6. Monitoring eszközök Szakdolgozatom készítése során, több monitoring eszköz megismerésére is lehetőségem adódott. Ezen eszközök az informatikai rendszerek különböző elemeit monitorozzák, ezért az informatikai biztonságra is másképpen hatnak.
6.1.Nagios Napjaink szolgáltatásorientált világában fontos tényező, hogy a jelentkező problémákról minél hamarabb értesüljünk. Jelen fejezet arra fókuszál, hogy a már említett Nagios nevű szoftvereszköz funkcióin keresztül ez hogyan valósítható meg. A Nagios egy nyílt forráskódú, Linux alapú, rendszer- és szolgáltatás felügyeleti eszköz. A különböző szolgáltatásokat egy webes, grafikus felületen figyelhetjük meg. Lehetőséget biztosít arra, hogy gépenként más és más monitorozási funkciókat állítsunk be. A Nagios egy keretrendszert biztosít, mely pluginokat használ a különböző szolgáltatások ellenőrzésére. Tehát a Nagios telepítése után telepíteni kell ezeket a pluginokat. Ezeket a pluginokat legegyszerűbben a nagios.org oldalról az Offical Nagios Plugin menüpontból szerezhetjük be. [22] Az eszköz konfigurálása során határozzuk meg azt, hogy riasztás esetén milyen e-mail címre vagy telefonszámra küldje el a hibákról való értesítéseket. A testreszabás során lehetőség van saját pluginok beépítésére. A telepítés, konfigurálás és testreszabás után a Nagios grafikus felületén az alábbi információkat érhetjük el: General: Külső hivatkozásokat és a dokumentációt tartalmazza. Jelenlegi állapotok: a. Taktikai összegzés: Egy összegzést ad számunkra az eszközökről, szolgáltatásokról, a hálózati kiesésekről és a monitoring jellemzőiről. b. Térkép: A hálózat többféle megtekintési lehetőségét nyújtja. Beállíthatjuk a nekünk megfelelő elrendezési módszert, skálaszorzót vagy a rajzolási rétegeket. c. Eszközök: Itt megtekinthetjük a konfiguráció során megadott eszközök listáját, az egyes eszközök státuszát, aminek 4 féle állapota lehet: Up: az eszköz elérhető és aktív Down: az eszköz elérhető és inaktív Unreachable: az eszköz nem elérhető Pending: az eszköz ellenőrzésre vár Továbbá az eszközök ellenőrzésének utolsó idejét, az eszköz futási idejét valamint információt nyújt az eszközök státuszáról. 23
d. Szolgáltatások: Ebben a részben a szolgáltatásokat figyelhetjük meg eszközönként. Az 7. ábrán az látható, hogy az eszközökön különböző szolgáltatások figyelését is beállíthatjuk. A szolgáltatások státusza a következők lehetnek: OK, Warning, Unknown, Critical, Pending.
7. ábra: Nagios monitoringja az összes szolgáltatás állapotáról
e. Eszközcsoportok: Az eszközöket csoportokba rendezve jeleníti meg, ahogy azt a konfiguráció során megadtuk. Bár az eszközcsoportok létrehozása nem kötelező, de célszerű egy csoportba rendeznünk azokat az eszközöket melyek ugyanolyan funkciókat töltenek be a hálózatban. Például egy csoportba sorolhatjuk a szervereket, egy másikba a switcheket és megint egy másik csoportba a routereket. f. Szolgáltatáscsoportok: Ebben a részben ellenőrzött szolgáltatásokat láthatjuk csoportosítva, amelyeket a konfiguráció során megadtunk. g. Problémák: Itt azokat az ellenőrzéseket láthatjuk, melyek a konfiguráció során beállítottól eltérő állapotot mutatattak. Megtekinthetjük a szolgáltatásokkal és eszközökkel kapcsolatos hibákat vagy éppen a hálózati kimaradásokat. Jelentések: A Nagios segítségével különböző jelentéseket tudunk készíteni, amikből megállapíthatjuk, hogy a rendszerünk milyen hatékonysággal működik. Készíthetünk elérhetőségi jelentést, megfigyelhetjük eszköz és szolgáltatás trendeket. a. Elérhetőségi jelentés: E jelentés készítésének első lépésében ki kell választanunk, hogy a jelentés eszköz, eszközcsoport, szolgáltatás vagy szolgáltatáscsoportra vonatkozzon. Miután kiválasztottuk például az eszközöket el kell döntenünk, hogy a jelentés egy adott eszközre vagy az összes eszközre vonatkozzon. Ezek után már csak annyi a dolgunk, hogy beállítsuk a jelentés paramétereit (pl: jelentés idő periódusa, milyen
