InfoWatch Traffic Monitor - Проект InfoSecurity.ru

InfoWatch Traffic Monitor Руководство по установке и конфигурированию

INFOWATCH TRAFFIC MONITOR

Руководство по установке и конфигурированию

© ЗАО "ИнфоВотч" Тел. +7 (495) 229-00-22 • Факс +7 (495) 229-00-22

http://www.infowatch.ru/

Дата редакции: март 2009 года

http://www.infowatch.ru/�

СОДЕРЖАНИЕ ВВЕДЕНИЕ.............................................................................................................................................................................. 6

Аудитория........................................................................................................................................................................... 6 Структура руководства ..................................................................................................................................................... 6 Дополнительная документация ...................................................................................................................................... 6 Условные обозначения .................................................................................................................................................... 7

ГЛАВА 1. ВВЕДЕНИЕ В INFOWATCH TRAFFIC MONITOR ............................................................................................ 8 1.1. Основные сведения о Системе ............................................................................................................................... 8 1.2. Состав Системы......................................................................................................................................................... 8 1.3. Транспортные режимы InfoWatch Traffic Monitor................................................................................................... 9 1.4. Информация о лицензии .......................................................................................................................................... 9

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ..........................................................................................................................10 2.1. Схема развертывания Системы ............................................................................................................................10 2.2. Аппаратные и программные требования .............................................................................................................11

2.2.1. Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия .................. 11 2.2.2. Traffic Monitor Server. Транспортный режим: SPAN-копия......................................................................... 12 2.2.3. Сервер СУБД Oracle........................................................................................................................................ 14 2.2.4. Management Console ....................................................................................................................................... 15

ГЛАВА 3. УСТАНОВКА СИСТЕМЫ ................................................................................................................................... 17 3.1. Схема базы данных ................................................................................................................................................. 17

3.1.1. Подготовка к созданию схемы базы данных ...............................................................................................17 3.1.2. Рекомендации по созданию схемы базы данных .......................................................................................17 3.1.3. Создание схемы базы данных .......................................................................................................................18

3.2. Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия .......................... 23 3.2.1. Состав Traffic Monitor Server........................................................................................................................... 23 3.2.2. Рекомендации по установке...........................................................................................................................24 3.2.3. Установка и настройка .................................................................................................................................... 24

3.3. Traffic Monitor Server. Транспортный режим SPAN-копия..................................................................................27 3.3.1. Рекомендации по установке...........................................................................................................................27 3.3.2. Установка и настройка Sniffer......................................................................................................................... 30 3.3.3. Установка и настройка Traffic Monitor Server ............................................................................................... 31 3.3.4. Установка и настройка Forwarder ..................................................................................................................33

3.4. Подсистема загрузки объектов в удаленную базу данных ............................................................................... 34 3.4.1. Настройка подсистемы на стороне сервера – загрузчика объектов........................................................ 35 3.4.2. Создание копии подсистемы на стороне сервера – загрузчика объектов.............................................. 37 3.4.3. Настройка подсистемы на стороне сервера – перехватчика объектов .................................................. 39 3.4.4. Настройка протоколирования работы сценариев.......................................................................................41

3.5. Management Console ............................................................................................................................................... 41 3.5.1. Рекомендации по установке...........................................................................................................................42 3.5.2. Описание установки ........................................................................................................................................ 42 3.5.3. Дополнительная настройка для отправки рапорта ....................................................................................42

3.6. Лицензирование ....................................................................................................................................................... 43 3.6.1. Особенности использования лицензионного ключа ..................................................................................43 3.6.2. Установка лицензионного ключа ...................................................................................................................44 3.6.3. Замена лицензионного ключа........................................................................................................................44

4 InfoWatch Traffic Monitor

ГЛАВА 4. НАСТРОЙКА СИСТЕМЫ................................................................................................................................... 46 4.1. Режимы работы Transparent Proxy при перехвате HTTP-трафика .................................................................. 46 4.2. Сбор информации о пользователях, выполняющих HTTP-запросы............................................................... 47 4.3. Настройка файла tm.conf........................................................................................................................................ 48

4.3.1. Секция [GENERAL] .......................................................................................................................................... 48 4.3.2. Секция [AUTO_RESTART].............................................................................................................................. 49 4.3.3. Секция [SMTPD] ............................................................................................................................................... 49 4.3.4. Секция [MESSED] ............................................................................................................................................ 50 4.3.5. Секция [DELIVERD].......................................................................................................................................... 51 4.3.6. Секция [SNIFFER] ............................................................................................................................................ 51 4.3.7. Секция [QUEUE]............................................................................................................................................... 51 4.3.8. Секция [PROXY] ............................................................................................................................................... 52 4.3.9. Секция [PROXY_ICQ] ...................................................................................................................................... 52 4.3.10. Секция [PROXY_HTTP]................................................................................................................................. 53 4.3.11. Секция [PROXY_SMTP] ................................................................................................................................ 55 4.3.12. Секция [FORWARDER] ................................................................................................................................. 55 4.3.13. Секция [CAS]................................................................................................................................................... 56 4.3.14. Секция [DBLOADER] ..................................................................................................................................... 57 4.3.15. Секция [FILTER] ............................................................................................................................................. 57 4.3.16. Секция [ORACLE]........................................................................................................................................... 57 4.3.17. Секция [EXPRESSD]...................................................................................................................................... 57 4.3.18. Секция [DEVMON].......................................................................................................................................... 58 4.3.19. Секция [EXTRACTOR]................................................................................................................................... 58 4.3.20. Секция [UPDATER] ........................................................................................................................................ 58 4.3.21. Секция [SNMPD]............................................................................................................................................. 58 4.3.22. Секция [LDAP]................................................................................................................................................. 59

4.4. Настройка расширенного протоколирования......................................................................................................59 4.5. Обработка архивов и вложений. Настройка файла Detector.conf.................................................................... 59 4.6. Настройка интеграции с Postfix.............................................................................................................................. 60 4.7. Перенаправление HTTP-трафика в нормальном и прозрачном транспортном режимах............................ 62

4.7.1. Настройка iptables для передачи HTTP-трафика через Transparent Proxy............................................. 62 4.7.2. Настройка пользовательских компьютеров для работы по протоколу HTTP ........................................ 64

4.8. Перенаправление ICQ-трафика в нормальном и прозрачном транспортном режимах............................... 64 4.8.1. Настройка iptables для передачи ICQ-трафика через Transparent Proxy................................................ 64 4.8.2. Настройка пользовательских компьютеров для работы по протоколу ICQ ........................................... 66

ГЛАВА 5. ОБНОВЛЕНИЕ СИСТЕМЫ ...............................................................................................................................67 5.1. Порядок обновления Системы ..............................................................................................................................67

5.1.1. Подготовка к обновлению Системы..............................................................................................................67 5.2. Обновление схемы базы данных ..........................................................................................................................67 5.3. Обновление Traffic Monitor Server ......................................................................................................................... 69

ГЛАВА 6. УДАЛЕНИЕ СИСТЕМЫ...................................................................................................................................... 71 6.1. Удаление схемы базы данных...............................................................................................................................71

6.1.1. Подготовка к удалению схемы базы данных...............................................................................................71 6.1.2. Описание процесса удаления........................................................................................................................71

6.2. Удаление Traffic Monitor Server .............................................................................................................................. 72 6.3. Удаление Management Console............................................................................................................................. 73

ПРИЛОЖЕНИЕ A. РЕКОМЕНДАЦИИ ПО УСТАНОВКЕ СУБД ORACLE....................................................................74 A.1. Сервер СУБД Oracle ............................................................................................................................................... 74

A.1.1. Рекомендации по установке сервера СУБД Oracle.................................................................................... 74

Содержание 5

A.1.2. Подготовка к установке................................................................................................................................... 74 A.1.3. Установка сервера СУБД Oracle ...................................................................................................................76

A.2. Клиент СУБД Oracle ................................................................................................................................................ 86 A.2.1. Рекомендации по установке клиента СУБД Oracle на платформу Linux................................................ 86

A.2.1.1. Подготовка к установке...........................................................................................................................87 A.2.1.2. Установка клиента СУБД Oracle............................................................................................................88

A.2.2. Рекомендации по установке клиента СУБД Oracle на платформу Microsoft Windows ......................... 89 A.2.3. Настройка параметров соединения с сервером СУБД Oracle ................................................................. 89 A.2.4. Проверка взаимодействия между клиентом и сервером Oracle.............................................................. 90

ПРИЛОЖЕНИЕ B. РАЗРЕШЕНИЕ ПРОБЛЕМ ................................................................................................................91 B.1. Проблемы со схемой базы данных.......................................................................................................................91 B.2. Проблемы с Traffic Monitor Server ......................................................................................................................... 94

ГЛОССАРИЙ......................................................................................................................................................................... 95

УКАЗАТЕЛЬ .......................................................................................................................................................................... 98

ВВЕДЕНИЕ

InfoWatch Traffic Monitor (далее InfoWatch Traffic Monitor или Система) – это распределенная многоком-понентная система, предназначенная для контроля над различными видами трафика (SMTP, HTTP, ICQ), а также над данными, поступающими от системы InfoWatch Device Monitor.

В настоящем руководстве вы можете найти сведения по установке и настройке InfoWatch Traffic Monitor.

Аудитория Информация, содержащаяся в руководстве, предназначена для пользователей, выполняющих установку и настройку InfoWatch Traffic Monitor.

Руководство рассчитано на пользователей, знакомых с основами работы в среде той операционной сис-темы, в которой выполняется установка компонентов InfoWatch Traffic Monitor (Linux, Microsoft Windows). InfoWatch Traffic Monitor взаимодействует с базой данных, находящейся под управлением СУБД Oracle. Поэтому при настройке Системы также необходимы навыки администрирования СУБД Oracle.

Структура руководства В состав руководства входят следующие разделы:

• Глава 1. Введение в InfoWatch Traffic Monitor (стр. 8).

Содержит общие сведения о Системе.

• Глава 2. Подготовка к установке (стр. 10).

Описывает требования к аппаратному и программному обеспечению, необходимому для работы Системы; порядок установки компонентов Системы.

• Глава 3. Установка системы (стр. 17).

Содержит рекомендации по установке компонентов Системы и описание установки. Также здесь описываются правила получения и установки лицензионного ключа.

• Глава 4. Настройка системы (стр. 46).

В разделе рассматриваются вопросы, связанные с настройкой Системы (настройка конфигураци-онных файлов, организация взаимодействия между компонентами Системы и пр.).

• Глава 5. Обновление системы (стр. 67).

В разделе содержится информация по обновлению компонентов Системы.

• Глава 6. Удаление системы (стр. 71).

Приводятся сведения по удалению компонентов Системы.

• Приложение A. Рекомендации по установке СУБД Oracle (стр. 74).

Содержит рекомендации по установке серверной и клиентской части СУБД Oracle. Также здесь приводятся рекомендации по настройке взаимодействия между базой данных и другими компонен-тами Системы.

• Приложение B. Разрешение проблем (стр. 91).

В приложении описываются проблемы, которые могут возникнуть в процессе установки и настрой-ки Системы, а также способы их разрешения.

Дополнительная документация Сведения по некоторым дополнительным вопросам вы можете найти в следующих документах:

• «InfoWatch Traffic Monitor. Руководство пользователя».

Введение 7

В документе описывается работа с InfoWatch Traffic Monitor (настройка конфигурации, экс-порт/импорт данных, правила составления сценария обработки объектов).

• «InfoWatch Device Monitor. Руководство пользователя»

Содержит описание принципов работы системы InfoWatch Device Monitor.

В настоящем руководстве не рассматриваются вопросы установки и настройки СУБД Oracle. За получе-нием необходимых сведений вы можете обратиться к соответствующей документации.

Условные обозначения Для наглядности в тексте документации используются различные стили оформления. Области примене-ния стилей указаны в таблице 1.

Таблица 1. Стили оформления

Стиль оформления Область применения

Полужирный шрифт Названия программ (при первом упоминании), эле-ментов графического пользовательского интер-фейса. Выделение терминов, определений

Курсив Названия документов, оглавление в начале разде-лов и подразделов документа. При описании таб-лиц – названия и значения атрибутов. Выделение некоторых элементов текста (если не предусмот-рены другие стили оформления)

Шрифт Courier New Имена файлов, примеры текста программ. При описании конфигурационных файлов – значения параметров, примеры настройки

ШРИФТ COURIER NEW (ВЕРХНИЙ РЕГИСТР) Названия переменных, параметров (при описании конфигурационных файлов), ключевые слова SQL, инструкции PL/SQL, типы данных, привилегии

В таблице 2 приводятся условные обозначения, используемые при описании командной строки.

Таблица 2. Условные обозначения для командной строки

Условное обозначение Расшифровка

Шрифт Courier New Команды и параметры

Шрифт Courier New (курсив) Значения, вводимые пользователем

[Параметр] Необязательные параметры

Значение 1 | Значение 2 Набор, из которого нужно указать одно значение

ГЛАВА 1. ВВЕДЕНИЕ В INFOWATCH TRAFFIC MONITOR

В этой главе содержится следующая информация:

• Основные сведения о Системе (п. 1.1 на стр. 8).

• Состав Системы (п. 1.2 на стр. 8).

• Транспортные режимы InfoWatch Traffic Monitor (п. 1.3 на стр. 9).

• Информация о лицензии (п. 1.4 на стр. 9).

1.1. Основные сведения о Системе Назначение InfoWatch Traffic Monitor заключается в контроле над информационными потоками, которые передаются по протоколам SMTP, HTTP, ICQ. Кроме того, в Системе осуществляется анализ данных, полученных от InfoWatch Device Monitor.

Основные функции InfoWatch Traffic Monitor:

• перехват трафика данных, передаваемых по протоколам SMTP, HTTP, ICQ (OSCAR);

Примечание!

При использовании перехватчика ICQ-трафика передача файлов по протоколу ICQ не поддержи-вается.

• анализ содержимого перехваченного трафика с целью выявления нарушений корпоративной поли-тики безопасности;

• фильтрация трафика путем выдачи разрешения/запрещения на доставку определенных данных;

• анализ данных (теневых копий файлов), полученных от системы InfoWatch Device Monitor с целью выявления нарушений корпоративной политики безопасности.

1.2. Состав Системы Компоненты, входящие в состав InfoWatch Traffic Monitor, перечислены в таблице 3.

Таблица 3. Компоненты InfoWatch Traffic Monitor

Компонент Назначение

Traffic Monitor Server

включает в себя отдельные подсистемы для: кон-троля SMTP-трафика; доставки и анализа объектов InfoWatch Device Monitor; контроля HTTP- и ICQ-трафика (Transparent Proxy)

а также подсистемы анализа: Decision and Analysis Engine (DAE) (интегрирована с подсистемами кон-троля), Content Analysis Server (CAS)

и подсистему загрузки объектов в удаленную базу данных

Контроль и анализ трафика, передаваемого по протоколам SMTP, HTTP, ICQ.

Анализ теневых копий файлов, передаваемых от InfoWatch Device Monitor.

Контентный анализ текстовых данных,

Принятие решения о дальнейших действиях над объектами, прошедшими анализ.

Загрузка информации в локальную или удаленную базу данных

Management Console Управление Системой

Введение в InfoWatch Traffic Monitor 9

Компонент Назначение

CreateSchemaWizard Создание/обновление/удаление схемы базы дан-ных

1.3. Транспортные режимы InfoWatch Traffic Monitor Система InfoWatch Traffic Monitor имеет три транспортных режима: нормальный, прозрачный и режим ко-пии. Условия, в соответствии с которыми определяется транспортный режим для различных объектов (SMTP-писем, HTTP-запросов и др.), задаются при обработке объектов в Системе.

Различие между режимами работы заключается в особенностях транспортировки объектов.

Нормальный режим. Перехват, анализ и дальнейшая транспортировка объектов выполняется посред-ством InfoWatch Traffic Monitor. В этом режиме возможность доставки объекта получателям зависит от результатов анализа объекта.

Прозрачный режим. Отличается от предыдущего режима только тем, что доставка объекта получате-лям осуществляется всегда (т.е. вне зависимости от результатов анализа).

Режим копии. В данном режиме InfoWatch Traffic Monitor получает копии объектов. Отличие режима ко-пии от двух других заключается в том, что транспортировка объектов выполняется без участия Системы. Таким образом, задачей Системы является только анализ объектов. В Системе поддерживаются две разновидности этого режима: обычная копия и SPAN-копия.

Режим обычной копии поддерживается только для SMTP-трафика. При этом копия трафика поступает от корпоративного почтового сервера.

В режиме SPAN-копии передача трафика осуществляется через коммутатор CISCO. Копия трафика, про-ходящего через коммутатор, перехватывается компонентом Sniffer и затем передается на анализ.

1.4. Информация о лицензии Функциональность Системы зависит от выбранной лицензии. Лицензированию подвергаются компонен-ты, отвечающие за перехват трафика SMTP, HTTP, ICQ, а также за прием объектов от системы InfoWatch Device Monitor.

При выборе лицензии необходимо определить следующее:

• какой трафик будет перехватываться Системой;

• нужно ли принимать данные от InfoWatch Device Monitor.

Прием и, как следствие, фильтрация объектов может осуществляться только лицензированными пере-хватчиками.

Важная информация!

Прием тех видов трафика, которые не подлежат контролю, должен осуществляться минуя Систему.

Для ознакомления с Системой предусмотрен пробный период длительностью 30 дней. В течение этого времени Система может эксплуатироваться без установки полной лицензии. Однако если вы планируете продолжить эксплуатацию Системы, то вам нужно установить лицензию на используемые перехватчики. В противном случае, по истечении пробного периода работа всех нелицензированных перехватчиков бу-дет остановлена.

Информация по использованию лицензионного ключа приводится в п. 3.6 на стр. 43.

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ


• Схема развертывания Системы (п. 2.1 на стр. 10).

• Аппаратные и программные требования (п. 2.2 на стр. 11).

2.1. Схема развертывания Системы

Шаг 1. Подготовка к созданию базы данных Перед развертыванием Системы необходимо выполнить установку сервера СУБД Oracle. Рекомендации по установке сервера базы данных приводятся в приложении A.1 на стр. 74.

К началу развертывания Системы сервер СУБД Oracle должен быть установлен и запущен.

Шаг 2. Проверка аппаратных и программных требований к Системе Перед тем как устанавливать Систему убедитесь, что для каждого компонента соблюдены необходимые аппаратные и программные требования (п. 2.2 на стр. 11).

Шаг 3. Проверка характеристик канала передачи данных (только для работы с удаленной базой данных)

Если перехваченные объекты необходимо загружать в удаленную базу данных (п. 3.4 на стр. 34), то убе-дитесь, что канал передачи данных удовлетворяет характеристикам, приведенным в таблице 4.

Таблица 4. Требования к каналу для загрузки объектов в удаленную базу данных

Характеристика канала связи Требования

Минимальная скорость передачи данных 128 Кбит/с

Протокол TCP/IP

Шаг 4. Настройка коммутатора CISCO (только для работы с SMTP, HTTP- и ICQ-трафиком в режиме SPAN-копии)

Передача трафика в режиме SPAN-копии должна осуществляться через коммутатор Cisco Catalyst 2960 Series.

