осуществляется через прокси-сервер. Для передачи HTTP-запросов на Traffic Monitor Server по протоколу ICAP необходим ICAP-клиент. Система поддерживает работу с ICAP-клиентами встроенными в прокси-сервер.

Важная информация

Traffic Monitor Server и прокси-сервер с ICAP-клиентом должны находиться в одной подсети.

Поддерживаются следующие прокси-серверы:

SQUID версии не ниже 3.1.7, с включенной поддержкой ICAP.

Cisco IronPort S10.

Blue Coat SG Series с лицензией на ICAP. Поддерживается совместимость с рядом моделей, вы-пускаемых компанией Blue Coat Systems в настоящее время. Производитель постоянно обновляет модельный ряд, поэтому перед тем, как использовать конкретную модель устройства Blue Coat Proxy SG необходимо уточнить совместимость с модулем IW ICAP в службе технической поддерж-ки компании InfoWatch.

Примечание:

Если требуется перехват HTTPS-трафика, настройте прокси-сервер таким образом, чтобы HTTPS трафик обрабатывался и передавался на InfoWatch Traffic Monitor Server как HTTP-трафик.

Описание установки и настройки вы можете найти в сопроводительной документации к выбранному про-кси-серверу. Рекомендации по настройке прокси-серверов см. в п. 3.2.8 на стр. 55.

ICAP-сервер входит в состав модуля интеграции с ICAP. Модуль устанавливается на одном компьютере с Traffic Monitor Server (см. требования в п. 2.2.1 на стр. 23). Дополнительных требований к аппаратному и программному обеспечению модуля не предъявляется.

2.2.4. Модуль взаимодействия с удаленной базой

данных

Модуль устанавливается на одном компьютере с Traffic Monitor Server (см. требования в п. 2.2.1 на стр. 23). Дополнительных требований к аппаратному и программному обеспечению модуля не предъяв-ляется.

Page 26: Руководство по установке и конфигурированию

26 InfoWatch Traffic Monitor Enterprise 3.5

2.2.5. Сервер СУБД Oracle

Для корректной работы InfoWatch Traffic Monitor необходимо установить сервер СУБД Oracle Database 11g Release 2 (11.2.0.1.0) на платформе Linux x64.

Требования к аппаратному обеспечению

Оборудование Минимальные требования

Процессор Intel Xeon с частотой 2.4 ГГц и выше. Количество ядер – не менее двух (рекомендуется – 8).

Оперативная память 8 Гб DDR3

Жесткий диск Аппаратный RAID-контроллер SAS (уровень 1 и выше). Емкость RAID-массива должна составлять не менее 200 GB (в зависимости от объема пере-хваченных объектов, которые будут храниться в базе данных)

Требования к программному обеспечению

Программное обеспе-чение

Требования

Операционная система Red Hat Enterprise Linux Server release 5.5 x64 со всеми обновлениями.

Для установки всех пакетов, необходимых для корректной работы Системы, необходим доступ к репозиторию Linux.

Перечень пакетов Linux, требующихся для установки rpm-пакетов, входящих в дистрибутив, можно получить с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

2.2.6. Management Console

Требования к аппаратному обеспечению

Оборудование Минимальные требования Рекомендуемые требования

Процессор Celeron с частотой 1.7 ГГц и выше Pentium IV с частотой 3 ГГц и выше

Оперативная память 512 Мб 1 Гб

Жесткий диск 1 Гб свободного пространства 1 Гб свободного пространства

Требования к программному обеспечению

Программное обеспе-чение

Требования

Операционная система Microsoft Windows XP Service Pack 3

Платформа .Net Framework

Microsoft .Net Framework 2.0 SP1

Page 27: Руководство по установке и конфигурированию

Подготовка к установке 27

2.3. Настройка Postfix

Примечания:

1. Интеграция с Postfix не требуется, если перехват копии SMTP-трафика будет осуществляться че-рез Sniffer (см. п. 2.1.2 на стр. 12).

2. Другие почтовые сервера (Microsoft Exchange и пр.), функционирующие в корпоративной почтовой системе, должны быть настроены на использование Postfix в качестве relay-сервера.

Если перехват SMTP-трафика будет выполняться путем интеграции с Postfix (см. п. 2.1.1 на стр. 10), то перед установкой Traffic Monitor Server выполните следующие действия:

1. Убедитесь, что пакет Postfix (входит в дистрибутив операционной системы) установлен.

2. Запустите утилиту system-switch-mail:

system-switch-mail

В окне утилиты выберите Postfix в качестве почтового агента (MTA).

Примечание:

Утилита входит в дистрибутив операционной системы, но по умолчанию не устанавливается. Проверить, установлена ли эта утилита, можно командой:

rpm –q system-switch-mail

3. Остановите Postfix:

service postfix stop

4. В файле /etc/postfix/main.cf укажите параметры:

inet_interfaces = all

append_dot_mydomain = no

если InfoWatch Traffic Monitor будет участвовать в доставке SMTP-трафика, задайте параметр

relayhost. В качестве значения введите ip-адрес корпоративного почтового сервера, которому

SMTP-письма будет передаваться после анализа в Traffic Monitor Server.

Если на Traffic Monitor Server нужно передавать копию SMTP-трафика, то не задавайте пара-

метр relayhost,.

5. Удалите sendmail (рекомендуется):

rpm –e sendmail

6. Запустите Postfix

service postfix start

Page 28: Руководство по установке и конфигурированию

ГЛАВА 3. УСТАНОВКА СИСТЕМЫ

В этой главе:

Схема базы данных (п. 3.1 на стр. 28).

Traffic Monitor Server (п. 3.2 на стр. 39).

Sniffer (п. 3.3 на стр. 59).

Management Console (п. 3.4 на стр. 60).

3.1. Схема базы данных

Перед установкой Traffic Monitor Server необходимо создать схему базы данных. Информация по созда-нию схемы базы данных содержится в разделах:

Рекомендации по созданию схемы базы данных (п. 3.1.1 на стр. 28).

Создание схемы базы данных (п. 3.1.2 на стр. 30).

Важная информация!

Если у вас имеется установленная схема базы данных, то вы можете выполнить обновление до новой версии (см. главу 5 на стр. 70).

3.1.1. Рекомендации по созданию схемы базы данных

Процесс создания схемы базы данных включает в себя создание табличных пространств (основного и ежедневных), необходимых для работы Системы. Ежедневные табличные пространства предназначе-ны для хранения объектов (SMTP-писем, HTTP-запросов и пр.), поступающих в Систему. В основном табличном пространстве хранятся данные, необходимые для анализа и обработки поступающих дан-ных. При создании схемы базы данных вам будет предложено указать ряд параметров, связанных с соз-данием табличных пространств.

Рекомендации по настройке основного табличного пространства

При настройке параметров основного табличного пространства необходимо указать начальное количест-во файлов данных. Таким образом, можно зарезервировать свободное место для файлов данных. Необ-ходимое количество вычисляется по формуле:

N = S/10/32

Здесь:

N – количество файлов данных основного табличного пространства, которое нужно задать при создании схемы базы данных. Полученное значение округляется до большего целого числа.

S – общий запланированный объѐм хранимых в базе данных объектов (в гигабайтах). Вычисляется как произведение объѐма загружаемых объектов в среднем за сутки на число дней хранения.

Результаты расчета для данных объемом от 0 до 1280 Гб приведены в таблице

Общий запланированный объем объектов в базе данных (Гб)

Количество файлов данных

0 – 320 1

321 – 640 2

641 – 960 3

Page 29: Руководство по установке и конфигурированию

Установка системы 29

Общий запланированный объем объектов в базе данных (Гб)

Количество файлов данных

961 – 1280 4

Примечание:

В процессе создания схемы базы данных создается задание на автоматическое добавление файлов данных к основному табличному пространству. Файлы данных будут добавлены, в случае если занято более 80% от общего возможного места в основном табличном пространстве. (Общее возможное ме-сто вычисляется по формуле: количество файлов данных * 32 ГБ.)

Задание запускается ежедневно в 00 ч 00 мин.

Рекомендации по настройке ежедневных табличных пространств

Количество файлов данных

Оцените суммарный объем суточного трафика объектов, проходящего через Систему. Для оптимальной настройки параметра рекомендуется оценить максимальный и минимальный объем суточного трафика в пределах определенного интервала (например, недели). Выбор интервала для оценки зависит от того, насколько постоянен этот объем. Пусть, к примеру, трафик имеет различный объем в пределах недели. Тогда рекомендуется оценить минимальный и максимальный объем суточного трафика на протяжении одной недели.

Важная информация!

Оценка выполняется только для тех типов трафика, которые отслеживаются Системой. Например, если у вас не установлен HTTP-монитор, то оценку НTTP-трафика проводить не нужно.

Максимальный размер одного файла данных составляет 32 Гб. Поэтому расчет необходимого количест-ва файлов данных выполняется формуле:

N = TMAX/32

Здесь:

N – количество файлов данных ежедневного табличного пространства, которое нужно задать при создании схемы базы данных. Полученное значение округляется до большего целого числа.

TMAX – максимальный объем суточного трафика (в гигабайтах).

Например, при максимальном объеме суточного трафика 65 Гб необходимо задать значение данного па-раметра равным 3.

Начальный размер файла данных

Рассчитайте среднесуточный объем трафика за исследуемый период. При этом нужно учитывать сле-дующее. Если колебания в объеме трафика в разные периоды времени велики, то часть пространства, выделяемого для файлов данных, может оказаться неиспользованной. В то же время, если начальный объем файла данных будет значительно меньше суточного объема трафика, то потребуется приращение файла данных, что приведет к снижению производительности Системы. Количество приращений будет зависеть от заданного размера приращения.

Циклические файловые системы

Ежедневные табличные пространства могут храниться либо в одном каталоге, либо распределенно (в разных каталогах или на разных физических дисках).

Примечание:

Для того чтобы увеличить надежность хранения данных, рекомендуется размещать ежедневные таб-личные пространства на разных физических дисках.

Распределенное хранение данных возможно при условии, что используется не менее двух циклических файловых систем. Каждый каталог или физический диск, на который могут быть сохранены ежедневные табличные пространства, является отдельной циклической файловой системой. При создании схемы ба-зы данных задается количество циклических файловых систем и местоположение файлов данных в каж-

Page 30: Руководство по установке и конфигурированию

30 InfoWatch Traffic Monitor Enterprise 3.5

дой такой системе. Циклические файловые системы используются поочередно. Например, если задано 3 циклических файловых системы, то данные будут размещаться следующим образом:

Первый день – ежедневное табличное пространство создается в файловой системе 1.

Второй день – ежедневное табличное пространство создается в файловой системе 2.

Третий день – ежедневное табличное пространство создается в файловой системе 3.

Четвертый день – ежедневное табличное пространство создается в файловой системе 1.

и т. д.

Если распределенное хранение данных не требуется, то установите количество циклических файловых систем равным 1. В этом случае все табличные пространства будут располагаться в одной директории.

3.1.2. Создание схемы базы данных

Важная информация!

В базе данных не должны выполняться никакие работы во время создания схемы базы данных (т.е. от момента нажатия кнопки Старт и до появления сообщения Операция завершена успешно).

Шаг 1. Подготовка к созданию схемы базы данных

Убедитесь, что настроены параметры взаимодействия с базой данных:

запущен сервер СУБД Oracle;

на сервере СУБД Oracle параметр recyclebin имеет значение off либо не имеет значения. Что-

бы проверить значение параметра:

1. При работе в консоли выполните команду:

sqlplus [email protected]<SID> as sysdba

(где <SID> — имя базы данных), затем введите пароль.

2. От имени системного пользователя выполните запрос:

select name, value

from v$parameter p

where lower(p.NAME) = ‘recyclebin’

Если параметр recyclebin включен (имеет значение on), то отключите его перед установкой

схемы БД. Для этого выполните следующие действия:

1. От имени пользователя SYS выполните оператор:

alter system set RECYCLEBIN=’off’ scope=spfile

2. Повторно убедитесь, что параметр recyclebin имеет значение off.

на компьютере, с которого будет запущен инсталлятор схемы базы данных, установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), используя тип установки клиента – Администра-тор. Для этого проверьте, что в директории клиента существует файл:

[X]:app[Текущий пользователь]product11.2.0client_1BINsqlldr.exe

где:

­ [X] – диск, на котором установлен клиент Oracle;

­ [Текущий пользователь] – пользователь, от имени которого осуществлен вход на клиент-

ский компьютер.

Рекомендации по установке и настройке клиента СУБД Oracle см. в приложении A.2.1 на стр. 83.

Уточните данные, которые вам потребуются при создании схемы БД:

имя и пароль учетной записи, обладающей правами SYSDBA (как правило, это пользователь SYS);

Page 31: Руководство по установке и конфигурированию

Установка системы 31

Важная информация!

Убедитесь, что пароль соответствует следующим требованиям:

Пароль может состоять из латинских букв, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. Максимальная длина пароля составляет 30 символов.

Если пароль не соответствует этим требованиям, то измените его перед созданием схемы БД. При необходимости вы можете вернуть старый пароль после того, как схема БД будет создана.

параметры табличных пространств (см. рекомендации в п. 3.1.1 на стр. 28).

Шаг 2. Запуск инсталлятора схемы базы данных

На диске с дистрибутивом Системы найдите и запустите файл CreateSchemaWizard.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Важная информация!

Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 3. Выбор типа установки

В окне Мастер работы с БД выберите вариант Установка новой схемы БД и нажмите кнопку OK.

После этого на экран будет выведено окно мастера установки схемы БД.

Шаг 4. Настройка параметров соединения с сервером базы данных

В окне мастера установки схемы БД (см. рис. 13) укажите параметры соединения с сервером базы дан-ных:

База данных. Псевдоним сервера, на котором установлена база данных (псевдоним выбирают из

перечисленных в файле tnsnames.ora).

Имя пользователя с ролью SYSDBA. Имя учетной записи, обладающей правами SYSDBA (на-пример, SYS).

Пароль пользователя с ролью SYSDBA. Пароль учетной записи, обладающей правами SYSDBA.

Page 32: Руководство по установке и конфигурированию

32 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 13. Параметры соединения с сервером базы данных

Нажмите кнопку Вперед.

Шаг 5. Настройка параметров учетной записи владельца схемы БД

Примечание:

Подробные рекомендации по составлению имен и паролей пользователей приводятся в приложении B на стр. 86.

Укажите параметры для создания учетной записи владельца схемы базы данных (см. рис. 14):

Владелец схемы БД. Имя учетной записи владельца схемы базы данных.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов.

Важная информация!

Имя учетной записи владельца базы данных должно быть уникальным в пределах базы дан-ных. Это означает, что в базе данных не должно быть схемы базы данных и табличного про-странства с таким же именем.

Пароль владельца схемы БД, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

Page 33: Руководство по установке и конфигурированию

Установка системы 33

Рисунок 14. Настройка учетной записи владельца схемы базы данных

Нажмите кнопку Вперед.

Шаг 6. Настройка параметров учетной записи администратора пользователей

Для первой настройки Management Console используется учетная запись администратора пользовате-лей, имеющая ограниченный набор прав. Администратор пользователей создает учетные записи для других пользователей и наделяет их необходимыми полномочиями.

Укажите параметры для создания учетной записи администратора пользователей (см. рис. 15):

Администратор пользователей. Имя учетной записи администратора пользователей.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов. К имени рекомендуется до-бавить суффикс _ADM.

Важная информация!

Имя учетной записи администратора пользователей должно быть уникальным в пределах базы данных. Это означает, что в базе данных не должно быть пользователей с таким же именем.

Пароль администратора пользователей, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

Page 34: Руководство по установке и конфигурированию

34 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 15. Настройка учетной записи администратора пользователей

Нажмите кнопку Вперед.

Шаг 7. Настройка параметров учетной записи офицера безопасности

Укажите параметры для создания учетной записи офицера безопасности. Эта учѐтная запись Manage-ment Console будет иметь все права, кроме управления пользователями и ролями.

Офицер безопасности. Имя учетной записи офицера безопасности.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов.

Важная информация!

Имя учетной записи офицера безопасности должно быть уникальным в пределах базы данных. Это означает, что в базе данных не должно быть пользователей с таким же именем.

Пароль офицера безопасности, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

Page 35: Руководство по установке и конфигурированию

Установка системы 35

Рисунок 16. Настройка учетной записи офицера безопасности

Нажмите кнопку Вперед.

Шаг 8. Настройка параметров учетной записи для загрузки объектов в базу данных

Укажите параметры для создания учетной записи пользователя, от имени которого перехваченные объ-екты будут загружаться в базу данных (см. рис. 17):

Пользователь для линукс части. Имя учетной записи пользователя Linux части.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов.

Важная информация!

Имя учетной записи пользователя Linux части должно быть уникальным в пределах базы дан-ных. Это означает, что в базе данных не должно быть пользователей с таким же именем.

Пароль пользователя линукс части, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

Page 36: Руководство по установке и конфигурированию

36 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 17. Настройка учетной записи пользователя Linux части

Нажмите кнопку Вперед.

Шаг 9. Настройка параметров основного табличного пространства

Важная информация!

Рекомендации по настройке параметров приводятся в п. 3.1.1 на стр. 28.

Укажите параметры файла данных для основного табличного пространства (см. рис. 18):

начальное количество файлов данных;

путь к файлам данных для основного табличного пространства;

начальный размер файлов данных (в Мб);

размер приращения – величину, на которую будут расширяться файлы данных (в Мб).

Page 37: Руководство по установке и конфигурированию

Установка системы 37

Рисунок 18. Параметры основного табличного пространства

Нажмите кнопку Вперед.

Шаг 10. Настройка параметров ежедневных табличных пространств

Важная информация!

Рекомендации по настройке параметров приводятся в п. 3.1.1 на стр. 28.

Настройте параметры для ежедневных табличных пространств (см. рис. 19):

число файлов данных, которые будут содержаться в одном табличном пространстве.

начальный размер файлов данных (в Мб);

размер приращения – величина, на которую будут расширяться файлы данных (в Мб).

лаг времени (в днях) – дополнительный интервал, для которого будут созданы ежедневные таб-личные пространства. Каждый день в базе данных создаются табличные пространства на текущий и на следующий день. Лаг времени позволяет задать дополнительный интервал, для которого бу-дут созданы ежедневные табличные пространства. Например, если лаг времени составляет 1 день, то будут созданы ежедневные табличные пространства на текущий день и на два после-дующих дня (т.е. табличные пространства, необходимые для работы в течение 3 дней).

Page 38: Руководство по установке и конфигурированию

38 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 19. Параметры ежедневных табличных пространств

Нажмите кнопку Вперед.

Шаг 11. Настройка параметров файловой системы

Важная информация!

Рекомендации по настройке параметров приводятся в п. 3.1.1 на стр. 28.

Укажите параметры хранения данных (см. рис. 20):

количество циклических файловых систем (максимальное количество 10 файловых систем).

Если распределенное хранение данных не требуется, оставьте значение по умолчанию (1 файло-вая система).

местоположение файлов данных (отдельно для каждой файловой системы).

Примечание:

Если количество файловых систем превышает 5, то нажмите кнопку Вперед и укажите путь к осталь-ным файловым системам.

Page 39: Руководство по установке и конфигурированию

Установка системы 39

Рисунок 20. Параметры циклических файловых систем

Нажмите кнопку Вперед.