24
gyakran készítsen jelentést, feltételezett kezdeti állapot stb.) és a Nagios elkészíti a jelentést. b. Trendek: Ezek a jelentések abban különböznek az elérhetőségi jelentésektől, hogy csak eszköz és szolgáltatásra vonatkozhat és szolgáltatás esetén ki tudjuk választani, hogy melyik eszközön vizsgálja a trendeket. c. Figyelmeztetések: A figyelmeztetések három részből állnak: History: Itt megtekinthetjük a figyelmeztetéseket órákra lebontva és szűrhetjük azokat például az alapján, hogy a rendszer a Soft vagy a Hard típusú hibákhoz sorolta őket. Summary (összegzés): Itt megtekinthetjük azokat az eszközöket és szolgáltatásokat melyek ellenőrzése során a legtöbb probléma merült fel. Histogram: Ez a rész leginkább a trendekben tapasztaltakra hasonlít, annyi különbséggel, hogy ez kifejezetten a figyelmeztetésekre koncentrál és azt egy grafikonon ábrázolja. d. Eseménynapló: Itt az összes ellenőrzés eredményét megtekinthetjük. A funkciók részletes áttekintéséből jól látható, hogy ez a megoldás elsősorban a hálózat biztonságos működéséért felelős. Tehát meg kell vizsgálnunk milyen hálózati eszközöket ellenőrizhetünk szerveztünkben a Nagiossal, melyek nem biztonságos működése kihathat az adatbiztonságra. Ilyen eszköz lehet gyakorlatilag minden szervezetben a tűzfal, hiszen ha az nem működik megfelelően, akkor a rendszerre irányuló külső támadások sokkal könnyebben elérhetik a céljukat. A monitoringtevékenység ebben az esetben más biztonsági rendszerek támogatására szolgál. Az ilyen típusú rendszerek nagyvállalati környezetben nélkülözhetetlenek, hiszen emberi erőforrást allokálni a rendszerek megfelelő működésének figyelésére indokolatlanul költséges, és kevésbé hatékony a szoftveres felügyeletnél.
6.2.E-Detective Az E-Detective egy monitorozó célhardver, amit a Decision Group fejlesztett ki. A Decision Group egy Taiwan-i cég melynek kirendeltségei vannak Németországban, Hongkongban és Szingapúrban, valamint termékeit világszerte több mint 80 országban forgalmazzák. 1986-ban alapították és 2000 óta foglakozik számítástechnikai kriminalisztikával és informatikai biztonsággal. Az E-Detective-et Magyarországon a Comfort Solution Kft forgalmazza melynél a szakmai gyakorlatomat töltöttem és volt lehetőségem megismerni ezt a monitorozó megoldást. Az E-Detective segítségével ellenőrizhetjük a hálózati tevékenységeket és rögzíthetjük a kimenő és bemenő adatokat, melyek fontosak lehetnek bizalmasság, sértetlenség, hitelesség és rendelkezésre állás szempontjából.
25
6.2.1. Az E-Detective jellemzői
Rejtve marad a hálózatban Linux alapú operációs rendszerre lett optimalizálva Több protokoll felügyelete Web-alapú kezelőfelület Beléptető rendszer biztosítja, hogy a rögzített folyamatokhoz csak a megfelelő jogosultsággal rendelkező személy vagy személyek férhessenek hozzá Központi felügyeletet biztosít a helyi és távoli munkaállomásokra Hasznos vezetői jelentések Nyomon követi a munka hatékonyságát [23]
6.2.2. Az E-Detective típusai Hány felhasználót tud monitorozni
Merevlemez mérete
DVD/CD RW
EDFX06N
10-49
250 GB
Nincs
EDFX30N
50-200
320 GB
Nincs
ED-FX100
201-1000
testreszabható
Van
ED-FX120
1000 felett
584 GB-1 TB testreszabható
Van
Modell
Fotó
8. ábra: Az E-Detective típusai [11]
6.2.3. E-Detective monitorozási lehetőségei E-mail: Megfigyeli és rögzíti az e-mail elemeit a címzettet, a küldőt, az email tárgyát, azoknak a címét akik másolatot kapnak, a csatolt fájlokat illetve a levél tartalmát is. Az e-mailek nyomon követése és rögzítése azért fontos, mert így ellenőrizni tudjuk, hogy a felhasználók milyen adatokat küldenek ki a cégtől.
