Знание — сила
В настоящее время информация — это всё. Ушли в прошлое лихие шпионы в шикарных автомобилях в обнимку с великолепными женщинами, сорящие миллионами и без устали отстреливающие врагов мирового капитализма. Девяносто процентов всей информации приносят невзрачные клерки, анализирующие открытые или закрытые публикации, начиная от биржевых сводок ведущих таблоидов и заканчивая крикливыми заголовками бульварных газетенок. «Кто владеет информацией — тот владеет миром», — это высказывание Уинстона Черчиля, озвучившего идею миллиардера Натана Ротшильда, не только не утратило своей актуальности в наше время, но и приобрело еще большую значимость.
В наш технологичный век трудно представить себе сообщество затворников-мизантропов, добровольно отказавшихся от общения не только с внешним миром, но и друг с другом. А там, где есть общение, — тайн уже нет, даже из клуба молчунов любая новость вырывается на свободу и становится достоянием гласности. «Знают двое — знает и свинья» — так говаривал незабвенный папаша Мюллер в исполнении Леонида Сергеевича Броневого. И это неопровержимая истина — как же иначе стала бы достоянием общественности конфиденциальная информация не только о публичных лицах, но и о засекреченных «объектах»?
Построению безопасных сетей посвящено множество курсов, об этом написаны увесистые тома. Но полной безопасности никто гарантировать не может — будь это учебная сеть в школе или засекреченный вычислительный центр Пентагона. Минимизировать опасность можно, полностью отказавшись от общения с внешним миром, замкнувшись в локальном сегменте и ограничив возможность копирования информации сотрудниками. Но немногие компании могут позволить себе это — зачастую публичность становится важнее всех угроз. Помимо содержания информации важную роль играют скорость ее получения и возможность ее применения. Для простых пользователей и системных администраторов доступны три основных способа быстрого получения и распространения информации: почтовое сообщение, публикация в Интернете и общение с помощью интернет-пейджеров. Контроль за этими путями утечки информации и является первоочередным в современных офисных сетях. Но важно узнать не только о самом факте утечки, передачи информации или использования корпоративных ресурсов в личных целях, но и персонифицировать источник. В случае с почтой или публикациями обезличивание затруднительно, но вот сообщение, переданное с помощью сетевого мессенджера, зачастую остается незамеченным и анонимным. Как же бороться с этой напастью, как сократить свои расходы, связанные с использованием сетевых пейджеров в личных целях? Для решения этой и других проблем служат решения компании «СофтИнформ», о которых мы вкратце расскажем.
Компания «СофтИнформ» работает в сфере информационных технологий, специализируясь на технологиях поиска, хранения и обработки информации. Продукт, который мы представляем на суд читателей, называется SearchInform IMSniffer. Даже исходя из названия видно, что данная программа представляет собой сетевой снифер (от англ. sniffer — прибор, предназначенный для поиска чего-либо, название собаки — поисковика наркотиков, взрывчатки и т.п.). Как и для всех сетевых сниферов, задача продукта компании «СофтИнформ» — перехват и анализ сетевого трафика определенного рода, идущего к и от конкретного компьютера, единичного хоста. Данная программа состоит из двух частей: SearchInform IMSniffer Server и SearchInform IMSniffer Client. В состав серверной системы входят следующие компоненты:
- драйвер перехвата сетевого трафика (winpcap);
- системный сервис (SearchInform IMSniffer), заносящий перехваченный трафик в базу данных;
- IMSniffer Connector (Document Source, COM-объект) к поисковому ядру SearchInform. Требуется для связи поискового ядра и базы перехваченных сообщений;
- приложение SearchInform IMSniffer Administrator Console, являющееся графическим интерфейсом настройки системы перехвата.