Шаг 12. Настройка параметров очистки журнала протоколирования

Для удаления записей системы протоколирования каждый день в 01 ч 00 мин запускается задание. Все записи, срок хранения которых превышает указанное значение (в днях) удаляются. При расчете интерва-ла текущий день не учитывается. По умолчанию задан интервал в 100 дней.

Чтобы начать установку, нажмите кнопку Старт.

3.2. Traffic Monitor Server

В этом разделе:

Установка и настройка (п. 3.2.1 на стр. 40).

Page 40: Руководство по установке и конфигурированию

40 InfoWatch Traffic Monitor Enterprise 3.5

Установка и замена лицензии на перехватчики (п. 3.2.2 на стр. 45).

Установка и замена лицензии на технологии контентного анализа (п. 3.2.3 на стр. 47).

Настройка DNS для поддержки Active Directory (п. 3.2.4 на стр. 48).

Проверка интеграции Postfix и Traffic Monitor Server (п. 3.2.5 на стр. 49).

Настройка параметров взаимодействия со Sniffer (п. 3.2.6 на стр. 50).

Установка и настройка модуля взаимодействия с удаленной базой данных (п. 3.2.7 на стр. 52).

Установка и настройка модуля IW ICAP (п. 3.2.8 на стр. 55).

Кластер Traffic Monitor Server c одним Сервером контентного анализа (п. 3.2.9 на стр. 59).

3.2.1. Установка и настройка

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Важная информация!

Если используется технология Цифровые отпечатки, то в Системе должен функционировать только один Сервер контентного анализа. При наличии в Системе нескольких экземпляров Traffic Monitor Server настройте Сервер контентного анализа только на одном экземпляре Traffic Monitor Server (см. п. 3.2.9 на стр. 59).

Примечание:

Если предыдущая версия Traffic Monitor Server была удалена, то в этом случае часть информации, необходимой для работы Системы, сохраняется и после удаления (см. п. 5.4 на стр. 73). Если вы ус-танавливаете новую версию Traffic Monitor Server, но при этом не планируете использовать данные из

предыдущей версии, то вы можете вручную удалить содержимое папки /usr/local/infowatch.

Шаг 1. Подготовка к установке

Убедитесь, что компьютер, на который будет установлен Traffic Monitor Server, подготовлен к установке:

на компьютере установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), тип установ-ки клиента – Администратор. Рекомендации по установке и настройке клиента СУБД Oracle см. в приложении A.2.1 на стр. 83. Для этого проверьте, что в каталоге:

/u01/app/oracle/product/11.2.0/client_1/bin

существует файл sqlldr.

для компьютера задано полное имя домена. Проверить наличие этого имени можно командой:

hostname –f

Если полное имя домена не определено, то задайте это имя до начала установки Traffic Monitor

Server. Для этого в файле /etc/hosts укажите IP-адрес, полное доменное имя и псевдоним ком-

пьютера, на который будет выполняться установка Traffic Monitor Server:

IP-адрес полное_доменное_имя псевдоним

Например:

10.1.10.120 tmserver.company.com tmserver

Затем перезагрузите операционную систему:

Reboot

Убедитесь, что имеются все пакеты Linux, требующиеся для установки rpm-пакетов, входящих в дистрибутив. Это можно сделать с помощью следующей команды:

rpm –qpR xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

Page 41: Руководство по установке и конфигурированию

Установка системы 41

Шаг 2. Установка Traffic Monitor Server и ПО, распространяемого по лицензии GPL

Чтобы установить Traffic Monitor Server и дополнительные пакеты:

1. Зарегистрируйтесь в операционной системе от имени учетной записи пользователя root:

su – root

2. Установите следующие пакеты (поставляются на диске с дистрибутивом системы):

Название пакета Описание пакета

tmcap-x.x.x-x.i686.rpm Модуль перехвата пакетов. Необходим для установки только в схеме копии трафика с помощью Sniffer (см. п. 2.1.2 на стр. 12).

iwtm-x.x.x-x.i686.rpm Traffic Monitor Server

iwtm_gpl_components-x.x.x-

x.i686.rpm

Программное обеспечение, распространяемое по ли-цензии GPL (General Public License)

Важная информация! Устанавливается после пакета iwtm-x.x.x-x.i686.rpm

В названии пакетов x.x.x-x номер версии InfoWatch Traffic Monitor.

Для установки пакета, выполните команду:

rpm -i /полный_путь_к_пакету

Например:

rpm -i /u01/tmcap-3.4.3-59.i686.rpm

rpm -i /u01/iwtm-3.4.3-59.i686.rpm

rpm -i /u01/iwtm_gpl_components-3.4.3-59.i686.rpm

Пакет tmcap будет установлен в каталог /lib/modules/’unam-r’/extra.

Пакет iwtm будет установлен в каталог /usr/local/infowatch/tm3.

Пакет gpl_components будет установлен в каталог /usr/local/infowatch/tm3/tools.

Шаг 3. Настройка и запуск Traffic Monitor Server

Запустите сценарий setup.sh:

/usr/local/infowatch/tm3/setup.sh

После этого вам будет предложено указать ряд параметров:

1. Enter user name to be used as an owner of InfoWatch Traffic Monitor

Укажите локальную учетную запись пользователя – владельца Traffic Monitor Server, от имени ко-

торого будут запускаться процессы. По умолчанию создается учетная запись iwtm.

2. Enter group name to be used as an owner of InfoWatch Traffic Monitor

Укажите группу, в состав которой будет включен пользователь – владелец InfoWatch Traffic Monitor. Рекомендуется включить пользователя в группу владельца инсталляции клиента СУБД

Oracle (по умолчанию это группа oinstall). В этом случае решается проблема недостатка прав

при работе с СУБД Oracle.

3. Select ip-addresses for IW SMTP Server

Выберите IP-адрес, который будет использоваться процессом iw_smtpd для получения входящей почты. Возможные значения:

один из IP-адресов, того компьютера, на который выполняется установка Traffic Monitor Server (выводятся все IP-адреса по количеству установленных сетевых карт);

Page 42: Руководство по установке и конфигурированию

42 InfoWatch Traffic Monitor Enterprise 3.5

127.0.0.1 – получение почты от процесса, запущенного на локальном компьютере (данное

значение рекомендуется выбирать при интеграции с Postfix);

0.0.0.0 – IP-адрес любого активного сетевого интерфейса (значение по умолчанию).

Примечание:

Если передача SMTP-трафика ведется только в режиме копии, то вы можете выбрать любой вариант.

4. Select a port to be listened

Укажите порт, на котором будет запущен процесс прослушивания входящих писем процессом

iw_smtpd. Значение по умолчанию (2025) используется при интеграции с Postfix.

5. Select a type of IW SMTP Server MTA installation

Выберите тип почтового агента. Возможны два варианта:

relay to a Postfix instance running on localhost – почтовый сервер Postfix уста-

новлен на том же компьютере, что и Traffic Monitor Server (значение по умолчанию). Выберите этот вариант, если прием и отправка почты должны осуществляться через Postfix.

relay to another smtp-server – интеграция с Postfix отсутствует или выполнена частично.

Примером частичной интеграции является случай, когда Postfix только принимает почту, но не участвует в ее доставке (доставка осуществляется другим почтовым сервером).

6. Настройте параметры отправки почты. Настройки зависят от типа почтового агента, выбранного на шаге 5.

Если был выбран первый вариант, т.е. Traffic Monitor Server и Postfix находятся на одном компью-тере, то укажите параметры:

Hostname of this machine

Доменное имя компьютера, на который будет установлен Traffic Monitor Server. По умолчанию

указано имя того компьютера, с которого был запущен сценарий setup.sh.

Enter a port number used by target smtp-server

Порт почтового relay-сервера, на который будет выполняться отправка писем (значение по

умолчанию 2020).

Если был выбран второй вариант, т.е. интеграция с Postfix отсутствует или выполнена частично, то укажите параметры:

Enter a hostname or ip-address of target smtp-server

Доменное имя или IP-адрес почтового relay-сервера, через который будет выполняться достав-ка исходящей почты.

Enter a port number used by target smtp-server

Порт почтового relay-сервера, на который будет выполняться отправка писем (значение по

умолчанию 25).

7. Select Oracle Home to be used

Укажите путь к каталогу, в который установлен клиент СУБД Oracle. Путь прописывается автома-

тически и должен совпадать со значением переменной ORACLE_HOME в файле /etc/profile.

Однако если на компьютере установлено несколько версий СУБД Oracle, правильность определе-ния пути к нужному каталогу не гарантируется. В этом случае проверьте путь к каталогу и при не-обходимости укажите правильный путь вручную.

8. Укажите параметры соединения с сервером СУБД Oracle:

Oracle User Name (InfoWatch Traffic Monitor Linux DB User)

Имя учетной записи пользователя Linux части (задается при создании схемы базы данных, см.

п. 3.1.2 на стр. 30, шаг 6). По умолчанию имеет значение IWTM_LINUX.

Page 43: Руководство по установке и конфигурированию

Установка системы 43

Oracle Password (InfoWatch Traffic Monitor Linux DB User)

Пароль пользователя Linux части (задается при создании схемы базы данных, см. п. 3.1.2 на стр. 30, шаг 6).

Важная информация!

Если при установке Traffic Monitor Server пароль пользователя Linux части указан неверно, то после установки учетная запись пользователя Linux части будет заблокирована. Решение данной проблемы описывается в прил. C.2 на стр. 92

Oracle Connection String

Строка соединения с сервером (псевдоним сервера из файла tnsnames.ora).

Примечание:

По умолчанию файл tnsnames.ora расположен в каталоге

/ORACLE_HOME/network/admin (здесь /ORACLE_HOME – это путь к каталогу, в который

установлен клиент СУБД Oracle).

9. Do you want to set up interaction with Postfix?

Укажите, требуется ли интеграция с Postfix для перехвата SMTP-трафика (значение по умолчанию

y – интеграция нужна). Выбор значения зависит от варианта развертывания Системы:

Вариант развертывания Системы Значение параметра

Система осуществляет перехват и доставку SMTP-трафика посред-ством интеграции с Postfix

y (обязательная интеграция)

Доставка SMTP-трафика осуществляется корпоративной почтовой системой. Система получает только копию SMTP-трафика. Для кор-ректного приема копии трафика рекомендуется интеграция с Postfix

y (интеграция рекомендуется)

Система получает копию SMTP-трафика через Sniffer n

Перехват SMTP-трафика не требуется (например, Traffic Monitor Server будет использоваться только как Sniffer)

n

Шаг 4. Установка лицензии

Примечание:

Если данный экземпляр Traffic Monitor Server будет функционировать только как Sniffer (см. пример в п. 2.1.2 на стр. 12, варианты 2 – 4), то установка лицензии не требуется.

Работа с Системой возможна только при наличии лицензии. Ознакомительная лицензия на перехватчики действует 30 дней с момента установки Traffic Monitor Server. Чтобы по истечении этого периода исполь-зовать необходимые перехватчики, установите коммерческую лицензию (см. п. 3.2.2 на стр. 45).

Лицензия на технологии контентного анализа текста по умолчанию не устанавливается. Чтобы задейст-вовать функции контентного анализа, установите ознакомительную или коммерческую лицензию (см. п. 3.2.3 на стр. 47).

Шаг 5. Дополнительные проверки и настройки

Проверка параметров интеграции с Postfix

Если при установке Traffic Monitor Server выбрана интеграция с Postfix, то убедитесь, что параметры ин-теграции заданы корректно (см. п. 3.2.5 на стр. 49).

Настройка параметров взаимодействия со Sniffer

Page 44: Руководство по установке и конфигурированию

44 InfoWatch Traffic Monitor Enterprise 3.5

Если перехват трафика будет выполняться через Sniffer, то настройте параметры приема копии трафика от Sniffer (см. п. 3.2.6.1 на стр. 50).

Если нужно создать кластер и данный экземпляр Traffic Monitor Server будет входить в кластер, настрой-те параметры кластеризации (см. п. 3.2.6.2 на стр. 51).

Установка и настройка модуля взаимодействия с удаленной базой данных

Если объекты, перехваченные в филиале, нужно загружать в удаленную базу данных центрального офи-са, то установите модуль в следующей конфигурации:

в филиале установите клиентскую часть модуля на компьютере с Traffic Monitor Server (см. п. 3.2.7.1 на стр. 52;

в центральном офисе установите серверную часть модуля на компьютере с Traffic Monitor Server (см. п. 3.2.7.2 на стр. 54).

Установка и настройка модуля IW ICAP

Если перехват HTTP-трафика будет выполняться через ICAP-сервер, установите и настройте модуль IW ICAP (см. п. 3.2.8 на стр. 55).

Шаг 6. Проверка автозапуска процессов

Автозапуск должен быть включен только для процессов, которые необходимы данному экземпляру Traffic Monitor Server для корректной работы:

Процесс В каких случаях необходим автозапуск процесса По умолчанию ав-тозапуск включен

iw_smtpd Перехват SMTP-трафика в режиме почтового релея Да

iw_messed Перехват SMTP-трафика в любом режиме (релей или Sniffer) Да

iw_deliverd Только если доставка SMTP-трафика ведется через Систему Да

iw_sniffer На компьютере с установленным Sniffer Нет

iw_proxy SMTP

iw_proxy HTTP

iw_proxy ICQ

Перехват копии SMTP-, HTTP- и ICQ-трафика через Sniffer. Включите автозапуск только для необходимых перехватчиков

Включен для пере-хватчиков HTTP и ICQ

iw_icap Перехват HTTP-трафика, передаваемого через ICAP-сервер.

Процесс появляется, если установлен модуль IW ICAP

Да

iw_expressd Прием объектов перехваченных системой InfoWatch Device Monitor

Прием объектов перехваченных системой DeviceLock

Да

iw_qmover_server В центральном офисе. Если нужно принимать объекты из фи-лиала.

Процесс появляется, если установлена серверная часть мо-дуля взаимодействия с удаленной базой данных

Да

iw_qmover_client В филиале. Если нужно загружать объекты в базу данных центрального офиса.

Процесс появляется, если установлена клиентская часть мо-дуля взаимодействия с удаленной базой данных

Да

Page 45: Руководство по установке и конфигурированию

Установка системы 45

Процесс В каких случаях необходим автозапуск процесса По умолчанию ав-тозапуск включен

iw_dbloader

iw_updater

iw_warpd

iw_adlibitum

Автозапуск должен быть включен при любой схеме внедрения Да

Важная информация!

Отключите автозапуск нелицензированных процессов, отвечающих за перехват трафика (iw_smtpd, iw_proxy, iw_expressd, iw_icap). Это позволит уменьшить количество сообщений в журнале протоко-лирования.

Чтобы включить/отключить автозапуск процесса:

1. Для корректной смены параметров остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] выполните на-

стройки:

Чтобы включить автозапуск для процесса, установите в блоке процесса: autorestart = On

Пример (включение iw_sniffer):

iw_sniffer:

autorestart = On

Чтобы отключить автозапуск для процесса, установите в блоке процесса: autorestart = Off

3. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

3.2.2. Установка и замена лицензии на перехватчики

В этом разделе:

Особенности использования лицензионного ключа (п. 3.2.2.1 на стр. 45).

Установка и замена лицензионного ключа (п. 3.2.2.2 на стр. 47).

3.2.2.1. Особенности использования лицензионного ключа

Ознакомительная лицензия на перехватчики действует в течение 30 дней с момента установки Traffic Monitor Server. Чтобы продолжить эксплуатацию Системы, установите коммерческую лицензию на пере-хватчики, которые вы планируете использовать.

Коммерческий лицензионный ключ представляет собой файл iw_licence.dat, который поставляется

по запросу. Для получения коммерческого лицензионного ключа вам потребуется специальный файл

iw_customer.dat. Этот файл генерируется при помощи утилиты iw_lickey, входящей в состав Traffic

Monitor Server. Кроме того, утилита iw_lickey может поставляться по запросу, отдельно от дистрибутива Системы.

Порядок установки и замены лицензионного ключа описан в п. 3.2.2.2 на стр. 47.

При установке и использовании лицензионного ключа нужно учитывать следующее:

Лицензионный ключ (файл iw_licence.dat) жестко привязан к программно-аппаратной конфи-

гурации того компьютера, на котором был сгенерирован запрос на лицензию (файл

iw_customer.dat). Таким образом, при переносе файла iw_licence.dat на другой компьютер

функциональность InfoWatch Traffic Monitor будет недоступна.

Page 46: Руководство по установке и конфигурированию

46 InfoWatch Traffic Monitor Enterprise 3.5

Если в Системе имеется кластер Traffic Monitor Server, то для каждого экземпляра Traffic Monitor Server требуется отдельный лицензионный ключ. Например, если в Системе три экземпляра Traffic

Monitor Server, то всего должно быть сгенерировано три файла iw_customer.dat (по одному

файлу от каждого экземпляра). И для каждого такого файла будет выслан отдельный файл

iw_licence.dat.

Разрешается обновление аппаратной и программной платформ (за исключением замены систем-ной платы).

При полной переустановке операционной системы и/или системы InfoWatch Traffic Monitor вам по-требуется заново установить лицензию. Поэтому рекомендуется сохранить файл

iw_licence.dat на каком-либо носителе информации.

Особенности замены лицензии

Если у вас установлена коммерческая лицензия, то замена лицензионного ключа требуется в следующих случаях:

срок действия текущей коммерческой лицензии подходит к концу;

произведена замена системной платы на компьютере с Traffic Monitor Server;

необходимо изменить набор лицензированных перехватчиков.

Если период действия лицензии (ознакомительной или коммерческой) истек, то работа нелицензирован-ных перехватчиков будет остановлена. В этом случае необходимо продлить срок действия лицензии или удалить Систему (см. главу 5 на стр. 70).

Если лицензия продлевается только на часть перехватчиков, то в этом случае Систему удалять не нуж-но. Однако необходимо вернуть исходные настройки передачи тех видов трафика, которые не будут ли-цензироваться:

Схема перехвата трафика Необходимые настройки

Перехват и доставка SMTP-трафика (работа с поч-товым relay-сервером) осуществляется Системой

Перенастройте подсистему доставки SMTP-трафика через корпоративный почтовый сервер, минуя InfoWatch Traffic Monitor.

Об изменениях в параметрах Postfix см. п. 2.3 на стр. 27 и п. 3.2.5 на стр. 49

Перехват копии SMTP-трафика (работа с почтовым relay-сервером). Система не участвует в доставке писем

Перенастройка не требуется

Перехват копии SMTP-, HTTP- и ICQ-трафика через Sniffer

Перенастройка не требуется

Перехват HTTP-запросов путем интеграции с ICAP Удалите модуль IW ICAP и верните исходные на-стройки прокси-сервера (см. п. 5.3 на стр. 72)

Прием объектов от InfoWatch Device Monitor Перенастройка не требуется

Прием объектов от DeviceLock Удалите InfoWatch DeviceLock Adapter (см. доку-мент «InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию»).

Перенастройка не требуется.

Page 47: Руководство по установке и конфигурированию

Установка системы 47

3.2.2.2. Установка и замена лицензионного ключа

Важная информация!

В этом разделе описывается применение лицензионного ключа для одного экземпляра Traffic Monitor Server. При наличии нескольких экземпляров Traffic Monitor Server повторите указанную ниже после-довательность действий для каждого экземпляра.

На Sniffer (устанавливаемый отдельно от Traffic Monitor Server) лицензия не требуется.

Чтобы установить новый лицензионный ключ или заменить текущий:

1. Запустите утилиту iw_lickey, расположенную в каталоге/usr/local/infowatch/tm3/bin. В ре-

зультате работы данной утилиты в каталоге /usr/local/infowatch/tm3/bin будет создан

файл iw_customer.dat.