26
Előfordulhat olyan is, hogy a felhasználó saját magának küldi el az email mellékleteként az adatokat abból a célból, hogy irodán kívül folytassa vele a munkáját, de ha ezen adatok kiküldését az érvényben lévő informatikai biztonsági előírások tiltják, akkor ez biztonsági incidensnek minősül, mégpedig azért, mert a kikerült adatok fölött többé nincs ellenőrzési lehetősége a szervezetnek. A rendszerbe érkező emaileket pedig azért érdemes megfigyelni, hogy megakadályozzuk azt, hogy valamilyen törvénytelen, jogsértő vagy károkozó állomány érkezzen a rendszerbe, melyek akár veszélyeztethetik az üzletmenet folytonosságát. Továbbá bemenő irány esetén előfordulhatnak olyan kéretlen emailek, melyeket adathalászat céljából küldtek ki. Az adathalász emailek általában valamilyen létező vagy nem létező szervezet nevében érkeznek, melyben adategyeztetésre kérik fel a levél olvasóját, melyek céges vagy személyes adatokat is érinthetnek. Ilyen adathalászatra volt példa 2011 márciusában, amikor a Magyar Nemzeti Bankszövetség nevében próbáltak ily módon adatokat szerezni a bankkártyákról. Ezeknek az emaileknek egyik jellegzetessége, hogy a érdektelennek tűnő kérdések közé fontos adatokra való rákérdezést tesz lehetővé. Az E-Detective fejlesztése során is figyelembe vehették ezeket a szempontokat, hiszen ez az eszköz az alábbiakban felsoroltak szerint csoportosítja az emaileket. Az 9. ábrán például megfigyelhetjük, hogy a POP3 szerinti csoportosítás milyen email-forgalom nyomonkövetését tesz lehetővé. o POP3 o IMAP o SMTP o Webmail (olvasott) o Webmail (írott) Természetesen minden szemponton belül van lehetőségünk további információk megtekintésére, például kiválasztunk egy adott emailt és megnézhetjük milyen IP-címről és host névről küldték vagy akár térképen is megtekinthetjük, hogy honnan volt bejelentkezve az e-mail küldője abban az esetben, ha lokális IP-címet használt. Ez a funkció azért lehet fontos, mert ha észrevesszük, hogy valaki a konkurencia egyik telephelyéről jelentkezik be a saját céges levelezésébe akkor okkal feltételezhetjük, hogy az illető információkat szivárogtat ki. Ezen adatok alapján pedig kérdőre vonhatjuk az adott alkalmazottat.
27
9. ábra: Az E-Detective POP3 szerinti email monitoringja Azonnali üzenetküldés (Chat): Az E-Detective megfigyeli és rögzíti a küldött és fogadott üzeneteket, az üzenetküldés idejét, azt hogy milyen accountról és felhasználónévről küldték az üzenetet, az üzenet címzettjét, és lehetőséget biztosít, hogy két fél közötti üzenetcserét egy excel táblában rögzítsük. A chat programok kommunikációjának megfigyelése azért fontos, mert ezen a csatornán is ki lehet juttatni bizalmas adatokat a vállalattól. A tartalmakat azért ajánlott figyelemmel követni, mert ebben az esetben nem csak csatolt fájlként lehet kijuttatni az információt, hanem azzal is, hogy a kiszivárogtatandó információkat bemásolja a chat ablakba a felhasználó. Ez lehet akár egy programrészlet vagy akár egy cégünk által fejlesztett program forráskódja is. A 10. ábrán a rendszer által ismert chatprogramok közül az MSN-t választottam az ellenőrzési lehetőségek szemléltetésére, melyben a grafikus felületen rögzítet adatokon kívül megjelenítettem az üzenet küldőjének barátlistáját és a már korábban említett excel táblába való csevegés rögzítését is. Az alábbiakban pedig felsoroltam az E-Detective által ismert csevegő alkalmazásokat. o MSN o ICQ o Yahoo o QQ o UT o Skype o Google Talk o IRC
28
10. ábra: Az E-Detective MSN monitoringja
Fájlátvitel o FTP (File Transfer Protocol): Az E-Detective rögzíti a feltöltési és letöltési folyamatokat, azon belül a csatlakozás idejét, a felhasználónevet, a jelszót, a szerver IP-címét amihez csatlakozik, a csatlakozás típusát (feltöltés vagy letöltés), a fájlátvitelben résztvevő fájl nevét és méretét. Ezen felül, ahogy a 11. ábrán is megfigyelhetjük lehetőséget biztosít, hogy a fájlátvitelben résztvevő fájlokat letöltsük és megtekintsük jelen esetben ez a fájl a Cisco Icons 1.ppt. Ez azért lehet hasznos, mert ha valaki esetleg úgy akarna bizalmas adatokat kiszivárogtatni, hogy átnevezi a fájlt vagy megváltoztatja a fájlformátumát az E-Detective ezen funkciójának köszönhetően nem tudná eltitkolni ezzel a módszerrel, hogy milyen adatokat küldött ki. Az FTP esetében is felmerülhet az a probléma, mint amit a bejövő emaileknél említettem, hogy a letöltött fájl valamilyen jogsértő anyagot vagy károkozó programot tartalmaz. Ebben az esetben inkább a szerzői jogokat sértő tartalmak a jellemzők, hiszen számos fizetős FTP szerver működik a világon, mely ilyen tartalmakat kínál. Ha ezek a fájlok megjelennek a rendszerünkben, az súlyos jogi következményekkel járhat, ebben az esetben nem árt, ha meg tudjuk mondani ki által kerültek a rendszerünkbe ezek a fájlok.