Если нужен перехват сообщений только на одном компьютере, то следует просто установить на него SearchInform IMSniffer Server и SearchInform IMSniffer Client. Если требуется перехват сообщений на нескольких (или всех) компьютерах локальной сети, то необходимо установить систему перехвата SearchInform IMSniffer Server на ту рабочую станцию в сети, на которую будет поступать весь трафик сообщений. Естественно, что эти два случая сложности не вызывают, но что делать, если отсутствует техническая возможность установить данную программу на сетевом шлюзе? Для установки IMSniffer поддерживает только ОС семейства Windows — Windows 2000/XP и Windows 2003 Server. Перехват же сообщений может быть осуществлен практически с любой системы. Однако установка IMSniffer на NIX-системы попросту невозможна. Что ж, тут нам на помощь приходят некоторые сетевые коммутаторы. Речь идет о хабе (hub), который функционирует таким образом, что принимаемые на один порт сетевые пакеты рассылаются по всем остальным портам независимо от их назначения. При подключении к одному из таких портов точки перехвата появляется возможность захвата всего сетевого трафика, проходящего через этот хаб.
Следует заметить, что если хаб анализирует сетевые пакеты и пересылает их на соответствующие порты, то возможность перехвата всего трафика на таком хабе исчезает. Подобные устройства, обладающие возможностью анализа пакетов, уже подходят под определение switch. Любые компьютеры, подключенные к хабу, могут быть прослушаны, так как данные, проходящие через маршрутизатор (router), направляются на все порты. Кроме того, можно перехватывать трафик, проходящий между компьютерами локальной сети, подключенными к одному хабу. У подобного решения есть свои недостатки: найти такую сеть очень сложно, поскольку хабы морально устарели, к тому же подобного «дурака» можно добавить практически в любой сегмент сети и в любом месте. В этом случае главное, чтобы ваши подследственные были расположены до места размещения хаба, а компьютер с установленным SearchInform IMSniffer Server был подключен напрямую к нему.
Вернемся к нашим реалиям. Наиболее часто сейчас встречаются сети, построенные на свитчах (switch). Свитчи представляют собой усовершенствованные хабы, дополненные функциями анализа сетевых пакетов для их пересылки на целевые компьютеры, что позволяет избежать дублирования трафика всей локальной сети. Тут нам на помощь вновь приходит техническое решение, но не ископаемое, а, наоборот, эволюционирующее — управляемые свитчи с зеркалированием портов (port mirroring). Они позволяют добиться наиболее эффективного перехвата трафика. В отличие от хабов, свитч распределяет все сетевые пакеты по портам в соответствии с уникальным MAC-адресом клиента сети. Порт перенаправления позволяет продублировать сетевые пакеты с других портов на точку перехвата. При этом в свитче имеется возможность настройки зеркалирования, то есть указания конкретных портов свитча, трафик с которых необходимо перенаправлять. Естественно при топологии сети с использованием подобного свитча компьютер с установленным программным обеспечением SearchInform IMSniffer Server должен быть подключен к данному порту. Стоит отметить, что в этом случае свитч можно настроить таким образом, чтобы перехват информации производился как только с одного, так и сразу с нескольких компьютеров. Естественно, что все подобные решения основаны на изменениях топологии существующей сети, ибо существует вероятность потери сетевого трафика между компьютерами во внутреннем сегменте сети (сегменте сети, находящемся до хаба или свитча, чей трафик проходит через другие сетевые коммутаторы, образуя самостоятельные сегменты).
Рассмотрим программу IMSniffer от компании «СофтИнформ».
Установка
Процесс установки интуитивно понятен. Достаточно следовать типичному установочному помощнику (рис. 1).
Рис. 1. Меню установки программы SearchInform IMSniffer
При установке серверной версии производится распаковка файлов всех модулей программы и их копирование по соответствующим путям. При этом выполняется регистрация всех необходимых COM-объектов, а также регистрация и запуск системных сервисов. Также требуется наличие установленного продукта SearchInform Server (рис. 2), включая модуль SearchInform API Library.