2. Отправьте файл iw_customer.dat по электронной почте на адрес менеджера отдела продаж

компании InfoWatch. После получения файла iw_customer.dat менеджер направит вам по элек-

тронной почте файл iw_licence.dat.

3. Сохраните файл iw_licence.dat, полученный от сотрудника InfoWatch, в каталог

/usr/local/infowatch/tm3/etc. Если в каталоге уже имеется файл iw_licence.dat, то со-

храните новый файл взамен старого.

Важная информация!

Файл с лицензионным ключом должен находиться на том же компьютере, на котором был сге-

нерирован файл iw_customer.dat.

Если вы используете лицензию на перехват HTTP-трафика по протоколу ICAP, то укажите в каче-

стве владельца файла iw_licence.dat пользователя – владельца Traffic Monitor Server (по

умолчанию iwtm):

chown iwtm:oinstall iw_licence.dat

Примечание:

Владелец Traffic Monitor Server указан в файле /usr/local/infowatch/tm3/etc/tm.conf,

секция [GENERAL], параметр user.

4. Чтобы новая лицензия вступила в действие, перезапустите процессы Traffic Monitor Server:

service iw-trafmon restart

Важная информация!

Отключите автозапуск нелицензированных процессов, отвечающих за перехват трафика (iw_smtpd, iw_proxy, iw_expressd). Это позволит уменьшить количество сообщений в журнале протоколирова-ния.

3.2.3. Установка и замена лицензии на технологии

контентного анализа

В этом разделе:

Особенности использования лицензии (п. 3.2.3.1 на стр. 47).

Установка и замена лицензии (п. 3.2.3.2 на стр. 48).

3.2.3.1. Особенности использования лицензии

Лицензия на технологии контентного анализа представляет собой числовой код. После установки Traffic Monitor Server технологии контентного анализа не имеют лицензии. Чтобы использовать контентный ана-лиз, установите ознакомительную или коммерческую лицензию.

Page 48: Руководство по установке и конфигурированию

48 InfoWatch Traffic Monitor Enterprise 3.5

Варианты числовых кодов для ознакомительных лицензий расположены на диске с дистрибутивом Сис-

темы в каталоге license, файл trial.info. Предусмотрены две ознакомительные лицензии (период

действия каждой лицензии 30 дней):

семантическое зеркало (поиск по терминам) + анализатор шаблонов (детектирование текстовых объектов);

копирайтный анализ (сравнение с образцами документов) + анализатор шаблонов (детектирова-ние текстовых объектов).

Одновременно может использоваться только одна лицензия. Чтобы ознакомиться со всеми технологиями контентного анализа, используйте эти лицензии по очереди. Чтобы использовать одну или несколько технологий контентного анализа текста по истечении пробного периода, установите коммерческую ли-цензию.

Ввод лицензии (ознакомительной или коммерческой) выполняется после установки Traffic Monitor Server.

Замена лицензии выполняется в следующих случаях:

срок действия текущей лицензии истекает;

необходимо изменить набор технологий контентного анализа.

3.2.3.2. Установка и замена лицензии

Важная информация!

В данном разделе описывается установка лицензии для одного экземпляра Traffic Monitor Server. При наличии в Системе нескольких экземпляров Traffic Monitor Server необходимо повторить указанную ниже последовательность действий для каждого экземпляра.

Чтобы установить ознакомительную лицензию:

1. На компьютере с Traffic Monitor Server откройте файл

/usr/local/infowatch/tm3/etc/tm.conf.

В секции [CAS] файла tm.conf замените текущее значение параметра EngineLic числовым ко-

дом из файла trial.info.

2. Чтобы ознакомительная лицензия вступила в действие, перезапустите сервер контентного анали-за (CAS):

service iw-caserv restart

Чтобы установить новую или заменить текущую коммерческую лицензию:

1. Отправьте по электронной почте запрос для получения лицензии на адрес менеджера отдела про-даж компании InfoWatch. Менеджер передаст вам числовой код.

2. На компьютере с Traffic Monitor Server откройте файл

/usr/local/infowatch/tm3/etc/tm.conf.

В секции [CAS] файла tm.conf введите полученный числовой код вместо текущего значения па-

раметра EngineLic.

3. Чтобы новая лицензия вступила в действие, перезапустите сервер контентного анализа (CAS):

service iw-caserv restart

3.2.4. Настройка DNS для поддержки Active Directory

Если вы используете интеграцию InfoWatch Traffic Monitor с Active Directory (подробнее см. документ «Ру-ководство пользователя InfoWatch Traffic Monitor»), то для использования имени сервера AD в настройке параметров подключения, на каждом сервере Traffic Monitor необходимо задать адрес DNS сервера.

Для этого в конфигурационный файл /etc/resolv.conf добавьте следующие строки:

search <имя домена>

nameserver <ip DNS сервера>

Page 49: Руководство по установке и конфигурированию

Установка системы 49

Наример:

search company.com

nameserver 10.10.0.98

nameserver 10.10.0.106

3.2.5. Проверка интеграции Postfix и Traffic Monitor

Server

Важная информация!

В этом подразделе описываются настройки, которые необходимы, если Traffic Monitor Server устанав-ливается на тот же компьютер, на котором установлен почтовый сервер Postfix.

Почтовый сервер Postfix принимает входящие SMTP-письма на 25 порт. Далее входящие SMTP-письма передаются (контент-фильтром) процессу iw_smtpd на порт 2025. Traffic Monitor Server анализирует по-лученные SMTP-письма. После анализа процесс iw_messed передает письма, доставка которых разре-шена, на порт 2020 почтового сервера Postfix (см. рис. 21). Почтовый сервер Postfix либо напрямую дос-тавляет письма адресатам, либо передает их следующему почтовому relay-серверу.

Рисунок 21. Интеграция с Postfix

Настройка параметров, необходимая для корректного взаимодействия системы InfoWatch Traffic Monitor с почтовым сервером Postfix, выполняется при установке Traffic Monitor Server (см. п. 3.2.1 на стр. 40). Во

время установки необходимые изменения заносятся в конфигурационные файлы master.cf и tm.conf:

изменения в файле /etc/postfix/master.cf:

smtp inet n — n — — smtpd

-o content_filter=smtp:127.0.0.1:2025

pickup fifo n — n 60 1 pickup

-o content_filter=smtp:127.0.0.1:2025

В конец файла дописываются строки:

127.0.0.1:2020 inet n — n — 21 smtpd

-o content_filter=

-o local_recipient_maps=

-o relay_recipient_maps=

-o smtpd_restriction_classes=

-o smtpd_client_restrictions=

-o smtpd_helo_restrictions=

-o smtpd_sender_restrictions=

-o mynetworks=127.0.0.0/8

-o strict_rfc821_envelopes=yes

-o smtpd_error_sleep_time=0

-o smtpd_soft_error_limit=1001

-o smtpd_hard_error_limit=1000

Page 50: Руководство по установке и конфигурированию

50 InfoWatch Traffic Monitor Enterprise 3.5

-o myhostname=<$hostname>

изменения в значениях параметров файла /usr/local/infowatch/tm3/etc/tm.conf:

Секция tm.conf Измененные параметры

[SMTPD] ListenAddr = 127.0.0.1

ListenPort = 2025

[MESSED] Relay = 127.0.0.1

RelayPort = 2020

[DELIVERD] Relay = 127.0.0.1

RelayPort = 2020

3.2.6. Настройка параметров взаимодействия со Sniffer

В этом разделе:

Прием копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

Создание кластера Traffic Monitor Server (п. 3.2.6.2 на стр. 51).

3.2.6.1. Прием копии трафика от Sniffer

Настройка выполняется на компьютере с Traffic Monitor Server. Настройка необходима и в том случае, когда Sniffer и Traffic Monitor Server установлены на одном компьютере.

В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf, выполните настройки:

Задайте параметры для используемых перехватчиков в секциях [PROXY_SMTP], [PROXY_HTTP],

[PROXY_ICQ]:

Параметр Пояснения

SnifferInterface Сетевой интерфейс, через который будут поступать данные от ком-мутатора CISCO. Допускаются следующие варианты:

каждому перехватчику назначается отдельный сетевой интер-фейс;

всем перехватчикам назначается один сетевой интерфейс

SnifferPorts Порты, используемые для передачи данных определенному пере-хватчику. На обработку будут приняты пакеты, у которых заданные порты присутствуют в полях адрес источника и/или адрес назначения.

Порты можно указать путем перечисления (разделитель – запятая) и/или определения диапазона (разделитель – тире). Например:

«80, 8080 – 9090».

SnifferLiveTimeout Время ожидания (сек), в течение которого соединение должно перей-ти в состояние ESTABLISHED. Если состояние не изменилось, то со-единение автоматически прекращается

SnifferOpenTimeout Время сохранения соединения (в сек) при отсутствии пакетов

SnifferCloseTimeout Время сохранения соединения (в сек) при переходе в состояние TIME_WAIT

SnifferQueueMemorySize Объем памяти (в байтах), используемой для приема пакетов. При вы-сокой загруженности канала, можно увеличить значение. Диапазон

Page 51: Руководство по установке и конфигурированию

Установка системы 51

Параметр Пояснения

значений: от 1 до 500 Мб. Рекомендуемое значение – 104857600.

SnifferHost IP-адрес Sniffer

SnifferPort Порт, через который Sniffer принимает входящие соединения

В секции [PROXY_HTTP] установите значение Off для параметра SkipNegotiate.

Если необходимо перехватывать ICQ-трафик, передаваемый через прокси-сервер (поверх HTTP),

то в секции [PROXY_HTTP] установите On для параметра IcqFilter.

3.2.6.2. Создание кластера Traffic Monitor Server

При перехвате копии трафика через Sniffer можно создавать кластеры Traffic Monitor Server. Это позволя-ет увеличить производительность Системы.

Важная информация!

1. Один кластер может содержать до двух экземпляров Traffic Monitor Server. Не рекомендуется ис-пользовать более 3-х кластеров.

2. При использовании кластера сетевое соединение между Sniffer и Traffic Monitor Server должно обеспечивать скорость передачи в два раза превышающую скорость, с которой трафик поступает на Sniffer.

Чтобы создать кластер Traffic Monitor Server:

На каждом экземпляре Traffic Monitor Server, который будет входить в кластер, задайте параметры

кластеризации. Настройка выполняется в файле /usr/local/infowatch/tm3/etc/tm.conf,

секции [PROXY_SMTP], [PROXY_HTTP], [PROXY_ICQ]. Для каждого используемого перехватчика

укажите параметры:

Параметр Пояснения

SnifferClusterID Идентификатор кластера, в который будет включен данный экземпляр Traffic Monitor Server. По этому идентификатору трафик определенного вида распреде-ляется внутри кластера.

Задается в виде строки. Например, icq – 1

Важная информация!

На всех экземплярах Traffic Monitor Server, входящих в кластер, параметр дол-жен иметь одинаковое значение для одного и того же перехватчика.

SnifferBalancer Тип балансировки (распределение трафика между несколькими экземплярами Traffic Monitor Server с iw_proxy). Возможные значения:

Connection. Для каждого нового TCP-соединения выбирается экземпляр Traffic

Monitor Server с iw_proxy. Таким образом, поочередно задействуются все экзем-пляры Traffic Monitor Server.

SrcIp. Распределение трафика между несколькими экземплярами Traffic Monitor

Server с iw_proxy выполняется на основании IP-адреса клиента. Это значит, что все данные с одинаковым IP-адресом клиента будут передаваться на один эк-земпляр Traffic Monitor Server.

Важная информация! Вариант SrcIp необходимо указать для перехватчика

PROXY_HTTP, если нужен перехват ICQ-сообщений, передаваемых через прокси-

сервер (поверх HTTP).

В остальных случаях рекомендуется вариант Connection

Page 52: Руководство по установке и конфигурированию

52 InfoWatch Traffic Monitor Enterprise 3.5

Пример. Создание кластера из двух экземпляров Traffic Monitor Server

Система перехватывает копию SMTP- и HTTP-трафика через Sniffer. Для повышения производительно-сти при анализе трафика создается кластер из двух экземпляров Traffic Monitor Server (см. рис. 22).

Рисунок 22. Создание кластера из двух Traffic Monitor Server

Для создания кластера на каждом экземпляре Traffic Monitor Server нужно выполнить следующие на-

стройки в файле /usr/local/infowatch/tm3/etc/tm.conf:

Секция [PROXY_SMTP]:

SnifferClusterID = smtp

SnifferBalancer = Connection

Секция [PROXY_HTTP]:

SnifferClusterID = http

SnifferBalancer = Connection

3.2.7. Установка и настройка модуля взаимодействия с

удаленной базой данных

В этом разделе:

Установка клиентской части модуля взаимодействия с удаленной БД (филиал) (п. 3.2.7.1 на стр. 52).

Установка серверной части модуля взаимодействия с удаленной БД (центральный офис) (п. 3.2.7.2 на стр. 54).

3.2.7.1. Установка клиентской части модуля взаимодействия

с удаленной БД (филиал)

Шаг 1. Установка и настройка общих параметров

1. Убедитесь, что имеются все пакеты Linux, требующиеся для установки клиентской части модуля взаимодействия с удаленной базой данных. Это можно сделать с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

где x.x.x-x номер версии InfoWatch Traffic Monitor.

2. На компьютер с Traffic Monitor Server установите пакет iwtm_qmover-x.x.x-x.i686.rpm

(здесь x.x.x-x номер версии InfoWatch Traffic Monitor). Для этого выполните команду (от имени

пользователя root):

rpm -i /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

Например:

rpm -i /u01/iwtm_qmover-3.4.3-59.i686.rpm

Пакет будет установлен в каталог:

Page 53: Руководство по установке и конфигурированию

Установка системы 53

/usr/local/infowatch/tm3

3. Запустите сценарий qmover-setup.sh:

/usr/local/infowatch/tm3/qmover-setup.sh

4. Настройте параметры клиента:

Select remote queue setup type?

Выберите client.

Enter TM EE qmover server’s IP address.

IP-адрес, сервера (в центральном офисе), на который клиент будет передавать перехваченные

объекты. Значение по умолчанию 127.0.0.1.

Enter TM EE qmover server’s port number.

Порт сервера, на который будут передаваться перехваченные объекты. Значение по умолча-нию 16888.

5. Перезапустите Traffic Monitor Server:

service iw-trafmon restart

Шаг 2. Настройка автозапуска процессов

Включите автозапуск для процесса iw_qmover_client. Отключите автозапуск для процессов

iw_dbloader, iw_deliverd и iw_adlibitum.

Чтобы включить/отключить автозапуск процесса:

1. Для корректной смены параметров остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] выполните на-

стройки:

Чтобы включить автозапуск для процесса, установите в блоке процесса: autorestart = On

Пример (включение iw_qmover_client):

iw_qmover_client:

autorestart = On

Чтобы отключить автозапуск для процесса, установите в блоке процесса: autorestart = Off

3. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

Шаг 3. Изменение ширины полосы пропускания для канала передачи данных

По умолчанию полоса пропускания имеет ширину 128 Кбит/с. Но вы можете настроить автоматическое изменение полосы пропускания в различные периоды времени. Для этого используется утилита

iw_qmover_channel__width_setter.

Допускается изменение ширины полосы пропускания в пределах от 128 Кбит/с до 2 Mбит/с включитель-но.

Чтобы настроить ограничения на ширину полосы пропускания:

на стороне клиента (филиал) настройте crond на запуск утилиты

iw_qmover_channel__width_setter с нужными интервалами.

Утилита запускается с обязательными параметрами:

iw_qmover_channel__width_setter <полоса_пропускания>

Здесь:

Полоса_пропускания – ширина полосы пропускания (кбит/с), которую нужно установить.

Page 54: Руководство по установке и конфигурированию

54 InfoWatch Traffic Monitor Enterprise 3.5

Пример

Имеется канал с полосой пропускания 256 кбит/с. Необходимо, чтобы в период с 9.00 до 18.00 ка-нал был занят на 50 %. А с 18.00 до 9.00 на 100%.

1. Рассчитайте ширину полосы пропускания, исходя из загрузки вашего канала. В этом примере ширина полосы пропускания для разных интервалов времени составляет:

Интервал

Ширина полосы пропускания

Процент от величины канала В пересчете на кбит/с

9.00 до 18.00 50% 128

18.00 до 9.00 100% 256

2. Добавьте в cron команды:

00 9 * * * iwtm /usr/local/infowatch/tm3/bin/iw_qmover_channel_width_setter 128

00 18 * * * iwtm /usr/local/infowatch/tm3/bin/iw_qmover_channel_width_setter 256

3.2.7.2. Установка серверной части модуля взаимодействия с

удаленной БД (центральный офис)

Шаг 1. Установка и настройка

1. Убедитесь, что имеются все пакеты Linux, требующиеся для установки серверной части модуля взаимодействия с удаленной базой данных. Это можно сделать с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

где x.x.x-x номер версии InfoWatch Traffic Monitor.

2. На компьютер с Traffic Monitor Server установите пакет iwtm_qmover-x.x.x-x.i686.rpm

(здесь x.x.x-x номер версии InfoWatch Traffic Monitor). Для этого выполните команду (от имени

пользователя root):

rpm -i /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

Например:

rpm -i /u01/iwtm_qmover-3.4.1-169.i686.rpm

Пакет будет установлен в каталог:

/usr/local/infowatch/tm3

3. Запустите сценарий qmover-setup.sh:

/usr/local/infowatch/tm3/qmover-setup.sh

4. Настройте параметры сервера:

Select remote queue setup type?

Выберите server.

Enter TM EE qmover server’s port number.

Укажите порт, на котором сервер прослушивает объекты, поступающие от клиентов (из филиа-

лов). Значение по умолчанию 16888.

Enter number of clients.

Укажите число клиентов, от которых сервер будет принимать объекты.

Please enter IP address of client N.

Укажите IP-адрес клиента N. Значение по умолчанию 127.0.0.1. Для каждого клиента выводится

отдельный запрос.

Page 55: Руководство по установке и конфигурированию

Установка системы 55

Примечание:

В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] настройте автоза-

пуск для процесса iw_qmover_server.

Смену параметров автозапуска необходимо выполнять при отключенном Traffic Monitor Server. Под-робнее см. п. 3.2.1 на стр. 40, шаг 6 Проверка автозапуска процессов.

Шаг 2. Создание разных очередей для клиентов

По умолчанию после установки Traffic Monitor Server объекты от всех клиентов (филиалы) загружаются в

общую очередь /usr/local/infowatch/tm3/queue/db. В эту же очередь загружаются объекты, пе-

рехваченные в локальной сети центрального офиса (т.е. из сети на стороне базы данных).

С целью повышения надежности приема объектов необходимо создать отдельную очередь для каждого клиента. Настройка очередей выполняется на сервере приемнике (server)

Чтобы создать отдельную очередь для приема объектов от клиента,

1. Откройте файл /usr/local/infowatch/tm3/etc/qmover.conf.

2. В секции [client_N] (N – порядковый номер клиента) измените значение параметра QueuePath,

указав полный путь к директории, в которой нужно разместить очередь. Очередь будет создана в указанном месте при первом соединении сервера с клиентом.

Повторяйте п. 2, пока не будут заданы очереди для каждого клиента.

Важная информация!

Очереди от всех клиентов должны размещаться на одном разделе жесткого диска.