29
11. ábra: AZ E-Detective FTP monitoringja
o P2P (peer to peer): Az E-Detective peer-to-peer csatlakozás esetén rögzíti a csatlakozás idejét, a felhasználó nevet, az eszköz nevét mellyel csatlakoztak, a fájlátvitelben résztvevő fájl nevét, az utolsó aktivitást, a fel- és letöltött adatmennyiséget. Valamint meg lehet nézni, hogy milyen IP-címekre mekkora adatmennyiséget töltöttek fel. Fontos tényező, hogy itt nyomon tudjuk követni a hálózaton keresztüli torrentezéseket is. A torrenttel annak bizonytalan legalitása mellett, az az egyik technikai probléma, hogy nincs olyan ellenőrző eljárása, mely megmondaná, hogy a letöltésre kijelölt fájlok tényleg azok-e, amikre a címük hivatkozik. Például letöltünk egy képszerkesztő program telepítőjét, de amikor futtatjuk az install.exe állományt, azzal éppen egy kémprogramot telepítünk a gépünkre, melynek következtében illetéktelenek szerezhetnek bizalmas információkat a gépünkről. A másik probléma a kimeneti irány. Erre jó példa lehet, hogy ha valaki készít az adatainkról egy torrentfájlt, majd azt feltölti egy torrentportálra és futtatja, az adataink ellenőrzés híján kikerülhetnének. Ennek a funkciónak az alaposságát azt mutatja, hogy az E-Detective több adatot tárol el például a torrent feltöltési folyamatáról, mint maga a torrent fájlt futtató kliens. Ahogy a 12. ábrán is látható itt minden feltöltési folyamatot meg tudunk tekinteni, attól függetlenül, hogy éppen kapcsolódik-e az adott géphez vagy sem. Míg a klienseken
30
általában csak azoknak a feltöltését tekinthetjük meg, akik éppen kapcsolódnak hozzánk.
12. ábra: Az E-Detective P2P monitoringja Telnet: Az E-Detective rögzíti a telnet segítségével végrehajtott folyamatokat. Rendelkezik olyan funkcióval is, mely segítségével könnyen megtekinthetjük a felhasználó által végzett műveleteket. Továbbá rögzíti a felhasználói fiókot, a felhasználó nevét, a csatlakozás folyamán használt jelszavat, a szerver IP-címét és a továbbított fájl méretét is. A telnetet főként azért érdemes figyelni, mert egy régi típusú kommunikációs csatorna, így sokan úgy gondolják, hogy ezen a csatornán keresztül könnyedén szivárogtathatnak ki információt, mivel ezt senki nem figyeli. Amiért még érdemes odafigyelni a telneten való kommunikációra, az az a tény, hogy a telnet a csomagokat nem titkosítva küldi el a hálózaton. Megtörténhet, hogy egy lehallgató program arra vár, hogy a felhasználó telnet-en keresztül lépjen be az egyik rendszerelemre. Ekkor a belépés során használt jelszót a lehallgató program eltárolja, és elküldi egy illetéktelen személynek. Egy ilyen eset például súlyos adatveszteséggel is járhat, attól függően, hogy milyen rendszerelemhez kapcsolódott a felhasználó. Mint az 13. ábrán látható az E-Detective egy java applet segítségével teszi lehetővé a telnet folyamatok megtekintését.