Примечание:

Допускаются и другие модели коммутаторов с поддержкой функции SPAN.

Требования к дополнительному аппаратному обеспечению, необходимому для работы в режиме SPAN-копии, приводятся в п. 2.2.2 на стр. 12.

Чтобы организовать передачу SMTP, HTTP- и ICQ-трафика в режиме SPAN-копии, Traffic Monitor Server должен быть подключен к коммутатору CISCO через SPAN порт. Поэтому после установки и настройки коммутатора CISCO вам нужно инициализировать SPAN порт (рекомендации по инициализации приво-дятся в руководстве по установке и настройке коммутатора CISCO).

Шаг 5. Развертывание Системы Развертывание Системы выполняется в следующем порядке:

1. Создание схемы базы данных (п. 3.1 на стр. 17).

2. Установка Traffic Monitor Server (п. 3.2 на стр. 23).

Подготовка к установке 11

• транспортный режим нормальный, прозрачный или обычная копия (п. 3.2 на стр. 23);

• транспортный режим SPAN-копия (п. 3.3 на стр. 27).

3. Только при необходимости загружать перехваченные объекты в удаленную базу данных: на-стройка подсистемы загрузки объектов в удаленную базу данных (п. 3.4 на стр. 34).

4. Установка лицензионного ключа (п. 3.6 на стр. 43).

5. Только при контроле HTTP-трафика в нормальном или прозрачном транспортном режиме: На-стройка режима работы Transparent Proxy (п. 4.1 на стр. 46).

6. Только при контроле HTTP- или ICQ-трафика в нормальном или прозрачном транспортном ре-жиме. Настройка перенаправления трафика через Transparent Proxy:

• перенаправление HTTP-трафика (п. 4.7 на стр. 62);

• перенаправление ICQ-трафика (п. 4.8 на стр. 64).

7. Установка Management Console (п. 3.5 на стр. 41).

2.2. Аппаратные и программные требования В настоящем подразделе приводятся требования к аппаратному и программному обеспечению для каж-дого компонента Системы:

• Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия (п. 2.2.1 на стр. 11).

• Traffic Monitor Server. Транспортный режим: SPAN-копия (п. 2.2.2 на стр. 12).

• Сервер СУБД Oracle (п. 2.2.3 на стр. 14).

• Management Console (п. 2.2.4 на стр. 15).

2.2.1. Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия Типовая конфигурация Traffic Monitor Server при скорости трафика 50 Мбит/с:

• Сервер: HP DL360 Intel Xeon.

• Процессор: Intel Xeon x86 с частотой 3 ГГц. Требуются 2 процессора с 4 ядрами каждый.

• Оперативная память: 2 Гб.

• Жесткий диск: 160 Гб.

При более высоких скоростях трафика рекомендуется использовать кластеры Traffic Monitor Server. Один кластер может содержать до 50 экземпляров Traffic Monitor Server включительно. Не рекомендуется ис-пользовать более 4 кластеров.

Требования к программному обеспечению:

• Операционная система: Red Hat Enterprise Linux ES 4 update 3 x86-32, Red Hat Enterprise Linux AS 4 update 3 x86-32, Red Hat Enterprise Linux 4 update 5 x86-32.


При установке операционной системы необходимо выбрать английскую локализацию.

Для корректной работы InfoWatch Traffic Monitor, установите в составе операционной системы сле-дующие пакеты:

− e2fsprogs,

− glibc,

− iptables,



Установка iptables выполняется в тех случаях, когда необходим перехват HTTP- и/или ICQ-трафика в нормальном или прозрачном транспортном режиме.

− krb5-libs,

− libgcc,

− libstdc++,

− libxml2,

− openldap,

− zlib,

− gzip,

− bzip2,

− unzip,

− lha,

− tar.

• Архиваторы: unrar версии 3.6.8, arj версии 3.10.

• Клиент СУБД Oracle версии 11g R1 (11.1.0.6.0).

• Только для контроля SMTP-трафика в режимах: нормальный и прозрачный, обычная копия.

Почтовый сервер: Postfix (входит в состав дистрибутива Red Hat Enterprise Linux 4).

Для загрузки перехваченных объектов в удаленную базу данных (см. п. 3.4 на стр. 34) необходимо также программное обеспечение, поддерживающее работу по ftp-протоколу:

• Nc FTP Client версии 3.1.6.

Устанавливается на стороне Traffic Monitor Server, расположенного удаленно от базы данных.

• FTP сервер. Допускается использование сервера vsftpd из дистрибутива операционной системы либо другого FTP-сервера, совместимого с установленной операционной системой.

Устанавливается на стороне Traffic Monitor Server, отвечающего за прием объектов от других эк-земпляров Traffic Monitor Server и загрузку принятых объектов в базу данных.

2.2.2. Traffic Monitor Server. Транспортный режим: SPAN-копия Передача трафика в режиме SPAN-копии должна осуществляться через коммутатор Cisco Catalyst 2960 Series.


Допускаются и другие модели коммутаторов с поддержкой функции SPAN.

При работе в режиме SPAN-копии требуется несколько экземпляров Traffic Monitor Server, выполняющих различные функции:

• Sniffer. Для приема SPAN-копии трафика.

• Traffic Monitor Server. Для анализа SPAN-копии трафика.

• Forwarder. Используется при наличии нескольких экземпляров Sniffer для распределения трафика между ними.

Аппаратное и программное обеспечение Traffic Monitor Server описано в п. 2.2.1 на стр. 11.

Аппаратное обеспечение, необходимое для работы Sniffer и Forwarder, указано в таблицах 5 – 7.


Таблица 5. Sniffer: Требования к процессору, оперативной памяти и жесткому диску

Оборудование Минимальные требования (при скорости трафика 100 Мбит/с)

Процессор Core 2 DUO E6750 (частота 2,66 ГГц

Оперативная память 2 Гб

Типовая конфигурация Sniffer при скорости трафика 300 Мбит/с:

• Сервер: HP DL360 Intel Xeon.

• Процессор: Intel Xeon x86 с частотой 3 ГГц. Требуются 2 процессора с 4 ядрами каждый.

• Оперативная память: 2 Гб.

• Жесткий диск: 160 Гб.

Таблица 6. Forwarder: Требования к процессору, оперативной памяти и жесткому диску

Оборудование Минимальные требования

Процессор Pentium IV с частотой 3 ГГц и выше


В таблице 7 приводятся требования к сетевым картам для Sniffer и Forwarder. Необходимое количество сетевых карт зависит от конфигурации вашей системы:

• На Forwarder одна сетевая карта используется для приема копии трафика от коммутатора CISCO. Кроме того, нужны дополнительные сетевые карты для каждого экземпляра Sniffer, с которым взаимодействует Forwarder.

• На Sniffer должны быть установлены две сетевые карты. Одна – для приема копии трафика от коммутатора CISCO (или от Forwarder). Другая – для взаимодействия с прочими объектами сети. В частности, вторая сетевая карта используется для передачи трафика на Traffic Monitor Server или для взаимодействия с базой данных (если Sniffer и Traffic Monitor Server установлены на одном компьютере).

Таблица 7. Требования к сетевым картам для Sniffer и Forwarder

Общие требования Рекомендуемые модели сетевых карт

Поддержка NAPI и режима Promiscuous mode.

Допускается использование сетевых карт серии Intel PRO/1000 GT

Intel Corporation 82540EM Gigabit Ethernet Controller

Broadcom Corporation NetXtreme II BCM5708 1Gb

Требования к программному обеспечению

Sniffer:

• Операционная система: Red Hat Enterprise Linux ES 4 update 5 x86-32. Необходимо установить яд-ро Linux с патчем PF_RING. Ядро поставляется в виде rpm-пакета вместе с дистрибутивом Систе-мы. Установка ядра описывается в п. 3.3.3 на стр. 31.



Если Sniffer и Traffic Monitor Server функционируют на одном компьютере, то потребуется дополнитель-ное программное обеспечение:

• пакеты в составе операционной системы:

− e2fsprogs,

− glibc,

− krb5-libs,


− libgcc,

− libstdc++,

− libxml2,

− openldap,

− zlib,

− gzip,

− bzip2,

− unzip,

− lha,

− tar.

• Архиваторы: unrar версии 3.6.8, arj версии 3.10.


Дополнительное программное обеспечение для загрузки объектов в удаленную базу данных (см. п. 3.4 на стр. 34):

• Nc FTP Client версии 3.1.6.

Устанавливается на стороне Traffic Monitor Server, расположенного удаленно от базы данных.

• FTP сервер. Допускается использование сервера vsftpd из дистрибутива операционной системы либо другого FTP-сервера, совместимого с установленной операционной системой.

Устанавливается на стороне Traffic Monitor Server, отвечающего за прием объектов от других эк-земпляров Traffic Monitor Server и загрузку принятых объектов в базу данных.

Forwarder:

• Операционная система: Red Hat Enterprise Linux ES 4 update 5 x86-32. Необходимо установить яд-ро Linux с патчем PF_RING. Ядро поставляется в виде rpm-пакета вместе с дистрибутивом Систе-мы. Установка ядра описывается в п. 3.3.4 на стр. 33.



2.2.3. Сервер СУБД Oracle Для корректной работы InfoWatch Traffic Monitor необходимо установить сервер СУБД Oracle версии 11.1.0.6.0 с обновлением (Patch Set) 11.1.0.7.

Требования к аппаратному и программному обеспечению

Требования к аппаратному обеспечению, необходимому для установки сервера СУБД Oracle, приведены в таблице 8.


Таблица 8. Аппаратное обеспечение сервера СУБД Oracle

Оборудование Рекомендуемые требования

Процессор Xeon с частотой 2.4 ГГц и выше


Жесткий диск Аппаратный RAID-контроллер (уровень 1 и выше). Емкость RAID-массива должна составлять не ме-нее 200 GB (в зависимости от объема трафика пи-сем, которые будут храниться в базе данных)

Требования к программному обеспечению

Операционная система: Red Hat Enterprise Linux Server release 5.2 x86-32.

В составе операционной системы должны быть установлены следующие пакеты:

• binutils-2.17.50.0.6-2.el5,

• compat-libstdc++-33-3.2.3-61,

• elfutils-libelf-0.125-3.el5,

• elfutils-libelf-devel-0.125,

• gcc-4.1.2-42,

• gcc-c++-4.1.2-42,

• glibc-2.5-24,

• glibc-common-2.5-24,

• glibc-devel-2.5-24,

• glibc-headers-2.5-24,

• libaio-0.3.106,

• libaio-devel-0.3.106,

• libgcc-4.1.2-42,

• libstdc++-4.1.2-42,

• libstdc++-devel-4.1.2-42,

• make-3.81-3,

• sysstat-7.0.2,

• unixODBC-2.2.11,

• unixODBC-devel-2.2.11.

2.2.4. Management Console Требования к аппаратному обеспечению, необходимому для работы Management Console, перечислены в таблице 9.

Таблица 9. Аппаратное обеспечение Management Console

Оборудование Минимальные требования Рекомендуемые требования

Процессор Celeron с частотой 1.7 ГГц и выше Pentium IV с частотой 3 ГГц и выше

Оперативная память 512 Мб 1 Гб


Оборудование Минимальные требования Рекомендуемые требования

Жесткий диск 1 Гб свободного пространства 1 Гб свободного пространства

Виртуальная память не менее 2 Гб не менее 2 Гб

Требования к программному обеспечению:

• Операционная система: Microsoft Windows XP Service Pack 2;

• Microsoft .Net Framework 2.0;


ГЛАВА 3. УСТАНОВКА СИСТЕМЫ


• Схема базы данных (п. 3.1 на стр. 17).

• Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия (п. 3.2 на стр. 23).

• Traffic Monitor Server. Транспортный режим SPAN-копия (п. 3.3 на стр. 27).

• Подсистема загрузки объектов в удаленную базу данных (п. 3.4 на стр. 34).

• Management Console (п. 3.5 на стр. 41).

• Лицензирование (п. 3.6 на стр. 43).

3.1. Схема базы данных Перед установкой Traffic Monitor Server необходимо создать схему базы данных. Информация по созда-нию схемы базы данных содержится в следующих разделах:

• Подготовка к созданию схемы базы данных (п. 3.1.1 на стр. 17).

• Рекомендации по созданию схемы базы данных (п. 3.1.2 на стр. 17).

• Создание схемы базы данных (п. 3.1.3 на стр. 18).


Если у вас имеется установленная схема базы данных, то вы можете выполнить обновление до текущей версии (см. главу 5 на стр. 67).

3.1.1. Подготовка к созданию схемы базы данных Для создания схемы базы данных предназначен компонент Traffic Monitor Create Schema Wizard (далее также или инсталлятор схемы базы данных).

Перед запуском Traffic Monitor Create Schema Wizard необходимо убедиться в том, что:

• запущен сервер СУБД Oracle;

• на компьютере, с которого будет выполняться установка схемы базы данных, установлен и на-строен клиент СУБД Oracle версии 11g R1 (11.1.0.6.0).


Рекомендации по установке и настройке клиента СУБД Oracle приводятся в приложении A.2 на стр. 86.

Для создания схемы базы данных необходимо знать имя и пароль учетной записи, обладающей правами SYSDBA.

Перед созданием схемы необходимо убедиться, что имя, которое будет назначено владельцу схемы ба-зы данных, уникально в пределах базы данных. Это означает, что в базе данных не должно быть схемы базы данных и табличного пространства с таким же именем.

3.1.2. Рекомендации по созданию схемы базы данных Процесс создания схемы базы данных включает в себя создание табличных пространств (основного и ежедневных), необходимых для работы Системы. Ежедневные табличные пространства предназначены для хранения объектов (SMTP-писем, HTTP-запросов и пр.), поступающих в Систему. В основном таб-личном пространстве хранятся данные, необходимые для обработки поступающих данных. При настрой-ке параметров схемы базы данных вам будет предложено указать ряд параметров, связанных с создани-


ем табличных пространств. Настройка параметров для ежедневных табличных пространств (количество файлов данных, начальный размер файла данных) выполняется с учетом суммарного объема суточного трафика объектов, проходящего через Систему. Для оптимальной настройки данных параметров реко-мендуется оценить максимальный и минимальный объем суточного трафика в пределах определенного интервала (например, недели). Оценка выполняется только для тех типов трафика, которые отслежива-ются Системой. Если, например, у вас не установлен HTTP-монитор, то оценку НTTP-трафика проводить не нужно. Выбор интервала для оценки зависит от того, насколько постоянен этот объем. Пусть, к приме-ру, трафик имеет различный объем в пределах недели. Тогда рекомендуется оценить минимальный и максимальный объем суточного трафика на протяжении одной недели.

При определении количества файлов данных необходимо учитывать, что максимальный размер одного файла данных составляет 30 Гб. Тогда количество файлов данных определяется максимальным объе-мом трафика. Например, при максимальном объеме суточного трафика 65 Гб необходимо задать значе-ние данного параметра равным 3.

Начальный размер файла данных можно определить, рассчитав среднесуточный объем трафика за ис-следуемый период. При этом необходимо учитывать следующее. Если колебания в объеме трафика в разные периоды времени велики, то часть пространства, выделяемого для файлов данных, может ока-заться неиспользованной. В то же время, если начальный объем файла данных будет значительно меньше суточного объема трафика, то потребуется приращение файла данных, что приведет к снижению производительности Системы. Количество приращений будет зависеть от заданного размера прираще-ния.

Ежедневные табличные пространства могут храниться либо в одном каталоге, либо распределенно (в разных каталогах или на разных физических дисках).


Для того чтобы увеличить надежность хранения данных, рекомендуется размещать ежедневные таблич-ные пространства на разных физических дисках.

Распределенное хранение данных возможно при условии, что используются циклические файловые сис-темы. Каждый каталог или физический диск, на который могут быть сохранены ежедневные табличные пространства, является отдельной циклической файловой системой. При создании схемы базы данных задается количество циклических файловых систем и местоположение файлов данных в каждой такой системе. Циклические файловые системы используются поочередно. Например, если задано 3 цикличе-ских файловых системы, то данные будут размещаться следующим образом:

Первый день – ежедневное табличное пространство создается в файловой системе 1.

Второй день – ежедневное табличное пространство создается в файловой системе 2.

Третий день – ежедневное табличное пространство создается в файловой системе 3.

Четвертый день – ежедневное табличное пространство создается в файловой системе 1.

…

Если распределенное хранение данных не требуется, то необходимо установить количество циклических файловых систем равным 1. В этом случае все табличные пространства будут располагаться в одной директории.

3.1.3. Создание схемы базы данных Подготовка к созданию схемы базы данных описывается в пп. 3.1.1 – 3.1.2 на стр. 17 – 17.


Часть параметров, которые нужно указать при создании схемы базы данных, отмечены символом «*». Такие параметры заполняются в обязательном порядке.

Шаг 1. Запуск инсталлятора схемы базы данных На диске с дистрибутивом Системы откройте каталог CreateSchemaWizard. В данном каталоге найдите и запустите файл Setup.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Установка системы 19


Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 2. Выбор типа установки В окне Мастер работы с БД выберите вариант Установка новой схемы БД и нажмите на кнопку OK.

После этого на экран будет выведено окно мастера установки схемы БД.

Шаг 3. Настройка параметров соединения с сервером базы данных В окне мастера установки схемы БД (см. рис. 1) укажите параметры соединения с сервером базы данных:

• Database. Псевдоним сервера, на котором установлена база данных (псевдоним выбирают из пе-речисленных в файле tnsnames.ora).

• SYSDBA. Имя учетной записи, обладающей правами SYSDBA (например, SYS).

• SYSDBA password. Пароль учетной записи SYSDBA.

Рисунок 1. Параметры соединения с сервером базы данных

Нажмите кнопку Вперед.

Шаг 4. Настройка параметров учетной записи владельца схемы БД Укажите параметры, необходимые для создания учетной записи владельца схемы базы данных (см. рис. 2):

• Владелец схемы БД. Имя учетной записи владельца схемы базы данных.


Имя владельца базы данных должно быть уникальным в пределах базы данных. Это означает, что в базе данных не должно быть схемы базы данных и табличного пространства с таким же именем.

Если схема базы данных с таким именем уже существует, то установить новую схему с этим же именем можно, только если будет установлен флажок в поле Удалить, если существует. При этом сначала удаляется существующая схема базы данных и табличное пространство, а затем создается новая схема базы данных и новое табличное пространство с таким же именем.



Устанавливать флажок в поле Удалить, если существует нужно только в том случае, если ранее схема базы данных была создана некорректно.

• Пароль владельца схемы БД, Подтвердить пароль. Пароль учетной записи.


Пароль задается в соответствии с указаниями документации для СУБД Oracle.

Рисунок 2. Настройка учетной записи владельца схемы базы данных


Шаг 5. Настройка параметров учетной записи администратора пользователей Для первой настройки Management Console используется учетная запись администратора пользовате-лей, имеющая ограниченный набор прав.