3. Для очереди каждого клиента задайте параметры перемещения объектов в основную очередь. За-пустите утилиту iw_qtool с параметрами:

iw_qtool move <очередь-источник> <очередь-приемник>

Здесь:

очередь-источник – полный путь к директории с очередью клиента N (должен совпадать cо

значением QueuePath в секции [client_N]).

очередь-приемник – полный путь к основной очереди сервера (по умолчанию используется

queue/db).

Например:

iw_qtool move /u01/client_1 /usr/local/infowatch/tm3/queue/db

4. Настройте в crond автоматический запуск утилиты iw_qtool с требуемой периодичностью.

3.2.8. Установка и настройка модуля IW ICAP

Шаг 1. Подготовка к установке

Убедитесь, что имеются все пакеты Linux, требующиеся для установки модуля IW ICAP. Это можно сде-лать с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/iwtm_icap-x.x.x-x.i686.rpm

где x.x.x-x номер версии InfoWatch Traffic Monitor.

Шаг 2. Установка модуля IW ICAP

На компьютер с Traffic Monitor Server установите пакет iwtm_icap-x.x.x-x.i686.rpm (здесь x.x.x-x

номер версии InfoWatch Traffic Monitor). Для этого выполните команду (от имени пользователя root):

rpm -i /путь_к_пакету_iwtm/iwtm_icap-x.x.x-x.i686.rpm

Page 56: Руководство по установке и конфигурированию

56 InfoWatch Traffic Monitor Enterprise 3.5

Например:

rpm -i /u01/iwtm_icap-3.4.3-59.i686.rpm

Пакет будет установлен в каталог:

/usr/local/infowatch/tm3

Примечание:

В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] настройте автоза-

пуск для процесса iw_icap.

Смену параметров автозапуска необходимо выполнять при отключенном Traffic Monitor Server. Под-робнее см. п. 3.2.1 на стр. 40, шаг 6 Проверка автозапуска процессов.

Шаг 3. Настройка прокси-сервера

Настройте параметры перехвата HTTP-запросов на прокси-сервере.

Важная информация!

На каждой рабочей станции браузер должен быть настроен так, чтобы HTTP(S)-трафик проходил че-рез используемый прокси-сервер (SQUID, Blue Coat). Информацию по настройке вы можете получить из документации к браузеру.

Настройка SQUID

В настройках прокси-сервера задайте следующие параметры:

разрешите использование ICAP;

обязательно установите режим работы ICAP-сервера: Request Mod;

укажите IP-адрес ICAP-сервера, на который будут передаваться HTTP-запросы. ICAP-сервер вхо-дит в состав модуля IW ICAP. Поэтому нужно указывать IP-адрес компьютера, на который уста-новлен этот модуль.

Пример настройки ICAP для SQUID 3.1.7

В файле squid.conf задайте параметры:

icap_enable on

icap_preview_enable off

icap_send_client_ip on

icap_send_client_username on

icap_service service_1 reqmod_precache 0 icap://IP_TM_Server:Port_TM_Server/reqmod

icap_class class_1 service_1

icap_access class_1 allow all

never_direct allow all

Где IP_TM_Server — IP-адрес Traffic Monitor Server, а Port_TM_Server – порт, на котором Traffic Monitor

Server слушает ICAP (по умолчанию – 1344).

Настройка прокси-сервера для обеспечения его интеграции с Active Directory на примере SQUID 3.1.7 на компьютере с CentOS 5.5 / RHEL 5.5

Примечание:

Процедура настройки, которая приводится далее, может отличаться в зависимости от версии и моде-ли прокси-сервера. Актуальную информацию по настройке вы можете получить из документации к прокси-серверу.

1. Убедитесь, что установлены следующие пакеты:

squid3

samba

samba-common

Page 57: Руководство по установке и конфигурированию

Установка системы 57

kerberos

2. Настройте конфигурационный файл samba (/etc/samba/smb.conf):

[global]

workgroup = EXAMPLE

server string = Samba server %v

netbios name = machine

security = ADS

realm = EXAMPLE.COM

password server = 192.168.1.1

encrypt passwords = Yes

preferred master = No

domain master = No

Где:

­ EXAMPLE – имя рабочей группы, куда входит ICAP-сервер;

­ EXAMPLE.COM – DNS имя ICAP-сервера.

3. Настройте конфигурационный файл kerberos (/etc/krb5.conf):

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = EXAMPLE.COM

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 24h

forwardable = yes

[realms]

EXAMPLE.COM = {

kdc = dc.example.com:88

admin_server = dc.example.com:749

default_domain = example.com

}

[domain_realm]

.example.com = EXAMPLE.COM

example.com = EXAMPLE.COM

[appdefaults]

pam = {

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false

}

4. Настройте конфигурационный файл /etc/nsswitch.conf:

passwd: files winbind

group: files winbind

shadow: files

5. В файле /etc/hosts укажите записи для FQDN ICAP-сервера. Т.е.:

192.168.1.2 squid.example.com

6. Выполните проверку на наличие ошибок в файле smb.conf:

testparm

Если проверка указала на отсутствие ошибок, перезапустите samba:

Page 58: Руководство по установке и конфигурированию

58 InfoWatch Traffic Monitor Enterprise 3.5

/etc/init.d/smb restart

7. Выполните включение компьютера в домен

net ads join –U username

где username – имя пользователя с правами на включение данного компьютера в домен.

8. Запустите winbind:

winbindd

/etc/init.d/smb restart

9. Проверьте работу winbind:

Чтобы получить список доменных пользователей, выполните команду:

wbinfo –u

Чтобы получить список доменных групп, выполните команду:

wbinfo –g

10. Настройте конфигурационный файл /etc/squid/squid.conf, добавив следующие строки:

auth_param ntlm program /usr/bin/ntlm_auth —helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 5

auth_param ntlm keep_alive on

acl ntlm_users proxy_auth REQUIRED

http_access allow ntlm_users

/etc/init.d/squid restart

Рекомендации по настройке ICAP для Blue Coat SG Series

На прокси-сервере должно быть разрешено использование ICAP в режиме Request Mod, настроены па-раметры взаимодействия с Traffic Monitor Server. Настройки выполняются через Web-интерфейс, под учетной записью администратора.

Примечания:

Процедура настройки, которая приводится далее, может отличаться в зависимости от версии и моде-ли прокси-сервера. Актуальную информацию по настройке вы можете получить из документации к прокси-серверу.

Если вам необходимо перехватывать HTTPS-трафик, то настройте Blue Coat так, чтобы HTTPS-трафик обрабатывался как HTTP-трафик. Подробную информацию по этому вопросу вы можете полу-чить из документации к прокси-серверу.

1. Перейдите на вкладку Configuration.

2. Перейдите в раздел External Services ► ICAP. Создайте сервис tm. Задайте параметры сервиса:

Service URL: icap://<TM_server_IP>/reqmod

Например: icap://10.60.0.20/reqmod.

Maximum number of connections: 10

Connection timeout: 70

Установите флажок This service supports plain ICAP connection. В поле Plain ICAP port ука-жите порт 1344.

Важная информация!

Значение поля Plain ICAP port должно совпадать со значением параметра ListenPort в

файле /usr/local/infowatch/tm3/etc/icap.conf, секция [ICAP]. Если параметр

ListenPort имеет другое значение, то откорректируйте его.

На панели ICAP v1.0 Options настройте параметры:

o Method supported: выберите request modification

o Send. Установите флажки Authenticated User, Client address и Server address.

Page 59: Руководство по установке и конфигурированию

Установка системы 59

3. Перейдите в раздел Health Checks ► General. Убедитесь, что включена проверка состояния для серверов – на вкладке Health Checks отображаются адреса:

icap.tm

Проверьте доступность всех перечисленных серверов, нажав кнопку Perform health check.

3.2.9. Кластер Traffic Monitor Server c одним Сервером

контентного анализа

Важная информация!

Сведения в данном разделе относятся только к случаю, когда используется технология контентного анализа текста Цифровые отпечатки.

При использовании технологии Цифровые отпечатки в системе должен функционировать только один Сервер контентного анализа. Если в Системе имеется несколько экземпляров Traffic Monitor Server, то необходимо настроить передачу текста на контентный анализ со всех экземпляров на общий Сервер кон-тентного анализа.

Чтобы настроить один Сервер контентного анализа для нескольких экземпляров Traffic Monitor:

На всех экземплярах Traffic Monitor Server остановите Сервер контентного анализа:

service iw-caserv stop

На компьютере с Traffic Monitor Server, на котором будет работать Сервер контентного анализа, в

файле /usr/local/infowatch/tm3/etc/tm.conf, измените адрес сервера на 0.0.0.0:

секция [CAS]

ListenAddr=0.0.0.0

На других экземплярах Traffic Monitor Server в файле

/usr/local/infowatch/tm3/etc/tm.conf, секция [FILTER], укажите адрес и порт Сервера

контентного анализа.

На компьютере с Traffic Monitor Server, на котором будет работать Сервер контентного анализа, запустите Сервер контентного анализа:

service iw-caserv start

3.3. Sniffer

Шаг 1. Установка Sniffer

Установите и настройте Traffic Monitor Server в соответствии с п. 3.2.1 на стр. 40. Особенности настройки Traffic Monitor Server зависят от схемы развертывания:

Схема развертывания Системы Настройка Traffic Monitor Server

Перехват и анализ трафика будет выпол-няться на разных компьютерах. Устанавли-ваемый экземпляр Traffic Monitor Server будет работать только как Sniffer (перехват трафи-ка)

При настройке выбирайте значения по умолчанию, но откажитесь от интеграции с Postfix, (выберите значе-

ние n).

Включите автозапуск только для процесса iw_sniffer.

Page 60: Руководство по установке и конфигурированию

60 InfoWatch Traffic Monitor Enterprise 3.5

Схема развертывания Системы Настройка Traffic Monitor Server

Перехват и анализ копии трафика будет вы-полняться на одном компьютере. Traffic Moni-tor Server будет принимать копию трафика от коммутатора CISCO (функция Sniffer), анали-зировать полученные данные и загружать их в базу данных (функции Traffic Monitor Server)

При настройке укажите параметры, необходимые для выполнения функций Traffic Monitor Server. Но откажи-

тесь от интеграции с Postfix, (выберите значение n).

Включите автозапуск для процессов iw_sniffer. iw_dbloader, iw_updater, iw_warpd и iw_adlibitum. Также включите автозапуск для нужных перехватчиков тра-фика: iw_proxy ICQ, iw_proxy HTTP, iw_proxy SMTP. Отключите автозапуск других процессов.

Шаг 2. Настройка параметров перехвата трафика

На компьютере с установленным Sniffer выполните следующие настройки:

1. Остановите процессы Traffic Monitor Server, выполнив команду:

service iw-trafmon stop

2. В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf, секция [SNIFFER],

задайте параметры:

Host. IP-адрес, на который нужно принимать входящие соединения.

Port. Порт, через который нужно принимать входящие соединения

3. По окончании настройки запустите iw_sniffer:

service iw-trafmon start

3.4. Management Console

В этом разделе:

Установка Management Console (п. 3.4.1 на стр. 60).

Настройка соединения с сервером СУБД Oracle (п. 3.4.2 на стр. 61).

Настройка параметров анализа и мониторинга объектов (п. 3.4.3 на стр. 62).

3.4.1. Установка Management Console

Шаг 1. Запуск мастера установки

На диске с дистрибутивом Системы откройте каталог Setup.Gui.Ru. В этом каталоге найдите и запусти-

те файл setup.exe.

В результате на экран будет выведено окно приветствия мастера установки «InfoWatch Traffic Monitor Management Console».

Нажмите кнопку Далее.

Шаг 2. Принятие лицензионного соглашения

Ознакомьтесь с текстом лицензионного соглашения. Если вы принимаете условия лицензионного согла-шения, выберите вариант Принимаю и нажмите кнопку Далее.

Page 61: Руководство по установке и конфигурированию

Установка системы 61

Шаг 3. Выбор каталога для установки

Путь к каталогу, в который будет установлена Management Console, задан в поле ввода Папка.

Выберите один из вариантов создания ярлыка для Management Console:

Для всех. Ярлык создается для каждого пользователя, зарегистрированного на данном компьюте-ре.

Только для меня. Ярлык будет создан только для того пользователя, который выполнял установ-ку.

Нажмите кнопку Далее.

Шаг 4. Завершение работы мастера установки

После перехода к окну Подтверждение установки, нажмите кнопку Далее, чтобы начать установку Man-agement Console.

Следуйте дальнейшим указаниям мастера, чтобы завершить установку Management Console.

Шаг 5. Дополнительные настройки для отправки рапортов

Пользователи, выполняющие анализ объектов в Management Console, могут направлять рапорты с ком-ментариями по объектам. Для поддержки этой функции на всех компьютерах, с установленной Manage-ment Console, которые будут использоваться для отправки рапортов, необходимо внести изменения в настройки операционной системы. Для этого откройте Панель управления (Пуск ► Настройки ► Па-нель управления). Затем выберите компонент Язык и региональные стандарты. В открывшемся диа-логовом окне перейдите на вкладку Дополнительно и выберите русский язык для программ, не поддер-живающих Юникод.

3.4.2. Настройка соединения с сервером СУБД Oracle

После установки Management Console необходимо выполнить настройку параметров соединения с сервером СУБД Oracle.

Чтобы настроить параметры взаимодействия с сервером СУБД Oracle:

1. Для поддержки национальных кодировок и установок времени укажите в системном реестре зна-

чение переменной окружения NLS_LANG равным RUSSIAN_CIS.AL32UTF8.

Путь к ключу реестра:

HKEY_LOCAL_MACHINESOFTWAREORACLEKEY_OraClient11g_home#NLS_LANG

где символ «#» означает некоторую цифру. Для KEY_OraClient11g_home# значение символа

«#» будет совпадать со значением этого же символа для каталога OraHome_#.

Важная информация!

Если ключ реестра отсутствует по указанному пути (например, вследствие того, что на компьютере не установлен клиент СУБД Oracle), то при работе с национальными коди-ровками и установками времени (например, при определении настроек дней недели) бу-дут использоваться параметры сервера СУБД Oracle.

2. Для корректного соединения с сервером СУБД Oracle настройте параметры соединения в файле

tnsnames.ora. По умолчанию файл расположен в папке:

C:Program FilesInfoWatchTraffic MonitorManagement Consoleinstantclient_11_1

При настройке параметров файла tnsnames.ora необходимо указать значения для всех пара-

метров, перечисленных в следующем примере:

IWTM =

(DESCRIPTION =

(ADDRESS_LIST =

(ADDRESS = (PROTOCOL = TCP)(HOST = iwtm_host)(PORT = 1521))

)

Page 62: Руководство по установке и конфигурированию

62 InfoWatch Traffic Monitor Enterprise 3.5

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = iwtm_service_name)

)

)

Здесь iwtm_host – сетевое имя сервера СУБД Oracle. А iwtm_service_name – имя сервиса базы

данных.

3. Проверьте взаимодействие между клиентом и сервером СУБД Oracle (см. прил. A.2.3 на стр. 85).

3.4.3. Настройка параметров анализа и мониторинга

объектов

После установки настройте в Management Console параметры анализа и обработки объектов:

1. Настройте конфигурацию и загрузите ее на Traffic Monitor Server.

2. Составьте и скомпилируйте базу эталонных документов.

3. Выполните дополнительные настройки (наборы цветов и зон ответственности), необходимые для корректной работы сценария обработки объектов.

Примечание:

Информация, необходимая для выполнения этих настроек описывается в документе «InfoWatch Traffic Monitor. Руководство пользователя»

Page 63: Руководство по установке и конфигурированию

ГЛАВА 4. ОБНОВЛЕНИЕ СИСТЕМЫ

Вы можете обновить InfoWatch Traffic Monitor, начиная с версии 3.4.0, до более поздней версии.

В этой главе:

Порядок обновления Системы (п. 4.1 на стр. 63).

Загрузка очередей объектов (п. 4.2 на стр. 64).

Схема базы данных (п. 4.3 на стр. 65).

4.1. Порядок обновления Системы

На время выполнения обновления Traffic Monitor Server потребуется отключить перехват всего трафика. Поэтому рекомендуется выполнять обновление в то время, когда трафик и размер файловой очереди минимальны.

Важная информация!

Перед тем как приступить к обновлению Системы, создайте резервную копию базы данных.

Обновление системы выполняется в такой последовательности:

1. Загрузка имеющихся очередей объектов (см. п. 4.2 на стр. 64).

2. Обновление схемы базы данных (см. п. 4.3.2 на стр. 67).

3. Удаление текущей версии серверной части и установка новой версии.

Важная информация!

Перед установкой компонентов серверной части установите операционную систему Red Hat Enterprise Linux Server 5.5 x86-32.

Требования к аппаратному и программному обеспечению InfoWatch Traffic Monitor Enterprise 3.5 приводятся в п. 2.2 на стр. 23.

Порядок установки зависит от схемы перехвата трафика:

Схема перехвата трафика Порядок обновления серверной части

Перехват трафика ведется не через Sniffer

1. Удалите текущую версию Traffic Monitor Server (см. п. 5.4 на стр. 73).

2. Установите новую версию Traffic Monitor Server. Рекоменда-ции по установке зависят от схемы развертывания Системы:

Перехват копии SMTP-трафика (работа с почтовым relay-сервером) (п. 2.1.1 на стр. 10).

Перехват HTTP-трафика, передаваемого по протоколу ICAP (п. 2.1.3 на стр. 16).

Прием объектов, перехваченных InfoWatch Device Monitor (п. 2.1.4 на стр. 19).

Прием объектов от DeviceLock (п. 2.1.5 на стр. 21).

Page 64: Руководство по установке и конфигурированию

64 InfoWatch Traffic Monitor Enterprise 3.5

Схема перехвата трафика Порядок обновления серверной части

Перехват трафика выпол-няется через Sniffer

Если Sniffer и Traffic Monitor Server установлены на разных компью-терах:

1. Удалите текущую версию Sniffer (п. 5.5 на стр. 74) и Traffic Monitor Server (см. п. 5.4 на стр. 73).

2. Установите новую версию Sniffer (при этом обязательно уста-новите новое ядро Linux). Порядок установки описан в п. 3.3 на стр. 59.

3. Установите новую версию Traffic Monitor Server.

Если Sniffer и Traffic Monitor Server установлены на одном компью-тере:

1. Удалите текущую версию Traffic Monitor Server (см. п. 5.4 на стр. 73) и Sniffer (см. п. 5.5 на стр. 74).

2. Установите новую версию Sniffer с Traffic Monitor Server. При этом обязательно установите новое ядро Linux. Порядок ус-тановки описан в п. 3.3 на стр. 59.

4. Удаление текущей версии Management Console (см. п. 5.6 на стр. 74) и установка новой версии (см. п. 3.4.1 на стр. 60).

Важная информация!

Не используйте старую версию Management Console для работы с обновленной базой данных.

После установки новой версии Management Console загрузите конфигурацию на Traffic Monitor Server (см. документ «InfoWatch Traffic Monitor. Руководство пользователя»).

В процессе обновления прием объектов не ведется. По завершении обновления Система работает в штатном режиме.

4.2. Загрузка очередей объектов

Чтобы обеспечить загрузку имеющихся очередей объектов:

1. Остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. Для процессов перехватчиков iw_proxy, iw_smtpd и iw_expressd отключите автозапуск в файле

/usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART]:

autorestart = Off

3. Запустите процессы Traffic Monitor Server

service iw-trafmon start

4. Дождитесь, пока будут обработаны все объекты в файловой очереди. Для этого можно просле-дить содержимое каталогов с очередями (о расположении этих каталогов см. Руководство адми-нистратора, п. 3.2.6 «Секция [QUEUE]»).