Рис. 2. Установленный SearchInform Server
Настройка
После установки продукта автоматически активируется процесс перехвата сообщений (как только сервис перехвата будет запущен). После первой инсталляции системы (серверной версии) система потребует настройки основных параметров. Вам предложат выбрать сетевой адаптер (на компьютере может быть несколько сетевых адаптеров) и протоколы вместе с прослушиваемыми портами. Кроме выбора сетевого адаптера, можно вручную указать диапазон IP-адресов, с которых будет осуществляться перехват трафика (рис. 3). По умолчанию SearchInform IMSniffer поддерживает перехват трафика сообщений, транспортируемого по протоколам ICQ и MSN. Для этого прослушиваются два стандартных для данных сервисов сетевых порта: 5190 для ICQ и 1863 для MSN. При необходимости можно изменить список прослушиваемых портов (рис. 4). Так что «под колпаком» окажутся не только поклонники стандартного клиента ICQ, но и любители альтернативных клиентов QIP, Trillian, AIM и Miranda.
Рис. 3. Выбор диапазона внутренних IP-адресов, с которых
будет осуществляться перехват
Рис. 4. Меню добавления портов прослушивания
Нельзя обойти вниманием и тот факт, что даже при включении шифрования трафика в клиенте QIP снифер SearchInform IMSniffer успешно перехватывал пакеты и вся передаваемая клиентами информация была доступна для просмотра.
С учетом того, что в последнее время конечных пользователей волнует приватность работы в Интернете, нами был проведен небольшой тест с перехватом сообщений по широко распространенным портам HTTP(S) прокси-серверов. В нашем случае в качестве прокси-сервера использовался компьютер, расположенный в Интернете с установленным прокси-сервером Squid 2.5. Программа SearchInform IMSniffer успешно справилась с этой задачей, и все тестовые сообщения, которые передавались через прокси-сервер, были перехвачены.
Все перехваченные сообщения помещаются в специальную базу данных, которая пополняется по мере перехвата сообщений. Место хранения файла базы данных можно изменить в настройках программы (рис. 5). При этом если изначально планируется изменить путь к базе данных, то лучше сделать это сразу после установки программы. При изменении пути к базе не удаляется и не переносится база по предыдущему пути, по новому пути создается новая база данных.
Рис. 5. Размещение базы данных перехваченных сообщений
Использование
Для предоставления удаленного доступа к базе перехваченных сообщений, а также удаленного поиска по ней необходима установка продукта SearchInform Server на том компьютере, на котором установлен SearchInform IMSniffer Server. По сути SearchInform Server представляет собой небольшой SQL-сервер, который «заточен» под хранение перехваченных сообщений и удобного поиска по ним. После установки SearchInform Server требуется провести монтирование базы данных с индексом, предварительно созданной с помощью SearchInform IMSniffer (рис. 6).
Рис. 6. Типичный рабочий процесс программы IMSniffer
Необходимо отметить, что SerchInform Server — очень мощный инструмент для систематизации и анализа полученной информации. Так, перехваченные сессии систематизируются по объектам обращения (по идентификационным номерам сетевых пейджеров). В результате получается полная картина переписки каждого пользователя. Благодаря возможности присваивать псевдонимы номерам можно перейти к удобной, наглядной персонификации пользователей.
Выводы
В целом продукт, выпускаемый компанией «СофтИнформ», весьма удачен. Нет, он не открывает Америку и страдает всеми детскими болезнями большинства сетевых сниферов (невозможно установить сервер с программой в любом месте сети, построенной на свитчах). Но отличной оценки заслуживает механизм анализа и систематизации сообщений. Такое решение подойдет малым и средним офисам с небольшим парком компьютеров. В заключение отметим, что SearchInform IMSniffer не единственный продукт компании «СофтИнформ». Посетив сайт этой компании (www.searchinform.com), любой пользователь найдет для себя подходящее решение.
 |
|