Информация о функциях администратора пользователей приводится в документе «InfoWatch Traffic Moni-tor. Руководство пользователя».

Укажите параметры, необходимые для создания учетной записи администратора пользователей (см. рис. 3):

• Администратор пользователей. Имя учетной записи администратора пользователей. (К имени администратора пользователей рекомендуется добавить суффикс _ADM.)


Имя учетной записи администратора пользователей должно быть уникальным в пределах базы данных. Это означает, что в базе данных не должно быть схемы базы данных с таким же именем.

• Пароль администратора пользователей, Подтвердить пароль. Пароль учетной записи.


Рисунок 3. Настройка учетной записи администратора пользователей


Шаг 6. Настройка параметров основного табличного пространства Настройте параметры файла данных для основного табличного пространства (см. рис. 4):

• путь к файлу данных для основного табличного пространства.

• начальный размер файла данных (в Мб);

• размер приращения – величину, на которую будет расширяться файл данных (в Мб).

Рисунок 4. Параметры основного табличного пространства


Шаг 7. Настройка параметров ежедневных табличных пространств Настройте параметры для ежедневных табличных пространств (см. рис. 5):

• число файлов данных, которые будут содержаться в одном табличном пространстве.

• начальный размер файла данных (в Мб);


• размер приращения – величину, на которую будет расширяться файл данных (в Мб).

• лаг времени (в днях) – дополнительный интервал, для которого будут созданы ежедневные таб-личные пространства. Каждый день в базе данных создаются табличные пространства на текущий и на следующий день. Лаг времени позволяет задать дополнительный интервал, для которого бу-дут созданы ежедневные табличные пространства. Например, если лаг времени составляет 1 день, то будут созданы ежедневные табличные пространства на текущий день и на два после-дующих дня (т.е. табличные пространства, необходимые для работы в течение 3 дней).

Рисунок 5. Параметры ежедневных табличных пространств


Шаг 8. Настройка параметров файловой системы Укажите параметры циклических файловых систем (см. рис. 6):

• количество циклических файловых систем (максимальное количество 10 файловых систем).

• местоположение файлов данных (отдельно для каждой файловой системы).


Если количество файловых систем превышает 5, то нажмите кнопку Вперед и укажите путь к остальным файловым системам.


Рисунок 6. Параметры циклических файловых систем

Нажмите кнопку Вперед. Чтобы начать установку, нажмите кнопку Старт.

3.2. Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия В разделе содержится информация, необходимая для установки Traffic Monitor Server:

• Состав Traffic Monitor Server (п. 3.2.1 на стр. 23).

• Рекомендации по установке (п. 3.2.2 на стр. 24).

• Установка и настройка (п. 3.2.3 на стр. 24).

3.2.1. Состав Traffic Monitor Server Traffic Monitor Server включает в себя ряд подсистем, к которым, в частности, относятся:

• Подсистема контроля SMTP-писем (нормальный и прозрачный транспортный режим). Включает в себя демоны iw_smtpd, iw_messed (интегрированный с DAE), iw_deliverd.

• Transparent Proxy. Прокси-сервер, предназначенный для контроля HTTP-запросов и ICQ-сообщений (в любом транспортном режиме). Для работы с каждым типом объектов запускается отдельный экземпляр Transparent Proxy (демон iw_proxy с интегрированным DAE).

• Подсистема анализа теневых копий файлов, полученных от InfoWatch Device Monitor. Включает в себя демон iw_expressd, интегрированный с DAE.

Decision and Analysis Engine (DAE) – подсистема анализа и принятия решения. В задачи DAE входит ана-лиз объектов и последующая обработка объектов по результатам анализа. В состав Traffic Monitor Server входит несколько экземпляров DAE. Каждый экземпляр DAE интегрирован с одним из демонов, прини-мающих объекты. Таким образом, количество экземпляров DAE определяется количеством установлен-ных перехватчиков.

Для проведения контентного анализа в состав Traffic Monitor Server входит Content and Analysis Server (CAS). Задачей CAS является контентный анализ текста. В процессе обработки объекта DAE отправляет текст, содержащийся в объекте (например, текст SMTP-письма) на CAS. Результат контентного анализа возвращается подсистеме DAE.

Загрузка объектов в базу данных выполняется посредством демона iw_dbloader.



Описание процессов Traffic Monitor Server приводится в документе «InfoWatch Traffic Monitor. Руково-дство пользователя».

3.2.2. Рекомендации по установке


Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Для корректной работы Системы необходимо выполнить ряд предварительных настроек на том компью-тере, на который будет установлен Traffic Monitor Server, а именно:

• установить клиентское программное обеспечение СУБД Oracle версии 11g R1 (11.1.0.6.0) (реко-мендации по установке приводятся в приложениях A.2.1 – A.2.4 на стр. 86 – 90);

• в случае интеграции с почтовым сервером Postfix установить соответствующее программное обес-печение (о настройке интеграции с Postfix рассказывается в п. 4.6 на стр. 60).


Другие почтовые сервера (Microsoft Exchange и пр.), функционирующие в корпоративной почтовой системе, должны быть настроены как промежуточные relay-сервера.

• убедиться, что для компьютера, на который будет устанавливаться Traffic Monitor Server, задано полное имя домена. Проверить наличие этого имени можно командой: hostname –f

Если полное имя домена не определено, то необходимо задать это имя до начала установки Traf-fic Monitor Server.

3.2.3. Установка и настройка


Если у вас имеется установленная версия Traffic Monitor Server, то вы можете установить более новую версию путем обновления (см. главу 5 на стр. 67).

Если предыдущая версия Traffic Monitor Server была удалена, то в этом случае часть информации, необ-ходимой для работы Системы, сохраняется и после удаления (см. п. 6.1 на стр. 71). Если вы устанавли-ваете новую версию Traffic Monitor Server, но при этом не планируете использовать данные из предыду-щей версии, то в этом случае вам нужно вручную удалить содержимое папки /usr/local/infowatch.

Шаг 1. Установка Traffic Monitor Server Установите пакет iwtm-x.x.x-x.i386.rpm (здесь x.x.x-x номер версии InfoWatch Traffic Monitor). Для этого:

1. Зарегистрируйтесь в операционной системе от имени учетной записи пользователя root: su – root

2. Выполните команду: rpm -i /путь_к_пакету_iwtm/iwtm-x.x.x-x.i386.rpm

Например: rpm -i /u01/iwtm-3.1.0-1.i386.rpm

Установка пакета будет выполнена в каталог: /usr/local/infowatch/tm3

Шаг 2. Настройка и запуск Traffic Monitor Server Запустите сценарий setup.sh:


/usr/local/infowatch/tm3/setup.sh

В процессе работы вам будет предложено указать ряд параметров:

1. Enter user name to be used as an owner of InfoWatch Traffic Monitor

Укажите локальную учетную запись пользователя – владельца Traffic Monitor Server, от имени ко-торого будут запускаться процессы. По умолчанию создается учетная запись iwtm.


На всех экземплярах Traffic Monitor Server, входящих в подсистему загрузки объектов в удаленную базу данных, имя владельца должно быть одинаковым.

2. Enter group name to be used as an owner of InfoWatch Traffic Monitor

Укажите группу, в состав которой будет включен пользователь – владелец InfoWatch Traffic Monitor. Рекомендуется включить пользователя в группу владельца инсталляции клиента СУБД Oracle (по умолчанию это группа oinstall) . В этом случае решается проблема недостатка прав при работе с СУБД Oracle.

3. Select ip-addresses for IW SMTP Server

Выберите IP-адрес, который будет использоваться демоном iw_smtpd для получения входящей почты. Вы можете выбрать одно из следующих значений:

• один из IP-адресов, того компьютера, на который выполняется установка Traffic Monitor Server (выводятся все IP-адреса по количеству установленных сетевых карт);

• 127.0.0.1 – получение почты от демона, запущенного на локальном компьютере (данное зна-чение рекомендуется выбирать при интеграции с Postfix);

• 0.0.0.0 – подразумевается любой IP-адрес (значение по умолчанию).


Если передача SMTP-трафика ведется только в режиме копии, то вы можете выбрать любой вари-ант.

4. Select a port to be listened

Укажите порт, на котором будет запущен процесс прослушивания входящих писем демоном iw_smtpd. Значение по умолчанию (2025) используется при интеграции с Postfix.

5. Select a type of IW SMTP Server MTA installation

Выберите тип почтового агента. Возможны два варианта:

• relay to a Postfix instance running on localhost – почтовый сервер Postfix уста-новлен на том же компьютере, что и Traffic Monitor Server (значение по умолчанию);

• relay to another smtp-server – интеграция с Postfix отсутствует или выполнена частично.

6. Настройте параметры исходящей почты. Настройки зависят от типа почтового агента, выбранного на шаге 5.

Если был выбран первый вариант, т.е. Traffic Monitor Server и Postfix находятся на одном компью-тере, то нужно указать параметры:

• Hostname of this mashine

Доменное имя компьютера, на который будет установлен Traffic Monitor Server. По умолчанию указано имя того компьютера, с которого был запущен сценарий setup.sh.

• Enter a port number used by target smtp-server

Порт почтового relay-сервера, на который будет выполняться отправка писем (значение по умолчанию 2020).

Если был выбран второй вариант, т.е. интеграция с Postfix отсутствует или выполнена частично, то нужно указать параметры:

• Enter a hostname or ip-address of target smtp-server.


Доменное имя или IP-адрес почтового relay-сервера, через который будет выполняться достав-ка исходящей почты.

• Enter a port number used by target smtp-server

Порт почтового relay-сервера, на который будет выполняться отправка писем (значение по умолчанию 25).

7. Select Oracle Home to be used

Укажите путь к каталогу, в который установлен клиент СУБД Oracle. Путь прописывается автома-тически. Однако если на компьютере установлено несколько версий СУБД Oracle, правильность определения пути к нужному каталогу не гарантируется. В этом случае необходимо проверить путь к каталогу и, при необходимости, внести изменения, указав правильный путь вручную.

8. Укажите параметры соединения с сервером СУБД Oracle:

• Oracle User Name.

Имя учетной записи владельца схемы базы данных.

• Oracle Password

Пароль владельца схемы базы данных.


Если при установке Traffic Monitor Server пароль владельца схемы базы данных указан неверно, то после установки учетная запись владельца схемы будет заблокирована. Действия, которые нужно выполнить для разрешения данной проблемы описываются в приложении B на стр. 91.

• Oracle Connect String

Строка соединения с сервером (псевдоним сервера из файла tnsnames.ora).


По умолчанию файл tnsnames.ora расположен в каталоге /ORACLE_HOME/network/admin (здесь /ORACLE_HOME – это путь к каталогу, в который установлен клиент СУБД Oracle).

9. Do you want to use LDAP?

Укажите, требуется ли использование LDAP (значение по умолчанию y – да). Если необходимо взаимодействие с Microsoft Active Directory, то не изменяйте значение, установленное по умолча-нию.

10. Настройки, описываемые на данном шаге, выполняются, если вы выбрали поддержку LDAP. За-дайте параметры для взаимодействия с Microsoft Active Directory:

• Select LDAP/AD server hostname

Имя сервера Microsoft Active Directory.

• Select LDAP/AD domain name (or BASE)

Базовый домен (LDAP base), от которого ведется поиск данных. Здесь нужно указать одно из значений, перечисленных в таблице 10.

Таблица 10. Варианты наименования базового домена

Значение Пример

Полное имя домена организации company.ru

Короткое имя домена организации company

Строка в формате LDAP base dc=company,dc=ru



Значение, указанное на данном шаге, сохраняется в файле tm.conf (секция [LDAP], параметр Base; см. п. 4.3.22 на стр. 59). Причем значение параметра всегда представлено в формате строки LDAP base.

• Select LDAP/AD user name

Учетная запись пользователя, от имени которого выполняется подключение к Microsoft Active Directory. Запись указывается в формате Domain\Login (здесь Domain – префикс домена). На-пример: SB\belov.

• Select LDAP/AD user (aduser) password

Пароль пользователя, от имени которого выполняется подключение к Microsoft Active Directory.

11. Do you want to set up interaction with Postfix?

Укажите, требуется ли интеграция с Postfix (значение по умолчанию y – да). Интеграция с Postfix необходима, если Система будет перехватывать SMTP-трафик в нормальном и прозрачном режи-мах. В режиме обычной копии интеграция с Postfix рекомендуется для корректной доставки SMTP-трафика на Traffic Monitor Server.

Обязательно установите значение n – интеграция не требуется, если:

• перехват SMTP-трафика будет осуществляться в режиме SPAN-копии;

• настраиваемый экземпляр Traffic Monitor Server будет выполнять роль Forwarder или Sniffer.

По окончании работы сценария процессы Traffic Monitor Server будут запущены. На Traffic Monitor Server имеется конфигурация по умолчанию (с пустой базой контентной фильтрации).

Примечания:

После установки процессы Traffic Monitor Server располагаются в каталоге /usr/local/infowatch/tm3/bin. Описание процессов Traffic Monitor Server приводится в документе «InfoWatch Traffic Monitor. Руководство пользователя».

Посмотреть параметры конфигурации вы можете в Management Console.

3.3. Traffic Monitor Server. Транспортный режим SPAN-копия В этом разделе содержится следующая информация:


• Установка и настройка Sniffer (п. 3.3.2 на стр. 30).

• Установка и настройка Traffic Monitor Server (п. 3.3.3 на стр. 31).

• Установка и настройка Forwarder (п. 3.3.4 на стр. 33).

3.3.1. Рекомендации по установке Для контроля трафика в режиме SPAN-копии может потребоваться установка нескольких экземпляров Traffic Monitor Server:

• Traffic Monitor Server. Анализирует копию трафика полученного от Sniffer.

• Sniffer – дополнительный экземпляр Traffic Monitor Server, с функционирующим демоном iw_sniffer. Перехватывает копию трафика, поступающего от коммутатора CISCO. Необходимое количество экзепляров Sniffer зависит от объема проходящего трафика.

• Forwarder – дополнительный экземпляр Traffic Monitor Server, с функционирующим демоном iw_forwarder. Используется только при наличии нескольких экземпляров Sniffer для распределения трафика между ними.


Далее в этом разделе показаны несколько вариантов развертывания Системы для работы в режиме SPAN-копии.

Вариант 1

Перехват и анализ SPAN-копии трафика выполняется на разных компьютерах (см. рис. 7).

Рисунок 7. Развертывание Системы с одним компонентом Sniffer

Для увеличения производительности можно создавать кластеры Traffic Monitor Server. Один кластер мо-жет содержать до 50 экземпляров Traffic Monitor Server включительно. Не рекомендуется использовать более 4 кластеров. При использовании кластера скорость передачи трафика между Sniffer и Traffic Moni-tor Server должна в два раза превышать скорость, с которой трафик поступает на Sniffer.

Рисунок 8. Кластер из трех экземпляров Traffic Monitor Server

Вариант 2

Перехват и анализ SPAN-копии трафика выполняется на одном компьютере (см. рис. 9).


Рисунок 9. Перехват и анализ трафика на одном компьютере

Вариант 3

Перехват и анализ SPAN-копии трафика выполняется на разных компьютерах. Причем в Системе функ-ционирует несколько экземпляров Sniffer. Трафик между ними распределяется посредством Forwarder.

Рисунок 10. Развертывание Системы с несколькими компонентами Sniffer

Общие рекомендации


Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Для корректной работы Системы необходимо выполнить ряд предварительных настроек на том компью-тере, на который будет установлен Traffic Monitor Server, а именно:

• Только для Traffic Monitor Server. Установить клиентское программное обеспечение СУБД Oracle версии 11g R1 (11.1.0.6.0) (рекомендации по установке приводятся в приложениях A.2.1 – A.2.4 на стр. 86 – 90);

• Убедиться, что для компьютеров, на котоый будут устанавливаться Traffic Monitor Server, Sniffer или Forwarder, задано полное имя домена. Проверить наличие этого имени можно командой: hostname –f

Если полное имя домена не определено, то необходимо задать это имя до начала установки.


3.3.2. Установка и настройка Sniffer


Если у вас имеется установленная версия Traffic Monitor Server, то вы можете установить более новую версию путем обновления (см. главу 5 на стр. 67). После обновления проверьте и при необходимости откорректируйте настройки параметров перехвата трафика в файле /usr/local/infowatch/tm3/etc/tm.conf, секции [AUTO_RESTART], [SNIFFER].

Шаг 1. Установка ядра Linux с поддержкой функции SPAN Установите ядро Linux с патчем PF_RING. Ядро поставляется в виде rpm-пакета вместе с дистрибутивом Системы.

Чтобы установить ядро:

1. Зарегистрируйтесь в системе от имени пользователя root: su – root

2. Установите ядро, выполнив команду: rpm –i /путь_к_rpm-пакету/kernel-smp-x.x.x-xx.ELringN.i686.rpm

здесь: x.x.x-xx – версия ядра, а N – версия патча.

Перезагрузите компьютер. Затем проверьте, что загружается именно ядро x.x.x-xx.ELringN, выпол-нив команду: uname –a

Вывод команды должен содержать сведения о ядре x.x.x-xx.ELringNsmp.

Если загружается другое ядро, то отредактируйте файл /boot/grub/menu.lst, указав правильный порядок загрузки ядер.

Шаг 2. Установка и настройка Traffic Monitor Server Установка и настройка выполняется также, как и в других режимах (см. п. 3.2.3 на стр. 24). При настройке выбирайте значения по умолчанию. Но в ответ на вопрос, требуется ли интеграция с Postfix, укажите зна-чение n – интеграция не требуется.

Шаг 3. Настройка параметров перехвата В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf задайте следующие парамет-ры:

• В секции [AUTO_RESTART] настройте параметры автозапуска:

Разрешите автозапуск демона iw_sniffer: autorestart = On

Для всех остальных демонов отключите автозапуск: autorestart = Off


Если Sniffer и Traffic Monitor Server функционируют на одном компьютере, то не отключайте авто-запуск демонов.

• В секции [SNIFFER] укажите параметры перехвата (см. таблицу 11).


Таблица 11. Параметры работы iw_sniffer

Параметр Описание

Host IP-адрес, на который нужно принимать входящие со-единения

Port Порт, через который нужно принимать входящие со-единения

Шаг 4. Запуск Sniffer По окончании настройки запустите iw_sniffer: /etc/rc.d/init.d/iw-trafmon restart

3.3.3. Установка и настройка Traffic Monitor Server


Если у вас имеется установленная версия Traffic Monitor Server, то вы можете установить более новую версию путем обновления (см. главу 5 на стр. 67). После обновления проверьте и при необходимости откорректируйте настройки правил передачи трафика в файле /usr/local/infowatch/tm3/etc/tm.conf, секции [AUTO_RESTART], [PROXY], [PROXY_SMTP], [PROXY_HTTP], [PROXY_ICQ].



Установка ядра требуется только в случае, если Traffic Monitor Server и Sniffer будут установлены на од-ном компьютере.