Примечание:

По окончании обновления Системы убедитесь, что перехватчики запущены, и в конфигурационном файле включен автозапуск процессов.

Page 65: Руководство по установке и конфигурированию

Обновление системы 65

4.3. Схема базы данных

В этом разделе:

Подготовка к обновлению схемы базы данных (п. 4.3.1 на стр. 65).

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Подготовка схемы базы данных к работе (п. 4.3.3 на стр. 69).

4.3.1. Подготовка к обновлению схемы базы данных

Проверьте версию установленной у вас схемы базы данных. Для этого выполните запрос от имени вла-дельца схемы БД:

SELECT vers.get_schema_version

FROM dual

Убедитесь, что выполнены условия необходимые для корректного обновления схемы базы данных:

запущен сервер СУБД Oracle;

на сервере СУБД Oracle параметр recyclebin имеет значение off либо не имеет значения. Что-

бы проверить значение параметра:

1. При работе в консоли выполните команду:

sqlplus [email protected]<SID> as sysdba

(где <SID> — имя базы данных), затем введите пароль.

2. От имени пользователя SYS выполните запрос:

select name, value

from v$parameter p

where lower(p.NAME) = ‘recyclebin’

Если параметр recyclebin включен (имеет значение on), то отключите его перед обновлением

схемы БД. Для этого выполните следующие действия:

1. От имени пользователя SYS выполните оператор:

alter system set RECYCLEBIN=’off’ scope=spfile

2. От имени пользователя oracle перезапустите базу данных.

Остановите БД:

lsnrctl stop

dbshut

затем запустите еѐ снова:

lsnrctl start

dbstart

3. Повторно убедитесь, что параметр recyclebin имеет значение off.

на компьютере, с которого будет запущен инсталлятор схемы базы данных, установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), тип установки клиента – Администратор. Для это-го проверьте, что в директории клиента существует файл:

[X]:app[Текущий пользователь]product11.2.0client_1BINsqlldr.exe

где:

­ [X] – диск, на котором установлен клиент Oracle;

­ [Текущий пользователь] – пользователь, от имени которого осуществлен вход на клиент-

ский компьютер.

Рекомендации по установке и настройке клиента СУБД Oracle см. в приложении A.2.1 на стр. 83.

Page 66: Руководство по установке и конфигурированию

66 InfoWatch Traffic Monitor Enterprise 3.5

Уточните имя и пароль учетной записи, обладающей правами SYSDBA (как правило, это пользователь SYS);

Важная информация!

Убедитесь, что пароль соответствует следующим требованиям:

Пароль может состоять из латинских букв, цифр и символов:

, ; . : ! ~ ` # $ % ^ * ( ) — _ + < ‘ [ ] { } | > ?

Может начинаться с буквы, цифры или символа. Максимальная длина пароля составляет 15 символов.

Если пароль не соответствует этим требованиям, то измените его перед обновлением схемы БД. При необходимости вы можете вернуть старый пароль после того, как схема БД будет обновлена.

Убедитесь, что в конфигурации отсутствуют теги, названия которых различаются между собой только ре-гистром символов. Если такие теги есть, их следует переименовать.

Примечание:

Если в конфигурации присутствуют теги, названия которых различаются между собой только регист-ром символов, то после обновления схемы базы данных к названиям таких тегов будет добавлен их код.

Так например, если в конфигурации есть теги с названиями Example (код EX1) и EXAMPLE (код EX2), то

после обновления их названия изменятся на Example_EX1 и EXAMPLE_EX2 соответственно.

Перед запуском инсталлятора схемы базы данных, выполните следующие действия:

1. Закройте все экземпляры Management Console. Убедитесь, что отсутствуют соединения с обнов-ляемой схемой из других программ. При необходимости отключите все соединения.

2. Остановите задания IWADDPARTS, IWTM_SYNC_INDEXES и IWDROP (если ранее была создана процедура для удаления табличных пространств), выполнив сценарий:

BEGIN

dbms_scheduler.disable(‘IWDROP’,true);

dbms_scheduler.disable(‘IWADDPARTS’,true);

dbms_scheduler.disable(‘IWTM_SYNC_INDEXES’,true);

COMMIT;

END;

3. Убедитесь, что ни одно задание не выполняется. Проверить состояние заданий можно по таблице user_scheduler_jobs, выполнив запрос:

SELECT job_name,next_run_date,last_run_duration

FROM user_scheduler_jobs

В соответствии с этим запросом будут выведены столбцы:

job_name – имя задания.

next_run_date – дата и время следующего старта.

last_run_duration – длительность, с которой задание выполнялось при последнем запуске. Зна-чение null имеют задания, выполняющиеся в текущий момент.

Если какое-либо задание выполняется, дождитесь его окончания.

4. Остановите процессы Traffic Monitor Server:

service iw-trafmon stop

Page 67: Руководство по установке и конфигурированию

Обновление системы 67

4.3.2. Обновление схемы базы данных

При обновлении схемы базы данных создается индекс для таблиц с данными. Поэтому время обновле-ния будет зависеть от объема данных (при большом объеме – до 1 часа).

Важная информация!

В базе данных не должны выполняться никакие работы во время обновления схемы базы данных (т.е. от момента нажатия кнопки Старт и до появления сообщения Операция завершена успешно).

Примечания:

1. Перед тем как приступить к обновлению схемы базы данных, выполните подготовительные дейст-вия (см. п. 4.3.1 на стр. 65).

2. Часть параметров, которые нужно указать при обновлении схемы базы данных, отмечены симво-лом «*». Такие параметры заполняются в обязательном порядке.

Шаг 1. Запуск инсталлятора схемы базы данных

На диске с дистрибутивом Системы откройте каталог CreateSchemaWizard. В этом каталоге найдите и

запустите файл Setup.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Важная информация!

Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 2. Выбор типа установки

В окне Мастер работы с БД выберите вариант Обновление существующей схемы БД и нажмите на кнопку OK.

После этого на экран будет выведено окно мастера обновления схемы БД. В открывшемся окне нажмите кнопку Вперед.

Шаг 3. Настройка параметров соединения с сервером базы данных

В окне мастера обновления схемы БД (см. рис. 23) укажите параметры соединения с сервером базы дан-ных:

База данных. Псевдоним сервера, на котором установлена обновляемая база данных (псевдоним

выбирают из перечисленных в файле tnsnames.ora).

Имя пользователя с ролью SYSDBA. Имя учетной записи, обладающей правами SYSDBA (на-пример, SYS).

Пароль пользователя с ролью SYSDBA. Пароль учетной записи SYSDBA.

Page 68: Руководство по установке и конфигурированию

68 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 23. Параметры соединения с сервером базы данных

Нажмите кнопку Вперед.

Шаг 4. Настройка параметров учетной записи владельца схемы базы данных

Укажите параметры учетной записи владельца обновляемой схемы базы данных (см. рис. 24):

Владелец схемы БД. Имя учетной записи владельца схемы базы данных.

Пароль владельца схемы БД. Пароль учетной записи.

Рисунок 24. Параметры владельца обновляемой схемы базы данных

Нажмите кнопку Старт. После этого начнется процесс обновления схемы базы данных.

Примечание:

Если процесс обновления завершается ошибкой, обратитесь в службу технической поддержки.

Page 69: Руководство по установке и конфигурированию

Обновление системы 69

4.3.3. Подготовка схемы базы данных к работе

После обновления схемы базы данных выполните следующие действия:

1. Проверьте соединение с сервером базы данных:

sqlplus db_login/[email protected]_name

Здесь db_login и db_password – имя и пароль владельца схемы базы данных, а tns_name –

имя службы TNS.

Если проверка пройдена успешно, то в ответ на выполнение команды будет выведено приглаше-ние SQL *Plus:

SQL>

2. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

3. Проверьте системный журнал на наличие ошибок. Путь к файлу журнала:

/var/log/messages

Если в системном журнале содержится информация об ошибках, то обратитесь в службу поддерж-ки компании InfoWatch.

4. Запустите задания IWADDPARTS, IWTM_SYNC_INDEXES, IWDROP (если ранее была создана процедура для удаления табличных пространств):

BEGIN

dbms_scheduler.enable(‘IWDROP’);

dbms_scheduler.enable(‘IWADDPARTS’);

dbms_scheduler.enable(‘IWTM_SYNC_INDEXES’);

COMMIT;

END;

Page 70: Руководство по установке и конфигурированию

ГЛАВА 5. УДАЛЕНИЕ СИСТЕМЫ

В этой главе:

Схема базы данных (п. 5.1 на стр. 70).

Модуль взаимодействия с удаленной базой данных (п. 5.2 на стр. 72).

Модуль IW ICAP (п. 5.3 на стр. 72).

Traffic Monitor Server (п. 5.4 на стр. 73).

Sniffer (п. 5.5 на стр. 74).

Management Console (п. 5.6 на стр. 74).

5.1. Схема базы данных

В этом разделе:

Подготовка к удалению (п. 5.1.1 на стр. 70).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

5.1.1. Подготовка к удалению

Убедитесь, что выполнены условия необходимые для корректного удаления схемы базы данных:

запущен сервер СУБД Oracle;

на компьютере, с которого будет запущен инсталлятор схемы базы данных, установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), тип установки клиента – Администратор. Реко-мендации по установке и настройке клиента СУБД Oracle см. в A.2.1 на стр. 83.

известно имя и пароль учетной записи, обладающей правами SYSDBA (требуются при установке);

Удаление схемы базы данных, имеющей определенную версию, должно выполняться при помощи ин-сталлятора той же версии.

Чтобы посмотреть версию установленной у вас схемы базы данных:

Выполните запрос к базе данных от имени владельца схемы базы данных:

SELECT vers.get_schema_version

FROM dual

Перед запуском Traffic Monitor Create Schema Wizard необходимо:

остановить все процессы Traffic Monitor Server:

service iw-trafmon stop

закрыть все экземпляры Management Console;

прекратить все соединения c удаляемой схемой базы данных, осуществляемые из других про-грамм.

Page 71: Руководство по установке и конфигурированию

Удаление системы 71

5.1.2. Удаление схемы базы данных

Важная информация!

Не удаляйте схему базы данных, от которой для архивирования были отключены ежедневные ТП. Иначе вы не сможете восстановить данные из этих табличных пространств.

Примечание:

Перед удалением схемы базы данных выполните подготовительные действия (см. п. 5.1.1 на стр. 70).

Часть параметров, которые нужно указать при удалении схемы базы данных, отмечены символом «*». Такие параметры заполняются в обязательном порядке.

Шаг 1. Запуск инсталлятора схемы базы данных

На диске с дистрибутивом Системы откройте каталог CreateSchemaWizard. В каталоге найдите и запус-

тите файл Setup.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Важная информация!

Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 2. Выбор типа установки

В окне Мастер работы с БД выберите вариант Удаление существующей схемы БД и нажмите на кноп-ку OK.

После этого на экран будет выведено окно мастера удаления схемы БД. В открывшемся окне нажмите кнопку Вперед.

Шаг 3. Настройка параметров соединения с сервером базы данных

В окне мастера удаления схемы БД (данное окно аналогично тому, которое показано на рис. 23) укажите параметры соединения с сервером базы данных:

База данных. Псевдоним сервера, на котором установлена база данных (псевдоним выбирают из

перечисленных в файле tnsnames.ora).

Имя пользователя с ролью SYSDBA. Имя учетной записи, обладающей правами SYSDBA (на-пример, SYS).

Пароль пользователя с ролью SYSDBA. Пароль учетной записи SYSDBA.

Нажмите кнопку Вперед.

Шаг 4. Настройка параметров удаления схемы БД

Укажите имя учетной записи владельца удаляемой схемы базы данных (см. рис. 25):

Обязательно установите флажок в поле Я действительно хочу удалить эту схему. Если данный фла-жок не установлен, то схема базы данных не будет удалена.

Page 72: Руководство по установке и конфигурированию

72 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 25. Параметры владельца удаляемой схемы базы данных

Нажмите кнопку Старт. После этого начнется процесс удаления схемы базы данных. По завершении процесса на экран будет выведено соответствующее уведомление.

5.2. Модуль взаимодействия с удаленной

базой данных

Чтобы удалить модуль взаимодействия с удаленной базой данных:

1. Выполните команду:

rpm -e iwtm_qmover

Если конфигурационный файл (qmover.conf) в процессе работы был изменен, то после удаления

он будет сохранен на компьютере как qmover.conf.rpmsave.

2. На стороне клиента (перехватчика объектов) удалите из cron настройки, изменяющие ширину про-пускания для канала передачи данных (пример настроек см. в п. 3.2.7.1 на стр. 52, шаг 2).

5.3. Модуль IW ICAP

Если перехват HTTP-запросов по протоколу ICAP не требуется, отключите модуль IW_ICAP.

Чтобы отключить модуль IW_ICAP:

1. Остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. Отключите автозапуск процесса iw_icap в файле /usr/local/infowatch/tm3/etc/tm.conf,

секция [AUTO_RESTART]:

iw_icap:

autorestart = Off

3. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

4. Проверьте состояние процессов Traffic Monitor Server:

service iw-trafmon status

Если автозапуск iw_icap отключен, то вывод status не должен содержать информации об iw_icap.

Page 73: Руководство по установке и конфигурированию

Удаление системы 73

5. Верните исходные настройки прокси-сервера (пример смены настроек см. в п. 3.2.8 на стр. 55, шаг 2).

При необходимости вы можете удалить rpm-пакет iwtm_icap.

Чтобы удалить rpm-пакет модуля IW ICAP:

выполните команду:

rpm -e iwtm_icap

Если конфигурационный файл (icap.conf) в процессе работы был изменен, то после удаления

он будет сохранен на компьютере как icap.conf.rpmsave.

5.4. Traffic Monitor Server

Перед тем как удалять Traffic Monitor Server, удалите:

Модуль взаимодействия с удаленной базой данных (п. 5.2 на стр. 72). Если Traffic Monitor Server использовался для загрузки объектов в удаленную базу данных (как клиент или сервер).

Модуль IW ICAP (п. 5.3 на стр. 72). Если перехват HTTP-трафика выполнялся путем интеграции с ICAP-сервером.

InfoWatch DeviceLock Adapter. Если Traffic Monitor Server использовался для приема объектов от DeviceLock. Рекомендации по удалению см. в документе «InfoWatch DeviceLock Adapter. Руково-дство по установке и конфигурированию».

Чтобы удалить Traffic Monitor Server,

1. Выполните команды:

rpm -e iwtm_gpl_components

rpm -e iwtm

2. Перенастройте подсистемы перехвата трафика, работавшие через Traffic Monitor Server.

Схема перехвата трафика в InfoWatch Traffic Monitor

Необходимые действия после удаления InfoWatch Traffic Moni-tor

Перехват копии SMTP-трафика (работа с почто-вым relay-сервером)

Убедитесь, что параметры Postfix возвращены в исходное состоя-ние (т.е. параметры имеют значение, которое было до установки Системы). Об изменениях в параметрах Postfix см. п. 3.2.5 на стр. 49

Перехват и фильтрация SMTP-трафика выполнялся Системой (интеграция с Postfix)

Убедитесь, что параметры Postfix возвращены в исходное состоя-ние (т.е. параметры имеют значение, которое было до установки Системы). Об изменениях в параметрах Postfix см. п. 3.2.5 на стр. 49.

Настройте доставку SMTP-писем через корпоративный почтовый сервер, минуя InfoWatch Traffic Monitor

После удаления на компьютере остаются только:

Конфигурационные файлы, в которые были внесены изменения (tm.conf, detector.conf,

qmover.conf, icap.conf).

Измененным файлам присваивается суффикс .rpmsave (например, tm.conf.rpmsave). Файлы,

которые не изменялись, будут удалены.

Очередь объектов.

База контентной фильтрации.

Файл лицензии.

Учетная запись пользователя – владельца InfoWatch Traffic Monitor и группа, в состав которой вхо-дил этот пользователь.

Page 74: Руководство по установке и конфигурированию

74 InfoWatch Traffic Monitor Enterprise 3.5

Если выполнялась интеграция с Postfix, то в процессе удаления происходит возврат к исходным настрой-кам. Об изменениях, выполняемых при интеграции Traffic Monitor Server с Postfix, рассказывается в п. 3.2.5 на стр. 49.

5.5. Sniffer

Если Sniffer и Traffic Monitor Server установлены на одном компьютере, Sniffer будет удален вместе с Traf-fic Monitor Server (см. п. 5.4 на стр. 73). Дополнительная процедура удаления в этом случае не требуется.

Чтобы удалить Sniffer, установленный отдельно от Traffic Monitor Server:

выполните команду:

rpm -e iwtm

После удаления на компьютере остаются только:

Конфигурационный файл, tm.conf, если он был изменен в процессе работы. Файл будет сохра-

нен как tm.conf.rpmsave (например, tm.conf.rpmsave). Файлы, которые не изменялись, будут

удалены.

Учетная запись пользователя – владельца InfoWatch Traffic Monitor и группа, в состав которой вхо-дил этот пользователь.

5.6. Management Console

Чтобы удалить Management Console:

1. Откройте компонент Установка и удаление программ. Для этого в меню Пуск выберите пункт Настройка ► Панель управления. В окне Панели управления выберите компонент Установка или удаление программ.

2. В окне Установка и удаление программ выделите пункт InfoWatch Traffic Monitor Management Console и нажмите кнопку Удалить.

Page 75: Руководство по установке и конфигурированию

ПРИЛОЖЕНИЕ A. РЕКОМЕНДАЦИИ ПО

УСТАНОВКЕ СУБД ORACLE

В настоящем приложении даются рекомендации по развертыванию СУБД Oracle для обеспечения рабо-ты системы InfoWatch Traffic Monitor.

В этом приложении:

Сервер СУБД Oracle (прил. A.1 на стр. 75).

Клиент СУБД Oracle (прил. A.2 на стр. 82).

A.1. Сервер СУБД Oracle

В этом разделе:

Рекомендации по установке (прил. A.1.1 на стр. 75).

Подготовка к установке (прил. A.1.2 на стр. 75).

Установка сервера базы данных (прил. A.1.3 на стр. 77).

A.1.1. Рекомендации по установке

Для обеспечения приемлемой производительности Системы под управлением сервера должна нахо-диться только одна пользовательская база данных – InfoWatch Traffic Monitor.

Сервер СУБД Oracle и Traffic Monitor Server должны быть установлены на разных компьютерах.

На компьютере, исполняющем роль сервера СУБД Oracle, не рекомендуется: устанавливать и запускать приложения (особенно серверные), использовать этот компьютер в качестве файл-сервера.

По окончании установки, рекомендуется назначить неограниченный срок истечения пароля в профиле пользователя по умолчанию, в том случае, если это не противоречит регламенту компании.

A.1.2. Подготовка к установке

Перед тем как приступить к установке сервера СУБД Oracle, необходимо выполнить ряд подготовитель-ных действий.

Шаг 1. Проверка аппаратного и программного обеспечения

Убедитесь, что аппаратное и программное обеспечение компьютера, на который будет установлен сер-вер СУБД Oracle, соответствует требованиям, приведенным в п. 2.2.5 на стр. 26.

