В 4-м номере «CIO» мы опубликовали обзор программного обеспечения российских разработчиков, решающего некоторые задачи обеспечения информационной безопасности. На этот раз поговорим о проблеме аудита сети предприятия вообще и аудита информационной безопасности в частности. Задачи аудита — обеспечение устойчивой работы сети, мониторинг сетевых ресурсов, своевременное выявление узких и опасных мест в сетевой инфраструктуре. От решения этих задач зависит нормальная работа всего предприятия. Решение же осложняется наличием у предприятия филиалов и удаленных подразделений, необходимостью обеспечить работу с сетью находящихся вне ее пользователей (например, использующих мобильную связь/передачу данных), а также гетерогенностью самой сети как с точки зрения используемого оборудования и технологий, так и с точки зрения установленных ОС и прикладных программ.

Тем не менее, проблема аудита может быть решена с помощью рассмотренных ниже программ российских разработчиков, которые зачастую оказываются существенно дешевле зарубежных аналогов, превосходя их в удобстве и функциональности. К тому же все приведенные ниже программы можно загрузить с сайтов разработчиков с целью ознакомления.

Рассмотрим некоторые задачи аудита и примеры программ, которые могут быть использованы для их решения.

Ежедневный мониторинг сети и анализ трафика

Мониторинг сети предприятия — своеобразная гигиеническая процедура, которая должна выполняться ежедневно, заключается в контроле целостности и доступности сетевых ресурсов, степени загруженности основных ресурсов.

В качестве примера возможностей решения этой задачи рассмотрим программу Alchemy Eye, более 5 лет совершенствуемую российской компанией Alchemy Lab. Не так давно вышла новая версия — 5.9. Программа может выполнять мониторинг как небольших сетей и отдельных серверов, так и крупных сетей, содержащих сотни серверов. Основная функция Alchemy Eye — регулярная проверка состояния и доступности всех видов серверов, наличия свободного места на дисках, существования файлов. Для этого используется широкий спектр сетевых протоколов и сервисов, в том числе ICMP (ping), TCP/IP, NT service state, NT Event Log, HTTP URL, HTTPS. При обнаружении неисправности программа немедленно оповещает администратора по электронной почте, мобильному телефону (посылает SMS) или ICQ. Программа позволяет расширять функциональность за счет подключения дополнительных модулей. C их помощью можно задействовать новые виды оповещений, новые способы проверки серверов и другие возможности. Удобно и то, что Alchemy Eye имеет настраиваемый, основанный на шаблонах web-интерфейс, при помощи которого можно управлять программой и просматривать состояние серверов удаленно, используя любой браузер. На основе данных, полученных при мониторинге серверов, программа составляет различные статистические отчеты. Наиболее используемые типы отчетов включены в стандартную поставку Alchemy Eye. Среди них — отчет о доступности сервера, статистика ошибок сервера и другие.

Отличными возможностями по мониторингу сети обладает другая программа — Active Network Monitor компании «Смарт Лайн Инк», с которой читатель уже знаком по предыдущему обзору (программа Device Lock). Active Network Monitor работает под управлением Windows NT/2000/XP и Windows Server 2003 и позволяет администратору собирать информацию со всех компьютеров в локальной сети без установки дополнительных программ на сканируемые компьютеры. Как и предыдущая программа, Active Network Monitor допускает расширение функциональности за счет подключения модулей. В стандартную комплектацию входят модули для мониторинга обновлений безопасности (проверяется наличие установленных «патчей» для десятка популярных прикладных программ), служб, устройств, установленных приложений, дисков, сетевых ресурсов, пользователей, локальных групп, глобальных групп и так далее.

Среди аналогичных программ следует отметить также Advanced Host Monitor разработки KS-Soft, а также ActiveXperts Network Monitor от ActiveXperts Software. Вторая программа основана на технологии Network Monitor Engine и работает в качестве службы Windows 2003/2000/ XP/NT, но способна работать с операционными системами Windows, UNIX, Linux и Novell.

