ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




E-Detective

E-Detective - система мониторинга использования ресурсов Интернет пользователями локальной сети в реальном времени.
Программно-аппаратный комплекс E-Detective предназначен для предотвращения утечки информации и расследования компьютерных инцидентов путем непрерывного контроля над действиями пользователей локальной сети, записи и анализа передаваемой и получаемой ими информации через ресурсы Интернет.

Принцип работы комплекса заключается в перехвате пакетов данных методом сниффера (сетевого анализатора трафика), декодирования пакетов в реальном масштабе времени, восстановления перехваченных данных в исходный вид, сохранения и архивирования информации на внутренних или внешних системах хранения данных, отображения перехваченной информации и формирования аналитических отчетов.

Комплекс использует современную технологию DPI (Deep Packet Inspection – «глубокое инспектирование пакета»), которая широко используется в системах обнаружения и предотвращения вторжения (IDS и IPS). Использование этой технологии позволило обеспечить регистрацию и анализ передаваемой и получаемой пользователем информации при использовании  широкого спектра протоколов передачи данных.

К достоинствам  комплекса E-Detective следует отнести следующие функциональные особенности:

  1. Широкий спектр поддерживаемых протоколов передачи информации:
  • Электронная почта (POP3, IMAP и SMTP)
  • Web-почта (Yahoo Mail, Windows Live Hotmail, Gmail и др.)
  • программы обмена мгновенными сообщениями (Yahoo, MSN, ICQ, QQ, Google Talk, IRC, UT Chat Room, Skype)
  • файлобменные сети FTP и P2P (BitTorrent, eMule/eDonkey, FastTrack, Gnutella )
  • онлайн игры
  • Telnet
  • HTTP (просматриваемые ссылки, содержимое, воссоздание перехваченной информации, загруженные и переданные файлы, онлайн видео)
  • VOIP (с дополнительным модулем) и др.;
  1. Широкая линейка и масштабируемость – от систем, предназначенных для малого офиса (до 10 пользователей) до систем крупного предприятия (до 6000 пользователей!);
  2. Возможность мониторинга использования ресурсов Интернет пользователей с  несанкционированным подключением к локальной сети;
  3. Контроль над действиями пользователей в Интернет без дополнительной загрузки локальной сети дополнительным трафиком за счет использования режима «зеркалирования»;
  4. Использование технологии мониторинга данных на уровне пакетов протокола TCP/IP исключает возможность конфликтов с антивирусным и другим подобным ПО (firewall, antispyware и т.п.);
  5. Широкие сервисные функции и возможности по:
  • управлению и настройке системы (IP, домены, фильтры, протоколы, пароли, авторизация и т.п.)
  • поиску данных (по ключевым словам, дате, IP, МАС  и др.)
  • системе тревог
  • созданию аналитических отчетов.

Возможные схемы подключения системы E-Detective в локальную сеть:

  • к «зеркальному» порту коммутатора (рекомендуемая схема)
  • мостовое соединение (в разрыв между коммутатором и межсетевым экраном)
  • к порту концентратора (HUB)

 

Рис. 1. Рекомендуемая схема подключения E-Detective с использованием коммутатора с «зеркальным» портом
(до 3000 пользователей)




Рис. 2. Мостовая схема подключения E-Detective для небольших сетей (до 50 пользователей)




Рис. 3. Схема подключения E-Detective для небольших рабочих групп (до 10 пользователей)
 

Примеры работы в оболочке E-Detective

 

Рис. 4. Просмотр сообщений электронной почты, в т. ч. вложений




Рис. 5. Отслеживание пользователей по IP-адресу при помощи службы Whois




Рис. 6. Просмотр сводных статистических отчетов и подробностей



Поделиться информацией