Шаг 2. Регистрация от имени пользователя root

Зарегистрируйтесь в системе от имени учетной записи пользователя root. Для этого выполните коман-

ду:

su – root

Шаг 3. Настройка файла /etc/hosts

В файле /etc/hosts укажите статический IP-адрес, полное доменное имя и псевдоним компьютера, на

который будет установлен сервер СУБД Oracle:

IP-адрес полное_доменное_имя псевдоним

Page 76: Руководство по установке и конфигурированию

76 InfoWatch Traffic Monitor Enterprise 3.5

Например:

10.1.10.120 oracle.company.com oracle

Шаг 4. Создание новых групп и учетных записей пользователей

Создайте группы пользователей oinstall и dba:

/usr/sbin/groupadd oinstall

/usr/sbin/groupadd dba

Создайте учетную запись для пользователя oracle:

/usr/sbin/useradd -g oinstall -G dba oracle

Задайте пароль для этой учетной записи:

passwd oracle

Шаг 5. Создание каталога для установки

Создайте каталог, в который будет установлен сервер СУБД Oracle и каталог для хранения файлов:

mkdir -p /u01/app/oracle/data

chown -R oracle:oinstall /u01/app/oracle/data

chmod -R 775 /u01/app/oracle/data

Шаг 6. Настройка параметров ядра

Добавьте в файл /etc/sysctl.conf следующие строки:

kernel.sem = 250 32000 100 128

kernel.shmall = 2097152

kernel.shmmax = минимум из двух величин: половина оперативной памяти (в байтах) и

4294967295

kernel.shmmni = 4096

net.ipv4.ip_local_port_range = 9000 65000

net.core.rmem_default = 262144

net.core.rmem_max = 4194304

net.core.wmem_default = 262144

net.core.wmem_max = 1048576

fs.aio-max-nr = 1048576

fs.file-max = 6815744

Важная информация!

Указанные значения параметров kernel.shmall и kernel.shmmax являются минимальными; для

улучшения производительности следует учитывать рекомендации в документации операционной сис-

темы. Если для каких-либо параметров в файле /etc/sysctl.conf заданы значения больше приве-

дѐнных выше, то такие значения менять не следует.

Чтобы применить изменения, выполните команду:

/sbin/sysctl –p

Шаг 7. Настройка файла /etc/security/limits.conf

Добавьте в файл /etc/security/limits.conf следующие строки:

oracle soft nproc 2047

oracle hard nproc 16384

oracle soft nofile 1024

oracle hard nofile 65536

Шаг 8. Настройка файла /etc/pam.d/login

Добавьте в файл /etc/pam.d/login строку (если данная строка не была добавлена ранее):

session required pam_limits.so

Page 77: Руководство по установке и конфигурированию

Приложение A 77

Шаг 9. Настройка файла /etc/profile

Добавьте в конец файла /etc/profile строки:

if [ $USER = «oracle» ]; then

if [ $SHELL = «/bin/ksh» ]; then

ulimit -p 16384

ulimit -n 65536

else

ulimit -u 16384

ulimit -n 65536

fi

umask 022

fi

Шаг 10. Настройка файла /home/oracle/.bash_profile

Добавьте в конец файла /home/oracle/.bash_profile следующие строки:

ORACLE_BASE=/u01/app/oracle

export ORACLE_BASE

ORACLE_SID=iwtm

export ORACLE_SID

ORACLE_HOME=/u01/app/oracle/product/11.2.0/db_1

export ORACLE_HOME

PATH=$ORACLE_HOME/bin:$PATH

export PATH

Шаг 11. Настройка файла /etc/fstab

Чтобы исключить ошибку с недостатком памяти, в файле /etc/fstab измените строку по умолчанию:

tmpfs /dev/shm tmpfs defaults 0 0

Замените defaults на size=X. Здесь X должно составлять не менее 80% от объема оперативной па-

мяти. Так например, при оперативной памяти 4 Гб эта строка будет иметь вид:

tmpfs /dev/shm tmpfs size=4g 0 0

Перезагрузите операционную систему:

reboot

A.1.3. Установка сервера базы данных

После того как все необходимые настройки будут выполнены, можно приступить к установке и настройке сервера базы данных.

Шаг 1. Регистрация от имени пользователя oracle

Зарегистрируйтесь в системе от имени учетной записи пользователя oracle. Для этого выполните коман-ду:

su – oracle

Шаг 2. Запуск инсталлятора

Запустите Oracle Database Installer, выполнив команду:

/directory_path/runInstaller

где directory_path – путь к каталогу, в котором находится дистрибутив. По умолчанию Oracle Database

Installer располагается в каталоге /Disk1.

Page 78: Руководство по установке и конфигурированию

78 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 3. Настройка параметров установки

После того как будет запущен инсталлятор Oracle, настройте параметры установки:

1. В окне Configure Security Updates (см. рис. 26), при необходимости, укажите параметры обеспе-чения техподдержки с помощью портала My Oracle Support: e-mail, необходимость получения об-новлений с помощью My Oracle Support и пароль учѐтной записи.

Рисунок 26. Установка и настройка базы данных (шаг 1 из 20)

2. В окне Select Installation Options выберите вариант Create and configure a database.

3. В окне System Class выберите вариант Server Class.

4. В окне Grid Options выберите вариант Single instance database installation.

5. В окне Select Install Type выберите вариант Advanced install.

6. В окне Select Product Languages (см. рис. 27) выберите языки, которые должна поддерживать ба-за данных.

Page 79: Руководство по установке и конфигурированию

Приложение A 79

Рисунок 27. Установка и настройка базы данных (шаг 6 из 20)

7. В окне Database Edition (см. рис. 28) выберите вариант Enterprise Edition. После этого нажмите кнопку Select Options и убедитесь, что выбраны следующие компоненты:

Oracle Partitioning

Oracle Label Security.

Рисунок 28. Установка и настройка базы данных (шаг 7 из 20)

Page 80: Руководство по установке и конфигурированию

80 InfoWatch Traffic Monitor Enterprise 3.5

8. В окне Database Edition укажите пути к папкам, куда будет производиться установка:

Oracle base – оставьте путь к директории установки базы данных (Oracle base), заданный по умолчанию, или укажите свой;

Software location – оставьте путь к директории установки компонентов (Oracle home), заданный по умолчанию, или укажите свой.

9. В окне Select Configuration Type выберите вариант General Purpose / Transaction Processing.

10. В окне Specify Database Identifiers задайте параметры идентификации базы данных:

Global database name – укажите имя базы данных.

Oracle Service Identifier – значение SID должно совпадать со значением переменной

ORACLE_SID в файле /home/oracle/.bash_profile. (см. Приложение A.1.2 на стр. 75,

Шаг 10).

11. Задайте параметры инициализации базы данных в окне Specify Configuration Options:

На вкладке Memory установите флажок Enable Automatic Memory Management и укажите объем оперативной памяти, выделяемой для СУБД Oracle, равным 80% от всей оперативной памяти.

На вкладке Character Sets выберите вариант Use Unicode (AL32UTF8).

Примечание:

Выбор кодировки AL32UTF8 при создании базы данных является обязательным условием для корректной работы InfoWatch Traffic Monitor.

На вкладке Security снимите флажок Assert all new security settings.

12. В окне Specify Management Options убедитесь, что отмечен вариант Use Database Control for database management, и, при необходимости получать письменные уведомления, установите флажок Enable mail notifications и укажите параметры почты.

13. В окне Specify Database Storage Options выберите механизм хранения данных. При отсутствии специальных навыков администрирования СУБД Oracle, рекомендуется выбрать вариант File System (создание базы данных на файловой системе). В поле Specify database file locations ука-жите путь к каталогу, созданному на шаге 1.

14. В окне Specify Recovery Options выберите Do not enable automated backups.

15. В окне Specify Schema Passwords выберите вариант Use the same password for all accounts и в полях Administrative password, Confirm password укажите и подтвердите пароль для админист-ративных учетных записей Oracle.

Пароль может состоять из букв латинского алфавита, цифр и символов:

, ; . : ! ~ ` # $ % ^ * ( ) — _ + < ‘ [ ] { } | > ?

Может начинаться с буквы, цифры или символа. Oracle по умолчанию чувствителен к регистру символов. Максимальная длина пароля составляет 15 символов.

Примечание:

Подробные рекомендации по составлению паролей пользователей приводятся в приложении B на стр. 86.

16. В окне Operating System Groups задайте группы из числа ранее созданных (см. Приложение A.1.2 на стр. 75, Шаг 4):

В качестве Database Administrator (OSDBA) Group выберите dba.

В качестве Database Operator (OSOPER) Group выберите oinstall.

17. В окне Perform Prerequizite Checks будут отображены результаты проверки выполнения условий, необходимых для установки.

Page 81: Руководство по установке и конфигурированию

Приложение A 81

Рисунок 29. Установка и настройка базы данных (шаг 17 из 20)

18. В окне Summary отображаются параметры установки. Вы можете вернуться к предыдущим шагам, если хотите изменить эти параметры, или нажать Finish для начала установки.

19. В окне Install Product будет отображаться прогресс установки. Когда на экране появится предло-

жение выполнить сценарии от имени пользователя root, ответьте утвердительно.

20. Следуйте дальнейшим инструкциям конфигуратора базы данных для завершения процесса созда-ния базы данных.

После того, как процесс установки сервера СУБД Oracle будет завершен, переходите к настройке базы данных.

A.1.4. Настройка сервера базы данных

Шаг 1. Настройка файла /etc/oratab

По завершении установки отредактируйте файл /etc/oratab. Укажите флаг Y (вместо N) для установ-

ленного экземпляра базы данных:

iwtm:/u01/app/oracle/product/11.2.0/db_1:Y

Здесь iwtm – это SID созданной базы данных (см. Приложение A.1.2 на стр. 75, Шаг 10).

Шаг 2. Регистрация Oracle Label Security

Запустите утилиту Database Configuration Assistant от имени пользователя oracle, выполнив команду:

$ dbca

При помощи данной утилиты настройте параметры создаваемой базы данных:

1. В окне Operations выберите вариант Configure Database Options.

2. В окне Database из списка выберите имя БД, куда вы установили Oracle Label Security (см. При-ложение A.1.3 на стр. 77, Шаг 3, п. 8: в окне Software location — Oracle home).

3. В окне Database Content выберите Oracle Label Security.

4. В окне Connection Mode выберите Dedicated Server Mode.

Page 82: Руководство по установке и конфигурированию

82 InfoWatch Traffic Monitor Enterprise 3.5

5. Следуйте дальнейшим инструкциям конфигуратора базы данных для завершения процесса на-стройки. Когда на экране появится предложение перезапустить базу данных, ответьте утверди-тельно.

6. По окончании процесса настройки базы данных вам будет предложено выполнить другие опера-ции. Нажмите No, чтобы завершить работу с Database Configuration Assistant.

Шаг 3. Настройка пользователя LBACSYS

Чтобы разблокировать пользователя LBACSYS и задать для него пароль:

1. Запустите утилиту Database Control от имени пользователя SYSTEM.

2. Откройте закладку Schema.

3. В области Users and privileges нажмите Users.

4. В окне Users выберите LBACSYS и нажмите Edit.

5. В окне Edit User измените значение поля Status на Unlocked.

6. В поле Enter Password укажите пароль пользователя LBACSYS и подтвердите его в поле Con-firm Password.

7. Откройте закладку System Privileges.

8. Выберите системную привилегию SELECT ANY DICTIONARY.

9. Нажмите Apply.

Шаг 4. Настройка параметров инициализации

В PL/SQL от имени sys выполните следующие настройки:

alter system set db_keep_cache_size=’200M’ scope=spfile

alter system set db_files=5000 scope=spfile

alter system set RECYCLEBIN=’off’ scope=spfile

alter system set nls_territory = russia scope = spfile

alter system set nls_language = russian scope = spfile

alter system set audit_trail=’none’ scope=spfile

alter system set processes = 1000 scope=spfile

Шаг 5. Перезагрузка базы данных

От имени пользователя oracle перезапустите базу данных.

1. Остановите базу данных:

lsnrctl stop

dbshut

2. Затем запустите базу данных снова:

lsnrctl start

dbstart

A.2. Клиент СУБД Oracle

В данном разделе приводятся рекомендации по установке клиента СУБД Oracle версии 11g R2 (11.2.0.1.0). Раздел содержит следующие сведения:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (прил. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (прил. A.2.3 на стр. 85).

Page 83: Руководство по установке и конфигурированию

Приложение A 83

A.2.1. Рекомендации по установке клиента СУБД Oracle

на платформу Linux

Клиент СУБД Oracle устанавливается на тот же компьютер, на который будет выполнена установка Traffic Monitor Server. В данном подразделе рассматривается установка клиента СУБД Oracle на компьютер, ра-ботающий под управлением операционной системы Red Hat Enterprise Linux Server 5.5 x86-32.

В этом подразделе:

Подготовка к установке (прил. A.2.1.1 на стр. 83).

Установка клиента (прил. A.2.1.2 на стр. 84).

A.2.1.1. Подготовка к установке

Шаг 1. Регистрация от имени пользователя root

Зарегистрируйтесь в системе от имени учетной записи пользователя root. Для этого выполните коман-

ду:

su – root

Шаг 2. Настройка файла /etc/hosts

В файле /etc/hosts укажите IP-адрес, полное доменное имя и псевдоним того компьютера, на который

будет выполняться установка клиента СУБД Oracle:

IP-адрес полное_доменное_имя псевдоним

Шаг 3. Создание новых групп и учетных записей пользователей

Создайте группы пользователей oinstall и dba:

/usr/sbin/groupadd oinstall

/usr/sbin/groupadd dba

Создайте учетную запись для пользователя oracle:

/usr/sbin/useradd -g oinstall -G dba oracle

Задайте пароль для этой учетной записи:

passwd oracle

Шаг 4. Создание каталога для установки

Создайте каталог, в который будет установлен клиент СУБД Oracle (рекомендуется создать каталог

/u01):

mkdir -p /u01/app

chown -R oracle:oinstall /u01/app

chmod -R 775 /u01/app/

Шаг 5. Настройка файла /etc/profile

Добавьте в конец файла /etc/profile следующие строки:

ORACLE_BASE=/u01/app/oracle

export ORACLE_BASE

ORACLE_SID=iwtm

export ORACLE_SID

ORACLE_HOME=/u01/app/oracle/product/11.2.0/client_1

export ORACLE_HOME

PATH=$ORACLE_HOME/bin:$PATH

export PATH

Page 84: Руководство по установке и конфигурированию

84 InfoWatch Traffic Monitor Enterprise 3.5

NLS_LANG=RUSSIAN_RUSSIA.AL32UTF8

export NLS_LANG

Шаг 6. Запуск системы X Window

Установка клиента выполняется в графическом режиме. Поэтому перед началом установки запустите систему X Window. Например:

startx

Если установка выполняется удаленно, то выполните следующие действия:

1. Чтобы иметь возможность управлять работой инсталлятора Oracle с локального X сервера, введите команду:

xhost IP-адрес_удаленного_компьютера

например:

xhost 10.60.0.159

2. Задайте переменную окружения DISPLAY:

DISPLAY=имя_локального_X_сервера:0.0; export DISPLAY

например:

DISPLAY=myhost.xzy.com:0.0; export DISPLAY

A.2.1.2. Установка клиента

После того как все необходимые настройки будут выполнены, можно приступить к установке клиента СУБД Oracle.

Шаг 1. Вход от имени пользователя oracle

Войдите в систему от имени учетной записи пользователя oracle. Для этого выполните команду:

su – oracle

Шаг 2. Запуск инсталлятора

Запустите Oracle Universal Installer, выполнив команду:

/directory_path/runInstaller

где directory_path – путь к каталогу, в котором находится дистрибутив клиента СУБД Oracle. По

умолчанию Oracle Universal Installer располагается в каталоге /Disk1.

Шаг 3. Настройка параметров установки

После запуска инсталлятора Oracle настройте параметры установки:

1. Выберите тип установки Administrator.

2. Укажите имя и путь к каталогу ORACLE_HOME (путь задан в файле /etc/profile).

Продолжайте следовать указаниям инсталлятора Oracle, чтобы завершить установку. Когда на экране

появится предложение выполнить несколько сценариев от имени пользователя root, ответьте утверди-

тельно.

Шаг 4. Настройка после установки

По завершении установки выполните следующие настройки:

1. Для корректного соединения с сервером СУБД Oracle настройте параметры соединения в файле

tnsnames.ora (см. п. A.2.2 на стр. 85).

2. Проверьте взаимодействие между клиентом и сервером СУБД Oracle (см. п. A.2.3 на стр. 85).

Page 85: Руководство по установке и конфигурированию

Приложение A 85

A.2.2. Настройка параметров соединения с сервером

СУБД Oracle

Для корректного соединения с сервером СУБД Oracle на каждом компьютере, на котором установлен

клиент СУБД Oracle, необходимо настроить параметры соединения в файле tnsnames.ora.

Примечание:

По умолчанию файл tnsnames.ora расположен в каталоге /ORACLE_HOME/network/admin (здесь

/ORACLE_HOME – это путь к каталогу, в который установлен клиент СУБД Oracle).

При настройке параметров файла tnsnames.ora необходимо указать значения для всех параметров,

перечисленных в следующем примере:

IWTM =

(DESCRIPTION =

(ADDRESS_LIST =

(ADDRESS = (PROTOCOL = TCP)(HOST = iwtm)(PORT = 1521))

)

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = iwtm)

)

)

Здесь HOST – сетевое имя сервера СУБД Oracle. А SERVICE_NAME – имя сервиса базы данных.

A.2.3. Проверка взаимодействия между клиентом и

сервером СУБД Oracle

Перед началом эксплуатации СУБД Oracle, на каждом компьютере, на котором установлен клиент СУБД Oracle, необходимо выполнить ряд проверок:

Проверить работоспособность и доступность СУБД Oracle. Для выполнения проверки введите ко-манду:

sqlplus db_login/[email protected]_name

где db_login и db_password – имя и пароль владельца схемы базы данных, а tns_name –

псевдоним сервера, на котором установлена база данных (псевдоним выбирают из перечисленных

в файле tnsnames.ora).

Если проверка пройдена успешно, то в ответ на выполнение указанной команды будет выведено приглашение SQL *Plus:

SQL>

Убедиться, что в файле NETWORK/ADMIN/sqlnet.ora строка sqlnet.ora начинается символом

«#»:

# sqlnet.ora Network Configuration File: C:Oracleproduct11.2.0Client_1network

adminsqlnet.ora

Page 86: Руководство по установке и конфигурированию

ПРИЛОЖЕНИЕ B. РЕКОМЕНДАЦИИ ПО

СОСТАВЛЕНИЮ ИМЕН И ПАРОЛЕЙ

Общие рекомендации

Длина имени пользователя может составлять от 1 до 10 символов. Имя пользователя может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начинаться с буквы.

Пароли составляются по следующим правилам:

Пароль пользователя может состоять из латинских букв, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. Максимальная длина пароля составляет 30 символов.

Не рекомендуется начинать имена и пароли пользователей с последовательностей: SYS_ и ORA_.