31
13. ábra: Az E-Detective Telnet monitoringja
HTTP: o HTTP link: Ebben a funkcióban azokat a web helyeket tekinthetjük meg, melyeket az adott felhasználó valamilyen hivatkozás útján nyitott meg. Természetesen ez is rögzíti a megnyitás dátumát, a felhasználói fiókot, valamint a host neveket is. Ezeket azért érdemes külön figyelni mert előfordulhat, hogy az alkalmazottak ezen módszer segítségével próbálják eltitkolni, hogy milyen weblapokat látogatnak. o HTTP csatlakozások: Ebben a funkcióban azt vizsgálhatjuk meg, hogy a felhasználók milyen oldalakat látogatnak. Rögzíti a látogatás dátumát, felhasználói fiókot, felkeresett oldal címét melyet mi is azonnal megtekinthetünk. o HTTP reconstruct: Ebben a funkcióban azt tekinthetjük meg, hogy mely oldalak helyreállítását végezték el a rendszerünkben a felhasználók. o HTTP letöltés/feltöltés: Ennél a funkciónál, a böngészőn keresztül történt le- és feltöltéseket tekinthetjük meg. Rögzíti a le- vagy feltöltés dátumát, a felhasználói fiókot, a művelet típusát a le- vagy feltöltött fájl nevét, méretét, melyet ebben az esetben is azonnal letölthetünk és megtekinthetünk a műveletben részt vevő külső URL-t.
32
o Video Stream: Ebben a funkcióban megtekinthetjük, hogy a felhasználók milyen videókat néztek meg a különböző portálokon. Itt is rögzítésre kerül a megtekintés dátuma, a felhasználói fiók, a host név, az URL, valamint a fájl neve és mérete valamint itt is lehetőségünk van megtekinteni az adott videót. Ennek a funkciónak főként az a jelentősége, hogy megtudjuk melyik felhasználó milyen tevékenységgel terheli le a sávszélességünket, hiszen ha olyan videókat tekint meg, melyek a munkájához szükségesek (pl.: oktatóvideók), akkor ez indokolt. Viszont, ha ez nem kapcsolódik semmilyen munkatevékenységhez, akkor az adott felhasználó feleslegesen terheli a hálózati erőforrásokat. A 14. ábrán jól megfigyelhető, hogy a felkeresett video megosztón nem egy szakmai előadást vagy oktatást tekintettek meg, hanem egy autómodellezési versenyt. Viszont ezen adatok elemzésénél nem szabad figyelmen kívül hagyni azt a tényt, hogy néha a megtekinteni kívánt munkához köthető videó előtt egy reklám szerepel, amit a felhasználó nem tudott átugorni, hiszen a legtöbb video megosztó üzemeltetője, ezen reklámokból termeli a profitot.
14. ábra: Az E-Detective Video Stream monitoringja
o HTTP Request: Ennél a funkciónál megtekinthetjük a kiküldött és a bejövő kéréseket. Rögzíti a kérés idejét, a felhasználói fiókot mely a
33
kérést küldte vagy amelyre a kérés érkezett, valamint rögzíti az URL-t. Közösségi szolgáltatások: ebben a funkcióban megfigyelhetjük a legnépszerűbb közösségi portálokon való tevékenységeket. o Facebook: Ennél az opciónál az E-Detective rögzíti a Facebookra való kapcsolódás idejét, hogy melyik felhasználói név alól milyen névvel léptek be az oldalra. Megtekinthetjük, hogy az üzenőfalára milyen üzeneteket írt és kapott, a chaten folytatott kommunikációt, megfigyelhetjük a barátlistáját, valamint a csatolt fájlokat. Ezenkívül, azt is megfigyelhetjük, hogy az adott felhasználó milyen játékot futtatott a Facebookon. Az alkalmazottak Facebookos tevékenységeinek figyelése azért fontos, mert ezen az oldalon önként rengeteg bizalmas információt szolgáltathatnak ki saját magukról és a szervezetükről, mivel a felhasználók többnyire nem mérik fel, hogy milyen könnyen visszaélhetnek az itt megadott információkkal. A visszaélés mellett a z üzleti célú felhasználás is egyre jellemzőbb: HR-es szakemberek, munkáltatók, szolgáltató cégek, telemarketingesek innen gyűjtik az információkat. A személyes adatokon túl a Facebookon meg lehet figyelni az emberek kapcsolati hálóját is, mind a személyeset, mind az üzletit, valamint kifigyelhetik felhasználói szokásainkat is. A Facebook, mint fenyegetettséget okozó elem alapvetően az emberek biztonságtudatossági hiányosságaiból adódhatnak. o Twitter: Itt ugyanazokat az információkat