E-Detective

E-Detective - система мониторинга использования ресурсов Интернет пользователями локальной сети в реальном времени.
Программно-аппаратный комплекс E-Detective предназначен для предотвращения утечки информации и расследования компьютерных инцидентов путем непрерывного контроля над действиями пользователей локальной сети, записи и анализа передаваемой и получаемой ими информации через ресурсы Интернет.

Принцип работы комплекса заключается в перехвате пакетов данных методом сниффера (сетевого анализатора трафика), декодирования пакетов в реальном масштабе времени, восстановления перехваченных данных в исходный вид, сохранения и архивирования информации на внутренних или внешних системах хранения данных, отображения перехваченной информации и формирования аналитических отчетов.

Комплекс использует современную технологию DPI (Deep Packet Inspection – «глубокое инспектирование пакета»), которая широко используется в системах обнаружения и предотвращения вторжения (IDS и IPS). Использование этой технологии позволило обеспечить регистрацию и анализ передаваемой и получаемой пользователем информации при использовании  широкого спектра протоколов передачи данных.

К достоинствам  комплекса E-Detective следует отнести следующие функциональные особенности:

1. Широкий спектр поддерживаемых протоколов передачи информации:

• Электронная почта (POP3, IMAP и SMTP)
• Web-почта (Yahoo Mail, Windows Live Hotmail, Gmail и др.)
• программы обмена мгновенными сообщениями (Yahoo, MSN, ICQ, QQ, Google Talk, IRC, UT Chat Room, Skype)
• файлобменные сети FTP и P2P (BitTorrent, eMule/eDonkey, FastTrack, Gnutella )
• онлайн игры
• Telnet
• HTTP (просматриваемые ссылки, содержимое, воссоздание перехваченной информации, загруженные и переданные файлы, онлайн видео)
• VOIP (с дополнительным модулем) и др.;

2. Широкая линейка и масштабируемость – от систем, предназначенных для малого офиса (до 10 пользователей) до систем крупного предприятия (до 6000 пользователей!);
3. Возможность мониторинга использования ресурсов Интернет пользователей с  несанкционированным подключением к локальной сети;
4. Контроль над действиями пользователей в Интернет без дополнительной загрузки локальной сети дополнительным трафиком за счет использования режима «зеркалирования»;
5. Использование технологии мониторинга данных на уровне пакетов протокола TCP/IP исключает возможность конфликтов с антивирусным и другим подобным ПО (firewall, antispyware и т.п.);
6. Широкие сервисные функции и возможности по:

• управлению и настройке системы (IP, домены, фильтры, протоколы, пароли, авторизация и т.п.)
• поиску данных (по ключевым словам, дате, IP, МАС  и др.)
• системе тревог
• созданию аналитических отчетов.

Возможные схемы подключения системы E-Detective в локальную сеть:

• к «зеркальному» порту коммутатора (рекомендуемая схема)
• мостовое соединение (в разрыв между коммутатором и межсетевым экраном)
• к порту концентратора (HUB)

 

Рис. 1. Рекомендуемая схема подключения E-Detective с использованием коммутатора с «зеркальным» портом
(до 3000 пользователей)




Рис. 2. Мостовая схема подключения E-Detective для небольших сетей (до 50 пользователей)




Рис. 3. Схема подключения E-Detective для небольших рабочих групп (до 10 пользователей)
 

Примеры работы в оболочке E-Detective

 

Рис. 4. Просмотр сообщений электронной почты, в т. ч. вложений




Рис. 5. Отслеживание пользователей по IP-адресу при помощи службы Whois




Рис. 6. Просмотр сводных статистических отчетов и подробностей