Анализ использования служебного доступа в Интернет

Нецелевое использование сотрудниками доступа в Интернет может привести к существенным потерям. Поэтому внедрение на предприятии контролирующих программ довольно быстро себя окупает. Отчеты об использовании пользователями доступа могут генерировать как прокси-серверы, устанавливаемые на предприятии, так и программы, которые решают только задачу анализа и потому имеют большую функциональность. Примером второго класса программ является ProxyInspector, разработанная ADVSoft. ProxyInspector работает с прокси-серверами Microsoft ISA Server 2000/2004, WinGate, WinProxy, WinRoute, EServ.

Вообще, ADVSoft является одной из самых опытных компаний, выпускающих продукты для анализа файлов-журналов прокси- и почтовых серверов. Первый продукт был выпущен шесть лет назад и назывался ReportMagic for WinGate. За эти годы ADVSoft наладила тесное сотрудничество с разработчиками самих серверов, благодаря чему ее программы тесно интегрированы с прокси-серверами.

Поскольку функции ProxyInspector достаточно очевидны, отметим некоторые особенности этой программы. К примеру, в ProxyInspector (а также в MailDetective) используется формат СУБД Paradox 7.x (обычно в подобных программах применяются «самописные» БД), и в аварийных случаях все данные легко восстановить встроенными в программу средствами. Для больших объемов данных и повышения надежности поддерживается хранение БД на SQL-сервере Interbase/Firebird. Соответственно, при использовании самой СУБД Paradox импорт данных ProxyInspector происходит очень быстро. Отчеты программы могут быть импортированы в Excel/HTML/MHT, причем при экспорте в любой формат сохраняется цветовое оформление отчета и диаграммы. В ProxyInspector (а также ProxyInspector Enterprise) реализовано многопоточное преобразование IP-адресов при импорте (достаточно часто вместо имени сайта в файл-журнал попадает IP-адрес, но для повышения информативности отчетов желательно преобразовать этот адрес в имя сайта).

Для крупных сетей существует версия ProxyInspector Enterprise, работающая с Microsoft ISA Server 2000/2004 и поддерживающая интеграцию с Active Directory. Она отличается возможностью работы с несколькими ISA-серверами при использовании одной базы данных. Сама база данных может храниться на SQL-серверах Interbase/Firebird или MS SQL Server. Для анализа почтового трафика в запасе у ADVSoft есть программа MailDetective, которая работает с почтовым сервером Alt-N MDaemon, в настоящее время на стадии бета-тестирования находится версия для MS Exchange 2000/2003.

Следует, впрочем, признать, что и хороший прокси-сервер способен контролировать работу пользователей в Интернете. Примером здесь служит отечественная программа UserGate новосибирской компании «АйТи Консалтинг». Кроме использования обычных функций прокси-сервера, администратор сети может индивидуально, для каждого пользователя, ограничивать трафик, время работы, определять список серверов (адресов), к которым не нужно ограничивать доступ (например, веб-сервер самого предприятия). UserGate включает в себя элементы биллинговой системы и позволяет подсчитать трафик каждого пользователя или группы. Можно разрешить или запретить использование определенного протокола (WWW, POP3/SMTP и т. д.). Также в программе реализована функция фильтрации веб-ресурсов (общая, для группы пользователей или для определенного пользователя). Поддерживается вывод отчетов в Excel или HTML.

У UserGate довольно развитая система ограничений трафика для каждого пользователя. Трафик можно ограничивать по максимальной длине документа (для ресурсов WWW), по времени работы и по отправленным (принятым) мегабайтам за день и даже за месяц. Можно установить почасовое расписание работы, разрешить или запретить определенные протоколы для пользователей и даже вести так называемые черные и белые списки — списки доменных имен или IP-адресов, доступ на которые запрещается (или разрешается) администратором. Для пользователей могут быть даже установлены индивидуальные ограничения скорости доступа.

стр.2>>