rögzíti az E-Detective, mint a Facebook esetében, azzal a különbséggel, hogy itt a Twitter által nyújtott ki- és bemenő mikroblog bejegyzéseket tekinthetjük meg. Egyéb o Online játékok: Ebben a funkcióban megtekinthetjük, hogy milyen online játékokkal játszanak a rendszer felhasználói. Az E-Detective rögzíti az adott játék szerveréhez való csatlakozás idejét, a felhasználói fiókot, a csatlakozáshoz használt portot, a szerver IPcímét és portját, valamint azt az adott játék nevét. Sajnos előfordulhat, hogy az alkalmazottak a munkahelyi internetkapcsolatot online játékra és nem a munkája elvégzésére használja. Az E-Detective ezen funkciójával kiszűrhetjük ezeket az alkalmazottakat. Persze ilyen esetekben figyelembe kell venni adott alkalmazottak munkában nyújtott teljesítményét is. o VoIP: Ebben a funkcióban az informatikai rendszeren keresztüli telefonálásokat hallgathatjuk le. Az E-Detective rögzíti a telefonálás idejét és időtartamát, a híváskezdeményező IP-címét, a hívószámot a hívott számot, a hívás módját (Pl.:peer to peer), a hívás típusát (Pl.:SIP), a tömörítés típusát, amit a Voip komunikáció alatt használtak, valamint rögzíti a hívást .waw
34
kiterjesztésű fájlokban amiket például egy Media Player segítségével visszahallgathatunk. A VoIP csatornát azért érdemes figyelni, mert az adatainkat nem csak írható-olvasható formában lehet kijuttatni, hanem ezen a kommunikációs csatornán keresztül egyszerűen csak felhívja a konkurens szervezetet és lediktálja például az ügyféllistánkat. o Ismeretlen kapcsolatok: Ebben a funkcióban azokat az adatforgalmi eseményeket tudjuk monitorozni, amit a rendszer nem tudott az előbbi funkciók egyikébe se besorolni. Az E-Detective ezen funkciójában tapasztalhatjuk az egyik legrészletesebb adatforgalmi esemény monitorozását. Természetesen itt is rögzítésre kerül az esemény ideje, a küldő és fogadó IP-címe, az adatforgalom folyamán használt küldő és fogadó portjai, az adatforgalomban résztvevő csomagok száma, a protokoll ,melyen keresztül a kommunikáció megvalósult, az esemény mérete, sőt még a küldésre és fogadásra használt hálózati kártyák MAC-címe is.
15. ábra: Az E-Detective számára ismeretlen kapcsolatok monitoringja
Jelentés: Az E-Detective mint a legtöbb monitorozó eszköz képes számunkra jelentéseket készíteni napi, heti és havi viszonylatban. A 16. ábrán például megfigyelhetünk, a 2012. április 25. napi HTTP kapcsolatok jelentésében a mely IP-címen mekkora volt a be- és kimenő kapcsolatok adatforgalma. Továbbá az E-Detective lehetőséget nyújt az
35
általunk kiválasztott IP-címről további jelentést készítsünk: napit, hetit vagy havit. Jelen esetben egy heti jelentést készítettem, amit a rendszer egy oszlopdiagram segítségével ábrázolt valamint a rendszer azon lehetőségét is kihasználtam, hogy a diagramban szereplő adatokat egy Excel táblába exportáltam.
16. ábra: Az E-Detective egy heti jelentése
Rendszer állapot: o Online IP: Ebben a funkcióban az E-Detective rögzíti, hogy milyen IP címről, gépnévről és felhasználói fiókkal mikor lépett be utoljára a rendszerünkbe. Ezen funkcióban nem csak megtekinteni tudjuk az adott bejelentkezéssel kapcsolatos információkat, hanem szerkeszteni és törölni is tudjuk azokat. A 17. ábrán megfigyelhetjük az E-Detective ezen funkciójában nyújtott lehetőségeket. Ez a funkció azért lehet fontos, mert például ha tudomásunkra jut egy a szervezettől kifelé irányuló adatszivárgás, meg tudjuk állapítani, hogy az adott idő intervallumban, kik tartózkodtak a rendszerünkben. Ez által már csak azon felhasználók/alkalmazottak hálózati forgalmát kell ellenőriznünk az E-Detective segítségével, akik ezen intervallumban be voltak jelentkezve a rendszerünkben. Továbbá kideríthetjük azt is, ha például egy régebbi elbocsátott alkalmazott hozzáférése még mindig aktív a munkaviszonyának megszűnése után is. Ennek oka általában a rendszeradminisztrációs folyamatok hibájából adódhat.