В составе имени и пароля не рекомендуется использовать зарезервированные слова СУБД Oracle:

ACCESS IDENTIFIED PUBLIC

ADD IMMEDIATE RAW

ALL IN RENAME

ALTER INCREMENT RESOURCE

AND INDEX REVOKE

ANY INITIAL ROW

AS INSERT ROWID

ASC INTEGER ROWNUM

AUDITBETWEEN INTERSECT ROWS

BY INTO SELECT

CHAR IS SESSION

CHECK LEVEL SET

CLUSTER LIKE SHARE

COLUMN LOCK SIZE

COMMENT LONG SMALLINT

COMPRESS MAXEXTENTS START

CONNECT MINUS SUCCESSFUL

CREATE MLSLABEL SYNONYM

CURRENT MODE SYSDATE

DATE MODIFY TABLE

Page 87: Руководство по установке и конфигурированию

Приложение B 87

DECIMAL NOAUDIT THEN

DEFAULT NOCOMPRESS TO

DELETE NOT TRIGGER

DESC NOWAIT UID

DISTINCT NULL UNION

DROP NUMBER UNIQUE

ELSE OF UPDATE

EXCLUSIVE OFFLINE USER

EXISTS ON VALIDATE

FILE ONLINE VALUES

FLOAT OPTION VARCHAR

FOR OR VARCHAR2

FROM ORDER VIEW

GRANT PCTFREE WHENEVER

GROUP PRIOR WHERE

HAVING PRIVILEGES WITH

Рекомендации по составлению надежных паролей

Рекомендуемая длина пароля: от 10 до 30 символов.

Пароль должен представлять собой смешанный набор букв, цифр и символов.

Не рекомендуется:

включать в состав пароля слова и словосочетания;

включать в состав пароля имя пользователя (в т.ч. записанное наоборот);

включать в состав пароля несколько идущих подряд одинаковых символов;

начинать и заканчивать пароль одним и тем же символом;

создавать новый пароль, путем добавления символов к текущему паролю.

Page 88: Руководство по установке и конфигурированию

ПРИЛОЖЕНИЕ C. РАЗРЕШЕНИЕ ПРОБЛЕМ

В этом приложении:

Проблемы со схемой базы данных (прил. C.1 на стр. 88).

Проблемы с Traffic Monitor Server (прил. C.2 на стр. 92).

C.1. Проблемы со схемой базы данных

В настоящем приложении описываются проблемы, которые могут возникать при создании, обновлении или удалении схемы базы данных.

При запуске Traffic Monitor Create Schema Wizard выдается сообщение о нехватке прав доступа

Инсталлятор был запущен из сетевой папки. В этом случае будет выдано сообщение, подобное тому, которое показано на рисунке:

Решение

Скопируйте инсталлятор схемы базы данных в папку на локальном диске. Затем запустите ин-сталлятор из локальной папки.

При запуске Traffic Monitor Create Schema Wizard выдается сообщение об отсутствии SQLPlus

На компьютере не установлен клиент СУБД Oracle. В результате на экран будет выведено уве-домление об ошибке:

Решение

Установите клиент СУБД Oracle как описано в приложении A.2 на стр. 82.

При нажатии кнопки Старт появляется сообщение об ошибке ORA-12154

При настройке параметров создания (обновления/удаления) схемы базы данных неверно указано имя сервера базы данных. В результате на экран будет выведено уведомление об ошибке:

Решение

Запустите повторно процесс создания (обновления/удаления) схемы базы данных и при настройке параметров соединения введите корректное имя сервера базы данных.

Настройка параметров соединения с сервером описывается в следующих разделах:

Создание схемы базы данных (п. 3.1.2 на стр. 30).

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

Page 89: Руководство по установке и конфигурированию

Приложение C 89

При нажатии кнопки Старт появляется сообщение об ошибке ORA-01017

При настройке параметров обновления/удаления схемы базы данных неверно указано имя и/или пароль владельца схемы базы данных. В результате на экран будет выведено уведомление об ошибке:

Решение

Запустите повторно процесс обновления/удаления схемы базы данных и при настройке парамет-ров учетной записи введите корректное имя владельца схемы базы данных.

Настройка параметров учетной записи владельца схемы базы данных описывается в следующих разделах:

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

Page 90: Руководство по установке и конфигурированию

90 InfoWatch Traffic Monitor Enterprise 3.5

При нажатии кнопки Старт появляется сообщение об ошибке ORA-12560 или ошибка SQL*Plus

При настройке параметров создания (обновления/удаления) схемы базы данных неверно указан один или несколько следующих параметров: имя сервера базы данных, имя и/или пароль вла-дельца схемы базы данных. В результате на экран будет выведено уведомление об ошибке ORA-12560:

или сообщение SQL*Plus:

Решение

Запустите повторно процесс создания (обновления/удаления) схемы базы данных и при настройке параметров соединения введите корректное имя сервера базы данных. При обновлении/удалении схемы базы данных укажите корректные имя и пароль владельца обновляемой/удаляемой схемы базы данных.

Page 91: Руководство по установке и конфигурированию

Приложение C 91

В частности, корректные значения параметров не должны содержать служебные символы (пробе-лы, тире и пр.).

Настройка параметров схемы базы данных описывается в следующих разделах:

Создание схемы базы данных (п. 3.1.2 на стр. 30).

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

При нажатии кнопки Старт появляется сообщение об ошибках ORA-20000 и ORA-06512

Ошибка возникает в следующих случаях:

схема базы данных уже обновлена до выбранной версии;

версия текущей схемы базы данных, отличается от версии, указанной при выборе варианта об-новления.

В результате на экран будет выведено уведомление об ошибке:

Решение

Проверьте версию текущей схемы базы данных (запрос выполняется от имени владельца схемы базы данных):

SELECT vers.get_schema_version

FROM dual

Выберите вариант обновления, подходящий для вашей текущей схемы безопасности.

Примечание:

Версия, до которой будет обновлена схема базы данных, отображается в заголовке окна мас-тера обновления схемы (см. рисунок 24).

Удаление схемы завершается ошибкой

Если во время попытки удаления схемы базы данных происходит работа заданий индексации, то эта попытка завершится ошибкой. В результате на экран будет выведено следующее уведомле-ние:

Решение

Повторите попытку удаления схемы базы данных по окончании работы заданий индексации.

Подготовка к удалению схемы базы данных описана в п. 5.1.1 на стр. 70.

Page 92: Руководство по установке и конфигурированию

92 InfoWatch Traffic Monitor Enterprise 3.5

C.2. Проблемы с Traffic Monitor Server

При запуске процессов iw_messed, iw_deliverd выдается сообщение о том, что не найдены дина-мические библиотеки СУБД Oracle

В скрипте автозапуска iw-trafmon неверно задана переменная окружения ORACLE_HOME.

Решение

Откройте скрипт автозапуска серверной части:

/usr/local/infowatch/tm3/bin/scripts/iw-autorestart.sh

Проверьте значение переменной окружения ORACLE_HOME. Это значение должно совпадать со

значением ORACLE_HOME, заданным при установке сервера СУБД Oracle.

При запуске процессов iw_messed, iw_deliverd выдается сообщение о том, что нет прав на загруз-ку динамических библиотек СУБД Oracle

Некорректно выполнена установка Traffic Monitor Server.

Решение

Необходимо включить пользователя – владельца Traffic Monitor Server (от имени которого запус-

каются процессы Traffic Monitor Server) – в группу oinstall (группа владельца инсталляции кли-

ента СУБД Oracle) (см. п. 3.2.1 на стр. 40).

Учетная запись пользователя Linux части заблокирована

При установке Traffic Monitor Server был указан неверный пароль пользователя Linux части.

Решение

Для того чтобы разблокировать учетную запись пользователя Linux части, необходимо выполнить следующие действия:

1. Остановить все процессы Traffic Monitor Server, выполнив команду:

service iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf указать корректные имя и пароль поль-

зователя Linux части (секция [ORACLE], параметры Username и Password, соответственно).

3. Разблокировать учетную запись пользователя Linux части, выполнив в SQL *Plus команду:

ALTER USER имя_пользователя_Linux_части ACCOUNT UNLOCK

4. Запустить все процессы Traffic Monitor Server, выполнив команду:

service iw-trafmon start

Page 93: Руководство по установке и конфигурированию

ПРИЛОЖЕНИЕ D. ЛИЦЕНЗИИ ТРЕТЬИХ

СТОРОН

При создании Системы были использованы разработки третьих сторон, распространяемые на условиях лицензии MIT (http://www.opensource.org/licenses/mit-license.html):

Lua – http://www.lua.org/license.html

LuaBind – http://www.rasterbar.com/products/luabind.html

libxml2 – http://www.xmlsoft.org/

Также использовалось программное обеспечение:

распространяемое на условиях лицензий BSD (http://www.opensource.org/licenses/bsd-license.php):

­ Stringencoders – http://code.google.com/p/stringencoders/

распространяемое на условиях GNU GENERAL PUBLIC LICENSE (http://www.gnu.org/licenses/gpl-2.0.html):

­ Pdftotext http://www.foolabs.com/xpdf/

­ Tnef http://sourceforge.net/projects/tnef/

­ Unzip http://www.info-zip.org/UnZip.html

­ libcole.so [email protected]; [email protected]

­ libhtmltree.so [email protected]

Page 94: Руководство по установке и конфигурированию

ГЛОССАРИЙ

HTTP-запрос

Запрос, удовлетворяющий требованиям протокола HTTP (POST-запрос, GET-запрос и т. д.).

ICQ-сообщение

Сообщение, передаваемое по протоколу ICQ.

InfoWatch Device Monitor

Система, предназначенная для контроля за доступом пользователей к периферийным устройст-вам и мониторинга операций по созданию файлов на съемных устройствах.

InfoWatch Traffic Monitor Management Console

Графический интерфейс пользователя. Предназначен для управления системой InfoWatch Traffic Monitor (администрирование Системы, настройка конфигурации, анализ объектов и т. п.).

Management Console

См.: InfoWatch Traffic Monitor Management Console

SMTP-письмо

Письмо, удовлетворяющее требованиям протокола SMTP.

SPAN

Switched Port Analyzer. Функция, позволяющая принимать копию трафика, проходящего через ком-мутаторы CISCO

Switched Port Analyzer

См. SPAN порт

Traffic Monitor Server

Компонент InfoWatch Traffic Monitor, включающий в себя несколько подсистем, предназначенных для выполнения задач контроля и анализа объектов.

XML-контекст

Содержимое (текст, заголовки, архивы, вложения и т.п.), извлекаемое из объекта при обработке на Traffic Monitor Server.

Кластер

Группа серверов, использующихся как единый ресурс. В рамках InfoWatch Traffic Monitor кластер организуется из нескольких экземпляров Traffic Monitor Server.

Режим копии

Один из транспортных режимов системы InfoWatch Traffic Monitor. В этом режиме реальный трафик не проходит через Систему. Анализу подвергается копия трафика. В данном режиме невозможна фильтрация трафика средствами Системы

См. также: Транспортный режим

Нормальный транспортный режим

Режим, в котором выполняется анализ и фильтрация проходящего трафика.

См. также: Транспортный режим

Page 95: Руководство по установке и конфигурированию

Глоссарий 95

Подсистема анализа и принятия решений

Выполняет общий анализ объектов. На основании данных общего и контентного анализа принима-ет решения по дальнейшим действиям над объектами.

Почтовый агент

В системе электронной почты – агент для пересылки почтовых сообщений (Mail Transfer Agent).

Прозрачный транспортный режим

Режим, в котором трафик передается через Систему без фильтрации. Задачей Системы является только анализ перехваченного трафика

См. также: Транспортный режим

Сервер контентного анализа

Принимает тексты от подсистемы анализа и принятия решений. Контентный анализ позволяет вы-явить текст, содержание которого нарушает корпоративную политику безопасности.

СУБД

Система управления базами данных.

Теневая копия файла

Копия файла, создаваемого на съемном устройстве. Создается только при успешном завершении операции сохранения файла на съемное устройство. Анализ теневых копий файлов выполняется в системе InfoWatch Traffic Monitor.

Транспортный режим

Определяет степень контроля за доставкой объектов получателям. Обязательный атрибут объек-та. Назначается в процессе анализа объекта на DAE и впоследствии не может быть изменен. В сочетании с атрибутом Вердикт определяет возможность дальнейшей транспортировки объекта (атрибут Состояние доставки). Обязательный атрибут объекта.

См. также: Режим копии, Нормальный транспортный режим, Прозрачный транспортный режим

Page 96: Руководство по установке и конфигурированию

УКАЗАТЕЛЬ

I

InfoWatch Traffic Monitor ………………………………….. 8

iw_lickey ……………………………………………………….. 45

P

Postfix …………………………………………………….. 42, 43

А

Администратор пользователей ……………….. 33, 34

В

Входящая почта

настройка IP-адреса …………………………………. 41

настройка порта ……………………………………….. 42

И

Исходящая почта

доменное имя компьютера ……………………….. 42

порт компьютера ………………………………………. 42

К

Клиент СУБД Oracle ……………………………………… 42

Л

Лицензионный ключ

iw_customer.dat …………………………………… 45, 47

iw_licence.dat ………………………………………. 45, 47

Лицензирование

iw_lickey …………………………………………………… 45

П

Пользователь

root ………………………………………………………….. 41

владелец Traffic Monitor Server………………….. 41

владелец инсталляции клиента Oracle ……… 41

Пользователь Linux части ……………………………..35

Почтовый агент …………………………………………….42

Р

Рапорт

дополнительная настройка ………………………..61

С

Сервер СУБД Oracle

установка и конфигурация базы данных (Linux) …………………………………………………..77

СУБД Oracle

tnsnames.ora ……………………………………………..43

параметры соединения ……………………………..42

Схема базы данных

параметры обновления ……………………………..67

параметры удаления …………………………………71

параметры установки ………………………………..31

подготовка к обновлению …………………………..65

подготовка к созданию ………………………………30

подготовка к удалению ………………………………70

рекомендации по созданию ……………………….28

Т

Табличное пространство

ежедневное ……………………………………….. 28, 37

основное …………………………………………………..28

Ф

Файл данных ………………………………………….. 29, 36

Ц

Циклическая файловая система ……………… 29, 38

1. Введение

2. Функциональные возможности InfoWatch Device Monitor 5.1

3. Системные требования InfoWatch Device Monitor 5.1

4. Установка InfoWatch Device Monitor 5.1

4.1. Установка серверной части

4.2. Установка клиентской части

4.3. Установка консоли управления

5. Работа с InfoWatch Device Monitor 5.1

5.1. Первоначальная настройка сервера InfoWatch Device Monitor

5.2. Настройка политик контроля рабочих станций в InfoWatch Device Monitor 5.1

6. Выводы

Введение

Современная DLP-система обязана контролировать практически все возможные каналы возможных утечек конфиденциальных данных. Хорошей практикой стал подход создания многокомпонентных DLP-систем, где защита различных каналов утечек конфиденциальной информации обеспечивается взаимосвязанными модулями. Это обеспечивает гибкость в развёртывании и управлении самой системой, полноту контроля и защиты данных и единое пространство политик безопасности для всех модулей. InfoWatch Traffic Monitor Enterprise полностью соответствует данной схеме работы.

В первой части обзора мы рассказывали о  компоненте InfoWatch Traffic Monitor, предназначенного для контроля сетевого трафика на уровне шлюза. Во второй части мы расскажем о другом компоненте — InfoWatch Device Monitor, который предназначен для контроля над использованием внешних устройств на рабочих станциях, а также контроля отдельных сетевых протоколов и активностей, которые невозможно отслеживать на уровне шлюза.

Функциональные возможности InfoWatch Device Monitor 5.1

InfoWatch Device Monitor 5.1 предназначен, в первую очередь, для предотвращения утечки конфиденциальной информации через съёмные устройства, порты, локальную или сетевую печать. Поддержка большого количества различных видов устройств позволяет обеспечить широкие возможности контроля рабочих станций. Также InfoWatch Device Monitor 5.1 способен создавать теневые копии потоков информации для их сохранения и последующего анализа.

Кроме того, InfoWatch Device Monitor 5.1 позволяет осуществлять контроль трафика по протоколам POP3, SMTP, IMAP, MAPI, S/MIME, FTP и HTTPS на уровне рабочих станций. Также он может осуществлять контроль систем передачи мгновенных сообщений Skype, Jabber (прокол XMPP) и Mail.ru агент (протокол ММР). Для Skype возможна запись голосовых сеансов связи для дальнейшей расшифровки и перевода в текст.

Важной особенностью клиентской части InfoWatch Device Monitor 5.1 является то, что агенты могут работать даже в том случае, когда операционная система загружена в безопасном режиме. Но при этом функциональность агентов будет частично ограничена (например, будет невозможен контроль устройств, доступ к которым в безопасном режиме запрещён операционной системой).

Отменить загрузку агента в безопасном или даже отладочном режиме невозможно, так как драйвер агента подписан Microsoft и является компонентом обязательным к загрузке.

Процесс агента невозможно выгрузить из памяти равно как и изменить ключи реестра связанные с ним, поскольку защита обеспечивается уровне драйвера.

На рисунке 1 показана схема принципа работы InfoWatch Device Monitor 5.1.

Рисунок 1. Схема принципа работы InfoWatch Device Monitor 5.1

Схема принципа работы InfoWatch Device Monitor 5.1

С общей схемой работы InfoWatch Traffic Monitor Enterprise можно ознакомиться в первой части обзора.

Системные требования InfoWatch Device Monitor 5.1

Аппаратные требования всех частей InfoWatch Device Monitor 5.1 соответствуют минимальным системным требованиям,  предъявляемым к используемой операционной системе, на которой они работают.

В таблице 1 показаны аппаратные и программные требования InfoWatch Device Monitor 5.1.

Таблица 1. Аппаратные и программные требования InfoWatch Device Monitor 5.1

Компонент Аппаратная часть ОС Другое ПО
Сервер InfoWatch Device Monitor 5.1 CPU: Intel Xeon x86 3GHzRAM 4 GBHD 300GB  Windows Server 2003-2012 (x86, x64) БД Oracle 11БД Microsoft SQL Server 2005, 2008, 2012 (все редакции)Microsoft .NET Framework 4.0
Клиент InfoWatch Device Monitor 5.1 CPU: Intel Pentium 4 2GHz или вышеRAM 512 MB  Microsoft Windows 2000 SP4 (ограниченная поддержка), XP — Windows 8.1 (x86, x64)  
Консоль управления InfoWatch Device Monitor 5.1   Все вышеперечисленные ОС  

Установка InfoWatch Device Monitor 5.1

Установка серверной части InfoWatch Device Monitor 5.1

В обзоре InfoWatch Device Monitor 4.0 мы уже рассматривали процесс установки этого модуля. В версии 5.1 кардинальных изменений процесса установки не произошло. Однако есть только два отличия:

  1. Появилась возможность автоматической публикации сервера InfoWatch Device Monitor в Active Directory (весьма полезная возможность, особенно в сложных инфраструктурах);
  2.  Более недоступна возможность использования встроенной БД и PostgreSQL.

В остальном, всё проходит аналогично. Тем не менее, для цельности изложения, пошагово, опишем процесс установки InfoWatch Device Monitor 5.1.

После запуска пакета установки и принятия лицензионного соглашения, необходимо указать какой вариант установки будет осуществляться: будет ли этот сервер InfoWatch Device Monitor 5.1 основным  или вспомогательным. Данная возможность обусловлена, что в InfoWatch Device Monitor 5.1 предусмотрена возможность балансировки нагрузки между серверами.

Рисунок 2. Выбор варианта установки InfoWatch Device Monitor 5.1

Выбор варианта установки InfoWatch Device Monitor 5.1

Если на предприятии используется служба Microsoft Active Directory, следует указать, что сервер нужно опубликовать в Active Directory.

В том случае, если уже есть отдельный сервер БД, который используется в работе InfoWatch Traffic Monitor Enterprise, можно снять флажок «Установить новую базу данных». В противном случае оставляем вариант по умолчанию. Далее необходимо

выбрать тип базы данных. Поддерживаются базы данных Oracle или Microsoft SQL, см. рисунок 3.