Перезагрузите компьютер. Затем проверьте, что загружается именно ядро x.x.x-xx.ELringN, выпол-нив команду: uname –a



Шаг 2. Установка и настройка Traffic Monitor Server Установка и настройка выполняется также, как и в других режимах (см. п. 3.2.3 на стр. 24). Но при на-стройке в ответ на вопрос, требуется ли интеграция с Postfix, укажите значение n – интеграция не требу-ется.


Шаг 3. Настройка параметров приема копии трафика от Sniffer В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf, укажите следующие парамет-ры:

• В секции [PROXY] установите режим копирования: Mode = sniff

• Задайте параметры для используемых перехватчиков в секциях [PROXY_SMTP], [PROXY_HTTP], [PROXY_ICQ]. Необходимые параметры перечислены в таблице 12.

Таблица 12. Параметры перехватчиков

Параметр Пояснения

SnifferInterface

Сетевой интерфейс, через который будут посту-пать данные от коммутатора CISCO. Допускаются следующие варианты:

каждому перехватчику назначается отдельный сетевой интерфейс;

всем перехватчикам назначается один сетевой интерфейс

SnifferPorts

Порты, используемые для передачи данных оп-ределенному перехватчику. На обработку будут приняты пакеты, у которых заданные порты при-сутствуют в полях адрес источника и/или адрес назначения.

Допускается указывать порты путем перечисле-ния (разделитель – запятая) и/или определения диапазона (разделитель – тире). Например: "80, 8080 – 9090".

Примечание: Если трафик распределяется по-средством утилиты iw_forwarder, то значения SnifferPorts должны совпадать с номерами пор-тов, указанными в правиле для конкретного пере-хватчика. (Настройка правил выполняется на стороне iw_forwarder.)

SnifferEstabTimeout

Время ожидания (в сек), в течение которого со-единение должно перейти в состояние ESTABLISHED. Если состояние не изменилось, то соединение автоматически прекращается

SnifferConnectionTimeout Время сохранения соединения (в сек) при отсут-ствии пакетов

SnifferCloseTimeout Время сохранения соединения (в сек) при пере-ходе в состояние TIME_WAIT

SnifferQueueMemorySize

Объем памяти (в байтах), используемой для приема пакетов. При высокой загруженности ка-нала, можно увеличить значение. Диапазон зна-чений: от 1 до 500 Мб

SnifferClusterID

Идентификатор кластера, в который будет вклю-чен данный экземпляр Traffic Monitor Server.Задается в виде строки. Например, ICQ –1


Параметр Пояснения

SnifferHost IP-адрес экземпляра Traffic Monitor Server, на ко-тором запущен демон iw_sniffer

SnifferPort Порт, через который демон iw_sniffer принимает входящие соединения

• В секции [PROXY_HTTP] установите значение Off для параметров: TransparentMode, Stan-dAloneProxy, RequireNTLM, SkipNegotiate, BasicAuthAD, DisableResolve. Параметр ProxyTo должен оставаться закомментированным.

3.3.4. Установка и настройка Forwarder


Если у вас имеется установленная версия Traffic Monitor Server, то вы можете установить более новую версию путем обновления (см. главу 5 на стр. 67). После обновления проверьте и при необходимости откорректируйте настройки правил передачи трафика в файле /usr/local/infowatch/tm3/etc/tm.conf, секция [FORWARDER].






Перезагрузите компьютер. Проверьте, что загружается именно ядро x.x.x-xx.ELringNsmp, выполнив команду: uname –a



Шаг 2. Установка и настройка Traffic Monitor Server Установка и настройка выполняется также, как и в других режимах (см. п. 3.2.3 на стр. 24). При настройке выбирайте значения по умолчанию. Но в ответ на вопрос, требуется ли интеграция с Postfix, укажите зна-чение n – интеграция не требуется.

Шаг 3. Настройка параметров работы В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf выполните следующие на-стройки:

• В секции [AUTO_RESTART] настройте параметры автозапуска:

Разрешите автозапуск демона iw_forwarder: autorestart = On

Для всех остальных демонов отключите автозапуск:


autorestart = Off

• В секции [FORWARDER]задайте правила распределения трафика между различными экземпляра-ми Sniffer.

Настройка правил осуществляется при помощи параметра RuleN. Здесь N – номер правила. Пра-вила нумеруются, начиная с 1 и далее строго по порядку. Максимальное число правил 16. Если ка-кой-либо номер правила пропущен, то обработка оставшихся правил не ведется. Например, если в файле указаны правила Rule1, Rule2 и Rule4, то правило Rule4 и все последующие не обрабаты-ваются.

Для каждого вида трафика может быть создано несколько правил. Но одно правило может опре-делять работу только с одним видом трафика.

Правило составляется следующим образом: RuleN = источник,приемник:порты

Здесь:

• источник – сетевой интерфейс, от которого iw_forwarder принимает необработанные пакеты;

• приемник – сетевой интерфейс, через который пакеты передаются на Traffic Monitor Server;

• порты – список портов, через которые пакеты будут передаваться на обработку определенному перехватчику Traffic Monitor Server.


Список портов должен соответствовать списку портов, заданному в качестве значения параметра SnifferPorts для соответствующего перехватчика.

Допускается указывать порты путем перечисления (разделитель – запятая) и/или определения диапазона (разделитель – тире). Например: "25, 2020, 2025".


Для увеличения производительности Системы рекомендуется задавать последовательно идущие порты через диапазон.

Шаг 4. Запуск Forwarder По окончании настройки запустите iw_forwarder: /etc/rc.d/init.d/iw-trafmon restart

3.4. Подсистема загрузки объектов в удаленную базу данных В зависимости от конфигурации Системы возможны ситуации, когда база данных расположена удаленно от Traffic Monitor Server. Например, в организации может быть несколько филиалов, которые расположе-ны в разных городах. Тогда в каждом филиале устанавливается отдельный экземпляр Traffic Monitor Server (перехватчик). А в центральном офисе устанавливается принимающий экземпляр Traffic Monitor Server (загрузчик), с которого объекты загружаются в общую базу данных (см. пример на рисунке 11). Пе-редача данных при этом может осуществляться с низкой скоростью (но не менее 128 Кбит/с). Чтобы сни-зить нагрузку на сеть, объекты передаются в заархивированном виде, причем архивы делятся на части.

Передача очереди объектов осуществляется в процессе работы специальных сценариев отправ-ки/получения данных. За корректность работы с очередью отвечает утилита iw_qtool.


Для переноса всей очереди объектов требуется 3-4 последовательных запуска сценариев.


Рисунок 11. Пример Системы с двумя локальными экземплярами Traffic Monitor Server и удаленной базой данных

Развертывание подсистемы осуществляется в следующем порядке:

1. Настройка подсистемы на стороне загрузчика (см. п. 3.4.1 на стр. 35).

2. Создание копий сервера-загрузчика при наличии нескольких серверов-перехватчиков (см. п. 3.4.2 на стр. 37).

3. Настройка подсистемы на стороне перехватчика (см. п. 3.4.3 на стр. 39).

3.4.1. Настройка подсистемы на стороне сервера – загрузчика объектов Загрузчиком объектов в подсистеме является экземпляр Traffic Monitor Server, расположенный локально по отношению к базе данных (см. рис 11). В зависимости от конфигурации в Системе может быть не-сколько серверов-перехватчиков. Тогда для одного из перехватчиков настройка сервера-загрузчика вы-полняется в соответствии с указаниями этого раздела. А для остальных нужно создать копии загрузчиков – по одной копии на каждый перехватчик (см. п. 3.4.2 на стр. 37).

Перед тем как настраивать подсистему, установите Traffic Monitor Server (см. п. 3.2 на стр. 23).


В процессе установки необходимо учитывать, что имя владельца Traffic Monitor Server должно быть оди-наковым как на сервере-перехватчике, так и на сервере-загрузчике. (По умолчанию используется имя iwtm.)

Чтобы настроить подсистему на стороне сервера – загрузчика объектов:

1. Установите FTP-сервер (если он не был установлен предварительно).

Допускается использование сервера vsftpd из дистрибутива операционной системы либо другого FTP-сервера, совместимого с установленной операционной системой.

2. Создать директории, необходимые для работы сценариев, отвечающих за получение объектов: /usr/local/infowach/tm3/var /usr/local/infowach/tm3/var/lock /usr/local/infowach/tm3/var/log /usr/local/infowach/tm3/var/spool /usr/local/infowach/tm3/var/spool/iw-queue

Владельцем каждой директории нужно назначить владельца Traffic Monitor Server. Причем владе-лец должен иметь права на чтение, запись и выполнение в каждой директории.


3. Создайте учетную запись пользователя для приёма очереди объектов. Этого пользователя нужно включить в одну группу с владельцем Traffic Monitor Server (по умолчанию это группа oinstall).

4. Установите для домашней директории созданного пользователя права на чтение и выполнение для группы (по умолчанию это группа oinstall): chmod 750

5. Создайте в домашней директории пользователя директорию server-data. Установите для этой директории права на чтение, запись и выполнение для группы, в которую входит пользователь (по умолчанию это группа oinstall): chmod 0770

6. Настройте параметры сервера-загрузчика в файле queue-receiver-settings (см. таблицу 13). Путь к файлу: /usr/local/infowatch/tm3/etc/queue-receiver-settings

Таблица 13. Параметры сервера – загрузчика объектов


queue Путь к очереди сервера-загрузчика

qtool Путь к утилите iw_qtool.

incoming

Путь к очереди объектов, принимаемых от сервера-перехватчика.

Параметр определяет полный локальный путь к директории server-data на сер-вере-загрузчике. В эту директорию загружаются объекты, отправляемые на сер-вер-загрузчик. Типичный путь может выглядеть так: /home/ftpuser/server-data.


По соображениям безопасности не рекомендуется для загрузки данных использо-вать анонимный вход на FTP-сервер

inqueue

Путь к очереди успешно принятых объектов:

/usr/local/infowach/tm3/var/spool/iw-queue

Эта очередь должна находиться в одной файловой системе с очередью dstqueue

dstqueue

Путь к очереди, из которой объекты будут загружаться в базу данных:

/usr/local/infowach/tm3/queue/db

Эта очередь должна находиться в одной файловой системе с очередью inqueue

Примечание: На сервере-загрузчике существует единая очередь для загрузки объектов в базу данных (вне зависимости от количества удаленных перехватчи-ков).

7. Задайте отсутствующие настройки в файле по умолчанию queue-receiver-settings.default. (Находится в одной директории с файлом queue-receiver-settings).

Параметры файла описаны в таблице 13.

Настройки по умолчанию используются в тех случаях, когда основной конфигурационный файл от-сутствует или содержит некорректные настройки. Вы также можете вернуться к настройкам по умолчанию при необходимости.

8. Добавьте в файл /etc/cron.d/sysstat или /etc/crontab запись: */10 * * * * iwtm /usr/local/infowatch/tm3/bin/scripts/qmove/script-exec /usr/local/infowatch/tm3 queue-receiver


Здесь:

• iwtm – имя пользователя, являющегося владельцем Traffic Monitor Server. От имени этого поль-зователя будет запущен сценарий.


Имя владельца Traffic Monitor Server задается при установке Системы (см. п. 3.2.3 на стр. 24). Настройка хранится в файле /usr/local/infowatch/tm3/etc/tm.conf, секция [GENERAL].

• */10 – интервал (в минутах) между запусками сценария. В зависимости от загрузки серверов в подсистеме этот интервал можно изменять. Однако необходимо учитывать, что уменьшение интервала может привести к увеличению нагрузки, не только на перехватчик и загрузчик, но и на сервер базы данных.

9. Перезапустите cron: service crond restart

3.4.2. Создание копии подсистемы на стороне сервера – загрузчика объектов Если требуется получать объекты от нескольких удаленных серверов-перехватчиков, то для каждого до-полнительного перехватчика необходимо создать и настроить копию подсистемы.

Копия подсистемы создается в отдельной рабочей директории. Поэтому данные от удаленного сервера-перехватчика будут загружаться в отдельную директорию на сервере-загрузчике с использованием до-полнительной учётной записи. Копия подсистемы запускается планировщиком cron наряду с оригиналь-ной подсистемой и имеет собственный журнал работы.


При выполнении настроек указывайте корректный путь к директории Traffic Monitor Server. Например, /usr/local/infowatch/tm3-1/bin вместо /usr/local/infowatch/tm3/bin.

Установка дополнительного сервера-загрузчика

1. Создайте новую директорию с внутренней структурой, аналогичной стандартной структуре дирек-тории Traffic Monitor Server (набор директорий в /usr/local/infowatch/tm3). Однако имя копии должно отличиться. Например: /usr/local/infowatch/tm3-1/bin /usr/local/infowatch/tm3-1/bin/scripts /usr/local/infowatch/tm3-1/bin/scripts/qmove /usr/local/infowatch/tm3-1/etc


Далее в качестве примера используется директория /usr/local/infowatch/tm3-1.

2. Скопируйте все файлы из директории /usr/local/infowatch/tm3/bin/scripts/qmove в ди-ректорию /usr/local/infowatch/tm3-1/bin/scripts/qmove.

3. Скопируйте утилиту iw_qtool из директории /usr/local/infowatch/tm3/bin в директорию /usr/local/infowatch/tm3-1/bin.

4. Скопируйте конфигурационные файлы подсистемы из директории /usr/local/infowatch/tm3/etc в директорию /usr/local/infowatch/tm3-1/etc. Нужно скопировать следующие файлы: queue-sender-settings queue-sender-settings.default queue-receiver-settings queue-receiver-settings.default

5. Создайте директории, необходимые для работы сценариев, отвечающих за получение объектов: /usr/local/infowach/tm3/var /usr/local/infowach/tm3/var/lock


/usr/local/infowach/tm3/var/log /usr/local/infowach/tm3/var/spool /usr/local/infowach/tm3/var/spool/iw-queue

Владельцем каждой директории назначьте владельца Traffic Monitor Server. Причем владелец должен иметь права на чтение, запись и выполнение в каждой директории.

6. Создайте учетную запись пользователя для приёма очереди объектов. Этого пользователя нужно включить в одну группу с владельцем Traffic Monitor Server (по умолчанию – группа oinstall).


Для каждой копии сервера-загрузчика создается отдельная учетная запись. Имя и пароль этой учетной записи указывают затем на сервере-перехватчике, в настройках файла queue-sender-settings (см. таблицу 15).

7. Установите для домашней директории созданного пользователя права на чтение и выполнение для группы (по умолчанию – группа oinstall): chmod 750

8. Создайте в домашней директории пользователя директорию server-data. Установите для этой директории права на чтение, запись и выполнение для группы, в которую входит пользователь (по умолчанию это группа oinstall): chmod 0770

9. Настройте параметры сервера-загрузчика в файле /usr/local/infowatch/tm3-1/etc/queue-receiver-settings (описание параметров см. в таблице 14):

• отредактируйте значение переменной infowatch, указав правильный путь к копии Traffic Moni-tor Server. Например, вместо infowatch=/usr/local/infowach/tm3 задайте infowatch=/usr/local/infowach/tm3-1.

• для параметра incoming укажите правильный путь к директории server-data. Например, ес-ли для данной копии создана учетная запись ftpuser1, то путь будет таким: /home/ftpuser1/server-data.

• в настройках параметра dstqueue укажите путь к общей очереди загрузчика объектов. Для этого замените значение $infowach/queue/db на /usr/local/infowach/tm3/queue/db.

Таблица 14. Параметры сервера – загрузчика объектов


queue Путь к очереди сервера-загрузчика


incoming

Путь к очереди объектов, принимаемых от сервера-перехватчика.

Параметр определяет полный локальный путь к директории server-data на сервере-загрузчике (для каждой копии загрузчика должна быть указана своя директория). Например: /home/ftpuser1/server-data.


По соображениям безопасности не рекомендуется для загрузки данных использовать анонимный вход на FTP-сервер

inqueue

Путь к очереди успешно принятых объектов. Например: /usr/local/infowach/tm3-1/var/spool/iw-queue

Эта очередь должна находиться в одной файловой системе с очере-дью dstqueue



dstqueue

Путь к очереди, из которой объекты будут загружаться в базу данных. /usr/local/infowach/tm3/queue/db


На сервере-загрузчике существует единая очередь для загрузки объек-тов в базу данных (вне зависимости от количества удаленных пере-хватчиков).

10. Задайте отсутствующие настройки в файле по умолчанию queue-receiver-settings.default. (Находится в одной директории с файлом queue-receiver-settings).

Параметры файла описаны в таблице 13.



3.4.3. Настройка подсистемы на стороне сервера – перехватчика объектов Перехватчиком объектов в подсистеме является экземпляр Traffic Monitor Server, расположенный уда-ленно от базы данных (см. рис 11).

Перед тем как настраивать подсистему установите Traffic Monitor Server (см. п. 3.2 на стр. 23).


В процессе установки необходимо учитывать, что имя владельца Traffic Monitor Server должно быть оди-наковым как на сервере-перехватчике, так и на сервере-загрузчике. (По умолчанию используется имя iwtm.)

Чтобы настроить подсистему на стороне сервера – перехватчика объектов:

1. Установите программу Nc FTP Client версии 3.1.6 (если она не была установлена предварительно).

2. Создайте директории, необходимые для работы сценариев, отвечающих за перемещение объек-тов: /usr/local/infowach/tm3/var /usr/local/infowach/tm3/var/lock /usr/local/infowach/tm3/var/log /usr/local/infowach/tm3/var/spool /usr/local/infowach/tm3/var/spool/iw-queue /usr/local/infowach/tm3/var/spool/iw-queue/queue /usr/local/infowach/tm3/var/spool/iw-queue/files

Владельцем каждой директории нужно назначить владельца Traffic Monitor Server. Причем владе-лец должен иметь права на чтение, запись и выполнение в каждой директории.

3. В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf в секции [ORACLE] добавьте строку: RemoteServer = true

4. Настройте параметры сервера–перехватчика в файле queue-sender-settings (см. таблицу 15). Путь к файлу:

/usr/local/infowach/tm3/etc/queue-sender-settings.


Таблица 15. Параметры сервера-перехватчика


timeout Время ожидания (в минутах) отправки данных

portmode

Режим взаимодействия с FTP-сервером. Возможные значения:

truе – активный

false – пассивный

trycount

Количество попыток отправки данных.

Если по истечении указанного числа попыток не удалось отправить данные на сервер-загрузчик, то в директории /usr/local/infowach/tm3/var/spool/iw-queue/files создаётся файл st0pfile.


Последующая отправка данных (если не задан параметр trytimeout2) возмож-на, только после ручного удаления файла st0pfile. Информация об этом посту-пает в журнал при каждом запуске отправляющего сценария

trytimeout Время ожидания (в минутах) между попытками отправки данных получателю.

Примечание: Отсчет времени ведется с момента завершения неудачной попытки отправить данные

trytimeout2 Интервал времени (в минутах) перед следующей попыткой отправить данные по-сле создания файла st0pfile

queue Путь к очереди отправителя. Эта очередь должна находиться в одной файловой системе с очередью outpath


maxsize Максимальный размер очереди на диске (в килобайтах), означающий начало от-правки объектов

maxitem Максимальное количество объектов в очереди, означающее начало отправки

maxtime

Максимальный интервал (в минутах) между отправками данных.