36
17. ábra: Az E-Detective Online IP monitoringja
o Bejelentkezési lista: Az E-Detective ezen funkciójában, azt figyelhetjük meg, hogy milyen loginnal, milyen IP-címről, mikor és milyen nyelven jelentkezetek be az E-Detective-be. Továbbá azt, hogy ez a bejelentkezés sikeres volt vagy sem. Ez a funkció azért lehet hasznos, mert segítségével láthatjuk, hogy ki mikor fért hozzá az E-Detective által rögzített adatokhoz. o Tárolók: Az E-Detective ezen funkciójában azon hálózati erőforrásainkat figyelhetjük meg melyre az E-Detective az adatforgalmat rögzíti. Ezen funkció segítségével, ahogy a 18. ábrán is látható meg tudjuk állapítani: a rögzítésre használt merevlemez foglaltsági szintjét, a rendszerünk memória állapotát valamint azt is, hogy a szerverünk mely kommunikációs csatornák vannak nyitva, illetve zárva és azok milyen portokon keresztül érhetők el Ezen funkció fontossága abból adódik, hogy segítségével meg tudjuk állapítani, hogy milyen szintű az általunk rögzítet adatok biztonsága.
37
18. ábra: Az E-Detective által gyűjtött adatok tárolására használt erőforrások monitoringja
Adat keresés: o Adat keresés Ezen funkció segítségével lehetőségünk van a különböző kommunikációs csatornákon rögzített adatok között célirányosan keresni. Ez a funkció az alábbi keresési lehetőségeket kínálja: Dátum/idő; Fogadó/küldő IP címe; Email: küldő/fogadó, másolat/titkos másolat email címe, tárgya, email típusa; FTP: Server, user; P2P: eszköztípus, fájl; Online játékok neve alapján; Chat: az összes E-Detective által ismert azonnali üzenetküldő szolgáltatásban az adott chatprogram felhasználói fiókjaira, résztvevők és felhasználók kezelése URL VOIP: felhasználói fiók Egyéb: itt azon hálózati események között keres Az E-Detective ezen szolgáltatása azért lehet hasznos, mert például a korábban már az Online IP-k kapcsán említtet esetnél (tudomásunkra jutott egy a vállalattól kifelé irányuló adatszivárgás), nemcsak az időintervallum segítségével szűrhetjük a tárolt adatokat. Hanem ahogy a 19. ábra is mutatja itt lehetőségünk van a különböző kommunikációs csatornákon belül más és más keresési feltételt beállítani. Így nincs arra, hogy az 38
adott időintervallumban a szervezet rendszeréhez csatlakozó összes felhasználó minden kommunikációs csatornáját különkülön ellenőrizzük.
19. ábra: Az E-Detective keresési funkciói
o Rögzített fájlok listája Ebben a funkcióban megtekinthetjük az E-Detective által rögzített a rendszer kommunikációs csatornáin közlekedő fájlok nevét kiterjesztését, méretét és keresést hajthatunk végre a fájlokon. Ezen keresések segítségével például, ha a fájl http letöltés esetén le tudom tölteni és megnézni az adott fájl tartalmát. Vagy Például MSN-en történt fájlátvitel során meg tudjuk nézni azt az üzenet cserét mely során a fájlátvitel megtörtént és azt akár külön Excel táblában is rögzíthetjük. Ezen túl természetesen fájlneveket is szűrni tudjuk, és ahogy az összes eddigi funkciónál az adatokat oszloponként sorba is rendezhetjük. Ez a funkció akkor hasznos, ha például a korábban már az Online IP-k és Adat keresés említett esetnél nem a kommunikációs csatornákon akarunk megkeresni a kiszivárgott adatokat, hanem pontosan tisztában vagyunk vele milyen fájlok jutottak ki a szervezettől és konkrétan azokra szeretnénk rá keresni.
39
20. ábra: Az E-Detective által rögzített fájlok
Összegezve ez a megoldás képes felügyelni több E-Detective rendszer működését.
