INFORMACJA O PRODUKCIE
|
INFORMACJA O PRODUKCIE |
 |
MIMEsweeperSystem monitorowania
poczty elektronicznej
|
Zagrożenia
Większość przedsiębiorstw używa obecnie poczty elektronicznej, zarówno do
komunikacji wewnętrznej jak i zewnętrznej. Dodatkowo sieć WWW jest wykorzystywana jako
źródło informacji oraz miejsce do zamieszczania wszelkich informacji i publikacji. Taki
przepływ danych w znaczny sposób zwiększa potrzebę ochrony instytucji przed
zagrożeniami, które mogą nadejść z zewnętrznych źródeł lub nawet z wewnętrznego
systemu informatycznego, poprzez niepożądane działanie użytkowników. Brak
zabezpieczeń przed takimi zagrożeniami byłby poważnym błędem w polityce
bezpieczeństwa firmy. Programy typu firewall zapewniają jedynie częściową ochronę.
Standardowo monitorują dostęp do sieci wewnętrznej poprzez kontrolę użytkowników
oraz blokowanie aplikacji (np. Telnet, FTP, NFS). Tego typu ochrona nie stanowi jednak
wystarczającego zabezpieczenia przed nieznaną zawartością poczty elektronicznej oraz
stron internetowych i ściąganych plików. Wewnątrz napływających komunikatów i
dokumentów mogą znaleźć się wirusy, złośliwe applety Javy lub ActiveX czy też
bomby logiczne. Również treść tychże materiałów może być niepożądana (np
pornografia). Z myślą o neutralizacji tych właśnie zagrożeń został stworzony system
monitorowania poczty elektronicznej oraz downloadów WWW i FTP: MIMEsweeper.
MIMEsweeper
MIMEsweeper oferuje centralnie zarządzane monitorowanie zawartości email oraz
downloadów WWW i FTP. Umożliwia kontrolę antywirusową poczty elektronicznej
bezpośrednio na serwerze pocztowym. Może być skonfigurowany w dowolny sposób by
sprostać wszelkim wymaganiom wynikającym z charakteru działalności firmy. Działa pod
Windows NT. Współpracuje z programami typu firewall a także z wieloma narzędziami
antywirusowymi.
MIMEsweeper zawiera dwa moduły:
MAILsweeper zapewnia pełną ochronę zawartości poczty elektronicznej. Działa jak router pocztowy lub mail relay, w zależności od zainstalowanego systemu pocztowego. Obecnie współpracuje z następującymi systemami:
MAILsweeper jest zwykle umieszczany na osobnej maszynie, na drodze przepływu wiadomości SMTP, pomiędzy dwoma urzędami pocztowymi cc:Mail, miedzy domenami GroupWise czy też wreszcie na tym samym komputerze co Lotus Notes Server lub MS Exchange Server. Każda przychodząca i wychodząca wiadomość jest przechwytywana i rozkodowywana, a następnie sprawdzana jest jej zawartość według wytycznych określonych przez administratora. Program może być konfigurowany w taki sposób by w pełni dopasować się do środowiska pocztowego, z którym współpracuje. Na przykład MAILsweeper dla SMTP może być zainstalowany po którejkolwiek ze stron firewall’a. MAILsweeper dla cc:Mail może działać jako router standardowy lub hub router. Natomiast współpracując z Group Wise MAILsweeper może operować w środowisku domen pierwotnych lub pierwotnej i drugorzędnej. W przypadku współpracy z Lotus Notes lub MS Exchange, MAILsweeper jest umieszczany na serwerze pocztowym.
WEBsweeper
WEBsweeper zapewnia monitorowanie downloadów internetowych. Jest on instalowany na dedykowanym hoście i działa jak server proxy. Każda zainstalowana w firmowej sieci przeglądarka, która zdolna jest do odbioru informacji z Internetu narażona jest na potencjalne niebezpieczeństwa:
Po zainstalowaniu modułu WEBsweeper, wszystkie przeglądarki są skonfigurowane w taki sposób, że żądane zasoby przechodzą poprzez hosta, na którym umieszczony jest WEBsweeper. Oznacza to, że kontrola zawartości odbywa się w jednym miejscu zamiast na każdej przeglądarce. Host WEBsweeper’a może być zarządzany przez administratora odpowiedzialnego za bezpieczeństwo firmowej sieci. Za każdym razem, gdy użytkownik zwraca się o określone zasoby, żądanie kierowane jest najpierw do WEBswepeer’a. Ten poszukuje żądanej informacji we własnym cache'u i jeśli ją znajduje bezpośrednio przesyła użytkownikowi. W przeciwnym wypadku dane są pobierane z serwera WWW a następnie przeprowadzana jest kontrola. Dokumenty spełniające wymogi bezpieczeństwa są zapisywane w pamięci hosta i udostępniane użytkownikowi. Oznacza to, że powtarzające się odwołania do tego samego adresu nie wymagają każdorazowej kontroli zawartości. Dokumenty i pliki, które nie przeszły pomyślnie kontroli, są kasowane. Do przeglądarki użytkownika kierowana jest wtedy strona informująca, dlaczego nie otrzymał żądanych informacji.