Примечания:

По истечении указанного значения отправка очереди осуществляется только при наличии в исходной очереди хотя бы одного объекта. Если в очереди перехватчи-ка нет объектов, перенос очереди не осуществляется, а в журнал записывается соответствующее сообщение.

Если процедура отправки предыдущей партии объектов не была завершена, то перенос новых объектов из очереди не производится до ее завершения

outpath

Путь к временной очереди и хранилищу отправляемых объектов. Эта очередь должна находиться в одной файловой системе с очередью queue

Например: /usr/local/infowach/tm3/var/spool/iw-queue

Примечание: Хранилище отравляемых объектов должно содержать директории queue (временная очередь объектов) и files (директория для хранения объек-тов, ожидающих отправки на сервер-загрузчик).

chunksize Максимальный размер (в килобайтах) одной пересылаемой части архива



sendtype Способ отправки файлов. Параметр должен иметь значение ncftp. Это позволя-ет обеспечить контроль ошибок во время пересылки данных на удаленный сервер

server IP-адрес сервера – загрузчика объектов

username Имя пользователя – владельца данного экземпляра Traffic Monitor Server

password Пароль владельца Traffic Monitor Server

Задайте отсутствующие настройки в файле по умолчанию queue-sender-settings.default. (Находится в одной директории с файлом queue-sender-settings.)

Параметры файла описываются в таблице 15.


5. Добавьте в файл /etc/cron.d/sysstat или /etc/crontab запись: */10 * * * * iwtm /usr/local/infowatch/tm3/bin/scripts/qmove/script-exec /usr/local/infowatch/tm3 queue-sender

Здесь:

• iwtm – имя пользователя, являющегося владельцем Traffic Monitor Server. От имени этого поль-зователя будет запущен сценарий.


Имя владельца Traffic Monitor Server задается при установке Системы (см. п. 3.2.3 на стр. 24). Настройка хранится в файле /usr/local/infowatch/tm3/etc/tm.conf, секция [GENERAL].

• */10 – интервал (в минутах) между запусками сценария. В зависимости от загрузки серверов в подсистеме этот интервал можно изменять. Однако необходимо учитывать, что уменьшение интервала может привести к увеличению нагрузки, не только на перехватчик и загрузчик, но и на сервер базы данных.


3.4.4. Настройка протоколирования работы сценариев Журнал работы сценариев подсистемы ведётся в файле messages, который располагается (как правило) в директории /usr/local/infowatch/tm3/var/log. В журнал выводятся сообщения о результатах работы сценариев. Если сценарий запускается планировщиком cron, то эти сообщения отправляются пользователю root (при настройках по умолчанию) в виде e-mail сообщений.

При стандартных настройках Системы локальные письма от cron перехватываются системой Traffic Monitor и, следовательно, не будут доставлены пользователю root. Для решения проблемы добавьте в конфигурационный файл планировщика cron (/etc/cron.d/sysstat или /etc/crontab) запись:

>/dev/null 2>&1 (в конец строки, запускающей сценарий).

Эта запись направляет стандартный вывод на устройство null.

3.5. Management Console В данном разделе содержится информация по установке Management Console:


• Описание установки (п. 3.5.2 на стр. 42).


• Дополнительная настройка для отправки рапорта (п. 3.5.3 на стр. 42).

3.5.1. Рекомендации по установке На компьютере, на который будет установлена Management Console, необходимо установить клиентское программное обеспечение СУБД Oracle версии 11g R1 (11.1.0.6.0).


Установка клиента СУБД Oracle выполняется в соответствии с рекомендациями, которые приводятся в п. A.2.2 на стр. 89.

После установки клиента СУБД Oracle необходимо задать в системном реестре значение переменной окружения NLS_LANG равным RUSSIAN_CIS.AL32UTF8.

Путь к ключу реестра: HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\KEY_OraClient11g_home#\NLS_LANG

(где символ «#» означает некоторую цифру. Для KEY_OraClient11g_home# значение символа «#» будет совпадать со значением этого же символа для каталога OraHome_#).

3.5.2. Описание установки

Шаг 1. Запуск мастера установки На диске с дистрибутивом Системы откройте каталог Setup.Gui.Ru. В данном каталоге найдите и за-пустите файл setup.exe.

В результате на экран будет выведено окно приветствия мастера установки "Infowatch Traffic Monitor Management Console".

Нажмите кнопку Далее.

Шаг 2. Выбор каталога для установки Путь к каталогу, в который будет установлена Management Console, задан в поле ввода Папка.

Выберите один из вариантов создания ярлыка для Management Console:

• Для всех. Ярлык создается для каждого пользователя, зарегистрированного на данном компьюте-ре.

• Только для меня. Ярлык будет создан только для того пользователя, который выполнял установ-ку.

Нажмите кнопку Далее.

Шаг 3. Завершение работы мастера установки После перехода к окну Подтверждение установки, нажмите кнопку Далее, чтобы начать установку Man-agement Console.

Следуйте дальнейшим указаниям мастера, чтобы завершить установку Management Console.

3.5.3. Дополнительная настройка для отправки рапорта На всех компьютерах, с установленной Management Console, которые будут использоваться для отправки рапортов, необходимо внести изменения в настройки операционной системы. Для этого откройте Панель управления (Пуск ► Настройки ► Панель управления). Затем выберите компонент Язык и регио-нальные стандарты. В открывшемся диалоговом окне перейдите на вкладку Дополнительно и выбери-те русский язык для программ, не поддерживающих Юникод.



Работа с функцией отправки рапорта описывается в документе «InfoWatch Traffic Monitor. Руководство пользователя».

3.6. Лицензирование Специальный код, необходимый для получения лицензионного ключа, генерируется при помощи утилиты iw_lickey. Утилита iw_lickey входит в состав Traffic Monitor Server и после установки располагается в ка-талоге/usr/local/infowatch/tm3/bin. Кроме того, утилита iw_lickey может поставляться по запросу, отдельно от дистрибутива Системы.

Запуск данной утилиты можно выполнять как до, так и после установки системы InfoWatch Traffic Monitor.


Для ознакомления с Системой предусмотрен пробный период длительностью 30 дней. В течение этого времени Система может эксплуатироваться без установки полной лицензии. Однако если вы планируете продолжить эксплуатацию Системы, то вам нужно установить лицензию на выбранные перехватчики. В противном случае, по истечении пробного периода работа всех нелицензированных перехватчиков будет остановлена.

В данном разделе содержится следующая информация:

• Особенности использования лицензионного ключа (п. 3.6.1 на стр. 43).

• Установка лицензионного ключа (п. 3.6.2 на стр. 44).

• Замена лицензионного ключа (п. 3.6.3 на стр. 44).

3.6.1. Особенности использования лицензионного ключа При установке лицензионного ключа нужно учитывать следующее:

• Файл iw_licence.dat жестко привязан к программно-аппаратной конфигурации того компьюте-ра, на котором был сгенерирован файл iw_customer.dat. Таким образом, при переносе файла iw_licence.dat на другой компьютер функциональность InfoWatch Traffic Monitor будет недос-тупна.

Если в Системе имеется кластер Traffic Monitor Server, то для каждого экземпляра Traffic Monitor Server генерируется отдельный лицензионный ключ. Например, если в Системе три экземпляра Traffic Monitor Server, то всего должно быть сгенерировано три файла iw_customer.dat (по од-ному файлу от каждого экземпляра). И для каждого такого файла будет выслан отдельный файл iw_licence.dat.

• Разрешается обновление аппаратной и программной платформ (за исключением полной переус-тановки системы InfoWatch Traffic Monitor и замены системной платы).

• Повторное использование файла iw_licence.dat допускается только при необходимости полно-стью переустановить операционную систему. Поэтому рекомендуется сохранить данный файл на каком-либо носителе информации.

Если период действия лицензии истек, то работа нелицензированных компонентов будет остановлена. В этом случае необходимо продлить срок действия лицензии или удалить Систему. После удаления Сис-темы нужно перенастроить все подсистемы, работавшие через InfoWatch Traffic Monitor (см. п. 6.2 на стр. 72).


Если лицензия продлевается только на часть компонентов, то в этом случае Систему удалять не нужно. Однако для тех компонентов, на которые лицензия не продлевается, также необходимо выполнить пере-настройку параметров в соответствии с приведенными выше указаниями.


3.6.2. Установка лицензионного ключа


В данном разделе описывается применение лицензионного ключа для одного экземпляра Traffic Monitor Server. При наличии нескольких экземпляров Traffic Monitor Server необходимо повторить указанную ниже последовательность действий для каждого экземпляра.

Чтобы получить и установить лицензионный ключ:

1. Запустите утилиту iw_lickey. В результате работы данной утилиты будет создан файл iw_customer.dat.

2. Отправьте файл iw_customer.dat по электронной почте на адрес менеджера отдела продаж компании InfoWatch. При отправке файла укажите перехватчики, для которых требуется лицензия (см. п. 1.3 на стр. 9).

После получения файла iw_customer.dat менеджер направит вам по электронной почте файл iw_licence.dat.

3. Сохраните файл iw_licence.dat, полученный от сотрудника InfoWatch, в каталог /usr/local/infowatch/tm3/etc.


Файл с лицензионным ключом должен находиться на том же компьютере, на котором был сгенери-рован файл iw_customer.dat.

4. Выполните перезапуск демонов Traffic Monitor Server, чтобы новая лицензия вступила в действие: /etc/rc.d/init.d/iw-trafmon restart /etc/rc.d/init.d/iw-caserv restart

3.6.3. Замена лицензионного ключа При необходимости имеющаяся лицензия может быть заменена новой. Это возможно в следующих слу-чаях:

• после изменения аппаратной платформы того компьютера, на котором установлен Traffic Monitor Server;

• после изменения количества экземпляров Traffic Monitor Server;

• при необходимости изменить набор лицензированных перехватчиков.


В данном разделе описывается замена лицензионного ключа для одного экземпляра Traffic Monitor Server. При наличии в Системе нескольких экземпляров Traffic Monitor Server необходимо повто-рить указанную ниже последовательность действий для каждого экземпляра.

Чтобы заменить лицензионный ключ:

1. Запустите утилиту iw_lickey, чтобы сгенерировать файл iw_customer.dat.

2. Отправьте файл iw_customer.dat по электронной почте на адрес менеджера отдела продаж компании InfoWatch. При отправке файла укажите необходимые изменения (аппаратная платфор-ма, увеличение количества экземпляров Traffic Monitor Server, изменение состава перехватчиков). После получения файла iw_customer.dat менеджер направит вам по электронной почте новый файл iw_licence.dat.

3. Сохраните новый файл iw_licence.dat в каталог /usr/local/infowatch/tm3/etc взамен старого лицензионного ключа. (Файл должен быть сохранен на том же компьютере, на котором был сгенерирован файл iw_customer.dat.)

4. Выполните перезапуск демонов Traffic Monitor Server, чтобы новая лицензия вступила в действие: /etc/rc.d/init.d/iw-trafmon restart /etc/rc.d/init.d/iw-caserv restart


ГЛАВА 4. НАСТРОЙКА СИСТЕМЫ


• Режимы работы Transparent Proxy при перехвате HTTP-трафика (п. 4.1 на стр. 46).

• Сбор информации о пользователях, выполняющих HTTP-запросы (п. 4.2 на стр. 47).

• Настройка файла tm.conf (п. 4.3 на стр. 48).

• Настройка расширенного протоколирования (п. 4.4 на стр. 59).

• Обработка архивов и вложений. Настройка файла Detector.conf (п. 4.5 на стр. 59).

• Настройка интеграции с Postfix (п. 4.6 на стр. 60).

• Перенаправление HTTP-трафика в нормальном и прозрачном транспортном режимах (п. 4.7 на стр. 62).

• Перенаправление ICQ-трафика в нормальном и прозрачном транспортном режимах (п. 4.8 на стр. 64).

4.1. Режимы работы Transparent Proxy при перехвате HTTP-трафика Для перехвата HTTP-трафика в нормальном или прозрачном транспортном режиме вам потребуется на-строить режим работы Transparent Proxy. Transparent Proxy имеет несколько режимов работы. Настройка режимов осуществляется в файле /usr/local/infowatch/tm3/etc/tm.conf.

Режим Transparent

Transparent Proxy работает как прозрачный прокси- сервер, т.е. невидим для пользователей.

Настройки в файле tm.conf:

• TransparentMode = On

• StandAloneProxy = Off

Режим Non-transparent

Transparent Proxy работает как явный прокси-сервер и доступен для настройки в интернет-обозревателе.

Рекомендуется при использовании систем балансировки нагрузки.


• TransparentMode = Off

• Параметр ProxyTo должен быть раскомментирован. Необходимо указать для этого параметра значение корпоративного прокси-сервера, на который будут перенаправляться запросы от Trans-parent Proxy.

• StandAloneProxy = Off

Режим Stand Alone Proxy

Transparent Proxy работает как явный прокси-сервер. Если выбран этот режим работы, то не указывайте Transparent Proxy как прокси-сервер в настройках интернет-обозревателя.

Рекомендуется, если HTTP-трафик перенаправляется на Transparent Proxy через межсетевой экран. Причем в межсетевом экране настроена трансляция IP-адреса сервера – получателя запроса в IP-адрес Transparent Proxy.

В данном режиме адрес сервера, которому направлен HTTP-запрос, вычисляется по содержимому этого запроса.

Настройка системы 47


В данном режиме будут пропускаться только запросы, адресованные web-серверам. Запросы, идущие через прокси-серверы, выполняться не будут


• StandAloneProxy = On

4.2. Сбор информации о пользователях, выполняющих HTTP-запросы Transparent Proxy может извлекать информацию о пользователях, выполняющих HTTP-запросы, из дан-ных, полученных при авторизации на прокси-сервере. Параметры сбора информации можно настроить в файле /usr/local/infowatch/tm3/etc/tm.conf.


Сбор информации о пользователях по данным авторизации возможен, только если Transparent Proxy ра-ботает в режиме Transparent или Non-transparent.

Поддерживаются следующие механизмы авторизации:

• Basic. В данном случае Transparent Proxy идентифицирует пользователя по имени, включенному в состав HTTP-запроса. По умолчанию данные извлекаются только из HTTP-запроса (параметр BasicAuthAD = Off). Однако если имена пользователей прокси-сервера соответствуют домен-ным именам пользователей, можно установить для этого параметра значение On. Тогда дополни-тельные сведения о пользователе (имя и фамилия) могут быть получены из Microsoft Active Directory.

• NTLM. Имя пользователя идентифицируется по NTLM-сообщению, которое используется при та-ком типе авторизации. По данным NTLM-сообщения из Microsoft Active Directory извлекается до-полнительная информация о пользователе (имя и фамилия).

В процессе NTLM-авторизации клиент и прокси-сервер трижды обмениваются сообщениями. По-этому при стандартных настройках Transparent Proxy (RequireNTLM = Off и SkipNegotiate = Off) в базу данных сохраняются три одинаковых запроса. Исключить наличие дубликатов можно при помощи следующих настроек:

− RequireNTLM = On. Использование принудительной NTLM-авторизации позволяет избавиться от одного дубликата запроса. А также гарантирует применение поддерживаемого механизма авторизации и, как следствие, возможность получения информации о пользователях, выпол-няющих HTTP-запросы.


Некоторые программы не могут выполнять HTTP-запросы при наличии NTLM-авторизации. Ес-ли применение таких программ необходимо, то установите для параметра RequireNTLM значе-ние Off.

− SkipNegotiate = On. При такой настройке в базу данных не будут сохраняться NTLM-сообщения Negotiate. Это также позволяет избавиться от одного дубликата запроса.

Если параметр RequireNTLM = On, то запрет на сохранение NTLM-сообщений Negotiate может привести к полному отключению контроля над HTTP-трафиком. В частности, такая ситуация возможна, если на корпоративном прокси-сервере отключена авторизация пользователей. Та-ким образом, включение данного параметра необходимо использовать с осторожностью.

Если извлечение данных о пользователе невозможно, то Transparent Proxy определяет имя компьютера, с которого был отправлен HTTP-запрос, по его IP-адресу. Если данный механизм значительно снижает скорость обработки HTTP-запросов, то вы можете отключить его. Для этого задайте для параметра DisableResolve значение On.


4.3. Настройка файла tm.conf Все компоненты Traffic Monitor Server используют общий файл настроек tm.conf. Путь к файлу: /usr/local/infowatch/tm3/etc/tm.conf


В конфигурационном файле tm.conf имеется ряд настроек, которые не рекомендуется изменять. Дан-ные настройки в настоящей документации не описываются.

Часть параметров, указанных в конфигурационном файле, задается в процессе установки Traffic Monitor Server (см. п. 3.2.3 на стр. 24).

В данном подразделе содержится следующая информация:

• Секция [GENERAL] (п. 4.3.1 на стр. 48).

• Секция [AUTO_RESTART] (п. 4.3.2 на стр. 49).

• Секция [SMTPD] (п. 4.3.3 на стр. 49).

• Секция [MESSED] (п. 4.3.4 на стр. 50).

• Секция [DELIVERD] (п. 4.3.5 на стр. 51).

• Секция [QUEUE] (п. 4.3.7 на стр. 51).

• Секция [PROXY] (п. 4.3.8 на стр. 52).

• Секция [PROXY_ICQ] (п. 4.3.9 на стр. 52).

• Секция [PROXY_HTTP] (п. 4.3.10 на стр. 53).

• Секция [PROXY_SMTP] (п. 4.3.11 на стр. 55).

• Секция [FORWARDER] (п. 4.3.12 на стр. 55).

• Секция [CAS] (п. 4.3.13 на стр. 56).

• Секция [DBLOADER] (п. 4.3.14 на стр. 57).

• Секция [FILTER] (п. 4.3.15 на стр. 57).

• Секция [ORACLE] (п. 4.3.16 на стр. 57).

• Секция [EXPRESSD] (п. 4.3.17 на стр. 57).

• Секция [DEVMON] (п. 4.3.18 на стр. 58).

• Секция [EXTRACTOR] (п. 4.3.19 на стр. 58).

• Секция [UPDATER] (п. 4.3.20 на стр. 58).

• Секция [SNMPD] (п. 4.3.21 на стр. 58).

• Секция [LDAP] (п. 4.3.22 на стр. 59).

4.3.1. Секция [GENERAL] В секции [GENERAL] заданы общие параметры:

• User. Имя пользователя – владельца Traffic Monitor Server (от имени которого запускаются про-цессы Traffic Monitor Server). Значение по умолчанию iwtm.


Настоятельно не рекомендуется менять значение параметра User, так как это может привести к неработоспособности системы. Если необходимость в смене данного параметра все же возникла, то лучше выполнить переустановку Системы с помощью инсталлятора (см. п. 3.2 на стр. 23).

• Group. Группа, членом которой является данный пользователь. Значение по умолчанию oinstall.