Рисунок 3. Выбор базы данных InfoWatch Device Monitor 5.1

Выбор базы данных InfoWatch Device Monitor 5.1

В нашем случае выбираем Microsoft SQL Server и переходим к настройке параметров соединения с сервером базой данных, как это показано на рисунке 4.

Рисунок 4. Настройка параметров соединения с сервером БД для InfoWatch Device Monitor 5.1

Настройка параметров соединения с сервером БД для InfoWatch Device Monitor 5.1

В соответствующих полях указываем адрес или имя сервера БД, имя базы данных.

С точки зрения безопасности лучше использовать аутентификацию Windows для авторизации с БД. Но можно использовать и встроенную в SQL Server.

Поскольку мы проводим тестовую установку,  выбираем более простой вариант — встроенную аутентификацию. Далее проводится автоматическая проверка связи с сервером БД. Если всё введено корректно, то система перейдёт к следующему этапу установки. В противном случае будет показано отдельное окно с сообщением о том, что соединиться с сервером БД не удалось.

На следующем этапе необходимо настроить сетевые параметров сервера InfoWatch Device Monitor, они показаны на рисунке 5.

Рисунок 5. Настройка сетевых параметров сервера InfoWatch Device Monitor 5.1

Настройка сетевых параметров сервера InfoWatch Device Monitor 5.1

Порты подключения, которые предлагаются по умолчанию, можно не изменять.

Далее необходимо будет указать от имени какой учётной записи будут запускать службы серверной части InfoWatch Device Monitor.

Рисунок 6. Выбор учётной записи для запуска InfoWatch Device Monitor 5.1

Выбор учётной записи для запуска InfoWatch Device Monitor 5.1

Можно оставить вариант по умолчанию — Local System. Если же этот вариант не подходит с точки зрения политики безопасности, принятой в инфраструктуре, можно указать другую учётную запись пользователя.

Для управления сервером InfoWatch Device Monitor необходимо создать учётную запись администратор сервера InfoWatch Device Monitor и установить сложный пароль.

Рисунок 7. Создание учётной записи администратора InfoWatch Device Monitor 5.1

Создание учётной записи администратора InfoWatch Device Monitor 5.1

Поскольку схема развёртывания InfoWatch Device Monitor подразумевает использование сервера InfoWatch Trafic Monitor для анализа данных, собранных сервером InfoWatch Device Monitor, необходимо указать параметры соединения с сервером InfoWatch Traffic Monitor.

Рисунок 8. Настройка параметров соединения с сервером InfoWatch Traffic Monitor 5.1

Настройка параметров соединения с сервером InfoWatch Traffic Monitor 5.1

Также можно дополнительно указать, что данный сервер InfoWatch Device Monitor будет работать в автономном режиме. Тогда становится активной опция «Сохранять теневые копии», что позволит хранить теневые копии перехваченных данных конкретно на этом сервере.

После этого установка продолжится в автоматическом режиме и не будет требовать вмешательства пользователя. По окончанию установки сервер InfoWatch Device Monitor готов к работе.

Теперь кратко расскажем об установке клиентской части InfoWatch Device Monitor.

Установка клиентской части InfoWatch Device Monitor 5.1

Установка агентов на конечные точки сети происходит очень просто. Единственное, что нужно будет указать в процессе установки — это параметры соединения клиента с сервером InfoWatch Device Monitor, как это показано на рисунке 9.

Рисунок 9. Настройка параметров соединения клиента с сервером InfoWatch Device Monitor 5.1

Настройка параметров соединения клиента с сервером InfoWatch Device Monitor 5.1

Клиентская часть InfoWatch Device Monitor может быть установлена как в ручном режиме, так и с помощью средств удалённой установки приложений на рабочих станциях, например, с помощью GPO в среде Microsoft Active Directory или же собственными средствами.

По окончанию установки — рабочую станцию необходимо перезагрузить, после чего клиент полностью готов к работе. В большинстве случаев подобное программное обеспечение желательно устанавливать скрытно, без каких-либо уведомлений для пользователя, так называемая «тихая установка» (silent install).Клиентская часть InfoWatch Device Monitor поддерживает такой вариант установки.

Рисунок 10. Окно управлениями задачами удалённой работы с агентами InfoWatch Device Monitor 5.1

Окно управлениями задачами удалённой работы с агентами InfoWatch Device Monitor 5.1

Установка Консоли управления InfoWatch Device Monitor 5.1

Консоль управления включена в состав пакета установки серверной части InfoWatch Device Monitor и может быть установлена как на сервер с InfoWatch Device Monitor, так и на любую другую рабочую станцию. Для этого достаточно запустить пакет установки InfoWatch Device Monitor и в окне выбора компонентов (см. рисунок 11), отключить установку сервера, оставив только консоль.

Рисунок 11. Окно выбора компонентов InfoWatch Device Monitor 5.1

Окно выбора компонентов InfoWatch Device Monitor 5.1

На этом мы закончим рассмотрение процесса установки InfoWatch Device Monitor и перейдём к описанию порядка работы с InfoWatch Device Monitor 5.1.

Работа с InfoWatch Device Monitor 5.1

Работа с InfoWatch Device Monitor осуществляется с помощью консоли управления.

В отличие от общей веб-консоли InfoWatch Traffic Monitor, консоль управления InfoWatch Device Monitor – это отдельно устанавливаемое программное обеспечение. Эти две консоли никак не связаны между собой и не могут использоваться для управления «не родными» компонентами.

Консоль InfoWatch Device Monitor используется в первую очередь для конфигурирования перехватчиков на рабочих станциях. Политики безопасности контроля типов данных и методы анализа задаются с помощью консоли InfoWatch Traffic Monitor.

При первом запуске консоли управления необходимо указать адрес сервера и учётные данные администратора сервера InfoWatch Device Monitor, как это показано на рисунке 12.

Рисунок 12. Окно выбора сервера для подключения к InfoWatch Device Monitor 5.1

Окно выбора сервера для подключения к InfoWatch Device Monitor 5.1

После удачной авторизации, откроется главное окно консоли управления InfoWatch Device Monitor, которое показано на рисунке 13.

Рисунок 13. Главное окно консоли управления InfoWatch Device Monitor 5.1

Главное окно консоли управления InfoWatch Device Monitor 5.1

Как видим, консоль управления достаточно хорошо продумана и имеет интуитивно понятный интерфейс. Все разделы консоли однородны и управляются по единому принципу.

Первоначальная настройка сервера InfoWatch Device Monitor

Первым шагом, который нужно сделать в начале работы с InfoWatch Device Monitor — это добавить учётные записи пользователей, которые смогут работать с сервером InfoWatch Device Monitor с помощью консоли управления и назначить им соответствующие роли для распределения прав доступа.

Дело в том, что та учётная запись администратора, которую мы создавали в процессе установки InfoWatch Device Monitor — это учётная запись суперпользователя, который обладает полным набором прав. Данная учётная запись не рекомендуется для использования рядовыми сотрудниками отдела информационной безопасности, так как она имеет избыточные права.

Как и в InfoWatch Traffic Monitor, , в InfoWatch Device Monitor аналогичная схема разделения прав доступа в консоли управления. Создаются пользователи, пользователям назначаются роли (наборы прав). Но есть и отличия в InfoWatch Device Monitor,— роли редактировать нельзя.

Есть две предустановленные роли: «Офицер безопасности» и «Локальный администратор».

Роль «Локальный администратор» используется для управления учётными записями консоли управления, а роль «Офицер безопасности» используется для управления сервером InfoWatch Device Monitor.

Для того, чтобы создать новую учётную запись пользователя консоли управления, идём в меню «Инструменты» и выбираем «Пользователи консоли».

Рисунок 14. Создание новой учётной записи пользователя консоли управления InfoWatch Device Monitor 5.1

Создание новой учётной записи пользователя консоли управления InfoWatch Device Monitor 5.1

Следующий шаг — проверка и корректировка настроек сервера, доступ к которым есть в меню «Инструменты» — «Настройки».

Кратко пройдёмся по настройкам.

Сперва посмотрим общие настройки сервера InfoWatch Device Monitor, а именно: параметры соединения с клиентами, контроля дискового пространства на клиентах, логирования и уведомлений (см. рисунок 15).

Рисунок 15. Общие настройки сервера InfoWatch Device Monitor 5.1

Общие настройки сервера InfoWatch Device Monitor 5.1

Для контроля трафика на уровне рабочих станций, необходимо указать сегменты корпоративной сети.

Также нужно указать существующие в инфраструктуре домены и заполнить список разрешённых серверов, где следует перечислить все сервера с InfoWatch Device Monitor.

Это можно сделать в меню «Корпоративная сеть» (рисунок 16).

Рисунок 16. Настройка параметров корпоративной сети в InfoWatch Device Monitor 5.1

Настройка параметров корпоративной сети в InfoWatch Device Monitor 5.1

Кроме этого, в меню «Настройки» содержится много других опций, которые отвечают за работу всей системы. Например, настройки контроля программ обмена мгновенными сообщениями: как часто делать копии чата; разрешение на работу Skype и т.д. А также указать исключения, для которых исходящий трафик не должен контролироваться. Разрешение внешних адресов может понадобиться, например, для обеспечения работы с внешними ресурсами и обновления установленных программ.

Для зарегистрированных серверов InfoWatch Device Monitor можно изменять параметры соединения с общим сервером InfoWatch Trafic Monitor, на который могут пересылаться события для анализа.

Есть возможность настройки интеграции с LDAP-серверами, которая позволяет синхронизировать списки учётных записей сотрудников и рабочих станций, что упрощает эксплуатацию InfoWatch Device Monitor для сотрудников службы безопасности.

В зависимости от нужд компании и предпочтений службы безопасности, можно настраивать тип и текст уведомлений агента, которые может получать пользователь на рабочей станции.

Последнее, на что стоит обратить внимание в настройках, — это возможность исключения приложений из перехвата (см. рисунок 17). Исключения необходимы как для обеспечения корректной работы операционной системы, отдельных приложения, а также целых категорий приложений (к примеру, средства защиты). В системе уже есть предустановленный список исключений, который можно дополнять и редактировать.

Рисунок 17. Список исключённых из перехвата приложений в InfoWatch Device Monitor 5.1

Список исключённых из перехвата приложений в InfoWatch Device Monitor 5.1

Настройка политик контроля рабочих станций в InfoWatch Device Monitor 5.1

После того как первоначальная настройка сервера выполнена, можно переходить к следующему этапу — настройке системы для контроля рабочих станций.

Анализ данных осуществляется на основе политик. Политики — это наборы правил, которые указывают какие данные, с каких устройств и по каким каналам связи необходимо контролировать. Политики назначаются группам сотрудников и группам рабочих станций.

Политики, группы станций и сотрудников, белые списки устройств и сигнатуры форматов файлов в совокупности называются «Схемой безопасности».

В процессе работы схема безопасности может неоднократно редактироваться, при этом последняя сохранённая версия считается текущей. Старые варианты схем безопасности не удаляются, а хранятся в базе данных. Всегда можно вернуться к прежней схеме или же посмотреть когда и кем она редактировалась.

Перейдём непосредственно к работе с политиками.

Средство управления конфигурациями позволяет как редактировать существующие политики, так и создавать новые.

Для дальнейшей демонстрации работы системы, изменим ряд готовых правил.

На рисунке 18 показан общий принцип редактирования правил. В качестве примера мы запретим использование протокола FTP.

Рисунок 18. Редактирование правила контроля FTP InfoWatch Device Monitor 5.1

Редактирование правила контроля FTP InfoWatch Device Monitor 5.1

Как видим, правилам можно задавать даже период действия или размер файла, который может быть перехвачен.

В политику контроля на устройства добавим правило запрета локальной печати.

Для этого выберем эту политику и нажмём кнопку «Добавить правило».

В открывшемся окне обязательно укажем имя правила, в качестве перехватчика выбираем «Device Monitor», а в списке устройств — «Локальный принтер».

Рисунок 19. Создание правила запрета локальной печати в InfoWatch Device Monitor 5.1

Создание правила запрета локальной печати в InfoWatch Device Monitor 5.1

Нажимаем кнопку «Сохранить» и сохраняем новую версию схемы безопасности.

Можем считать, что тестовая политика безопасности у нас создана.

Теперь переходим к следующему разделу консоли управления — «Группы сотрудников».

Как мы уже говорили, нельзя применить политику безопасности к отдельно взятому сотруднику. Политика безопасности применяется только к группам сотрудников. Поэтому, даже если есть необходимость применить политику к отдельному сотруднику, нужно создать новую группу и поместить туда учётную запись соответствующего сотрудника.

Также стоит учитывать, что на сотрудников влияют и политики для рабочих станций. Поэтому, в случае применения нескольких правил, приоритет отдаётся более строгому правилу, т.е. запрещающее правило имеет более высокий приоритет перед разрешающим.

Чтобы сотрудникам службы безопасности было легче отслеживать применение политик к группам сотрудников и рабочих станций, в InfoWatch Device Monitor существует возможность просмотра результирующей политики.

После установки сервера InfoWatch Device Monitor автоматически создаётся группа сотрудников по умолчанию, куда помещаются все сотрудники, список которых получен с рабочих станций и серверов каталогов инфраструктуры.

Создадим отдельную группу TEST, куда поместим учётные записи пользователей нашего домена и применим к этой группе политику теневого копирования.

Как видно на рисунке 20, это достаточно просто сделать.

Рисунок 20. Создание новой группы сотрудников в InfoWatch Device Monitor 5.1

Создание новой группы сотрудников в InfoWatch Device Monitor 5.1

Аналогично ведётся работа и с группами рабочих станций.

В качестве примера мы создали группу рабочих станций TEST и поместили туда две рабочие станции. К этой группе мы применили политику на устройства (см. рисунок 21).

Рисунок 21. Создание группы рабочих станций в InfoWatch Device Monitor 5.1

Создание группы рабочих станций в InfoWatch Device Monitor 5.1

Поскольку в компаниях всегда используется очень большое количество устройств, то нет необходимости контролировать или запрещать их все. Тому может быть много причин. Чтобы исключить эти устройства из проверки и контроля, предусмотрена возможность создания белых списков. Устройства, которые помещены в этот список будет всегда безусловно разрешены для использования.

Добавлять устройства в белый список можно как по модели, так и по идентификатору устройства.

Для контроля файловых операций в InfoWatch Device Monitor используются сигнатуры. Они представляют собой готовые описания структуры форматов файлов.

Список сигнатур очень обширен и содержит несколько тысяч записей, разбитых на определённые категории (CAD-системы, аудио, архивы и прочее).

Рисунок 22. Предустановленные категории сигнатур в InfoWatch Device Monitor 5.1

Предустановленные категории сигнатур в InfoWatch Device Monitor 5.1

Также можно создавать свои категории и добавлять в них сигнатуры из списка имеющихся.

Для сотрудников отдела информационной безопасности всегда важно знать кто и когда работал в системе. Для предоставления актуальной информации касательно работы с системой предназначен журнал событий консоли управления. В нём можно посмотреть все события, которые связаны с работой в консоли управления (см. рисунок 23).

Также можно создавать свои журналы для автоматической фильтрации событий, чтобы всегда можно было получать актуальную оперативную информацию.

Рисунок 23. Журнал работы консоли управления InfoWatch Device Monitor 5.1

Журнал работы консоли управления InfoWatch Device Monitor 5.1

Любая DLP-система обязана предоставлять сотрудникам службы безопасности полные и детализированные отчёты о зарегистрированных инцидентах. InfoWatch Device Monitor этому не исключение. Все события, которые произошли на рабочих станциях и были зафиксированы агентами можно просмотреть в журнале событий сервера.

Можно просмотреть все события, а можно создать свой фильтр, с выборкой по определённому периоду. По каждому событию можно получить самую детальную информацию. На рисунке 24 показаны все события, которые были зафиксированы, а также результаты применения настроенных ранее политик.

Рисунок 24. Списоксобытий InfoWatch Device Monitor 5.1

Список событий InfoWatch Device Monitor 5.1

Как видим, система работает корректно. Локальная печать была заблокирована, попытка записи файла на съёмное устройство была зафиксирована, файл передан на анализ на сервер InfoWatch Traffic Monitor, тоже самое и касается данных, которые были перехвачены по протоколу HTTPS.

На этом мы заканчиваем обзор InfoWatch Device Monitor 5.1 и переходим к выводам.

Выводы

Как видим, InfoWatch Traffic Monitor Enterprise 5.1 обеспечивает надёжную защиту рабочих станций от утечек информации через внешние устройства благодаря компоненту InfoWatch Device Monitor. Простая и понятная логика работы этой системы позволяет в краткие сроки развернуть её в инфраструктуре и обучить персонал.

Достоинства:

  • Возможность контроля сетевого трафика на рабочих станциях по протоколам POP3, SMTP, IMAP, MAPI, S/MIME, FTP, HTTPS на уровне рабочих станций;
  • Возможность контроля систем обмена мгновенными сообщениями такими как GTalk, Skype, Mail.Ru Агент, Jabber на уровне рабочих станций;
  • Большой список поддерживаемых устройств;
  • Большой список сигнатур файлов для анализа;
  • Контроль принадлежности рабочей станции к корпоративной сети (при смене сети на рабочей станции сужается круг разрешённых сетевых соединений, в данном случае предусмотрена возможность принудительного использования VPN);
  • Теневое копирование данных с устройств даже при отсутствии соединения с корпоративной сетью;
  • Высокий уровень защиты агента от постороннего вмешательства в его работу или принудительного завершения его работы;
  • Возможность предоставления сотрудником службы безопасности временного доступа к какому-либо устройству на рабочей станции по коду доступа, который можно сообщить работнику, к примеру, в телефонном режиме;
  • Простота в установке и настройке;
  • Удобная интуитивно понятная консоль управления;
  • Детальная информация по инцидентам.

Недостатки:

  • На наш взгляд стоит придерживаться единой политики относительно консоли управления. Если InfoWatch Traffic Monitor снабжён новой веб-консолью, то этого же стоит ожидать и для других компонентов системы. Несколько видов консолей создают неудобство в использовании;
  • Для списка событий крайне желательно наличие фильтрации не только по временному периоду, а и по другим атрибутам событий;
  • Отсутствие возможности контроля буфера обмена (в т. ч. Print Screen);
  • Отсутствие средств анализа статистики инцидентов и построения отчетов в консоли управления InfoWatch Device Monitor.
  • Отсутствие контроля запуска приложений (планируется в 2014 году).

В первой части обзора мы рассмотрели нововведения и общие функциональные возможности InfoWatch Traffic Monitor Enterprise 5.1. А также узнали как выполнять установку, первоначальную настройку и основные принципы работы с шлюзовой частью этого продукта.

Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 1 — защита от утечек на шлюзе 

Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 3 — поиск конфиденциальных данных

Исследования в Гимназии №1505

You are here

Home » Полное руководство к системам InfoWatch Traffic Monitor и Device Monitor


KVDmitrieva

https://kb.infowatch.com/#all-updates

Источник информации относится к исследованию: 

Корпоративная защита от внутренних угроз безопасности

  • Log in to post comments


107061, Москва, ул 2-Пугачевская, 6А
+7 (495) 963-76-77

Обратная связь

Понравилась статья? Поделить с друзьями:
  • Диван ликселе инструкция по сборке фото
  • Dahao a15 инструкция на русском языке
  • Концентрат клиндезин экстра инструкция по применению
  • Фронтлайн спрей 250 мл инструкция по применению
  • Наушники sony wi c200 инструкция беспроводные