e-Sweeper- ochrona danych dla ISP
e-Sweeper to oprogramowanie przeznaczone dla dostawców internetu (ISP) służące do ochrony
serwisów poczty elektronicznej ich klientów. e-Sweeper w szeroko pojęty sposób zabezpiecza
serwisy e-mail przed takimi zagrożeniami jak: spam, nielegalna (np. obsceniczna) zawartość,
wirusy czy nadmierny ruch spowodowany przesyłaniem obrazków, filmów i programów
w załącznikach wiadomości.
Ochrona oferowana przez e-Sweeper obejmuje:
identyfikacja i kwarantanna dla przesyłek zarażonych wirusami
wiele obszarów kwarantanny w zależności od wykrytego zagrożenia
Blokada określonych typów plików w załącznikach
filtracja treści przesyłek wg. słów i fraz
Interaktywne i wsadowe raportowanie oparte na WWW
dołączanie standardowych stopek do przesyłek wychodzących
Współpraca z wieloma skanerami antywirusowymi
Szczegóły techniczne
e-Sweeper posiada architekturę rozproszoną, dzięki czemu system jest skalowalny i może osiągać
b. dużą wydajność. System administrowany jest przez WWW, zaś informacje konfiguracyjne
przechowywane są w jednej, centralnej bazie danych. Składniki e-Sweepera
Agent Klienta (Client Agent), zadania:
- Identyfikacja scenariusza działania
- wybór scenariusza działania na podstawie nadawcy i odbiorcy
- wykonanie scenraiusza wybranej dla danej przesyłki
- Analiza zawartości
- analiza nagłówka
- dekompozycja treści wiadomości
- skanowanie treści
- usuwanie wirusów
- ponowne złożenie wiadomości
- Klasyfikacja
- określenie akcji
- akcje usuwające wiadomość
- akcje powiadamiające
Proces strażnika (Sentinel Process)
- Konfiguracyjna baza danych
- szczegóły konfiguracji agentów klienta
- szczegółowa informacja o kliencie
- informacja o domenach
- baza danych zagrożeń
- Generator konfiguracji agentów klienta
- Proces Billingowy
- tworzy informację billingową na podstawie zdarzeń i aktualnego cennika
Scenariusze
Polityka bezpieczeństwa realizowana przez e-Sweeper opiera się na scenariuszach, tj. zbiorach
reguł opisujących warunki wykonania akcji na danej przesyłce e-mail.:
scenariusze grupowane są w foldery, tak, że możliwe jest zachowanie hierarchicznej
organizacji firmowej polityki bezpieczeństwa
realizować można dziedziczenie cech scenariuszy w zależności od ich położenia w hierarchii
Działanie systemu e-Sweeper
Praca systemu, tj. obróbka wchodzących i wychodzących wiadomości e-mail przebiega w następujących fazach:
Faza 1 - identyfikacja scenariusza bezpieczeństwa
Na podstawie konfiguracji wprowadzonej przez administratora określa się aktualny scenariusz bezpieczeństwa. Scenariusz może zostać zinorowany dla wybranych grup użytkowników (policy bypass).
Uzyskany scenriusz aplikuje się do przetwarzanej wiadomości
Faza 2 - identyfikacja zawartości przesyłki
W fazie tej następuje dekompozycja wiadomości na części składowe, rozpoznanie i klasyfikacja
części składowych oraz skanowanie zawartości przesyłki:
Rozpoznanie typu kompresji, typu przesyłki (plik tekstowy, binarny,
wykonywalny, grafika, itd.), rozpoznawane są następujące typy archiwów:
ARJ (także self-extracting ARJ), BINARY, BINHEX, CAB, CMP UNIX
compres, GZIP, LZH, MIME, TAR, TNEF, UUE (wszystkie warianty), ZIP (różne warianty)
Archiwa przetwarzane są rekurencyjnie, tj.analizowane są też archiwa zawarte w archiwach, itd.
Rozpoznanie innych formatów wg. binarnego skanowania zawartości pliku
Rozpoznanie typu pliku na podstawie jego nazwy i rozszerzenia, m.in: CDA (.doc, .xls, .ppt, etc.), PDF, tekst, BMP,GIF, JPEG, TIF, AVI, MPEG
Faza 3 - skanowanie i analiza przesyłki
Skanowanie i analiza obejmują następujące czynności:
skanowanie antywirusowe przy pomocy wybranego zestawu zewnętrznych narzędzi
czyszczenie zainfekowanych przesyłek
analiza tekstowa wg. słów kluczowych i fraz
analiza na podstawie typu załącznika
wykonanie reguł związanych z wielkością i załącznikami
dołączenie stopki
wykonanie reguł anty-spam i anty-flood
Faza 4 - Klasyfikacja
Faza ta objemuje wykonanie akcji związanych z wybranym scenraiuszem tj.: przekazanie
wiadomości dalej, skierowanie do kwarantanny, usunięcie, a także raportowanie i notyfikację
administratora, nadawcy i odbiorcy.
Zarządzanie systemem
Zarządzanie systemem e-Sweeper odbywa się poprzez interfejs WWW i objemuje następujące funkcje:
manipulacja bramkami SMTP
zarządzanie równoważeniem obciążenia (load ballancing) poprzez rozłożenie zadań pomiędzy agentów
edycja informacji dotyczącej klienta
billing online
śledzenie zgłoszeń i historia zgłoszeń klienta (usuwanie domen, upgrade/downgrade, zmiana liczby użytkowników, zmiana MX-ów)
konfiguracja obszarów kwarantanny
generowanie statystyk
zmiana "look-and-feel"
Audytowanie i Raportowanie
log audytu może być zapisywany poprzez ODBC do zewnętrznej bazy danych
dane użytkowników mogą być przenoszone do bazy danych po spełnieniu pewnego kryrterium, np. osiągnięciu
założonego rozmiaru
Wymagania sprzętowe i programowe
Agent klienta
minimum Pentium 550 Mhz
dysk twardy 10 000 RPM, 18 GB
512 MB RAM
Windows NT Server 4.0 SP4, partycja NTFS, sieć TCP/IP
Proces strażnika
Microsoft IIS plus skonfigurowane ASP
Baza danych SQL (SQL Server 7, Oracle 8)