Если в процессе работы значение параметра Group будет изменено, то необходимо также указать новое значение данного параметра в файле /etc/crontab.

• Root. Путь к корневому каталогу Системы. Значение по умолчанию /usr/local/infowatch/tm3.

4.3.2. Секция [AUTO_RESTART] В секции [AUTO_RESTART] перечислены параметры демонов, которые запускаются автоматически. Ав-тозапуск возможен для демонов:

• iw_sniffer,

• iw_forwarder,

• iw_messed,

• iw_deliverd,

• iw_smtpd,

• iw_expressd,

• iw_proxy ICQ,

• iw_proxy HTTP,

• iw_proxy SMTP,

• iw_dbloader,

• iw_updater,

• iw_snmpd.

Для каждого демона имеется одинаковый набор параметров:

• autorestart. Управление запуском демона (значение On). Если управлять запуском демона не требуется, установите значение Off.

• command. Команда для запуска демона.

• args. Аргументы команды.

4.3.3. Секция [SMTPD] В секции [SMTPD] указаны параметры настройки демона iw_smtpd (перехват SMTP-трафика в нор-мальном и прозрачном транспортных режимах):

• Daemon. Запуск в режиме демона (значение On) или в режиме обычного процесса (значение Off). Значение по умолчанию On.

• LogLevel. Уровень протоколирования (от 1 до 5 или 10 для отладочной информации). Если ус-тановлено значение 0, то протоколируются только ошибки. Значение по умолчанию 0.

• MaxThreads. Максимальное количество потоков. Значение по умолчанию 4.

• MaxMsgSize. Максимальный размер письма (в байтах). Значение по умолчанию 8000000.

• Domain. Доменное имя принимающего SMTP-сервера.

• CoreDumpSize. Размер (в байтах) дампа памяти. Данный параметр используется для разбора ошибочных ситуаций. Рекомендуется указывать значение -1 (отсутствие ограничений на размер дампа памяти). Значение 0 указывают, если запись не ведется. Значение по умолчанию -1.

• ListenAddr. Адрес сервера, на котором запущен процесс прослушивания. Значение по умолча-нию 0.0.0.0.


• ListenPort. Порт сервера, на котором запущен процесс прослушивания. Значение по умолча-нию 2025.

• MinDiskSpace. Минимальный свободный объем дискового пространства (в процентах), при кото-ром возможен прием сообщений. Значение по умолчанию 1.

• SocketTimeout. Время ожидания (в сек) успешного завершения любых сетевых операций. Значе-ние по умолчанию 1200.

• NoDNSLookups. Параметр определяет, будет ли выполняться DNS-преобразование IP-адресов клиентов. Отказ от DNS-преобразования позволяет увеличить производительность демона iw_smtpd. Чтобы отказаться от DNS-преобразования укажите значение True. Если требуется вы-полнять DNS-преобразование, установите значение False. Значение по умолчанию True.

• MaxLoadAvg. Максимальная нагрузка на систему, в которой запущен демон iw_smtpd (пороговое значение, выраженное в условных единицах). Если загрузка системы равна указанному порогово-му значению или превышает его, демон iw_smtpd прекращает прием писем. Когда нагрузка на систему будет снижена, прием писем возобновляется. Значение по умолчанию 10.

• MaxHopCount. Максимальное количество приемов письма. Отсчет ведется от 0: при N = 0 письмо будет принято 1 раз. Значение по умолчанию 10.

Вывод о том, что прием письма осуществляется повторно, может быть сделан на основании сле-дующих признаков:

− Имя компьютера, на котором запущен демон iw_smtpd, встречается в заголовках письма более N раз (под N подразумевается значение параметра MaxHopCount). В этом случае письмо не принимается: считается, что произошло зацикливание Системы.

− Значение параметра ListenAddr из данной секции встречается в заголовке Received письма не менее N раз. Такое письмо не принимается, так как считается, что письмо уже было принято ранее.

4.3.4. Секция [MESSED] В секции [MESSED] заданы настройки параметров демона iw_messed (передача SMTP-трафика в нор-мальном и прозрачном транспортных режимах):



• MaxThreads. Максимальное число обрабатывающих потоков. Значение по умолчанию 4.


• Relay. Доменное имя почтового relay-сервера. Значение по умолчанию 127.0.0.1.

• RelayPort. Порт почтового relay-сервера. Значение по умолчанию 2020.

• Timeout. Время ожидания (в сек) SMTP-клиента перед отправкой письма. Значение по умолча-нию 1200.

• Script. Путь к файлу сценария, в соответствии с которым подсистема DAE выполняет анализ и обработку объектов данного типа. Сценарий находится в каталоге etc/scripts/tm.lua (путь за-дается относительно текущего каталога, которым является корневой каталог Системы).

• DefaultScript. Путь к сценарию «по умолчанию», который будет использоваться при ошибках в работе основного сценария. Сценарий расположен в каталоге etc/scripts/default.lua (путь задается относительно текущего каталога, которым является корневой каталог Системы).


4.3.5. Секция [DELIVERD] В секции [DELIVERD] заданы параметры демона iw_deliverd (передача SMTP-трафика в нормальном и прозрачном транспортных режимах):



• MaxRetries. Максимальное число попыток доставить сообщение. Значение по умолчанию 3.

• RetryTimeout Время ожидания (в сек), по истечении которого предпринимается очередная по-пытка доставить сообщение (значение по умолчанию 10).


• CheckPeriod. Интервал времени (в сек) между проверками на поступление новых сообщений. Значение по умолчанию 5.

• HeloDomain. Значение команды HELLO SMTP-диалога. Внутренний домен smtp.dmz.xxx.

• Relay. Доменное имя почтового relay-сервера. Значение по умолчанию 127.0.0.1.

• RelayPort. Порт почтового relay-сервера. Значение по умолчанию 2020.

• Timeout. Время ожидания (в сек) SMTP-клиента перед отправкой письма. Значение по умолча-нию 1200.

4.3.6. Секция [SNIFFER] В секции [SNIFFER] заданы параметры демона iw_sniffer:


• Host. IP-адрес, на который нужно принимать входящие соединения.

• Port. Порт, через который нужно принимать входящие соединения.

4.3.7. Секция [QUEUE] В секции [QUEUE] заданы параметры очередей объектов:

• DB. Путь к очереди объектов, загружаемых в базу данных. Значение по умолчанию ./queue/db (путь указан относительно текущего каталога, которым является корневой каталог Системы).

• Smtp. Путь к очереди SMTP-писем. Значение по умолчанию ./queue/smtp (путь указан относи-тельно текущего каталога, которым является корневой каталог Системы).

• Error. Путь к очереди SMTP-писем, обработка которых была прекращена вследствие ошибки, де-лающей невозможной дальнейшую обработку. В эту очередь попадают письма с ошибками, про-изошедшими на этапе получения писем демоном iw_messed или при загрузке в базу данных. Зна-чение по умолчанию ./queue/error (путь указан относительно текущего каталога, которым яв-ляется корневой каталог Системы).

• CheckPeriod. Период ожидания (в мсек) между проверками на поступление новых писем в оче-редь входящих SMTP-писем. Значение по умолчанию 1000.


4.3.8. Секция [PROXY] В секции [PROXY] заданы общие параметры настройки демона iw_proxy (Transparent Proxy) :




• ListenAddr. Адрес сервера, на котором запущен процесс прослушивания объектов ICQ- и HTTP-трафика. Значение по умолчанию 0.0.0.0.

• Module. Тип перехватчика (icq, http или SMTP). Значение по умолчанию icq.

• Mode. Способ перехвата трафика. Возможные значения:

− normal. Перехват трафика ведется в нормальном или прозрачном транспортном режиме.

− sniff. Перехват трафика ведется в режиме SPAN-копии.

4.3.9. Секция [PROXY_ICQ] В секции [PROXY_ICQ] заданы параметры, необходимые для обработки ICQ-сообщений:

• MessageWindow. Количество ICQ-сообщений, которые будут отображаться единой группой в Man-agement Console. Значение по умолчанию 2.

• ListenPort. Порт, на котором запущен процесс прослушивания ICQ-сообщений. Допускается ис-пользование портов с номерами от 1025. Значение по умолчанию 5191.

Параметр не используется в режиме SPAN-копии.

• Script. Путь к файлу сценария, в соответствии с которым подсистема DAE выполняет анализ и обработку объектов. Сценарий находится в каталоге etc/scripts/tm.lua (путь задается отно-сительно текущего каталога, которым является корневой каталог Системы).

• DefaultScript. Путь к сценарию по умолчанию, который будет использован при ошибках в рабо-те основного сценария. Файл расположен в каталоге etc/scripts/default.lua (путь задается относительно текущего каталога, которым является корневой каталог Системы).

Параметры, необходимые для работы в режиме SPAN-копии (по умолчанию закомментированы):

• SnifferInterface. Сетевой интерфейс, от которого будет поступать копия ICQ-трафика. Вы мо-жете задать одно из следующих значений: eth0, eth1 и т. д.


Допускается прием ICQ- и HTTP-трафика от одного сетевого интерфейса.

• SnifferPorts. Определяет порт(ы), от которых пакеты будут передаваться на обработку пере-хватчику ICQ-сообщений. На обработку будут приняты пакеты, у которых заданные порты присут-ствуют в полях адрес источника и/или адрес назначения. Допускается указывать порты путем пе-речисления (разделитель – запятая) и/или определения диапазона (разделитель – тире). Напри-мер: "5191, 5190".

• SnifferEstabTimeout. Время ожидания (в сек), в течение которого соединение должно перейти в состояние ESTABLISHED. Если состояние не изменилось, то соединение автоматически прекра-щается.

• SnifferConnectionTimeout. Время сохранения соединения (в сек) при отсутствии пакетов.

• SnifferCloseTimeout. Время сохранения соединения (в сек) при переходе в состояние TIME_WAIT.


• SnifferQueueMemorySize. Объем памяти (в байтах), используемой для приема пакетов. При вы-сокой загруженности канала, можно увеличить значение. Диапазон значений: от 1 до 500 Мб

• SnifferClusterID. Идентификатор кластера, в который будет включен данный экземпляр Traffic Monitor Server.Задается в виде строки. Например, ICQ – 1.

• SnifferHost. IP-адрес экземпляра Traffic Monitor Server, на котором запущен демон iw_sniffer.

• SnifferPort. Порт, через который демон iw_sniffer принимает входящие соединения.

4.3.10. Секция [PROXY_HTTP] В секции [PROXY_HTTP] заданы параметры, необходимые для обработки HTTP-запросов:

• ListenPort. Порт, на котором запущен процесс прослушивания HTTP-запросов. Допускается ис-пользование портов с номерами от 1025. Значение по умолчанию 1081.



• DefaultScript. Путь к сценарию по умолчанию, который будет использован при ошибках в рабо-те основного сценария. Файл расположен в каталоге etc/scripts/default.lua (путь задается относительно текущего каталога, которым является корневой каталог Системы).

• MinText. Минимальный объем текста (в байтах), для которого будет проводиться контентный ана-лиз. Значение по умолчанию 5 байт. Настройка данного параметра позволяет снизить нагрузку на CAS. Это может быть достигнуто путем отказа от контентного анализа текста, размер которого на-столько мал, что не позволяет передавать значимые сообщения.

• ErrorMessage. Сообщение, которое направляется пользователю, выполняющему HTTP-запрос, в случае если запрос был заблокирован Transparent Proxy.


• ErrorHTML. Путь к HTML-файлу, в котором содержится сообщение, выводимое в окне интернет-обозревателя, если запрос пользователя был заблокирован Системой. Значение по умолчанию etc/error.html. (путь указан относительно текущего каталога, которым является корневой каталог Системы).


• SetCp1251. Использование кодовой таблицы windows-1251 вместо mac-cyrillic при автоматиче-ском определении кодировки текста в HTTP-запросе. Значение по умолчанию On. Если в вашей организации применяется программное обеспечение, использующее кодировку windows-1251, то рекомендуется оставить этот параметр включенным (значение On). Автоматическое определение кодовой таблицы в ряде случаев может происходить некорректно. В частности, при недостаточно большом объёме русскоязычного текста возможен выбор кодировки mac-cyrillic вместо windows-1251.

• MaxMemoryBlock. Максимальный объем данных POST-запроса (в килобайтах), которые могут хра-ниться в оперативной памяти. Блоки большего размера будут выгружаться во временные файлы. Значение по умолчанию 1024 Кб.

Параметры для настройки режима работы Transparent Proxy (см. также п. 4.1 на стр. 46):


При перехвате HTTP-трафика в режиме SPAN-копии параметры TransparentMode и StandAloneProxy должны иметь значение Off. А параметр ProxyTo необходимо оставить закоммен-тированным.

• TransparentMode. Режим работы Transparent Proxy. По умолчанию параметр имеет значение On – Transparent Proxy работает в режиме прозрачного прокси-сервера, т.е. невидим для пользовате-лей. Если установить значение Off, то Transparent Proxy будет работать как явный прокси-сервер


и будет доступен для настройки в интернет-обозревателе. Кроме того, можно установить режим Stand Alone Proxy (см. следующий параметр).

• StandAloneProxy. Режим работы Transparent Proxy, когда адрес сервера, которому адресован HTTP-запрос, вычисляется по содержимому этого запроса. Если не удается получить адрес серве-ра, то запрос не выполняется (например, письмо, отправленное через web-почту, доставлено не будет). По умолчанию параметр имеет значение Off –режим отключен.

• ProxyTo. Адрес и порт корпоративного прокси-сервера, через который выполняются HTTP-запросы. По умолчанию данный параметр закомментирован. Однако если параметр TransparentMode имеет значение Off, то необходимо раскомментировать данный параметр и указать адрес и порт корпоративного прокси-сервера, на который будут перенаправляться HTTP-запросы от Transparent Proxy.

Параметры идентификации пользователей по данным авторизации на прокси-сервере (подробнее см. п. 4.2 на стр. 47):


При перехвате HTTP-трафика в режиме SPAN-копии параметры RequireNTLM, SkipNegotiate, Basi-cAuthAD и DisableResolve должны иметь значение Off.

• RequireNTLM. Запрос NTLM-авторизации. По умолчанию имеет значение Off – обязательная NTLM-авторизация не требуется. NTLM-авторизация необходима для корректного извлечения данных о пользователе, выполняющем HTTP-запрос, из каталога Microsoft Active Directory. Поэто-му рекомендуется установить для данного параметра значение On (если NTLM-авторизация допус-кается корпоративной политикой безопасности).


Некоторые программы не могут выполнять HTTP-запросы при наличии NTLM-авторизации. Если применение таких программ необходимо, то установите для параметра RequireNTLM значе-ние Off.

• SkipNegotiate. Отказ от обработки NTLM-сообщений Negotiate. Если параметр имеет значение On, то подобные сообщения не будут обрабатываться. Значение по умолчанию Off.

• BasicAuthAD. Режим Basic-авторизации. Если этот режим включен, то имя пользователя из Basic-авторизации будет применяться для получения дополнительной информации (имени и фамилии пользователя) из Microsoft Active Directory. Данный параметр целесообразно применять только в случае, когда имена пользователей прокси-сервера соответствуют доменным именам пользовате-лей.

• DisableResolve. Запрет на определение сетевого имени компьютера, от которого получен HTTP-запрос (значение On). Выполняется при отсутствии данных авторизации в HTTP-запросе. Значение по умолчанию Off – запрет снят.

Параметры, необходимые для работы в режиме SPAN-копии:

• SnifferInterface. Сетевой интерфейс, от которого будет поступать копия HTTP-трафика. Вы можете задать одно из следующих значений: eth0, eth1 и т. д. По умолчанию параметр закоммен-тирован.


Допускается прием HTTP- и ICQ -трафика от одного сетевого интерфейса.

• SnifferPorts. Определяет порт(ы), от которых пакеты будут передаваться на обработку пере-хватчику HTTP-запросов. На обработку будут приняты пакеты, у которых заданные порты присут-ствуют в полях адрес источника и/или адрес назначения. Допускается указывать порты путем пе-речисления (разделитель – запятая) и/или определения диапазона (разделитель – тире). Напри-мер: "80, 8080 – 9090". По умолчанию параметр закомментирован.









4.3.11. Секция [PROXY_SMTP] В секции [PROXY_SMTP] задаются параметры, необходимые для передачи SMTP-трафика в режиме SPAN-копии:

• SnifferInterface. Сетевой интерфейс, от которого будет поступать копия SMTP-трафика. Вы можете задать одно из следующих значений: eth0, eth1 и т. д. По умолчанию параметр закоммен-тирован.


Допускается прием SMTP, HTTP- и ICQ -трафика от одного сетевого интерфейса.

• SnifferPorts. Определяет порт(ы), от которых пакеты будут передаваться на обработку пере-хватчику SMTP-писем. На обработку будут приняты пакеты, у которых заданные порты присутст-вуют в полях адрес источника и/или адрес назначения. Допускается указывать порты путем пере-числения (разделитель – запятая) и/или определения диапазона (разделитель – тире). Например: "25, 2020, 2025". По умолчанию параметр закомментирован.








4.3.12. Секция [FORWARDER] В секции [FORWARDER] заданы параметры демона iw_forwarder:



• RuleN. Правила передачи копии трафика от коммутатора CISCO перехватчикам Traffic Monitor Server. Здесь N – номер правила. Правила нумеруются, начиная с 1 и далее строго по порядку. Максимальное число правил 16.


Если какой-либо номер правила пропущен, то обработка оставшихся правил не ведется. Напри-мер, если в файле указаны правила Rule1, Rule2 и Rule4, то правило Rule4 и все последующие не будут обработаны.

Правило составляется следующим образом: RuleN = источник,приемник:порты

Здесь:

− источник – сетевой интерфейс, от которого iw_forwarder принимает необработанные пакеты;

− приемник – сетевой интерфейс, через который пакеты передаются на Traffic Monitor Server;

− порты – список портов, через которые пакеты будут передаваться на обработку определенному перехватчику Traffic Monitor Server. Допускается указывать порты путем перечисления (разде-литель – запятая) и/или определения диапазона (разделитель – тире). Например: "25, 2020, 2025". Но для увеличения производительности Системы рекомендуется задавать последова-тельно идущие порты именно через диапазон.

По умолчанию параметр RuleN закомментирован.

Пример правила: Rule1 = eth0,eth1:80,8080–9090

4.3.13. Секция [CAS] В секции [CAS] задаются параметры подсистемы контентного анализа:



• ListenAddr. Адрес CAS, на котором запущен процесс прослушивания запросов на обработку текста, поступающих от DAE. Значение по умолчанию localhost

• ListenPort. Порт CAS, на котором запущен процесс прослушивания. Значение по умолча-нию 4201.

• СonnectionTimeout. Период времени (в секундах), в течение которого ожидается соединение с CAS. Значение по умолчанию 300.

• CheckCount. Количество проверок, выполняемых CAS перед перезагрузкой потока. Значение по умолчанию 100.

• MaxInstances. Максимальное количество соединений, которые одновременно может поддержи-вать CAS. Значение по умолчанию 2.