6.2.4. Az E-Detective helye az informatikai rendszerben Miután megvizsgáltuk az E-Detective típusait jellemzőit és monitorozási lehetőségeit meg kell vizsgálnunk, hogy hová kell telepíteni az informatikai rendszerünkben annak érdekében, hogy hatékonyan végezhesse el az informatikai biztonsággal kapcsolatos adatforgalmi feladatát. Az E-Detective informatikai hálózatba való elhelyezésének a rendszer hálózat forgalmától függően 3 lehetősége van. Mirror mód: Ennél a módnál az E-Detective tükrözéssel gyűjt össze az adatokat. A tükrözéssel az adatok valós idejű redundáns tárolása valósul meg. Ennél a módnál lehetőség van két hálózati kártya használatára is: o az első hálózati kártya az adatok gyűjtésére szolgál (az E-Detective eth0 néven hivatkozik rá), o a második hálózati kártya az pedig az adatok kezelésére (az E-Detective eth0 néven hivatkozik rá) ez biztosít lehetőséget, hogy az eszközhöz a hálózaton keresztül hozzáférhessen a felügyeleti rendszer adminisztrátor. A 21. ábra az E-Detective elhelyezkedését szemlélteti hálózati eszközök között. Megfigyelhető a Hub vagy Switch és a Switch között helyezkedik el. Ebből látható hogy két olyan eszköz között tükrözi az adatokat melyeken keresztül a
40
ki- és bemenő adatforgalom megvalósul. A gyártó magas adatforgalom esetén ajánlja ezt a módot.
21. ábra: Az E-Detective Mirror módban [23]
Broadcast mód: Ennél a módnál az E-Detective az adatszórási hálózati megoldás segítségével ellenőrzi, rögzíti a rendszer ki és bemenő adatforgalmát. Ezen mód használata esetén csak egy hálózati kártyára van szükségünk melyre at EDetective eth0 néven hivatkozik. A 22. ábrán megfigyelhetjük, hogy csak egyetlen adatszórási csatornán keresztül kapcsolódik a HUB-hoz. A gyártók alacsony adatforgalom esetén javasolják ezt a módot.
41
22. ábra: Az E-Detective Broadcast módban [23]
Bridge Mód: Ebben a módban a mirror módhoz hasonlóan két hálózati kártyára van szükség. Melyekre az E-Detective eth0 és eth1 néven hivatkozik. Mint a 23. ábrán is látható ebben az esetben az E-Detective a tűzfal és a Switch között helyezkedik el, oly módon, hogy az adatforgalom rajta keresztül valósul meg. Az E-Detective e módban való használatát a gyártók csak arra az esetre ajánlják, ha a vevőnek speciális környezetre van szüksége, amely megköveteli az eszköz ilyen módon való felhasználását.
42
23. ábra: Az E-Detective Bridge módban[23]
6.2.5. Több E-Detective eszköz használatának lehetőségei Minden szervezetnél előfordulhat, hogy a különböző telephelyeiken különálló informatikai rendszereket használnak. Egy E-Detective viszont csak egy rendszer adatforgalmát tudja rögzíteni. Ezen helyzetekre is nyújt megfelelő megoldás a Decision Group. Az erre a célra alkalmas eszköz a CMS (Center Management System). Sajnos mivel ez egy elég új eszköz nem volt lehetőségem alaposan megismerni. Csak a gyártó által közzé tett dokumentációkra támaszkodhattam. Első és az egyik legfontosabb információ az volt, hogy ez nem egy célhardver, hanem egy szoftver, amit egy olyan dedikált szerverre kell telepíteni, amely támogatja a Debian Linux operációs rendszereket. Ezen a feltételen kívül a szervernek meg kell felelnie a dokumentációkban ajánlott hardver követelményeknek is. Funkciói között a következők szerepelnek központosított jelentéskészítési, teljes szövegkeresési és lekérdezési funkciók. Meg tudja mutatni az általa felügyelt E-Detective rendszerek állapotát, valamint rendelkezik egy központosított grafikus web felülettel is. A 24. ábrán jól megfigyelhető, hogy ez a keretrendszer három részből épül fel. Az E-Detective rendszerekből az adatmegőrző rendszerekből valamint a CMS-ből. A CMS segítségével akár E-Detective rendszerenként is megjeleníthetjük az email, a chat, a fájlátvitel, http és egyéb adatforgalmat is. Természetesen ezeket ugyanolyan módon tovább szűrhetjük, ahogy azt már az E-Detective esetében láthattuk.
43