Jak dokładnie działa
MIMEsweeper?
Działanie programu można podzielić na cztery fazy:
Poniższy rysunek
ilustruje fazy działania MIMEsweepera:
Faza pierwsza:
Autoryzacja
MAILsweeper posiada możliwość przeprowadzania autoryzacji nadawcy i
odbiorcy. Wykorzystuje on do tego źródłowy i docelowy adres, jakim opatrzona jest
wiadomość pocztowa. Informacje tę może wykorzystać na przykład do kontrolowania
dostępu adresata do wiadomości lub przypisania atrybutu, który odpowiednio ją
ukierunkuje. Do autoryzacji służy wbudowany w MAILsweeper moduł zatwierdzający
AMUcheck. Korzysta on z określonego przez administratora zestawu zasad dostępu. Zasady
te wyznaczają dopuszczalne kombinacje adresów, które mogą zgadzać się z docelowym i
źródłowym adresem przetwarzanej wiadomości. Każda z wytycznych posiada przypisaną
‘odpowiedź’ w formie tekstowej, którą AMUcheck zwraca jako wynik kontroli. Ta, oraz
inne ‘odpowiedzi’ generowane podczas całego procesu autoryzacji, są wykorzystywane w
celu ustalenia odpowiedniej procedury dalszego postępowania z wiadomością pocztową.
Faza druga:
Dekodowanie
Podczas tego procesu komunikaty emailowe lub pliki WWW są dzielone na elementy
składowe. W przypadku emaili dotyczy to również wszelkich załączników. Jeśli
załącznik jest zakodowany lub poddany kompresji, wówczas MIMEsweeper poddaje go dalszej
obróbce (dekodowanie, rozpakowanie, itp.) aż do momentu gdy zostanie on rozpoznany jako
pierwotny typ danych (przez pierwotny typ danych należy rozumieć pliki tekstowe,
bitmapy, pliki *.exe itd.). MIMEsweeper używa zestawu narzędzi służących do
dekodowania informacji. Umożliwia to obróbkę zdecydowanej większości typów plików,
które mogą pojawić się w wiadomościach emailowych lub na stronach WWW. Taka procedura
postępowania z danymi powoduje, że kontrolowane są nawet informacje zakodowane,
zagnieżdżone czy skompresowane. Informacje zaszyfrowane mogą być identyfikowane i
blokowane, aby na przykład uniemożliwić użytkownikom wysyłanie prywatnych,
zaszyfrowanych emaili (MIMEsweeper rozpoznaje np. format PGP).
Faza
trzecia: Zatwierdzenie
W trakcie zatwierdzania MIMEsweeper korzysta z modułów kontrolujących,
mających na celu sprawdzenia zawartości komponentów wygenerowanych podczas poprzedniej
fazy. W tej fazie MIMEsweeper korzysta ze skonfigurowanych przez administratora zasad.
Obecnie wykorzystywane są następujące moduły kontrolujące:
| VALSWEEP | Moduł
zapewniający bardzo szybką współpracę MIMEsweepera z systemem antywirusowym Sophos
Anti-Virus poprzez biblioteki DLL. Współpraca z innymi programami antywirusowymi Moduł MAILsweeper (jak i moduł WEBsweeper) współpracuje również z programami antywirusowymi innych producentów. Jeśli nie masz programu antywirusowego i potrzebujesz ochrony antywirusowej opartej o serwer pocztowy, zalecamy zakup systemu Sophos Anti-Virus, wraz z zakupem systemu MIMEsweeper. Jeśli masz już oprogramowanie antywirusowe, zajrzyj na listę programów współpracujących z systemem MIMEsweeper, aby sprawdzić, czy posiadane przez Ciebie oprogramowanie jest kompatybilne z MIMEsweeperem. |
| VALEXE | Zapewnia współpracę MIMEsweepera z dowolnymi aplikacjami EXE. Mogą one analizować pliki wygenerowane przez MIMEsweepera w fazie dekodowania i po dokonaniu analizy zwracać odpowiednie wartości, świadczące o jej wyniku. W ten sposób realizowana jest współpraca MIMEsweepera z innymi (niż Sophos Anti-Virus) programami antywirusowymi. |
| VALATTR | Pozwala określić typ danych reprezentowany przez plik. |
| VALLEX | Używany do przeszukiwania danych pod kątem słów kluczowych bądź wyrażeń. |
| VALHTML | Stosowany do wyszukiwania potencjalnych zagrożeń w stronach WWW oraz w wiadomościach pocztowych zawierających strony HTML. |
| AUTWNT | Pozwala na korzystanie w WEBsweeperze z technologii Authenticode umożliwiającej weryfikację podpisów cyfrowych. |
W czasie kontroli generowane są ‘odpowiedzi’ będące wynikiem fazy zatwierdzania. Według nich przypisywane są później odpowiednie procedury postępowania (podobnie jak w fazie autoryzacji użytkownika).