• Timeout. Период времени (в мсек), в течение которого выполняется обработка запросов подсис-темой CAS. Значение по умолчанию 30.

• FilterXmlBase. Путь к каталогу, в котором хранится XML-файл с базой контентной фильтрации, загруженной из Management Console. Значение по умолчанию /cas/base.xml (путь указан отно-сительно текущего каталога, которым является корневой каталог Системы).

• ConfBase. Путь к каталогу, в котором хранится база контентной фильтрации, используемая дан-ным модулем. База контентной фильтрации хранится в каталоге /cas/cfdata (путь указан отно-сительно текущего каталога, которым является корневой каталог Системы).

• FilterXmlBaseParser. Путь к каталогу, в котором расположена программа-компилятор, преоб-разующая XML-файл в базу контентной фильтрации, пригодную для CAS. Значение по умолчанию bin/cfdata_compiler (путь указан относительно текущего каталога, которым является корне-вой каталог Системы).

• VersionFile. Путь к каталогу, в котором хранится файл, содержащий информацию о базе кон-тентной фильтрации, используемой CAS в текущий момент. Значение по умолчанию


etc/cas_version.dat (путь указан относительно текущего каталога, которым является корне-вой каталог Системы).

4.3.14. Секция [DBLOADER] В секции [DBLOADER] заданы параметры для настройки демона iw_dbloader:





4.3.15. Секция [FILTER] В секции [FILTER] указаны общие параметры CAS:

• Server. Адрес, к которому подключаются все демоны, взаимодействующие с CAS. Значение по умолчанию 127.0.0.1.

• Port. Порт, к которому подключаются все демоны, взаимодействующие с CAS. Значение по умол-чанию 4201.

4.3.16. Секция [ORACLE] Параметры соединения с сервером базы данных заданы в секции [ORACLE]:

• Username. Имя учетной записи владельца схемы базы данных.

• Password. Пароль учетной записи владельца схемы базы данных.

• Connstr. Строка соединения с сервером базы данных (псевдоним сервера из файла tnsnames.ora).

4.3.17. Секция [EXPRESSD] В секции [EXPRESSD] заданы параметры демона iw_expressd:





• ListenAddr. Адрес сервера, на котором запущен процесс прослушивания объектов, поступающих от системы InfoWatch Device Monitor. Значение по умолчанию 0.0.0.0.

• ListenPort. Порт сервера, на котором запущен процесс прослушивания. Значение по умолча-нию 4101.


4.3.18. Секция [DEVMON] В секции [DEVMON] настраиваются параметры, необходимые для обработки объектов InfoWatch Device Monitor:


• DefaultScript. Путь к сценарию по умолчанию, который будет использован при ошибках в рабо-те основного сценария. Файл расположен в каталоге etc/scripts/default.lua (путь задан от-носительно текущего каталога, которым является корневой каталог Системы).

4.3.19. Секция [EXTRACTOR] В секции [EXTRACTOR] указаны параметры, используемые при извлечении файлов из архивов и вложе-ний:

• DetectorPath. Путь к файлу, в котором хранится база данных сигнатур, необходимых для опре-деления архивов и вложений. Файл расположен в каталоге etc/detector.conf (путь задается относительно текущего каталога, которым является корневой каталог Системы).

• TempDir. Путь к каталогу, в который временно сохраняются извлеченные файлы. Значение по умолчанию ./temp (путь указан относительно текущего каталога, которым является корневой ка-талог Системы).

4.3.20. Секция [UPDATER] В секции [UPDATER] указаны параметры, необходимые для загрузки конфигурации из базы данных на Traffic Monitor Server:


• LogLevel. Уровень протоколирования (от 1 до 7). Если протоколирование не требуется, устанав-ливают значение 0. Значение по умолчанию 2.

• cas_script. Путь к файлу сценария, в соответствии с которым база контентной фильтрации за-гружается в подсистему CAS. Сценарий находится в каталоге etc/cas_reload.sh (путь задается относительно текущего каталога, которым является корневой каталог Системы).

• tmserver_script. Путь к файлу сценария, в соответствии с которым выполняется загрузка кон-фигурации для подсистемы DAE. Сценарий находится в каталоге etc/tmserver_reload.sh (путь задается относительно текущего каталога, которым является корневой каталог Системы).

4.3.21. Секция [SNMPD] В секции [SNMPD] заданы параметры настройки демона iw_snmpd:




• ListenPort. Порт, на котором запущен процесс прослушивания SNMP-запросов. Значение по умолчанию 161.


• ListenAddr. Адрес сервера, на котором запущен процесс прослушивания SNMP-запросов. Зна-чение по умолчанию 0.0.0.0.

• ContactEmail. Адрес электронной почты, который будет отображаться в информационном раз-деле программного обеспечения, используемого для SNMP-мониторинга.

• SysName. Информация о Системе, которая будет отображаться в информационном разделе про-граммного обеспечения, используемого для SNMP-мониторинга.

4.3.22. Секция [LDAP] В секции [LDAP] заданы параметры взаимодействия с Microsoft Active Directory:

• Host. Имя сервера Microsoft Active Directory.

• Base. Базовый домен (LDAP base), от которого ведется поиск данных.

• Login. Учетная запись пользователя, от имени которого выполняется подключение к Microsoft Ac-tive Directory. Запись указывается в формате Domain\Login.

• Password. Пароль пользователя, от имени которого выполняется подключение к Microsoft Active Directory.

4.4. Настройка расширенного протоколирования Чтобы настроить расширенное протоколирование для одного или нескольких процессов Traffic Monitor Server, необходимо:

1. В файле tm.conf установить для параметра LogLevel значение 3 или выше.

2. Разрешить запись сообщений с соответствующим уровнем протоколирования в системный журнал /etc/syslog.conf. Для этого нужно добавить в строку для /var/log/messages следующее значение: *.debug;

3. После внесения изменений в системный журнал перезапустите службу syslog: service syslog restart

4.5. Обработка архивов и вложений. Настройка файла Detector.conf В файле detector.conf хранится база данных сигнатур, c помощью которых определяется тип файлов при распаковке вложений и архивов.

Секция [common] предназначена для настройки общих параметров:

• timeout – время ожидания (в сек) завершения обработки файла, например:

timeout = 10

В остальных секциях указываются сигнатуры, при помощи которых детектируются типы файлов, находя-щиеся во вложениях и архивах. Каждая секция содержит одинаковый набор параметров:

• Ext – расширение файла архива, например: Ext = bz2

• Sign – сигнатура формата, которая представляет собой «образцовую» последовательность зна-чений (байтов) с начальным смещением и масками. Эта последовательность необходима для од-нозначного определения формата файлов по их содержимому.

Сигнатура может включать до 16 триад вида:


[OFFSET]:BYTE_VALUE/[MASK]

Допускается также и строковая сигнатура, например, "BZh", для BZIP2. Эта сигнатура означает указанную последовательность байтов от смещения 0.

Параметр OFFSET является необязательным. Для первого байта этот параметр по умолчанию ра-вен 0, для всех последующих – увеличивается на единицу.

Параметр MASK, также является необязательным и равен 0xFF по умолчанию.

Пример (сигнатура заголовка WAV-формата) Sign = "'RIFF', 0x8: 'WAVEfmt'"

Начиная от смещения 0, расположена последовательность 'R', 'I', 'F', 'F', далее от смещения 8 должно следовать 'W', 'A', 'V', 'E', 'f', 'm', 't'.

• Comment – используемая версия архиватора, например: Comment = "bzip2 v. 1.0.x"

• Type. Тип файла (общий). Могут быть заданы следующие типы:

− Text. Файл любого из текстовых форматов.

− Media. Файлы мультимедиа (графика, звук, видео).

− Executable. Исполняемые файлы.

− Extractable. Файлы, из которых может быть извлечен текст (например, PDF-файлы).

− Container. Файлы-контейнеры: архивы, хранилища OLE-объектов, Microsoft TNEF.

• Extract – строка команды для извлечения файлов. Например, Extract = "/usr/bin/bzip2 -f -dc ${SRC} > ${OUTDIR}/${SRC}"

где ${OUTDIR} – каталог, в который будет распакован архив, а ${SRC} – имя файла, который нуж-но распаковать.

4.6. Настройка интеграции с Postfix Важная информация!

Настройки, описываемые в настоящем подразделе, относятся только к тому случаю, когда Traffic Monitor Server устанавливается на тот же компьютер, на котором установлен почтовый сервер Postfix.

Установка почтового сервера Postfix должна быть выполнена до установки Traffic Monitor Server.

Если перехват SMTP-трафика ведется только в режиме SPAN-копии, то интеграция с Postfix не требует-ся.

Почтовый сервер Postfix принимает входящие SMTP-письма на 25 порт. Далее входящие SMTP-письма передаются (контент-фильтром) демону iw_smtpd. Полученные SMTP-письма передаются подсистеме DAE для анализа. После анализа демон iw_messed передает письма, доставка которых разрешена, на порт 2020 почтового сервера Postfix (см. рис. 12). Почтовый сервер Postfix либо напрямую доставляет письма адресатам, либо передает их следующему почтовому relay-серверу.


Рисунок 12. Интеграция с Postfix

Настройка параметров, необходимая для корректного взаимодействия системы InfoWatch Traffic Monitor с почтовым сервером Postfix, выполняется в процессе установки Traffic Monitor Server (см. п. 3.2.3 на стр. 24). Во время установки необходимые изменения заносятся в конфигурационные файлы master.cf и tm.conf:

• изменения в файле /etc/postfix/master.cf: smtp inet n - n - - smtpd -o content_filter=smtp:127.0.0.1:2025 pickup fifo n - n 60 1 pickup -o content_filter=smtp:127.0.0.1:2025 В конец файла дописываются строки: 127.0.0.1:2020 inet n - n - 21 smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o myhostname=<$hostname>

• изменения в значениях параметров файла /usr/local/infowatch/tm3/etc/tm.conf:

− секция [SMTPD]: ListenAddr = 127.0.0.1 ListenPort = 2025

− секция [MESSED]: Relay = 127.0.0.1 RelayPort = 2020

− секция [DELIVERD]: Relay = 127.0.0.1 RelayPort = 2020


4.7. Перенаправление HTTP-трафика в нормальном и прозрачном транспортном режимах В данном разделе содержится следующая информация:

• Настройка iptables для передачи HTTP-трафика через Transparent Proxy (п. 4.7.1 на стр. 62).

• Настройка пользовательских компьютеров для работы по протоколу HTTP (п. 4.7.2 на стр. 64).

4.7.1. Настройка iptables для передачи HTTP-трафика через Transparent Proxy Для работы Transparent Proxy в локальной сети необходимо организовать перенаправление HTTP-трафика пользователей через сервер, на котором установлен Transparent Proxy. С этой целью нужно внести ряд изменений в правила управления трафиком, заданные в iptables.


Работа с iptables ведется от имени учетной записи пользователя root.

Внести необходимые изменения можно через обычный терминал с помощью программы iptables, входя-щей в состав дистрибутива Red Hat Linux.

Перед внесением изменений следует ознакомиться с существующими правилами управления трафиком. Для этого нужно задать команду: iptables -t nat -L

Если ранее не было задано ни одного правила, то на экран будет выведена следующая информация: Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

Эти надписи означают, что в таблице nat присутствуют только три стандартных цепочки правил для об-работки трафика: PREROUTING, POSTROUTING и OUTPUT. И ни одна из этих цепочек не содержит ни-каких правил.

Для настройки Transparent Proxy нужно добавить дополнительные правила в цепочку PREROUTING. В простейших случаях, т. е. когда в локальной сети действует один прокси-сервер, требуется добавить все-го одно правило. Например, если весь HTTP-трафик проходит через единый прокси-сервер Squid и таб-лица nat не содержит правил, то для настройки перенаправления HTTP-трафика нужно задать команду: iptables -t nat -A PREROUTING -m tcp -p tcp --dport 3128 -j REDIRECT --to-port 1081

здесь:

• --dport 3128 – стандартный номер порта для прокси-сервера Squid;


Другие прокси-серверы могут иметь иной номер порта по умолчанию, например 8080.

• --to-port 1081 – стандартный номер порта Transparent Proxy.

Если в локальной сети функционирует несколько прокси-серверов, использующих различные номера портов, то в этом случае необходимо для параметра --dport указать все номера портов, используемые этими прокси-серверами. С этой целью нужно создать правила перенаправления для каждого номера


порта. Соответствующие правила перенаправления будут добавляться в цепочку PREROUTING в поряд-ке очереди.

В локальной сети может использоваться прямое (без прокси-сервера) подключение ко внешним интер-нет-ресурсам. Кроме того, возможна ситуация, когда прокси-сервер работает в прозрачном режиме. В таких случаях необходимо также создать правило перенаправления для порта 80 (стандартного порта HTTP-протокола): iptables -t nat -A PREROUTING -m tcp -p tcp --dport 80 -j REDIRECT --to-port 1081

Данное правило позволит перенаправлять прямые запросы ко внешним интернет-ресурсам на Transparent Proxy. Однако следует помнить, что некоторые веб-серверы могут использовать не только стандартный порт номер 80, но и другие произвольные номера портов. И даже если в локальной сети нет стандартного прокси-сервера, рекомендуется задать правила перенаправления для портов 3128 и 8080, так как могут быть использованы внешние публичные прокси-сервера (при условии, что доступ к таким портам не заблокирован отдельными правилами).

После завершения настройки можно проверить содержимое таблицы nat, задав команду: iptables -t nat -L

Если в таблице содержится много других правил, то для более удобного просмотра можно настроить вы-вод содержимого цепочки PREROUTING, задав команду: iptables -t nat -L PREROUTING

В простейшем случае, после установки единственного правила в пустую таблицу nat, на экран будет вы-ведена следующая информация: Chain PREROUTING (policy ACCEPT) target prot opt source destination REDIRECT tcp -- anywhere anywhere tcp dpt:squid redir ports 1081 Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

Если в цепочке PREROUTING уже содержатся какие-либо правила, может возникнуть необходимость за-дать правила перенаправления HTTP-трафика так, чтобы они применялись раньше других правил или же в промежутке между другими правилами. Для этого нужно заменить команду -A на -I PREROUTING. Например, вставить созданное правило на первое место в цепочке PREROUTING можно с помощью та-кой команды: iptables -t nat -I PREROUTING 1 -m tcp -p tcp --dport 3128 -j REDIRECT --to-port 1081

В случае если правило перенаправления было введено в iptables некорректно или оказалось на непра-вильной позиции, то это правило можно удалить из цепочки с помощью команды: iptables -t nat -D PREROUTING N

где N порядковый номер правила в цепочке PREROUTING.

Например, для удаления первого правила из цепочки PREROUTING в таблице nat нужно задать команду: iptables -t nat -D PREROUTING 1

После того как будут добавлены все необходимые правила и проверена работоспособность системы с Transparent Proxy, необходимо сохранить правила из iptables, чтобы они применялись при каждой за-грузке сервера.


Правила, добавленные в iptables, работают только до перезагрузки компьютера. Поэтому необходимо сохранять эти правила, чтобы обеспечить возможность их повторного использования.

По умолчанию правила обработки трафика хранятся в файле /etc/sysconfig/iptables и применя-ются автоматически в процессе загрузки операционной системы. Чтобы сохранить новые правила, нужно поместить текущее содержимое iptables в файл /etc/sysconfig/iptables. Для этого используется команда: iptables-save >/etc/sysconfig/iptables


Данный метод может не подойти в случае, если на сервере ведётся учёт трафика с использованием счётчиков iptables (так как текущие значения этих счетчиков тоже будут сохраняться и, соответственно, восстанавливаться при очередной загрузке операционной системы). Также метод не подходит, если те-кущий набор правил уже был временно изменён и не соответствует стандартным настройкам. В таких случаях можно сохранить содержимое iptables не в /etc/sysconfig/iptables, а в другой файл. За-тем, с помощью текстового редактора, нужно скопировать введённые правила из того файла, в который вы сохранили текущее содержимое iptables, на соответствующие позиции в файле /etc/sysconfig/iptables. Синтаксис правил, хранящихся в файле /etc/sysconfig/iptables, почти не отличается от синтаксиса, используемого при задании правил через терминал.

4.7.2. Настройка пользовательских компьютеров для работы по протоколу HTTP Если Transparent Proxy работает в режиме прозрачного прокси-сервера (параметр TransparentMode = On; файл tm.conf, секция [PROXY_HTTP]), необходимо для всех пользователей обеспечить прохождение HTTP-трафика через Transparent Proxy. В простейшем случае это можно осу-ществить путём установки Transparent Proxy на один из шлюзов, отделяющих пользователей от корпора-тивного прокси-сервера или внешней сети. Если установка Transparent Proxy на шлюз нежелательна или технически невозможна, то Transparent Proxy можно установить на отдельный сервер и перенаправить на него весь HTTP-трафик (то есть весь трафик к корпоративному прокси-серверу или трафик во внешние сети). Выполнить это можно, задав маршруты на компьютерах пользователей и/или шлюзах (в зависимо-сти от топологии сети). Добавить новый маршрут можно с помощью команды route.

Пример команды route для операционной системы Microsoft Windows XP: route add corp-proxy-ip mask 255.255.255.255 iwproxy-ip

где:

• corp-proxy-ip – ip-адрес корпоративного прокси-сервера;

• iwproxy-ip – ip-адрес сервера Transparent Proxy.

В случае если Transparent Proxy работает в непрозрачном режиме (параметр TransparentMode = Off; файл tm.conf, секция [PROXY_HTTP]), то изменять маршруты не нужно. Вместо добавления маршрутов на компьютерах пользователей, необходимо изменить настройки интернет-обозревателя (и другого про-граммного обеспечения, которому требуется доступ к интернет-ресурсам). Для этого нужно указать в ка-честве прокси-сервера сервер с установленным Transparent Proxy.

4.8. Перенаправление ICQ-трафика в нормальном и прозрачном транспортном режимах В данном разделе содержится следующая информация:

• Настройка iptables для передачи ICQ-трафика через Transparent Proxy (п. 4.8.1 на стр. 64).

• Настройка пользовательских компьютеров для работы по протоколу ICQ (п. 4.8.2 на стр. 66).

4.8.1. Настройка iptables для передачи ICQ-трафика через Transparent Proxy Для работы Transparent Proxy в локальной сети необходимо организовать перенаправление ICQ-трафика пользователей через сервер, на котором установлен Transparent Proxy. С этой целью нужно внести ряд изменений в правила управления трафиком, заданные в iptables.


Работа с iptables ведется от имени учетной записи пользователя root.


Произвести необходимые изменения можно через обычный терминал с помощью программы iptables, входящей в состав дистрибутива Red Hat Linux.

Перед внесением изменений следует ознакомиться с существующими правилами управления трафиком. Для этого нужно задать команду: iptables -t nat -L

Если ранее не было задано ни одного правила, то на экран будет выведена следующая информация: Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

Эти надписи означают, что в таблице nat присутствуют только три стандартных цепочки правил для об-работки трафика: PREROUTING, POSTROUTING и OUTPUT. И ни одна из этих цепочек не содержит ни-каких правил.