Faza czwarta -
ostatnia: Przekazanie dokumentu
Ostatnia faza pracy MIMEsweeper’a polega na przekazaniu badanego obiektu
według procedury określonej na podstawie wyników kontroli. Każda z procedur
przekazania może składać się z kilku podstawowych działań.
| Podstawowe działania przekazujące MAILsweeper’a |  |
| DELIVER | Przekazanie wiadomości bez zmian do adresata. |
| QUARANTINE | Blokada wiadomości. Plik jest umieszczany w jednym z trzech obszarów przeznaczonych na kwarantannę, gdzie pozostaje do dyspozycji administratora. |
| INFORM | Poinformowanie określonych użytkowników (zwykle administratorów) o podjętych działaniach. |
| EDIT | Automatyczne wstawienie tekstu do wiadomości pocztowej, która jest następnie dostarczana adresatowi. |
| SAVE | Zachowanie kopii wiadomości w celu umożliwienia "ręcznej" ingerencji w jej zawartość dokumentu. |
| EVENT | Umieszczenie informacji w rejestrze zdarzeń Windows NT. |
| TRAP | Generacja komunikatu SNMP |
Podstawowe działania przekazujące WEBswepeera |
|
| DELIVER | Przesłanie strony bez zmian do przeglądarki. |
| InformTEXT | Przesłanie do przeglądarki strony HTML informującej o zablokowaniu żądanego dokumentu. Metoda ta jest stosowana w przypadku krótkich komunikatów. |
| InformFILE | Przesłanie do przeglądarki strony HTML informującej o zablokowaniu żądanego dokumentu. Metoda ta dotyczy dłuższych tekstów mogących zawierać odnośniki do innych zasobów. |
Obsługiwane platformy systemowe
Windows NT
MIMEsweeper pracuje tylko pod Windows NT. Nie oznacza to jednak, że może zostać zainstalowany jedynie w sieciach opartych o serwery (stacje robocze) NT. Wystarczy postawić jeden komputer Windows NT na drodze przepływu komunikatów pocztowych i/lub plików pobieranych z WWW i FTP. Cały proces monitorowania odbywa się w jednym miejscu (na jednym komputerze NT).
Podsumowanie
MIMEsweeper jest systemem pozwalającym na pełne monitorowanie (również pod
kątem wirusów) poczty elektronicznej i downladów w instytucji. Zapewnia kontrolę i
analizę opartą o kierunek i zawartość emaili oraz zawartość ściąganych stron WWW i
innych downloadów. Wszystkie emaile, strony WWW i pliki, które nie przeszły pomyślnie
kontroli, są blokowane i nie dochodzą do wewnętrznej sieci instytucji.
Przykłady zastosowań
Producent
Producentem systemu MIMEsweeper jest brytyjska firma Content Technologies (http://www.mimesweeper.com).
Dystrybutor
Jedynym dystrybutorem produktów firmy Content Technologies na terenie
Polski jest Safe Computing Sp. z o.o. (http://www.safecomp.com)
Jeśli chcesz otrzymać
ten produkt do testów ...
Najłatwiej będzie Ci przekonać się o zaletach opisanego produktu testując
go. Opisany produkt jest dostępny bezpłatnie do testów w pełnej wersji wraz z pełną
dokumentacją, bezpośrednio z naszego serwera WWW (zajrzyj na stronę z oprogramowaniem do testów naszego serwera WWW).
Jeśli nie masz dostępu do Internetu, wyślemy Ci bezpłatnie CD-ROM. Zadzwoń do naszego
Działu Handlowego, napisz email na adres info@safecomp.com
lub poniżej wpisz swoje dane i wyślij tą stronę do nas z powrotem faxem lub pocztą.
CD-ROM zostanie wysłany do Ciebie pocztą.
| Imię i nazwisko: | Telefon: | |
| Stanowsko: | Fax: | |
| Dział/departament: | Email: | |
| Firma: | Adres korespondencyjny: |
© 1999 Safe Computing Sp. z o.o., http://www.safecomp.com/, email: info@safecomp.com |