Для настройки Transparent Proxy нужно добавить дополнительные правила в цепочку PREROUTING. В простейших случаях, т. е. когда в локальной сети действует один прокси-сервер, требуется добавить все-го одно правило. Например, если весь ICQ-трафик проходит через единый прокси-сервер и таблица nat не содержит правил, то для перенаправления ICQ-трафика нужно задать команду: iptables -t nat –A PREROUTING –m tcp –p tcp -–dport 5190 –j REDIRECT -–to-port 5191

здесь:

• --dport 5190 – стандартный номер порта для ICQ-сервера;

• --to-port 5191 – стандартный номер порта Transparent Proxy.

В случае если правило перенаправления было введено в iptables некорректно или оказалось на непра-вильной позиции, это правило можно удалить из цепочки с помощью команды: iptables -t nat -D PREROUTING N

где N порядковый номер правила в цепочке PREROUTING.

Например, для удаления первого правила из цепочки PREROUTING в таблице nat нужно задать команду: iptables -t nat -D PREROUTING 1

После того как будут добавлены все необходимые правила и проверена работоспособность системы с Transparent Proxy, необходимо сохранить правила из iptables, чтобы они применялись при каждой за-грузке сервера.


Правила, добавленные в iptables, работают только до перезагрузки компьютера. Поэтому необходимо сохранять эти правила, чтобы обеспечить возможность их повторного использования.

По умолчанию правила обработки трафика хранятся в файле /etc/sysconfig/iptables и применя-ются автоматически в процессе загрузки операционной системы. Чтобы сохранить новые правила, нужно поместить текущее содержимое iptables в файл /etc/sysconfig/iptables. Для этого используется команда: iptables-save >/etc/sysconfig/iptables

Данный метод может не подойти, в случае если на сервере ведётся учёт трафика с использованием счётчиков iptables (так как текущие значения этих счетчиков тоже будут сохраняться и, соответственно, восстанавливаться при очередной загрузке операционной системы). Также метод не подходит, если те-кущий набор правил уже был временно изменён и не соответствует стандартным настройкам. В таких случаях можно сохранить содержимое iptables не в /etc/sysconfig/iptables, а в другой файл. За-тем, с помощью текстового редактора, нужно скопировать введённые правила из того файла, в который вы сохранили текущее содержимое iptables, на соответствующие позиции в файле /etc/sysconfig/iptables. Синтаксис правил, хранящихся в файле /etc/sysconfig/iptables, почти не отличается от синтаксиса, используемого при задании правил через терминал.


4.8.2. Настройка пользовательских компьютеров для работы по протоколу ICQ InfoWatch Traffic Monitor поддерживает перехват icq-сообщений только в рамках стандартного протокола ICQ OSCAR (icq-сообщения, оправляемые поверх протокола HTTP, не подвергаются специализирован-ному разбору и анализу). Поэтому для перехвата icq-сообщений необходимо перенаправить трафик пользователей на сервер с установленным Transparent Proxy. Добавлять определённые маршруты мож-но как на компьютерах пользователей, так и на соответствующих шлюзах, в зависимости от топологии сети. Типичная настройка маршрутизации на компьютере с операционной системой Microsoft Windows XP требует выполнения следующих команд: route add 205.188.0.0 mask 255.255.0.0 iwproxy-ip route add 207.200.0.0 mask 255.255.0.0 iwproxy-ip route add 64.12.0.0 mask 255.255.0.0 iwproxy-ip

где iwproxy-ip –адрес сервера, на котором установлен Transparent Proxy.

ГЛАВА 5. ОБНОВЛЕНИЕ СИСТЕМЫ

Если у вас установлена Система, то вы можете обновить ее до более поздней версии. При этом в базе данных сохраняется конфигурация и база контентной фильтрации. В этой главе содержится следующая информация:

• Порядок обновления Системы (п. 5.1 на стр. 67).

• Обновление схемы базы данных (п. 5.2 на стр. 67).

• Обновление Traffic Monitor Server (п. 5.3 на стр. 69).

5.1. Порядок обновления Системы Обновление компонентов системы выполняется в такой последовательности:

1. Выполнение подготовительных действий (см. п. 5.1.1 на стр. 67).

2. Обновление схемы базы данных (см. п. 5.2 на стр. 67).

3. Удаление текущей версии Management Console (см. п. 6.3 на стр. 73) и установка новой версии (см. п. 3.5 на стр. 41).


Не используйте старую версию Management Console для работы с обновленной базой данных.

После установки новой версии Management Console загрузите конфигурацию на Traffic Monitor Server. (Данная процедура описывается в документе «InfoWatch Traffic Monitor. Руководство поль-зователя».)

4. Обновление Traffic Monitor Server (см. п. 5.3 на стр. 69).

В процессе обновления прием объектов не ведется. По завершении обновления Система работает в штатном режиме.

5.1.1. Подготовка к обновлению Системы Перед тем как начать обновление Системы, выполните следующие действия:

1. Остановите демоны Traffic Monitor Server, выполнив команду: /etc/rc.d/init.d/iw-trafmon stop

2. Закройте все экземпляры Management Console.

3. Перед обновлением схемы базы данных:

• убедитесь, что отсутствуют соединения с обновляемой схемой из других программ. При необ-ходимости отключите все соединения.

• убедитесь, что не запущены задания IWADDPARTS, IWTM_SYNC_INDEXES, IWDROP, IWREADONLY. При необходимости остановите эти задания.

5.2. Обновление схемы базы данных Примечание:

Перед тем как приступить к обновлению схемы базы данных, выполните подготовительные действия, описанные в п. 5.1.1 на стр. 67.

Часть параметров, которые нужно указать при обновлении схемы базы данных, отмечены символом «*». Такие параметры заполняются в обязательном порядке.







Шаг 2. Выбор типа установки В окне Мастер работы с БД выберите вариант Обновление существующей схемы БД и нажмите на кнопку OK.

После этого на экран будет выведено окно мастера обновления схемы БД. В открывшемся окне нажмите кнопку Вперед.

Шаг 3. Настройка параметров соединения с сервером базы данных В окне мастера обновления схемы БД (данное окно аналогично тому, которое показано на рис. 1) укажите параметры соединения с сервером базы данных:

• Database. Псевдоним сервера, на котором установлена обновляемая база данных (псевдоним вы-бирают из перечисленных в файле tnsnames.ora).



Шаг 4. Настройка параметров обновления схемы базы данных Укажите параметры учетной записи владельца обновляемой схемы базы данных (см. рис. 13):





Рисунок 13. Параметры владельца обновляемой схемы базы данных

Обновление системы 69

Нажмите кнопку Старт. После этого начнется процесс обновления схемы базы данных.

По завершении процесса на экран будет выведено соответствующее уведомление. Если в базе данных имеется задание IWDROP (удаление табличных пространств), то при выполнении процедуры обновления схемы базы данных изменится расписание этого задания – оно будет стартовать ежедневно в 01 ч 00 мин 00 с. Параметр лаг времени для удаления табличных пространств после обновления будет иметь значение, указанное при создании IWDROP (см. документ «InfoWatch Traffic Monitor. Руководство пользователя»).

Если в схеме базы данных, которую нужно обновить, отсутствует задание IWDROP, то вы можете создать это задание после обновления (см. документ «InfoWatch Traffic Monitor. Руководство пользователя», раздел Удаление табличных пространств).

5.3. Обновление Traffic Monitor Server Важная информация!

Перед тем как приступить к обновлению Traffic Monitor Server, выполните подготовительные действия, описанные в п. 5.1.1 на стр. 67.

Если у вас установлена какая-либо версия Traffic Monitor Server, то вы можете выполнить обновление экземпляра до последней версии. Процесс обновления осуществляется в такой последовательности:

• Установка новой версии Traffic Monitor Server.

• Обновление файлов.

После обновления на компьютере остаются:

• Конфигурационные файлы (tm.conf, detector.conf).

• Очередь объектов.

• База контентной фильтрации.

• Файл лицензии.

• Учетная запись пользователя – владельца InfoWatch Traffic Monitor и группа, в состав которой вхо-дил этот пользователь.

Шаг 1. Проверка ядра Linux Убедитесь, что загружается именно ядро x.x.x-xx.ELringNsmp, выполнив команду: uname –a


Здесь: x.x.x-xx – версия ядра, а N – версия патча.

Если загружается другое ядро, то отредактируйте файл /boot/grub/menu.lst, указав правильный по-рядок загрузки ядер.

Шаг 2. Установка обновления Зарегистрируйтесь в операционной системе от имени учетной записи пользователя root: su – root

Затем выполните команду: rpm -U /путь_к_пакету_iwtm/iwtm-x.x.x-x.i386.rpm

Например: rpm -U /u01/iwtm-3.1.0-1.i386.rpm


Шаг 3. Настройка и запуск Traffic Monitor Server после обновления В зависимости от состояния конфигурационных файлов, после обновления могут потребоваться допол-нительные настройки Traffic Monitor Server (см. таблицу 16).


Если обновляемый экземпляр Traffic Monitor Server функционирует как Sniffer или Forwarder и не выпол-няет функций анализа, то дополнительные настройки не требуются. Однако необходимо проверить соот-ветствующие настройки перехвата и передачи трафика в файле /usr/local/infowatch/tm3/etc/tm.conf. Описание настроек приводится в п. 3.3.3 на стр. 31 (Snif-fer) и в п. 3.3.3 на стр. 31 (Forwarder).

Таблица 16. Варианты обновления конфигурационных файлов

Вариант обновления Действия

Rpm-пакет содержит измененную вер-сию файла tm.conf

В директории будут находиться два файла старый tm.conf и новый tm.conf.rpmnew.

Настройте Traffic Monitor Server, запустив сценарий: /usr/local/infowatch/tm3/setup.sh (настройка пара-метров описывается в п. 3.2.3 на стр. 24).

В процессе настройки все параметры сохраняются в tm.conf.rpmnew, который затем автоматически переименовы-вается в tm.conf. Старый же файл сохраняется как tm.conf.prev.

По окончании настройки все процессы Traffic Monitor Server будут автоматически запущены

Rpm-пакет содержит измененный файл detector.conf, но вручную настройки файла не менялись

Старый файл автоматически заменяется новым.

Rpm-пакет содержит измененный файл detector.conf, а параметры текущего файла были изменены вручную

После обновления в директории будет два файла: старый detector.conf и новый detector.conf.rpmnew.

Сохраните detector.conf под другим именем. Затем переиме-нуйте detector.conf.rpmnew в detector.conf и добавьте в него необходимые настройки

Файлы в обновляемой версии Traffic Monitor Server полностью совпадают с файлами из нового rpm-пакета

После обновления у вас будут сохранены старые файлы с текущими настройками.

Запустите процессы Traffic Monitor Server, выполнив команды: /etc/rc.d/init.d/iw-trafmon start /etc/rc.d/init.d/iw-caserv start

Примечание: Если требуется изменить текущие настройки tm.conf, то запустите сценарий /usr/local/infowatch/tm3/setup.sh.

Шаг 4. Завершение обновления После того как Traffic Monitor Server будет обновлен:

1. Проверьте системный журнал на наличие ошибок.

Если в процессе обновления произошли ошибки, то обратитесь в службу поддержки компании InfoWatch.

2. Обязательно загрузите конфигурацию на Traffic Monitor Server. Описание загрузки приводится в документе «InfoWatch Traffic Monitor. Руководство пользователя».

ГЛАВА 6. УДАЛЕНИЕ СИСТЕМЫ


• Удаление схемы базы данных (п. 6.1 на стр. 71).

• Удаление Traffic Monitor Server (п. 6.2 на стр. 72).

• Удаление Management Console (п. 6.3 на стр. 73).

6.1. Удаление схемы базы данных Удаление схемы базы данных описывается в разделах:

• Подготовка к удалению схемы базы данных (п. 6.1.1 на стр. 71).

• Описание процесса удаления (п. 6.1.2 на стр. 71).

6.1.1. Подготовка к удалению схемы базы данных Удаление схемы базы данных, имеющей определенную версию, должно выполняться при помощи ин-сталлятора той же версии. Версию схемы базы данных можно узнать, выполнив в базе данных следую-щий запрос (запрос выполняется от имени владельца схемы базы данных): SELECT vers.get_schema_version FROM dual

Перед запуском Traffic Monitor Create Schema Wizard необходимо:

• остановить все демоны Traffic Monitor Server, выполнив команду: /etc/rc.d/init.d/iw-trafmon stop

• закрыть все экземпляры Management Console;

• прекратить все соединения c удаляемой схемой базы данных, осуществляемые из других про-грамм.

6.1.2. Описание процесса удаления


Подготовка к удалению схемы базы данных описывается в п. 6.1.1 на стр. 71.

Часть параметров, которые нужно указать при удалении схемы базы данных, отмечены символом «*». Такие параметры заполняются в обязательном порядке.







Шаг 2. Выбор типа установки В окне Мастер работы с БД выберите вариант Удаление существующей схемы БД и нажмите на кноп-ку OK.

После этого на экран будет выведено окно мастера обновления схемы БД. В открывшемся окне нажмите кнопку Вперед.

Шаг 3. Настройка параметров соединения с сервером базы данных В окне мастера обновления схемы БД (данное окно аналогично тому, которое показано на рис. 1) укажите параметры соединения с сервером базы данных:

• Database. Псевдоним сервера, на котором установлена база данных (псевдоним выбирают из пе-речисленных в файле tnsnames.ora).



Шаг 4. Настройка параметров удаления схемы БД Укажите параметры учетной записи владельца удаляемой схемы базы данных (см. рис. 14):





Обязательно установите флажок в поле Вы уверены, что хотите удалить эту схему? Если данный флажок не установлен, то схема базы данных не будет удалена.

Рисунок 14. Параметры владельца удаляемой схемы базы данных

Нажмите кнопку Старт. После этого начнется процесс удаления схемы базы данных. По завершении процесса на экран будет выведено соответствующее уведомление.

6.2. Удаление Traffic Monitor Server Чтобы удалить компоненты, работающие под управлением Linux:

выполните следующую команду: rpm -e iwtm

Удаление системы 73

По окончании процесса удаления на компьютере остаются только:

• Конфигурационные файлы, в которые были внесены изменения (tm.conf, detector.conf).

Измененным файлам присваивается суффикс .rpmsave (например, tm.conf.rpmsave). Файлы, которые не изменялись, будут удалены.

• Очередь объектов.

• База контентной фильтрации.

• Файл лицензии.

• Учетная запись пользователя – владельца InfoWatch Traffic Monitor и группа, в состав которой вхо-дил этот пользователь.

Если выполнялась интеграция с Postfix, то в процессе удаления происходит возврат к исходным настрой-кам. Об изменениях, выполняемых при интеграции Traffic Monitor Server с Postfix, рассказывается в п. 4.6 на стр. 60.

После удаления Системы нужно перенастроить все подсистемы, работавшие через InfoWatch Traffic Monitor:

• Для доставки SMTP-писем нужно перенастроить параметры почтового сервера Postfix (об интегра-ции с Postfix будет рассказано в п. 4.6 на стр. 60).

• Если передача объектов HTTP- и/или ICQ-трафика осуществлялась в нормальном или прозрачном транспортном режиме:

− удалите из iptables правила, задающие перенаправление HTTP- и/или ICQ-трафика через Transparent Proxy;

− на пользовательских компьютерах и/или шлюзах (в зависимости от топологии сети) настройте маршрутизацию HTTP- и/или ICQ-трафика через корпоративный прокси-сервер.

Если передача объектов HTTP- и/или ICQ-трафика осуществлялась в режиме SPAN-копии, то пе-ренастройка Системы не требуется.

6.3. Удаление Management Console Удаление Management Console выполняется при помощи стандартной оснастки Microsoft Windows Уста-новка и удаление программ.

Чтобы удалить Management Console:

1. Откройте компонент Установка и удаление программ. Для этого в меню Пуск выберите пункт Настройка ► Панель управления. В окне Панели управления выберите компонент Установка или удаление программ.

2. В окне Установка и удаление программ выделите пункт InfoWatch Traffic Monitor Management Console и нажмите на кнопку Удалить.

ПРИЛОЖЕНИЕ A. РЕКОМЕНДАЦИИ ПО УСТАНОВКЕ СУБД ORACLE

В настоящем приложении даются рекомендации по развертыванию СУБД Oracle для обеспечения рабо-ты системы InfoWatch Traffic Monitor.


Установка и настройка СУБД Oracle осуществляется в соответствии с указаниями документации к СУБД Oracle и в настоящем руководстве не рассматривается.

Для обеспечения приемлемой производительности Системы под управлением сервера должна нахо-диться только одна пользовательская база данных – InfoWatch Traffic Monitor.

Сервер СУБД Oracle и Traffic Monitor Server должны быть установлены на разных компьютерах.

При конфигурировании базы данных обязательным условием является выбор кодировки AL32UTF8 (ре-комендации по настройке базы данных см. в прил. A.1.3 на стр. 76).

Приложение состоит из следующих подразделов:

• Сервер СУБД Oracle (прил. A.1 на стр. 74).

• Клиент СУБД Oracle (прил. A.2 на стр. 86).

A.1. Сервер СУБД Oracle Подраздел содержит следующие сведения:

• Рекомендации по установке сервера СУБД Oracle (прил. A.1.1 на стр. 74).

• Подготовка к установке (прил. A.1.2 на стр. 74).

• Установка сервера СУБД Oracle (прил. A.1.3 на стр. 76).

A.1.1. Рекомендации по установке сервера СУБД Oracle При установке сервера СУБД Oracle обязательно укажите компоненты:

• Oracle Partitioning (для поддержки хранения данных в ежедневных табличных пространствах, уве-личения производительности при загрузке объектов в базу данных и выполнения запросов к базе данных);

• Oracle Label Security (для поддержки работы с зонами ответственности);

• Oracle Text (для обеспечения возможности контекстного поиска).


На компьютере, исполняющем роль сервера СУБД Oracle, не рекомендуется: устанавливать и запускать приложения (особенно серверные), использовать этот компьютер в качестве файл-сервера.

A.1.2. Подготовка к установке Перед тем как приступить к установке сервера СУБД Oracle, необходимо выполнить ряд подготовитель-ных действий.

Шаг 1. Проверка аппаратного и программного обеспечения Убедитесь, что аппаратное и программное обеспечение компьютера, на который будет установлен сер-вер СУБД Oracle, соответствует требованиям, приведенным в п. 2.2.3 на стр. 14.

Приложение A 75

Шаг 2. Регистрация от имени пользователя root Зарегистрируйтесь в системе от имени учетной записи пользователя root. Для этого выполните коман-ду: su – root

Шаг 3. Настройка файла /etc/hosts В файле /etc/hosts укажите IP-адрес, полное доменное имя и псевдоним того компьютера, на который будет выполняться установка сервера СУБД Oracle: IP-адрес полное_доменное_имя псевдоним

Шаг 4. Создание новых групп и учетных записей пользователей Создайте группы пользователей oinstall и dba: /usr/sbin/groupadd oinstall /usr/sbin/groupadd dba

Создайте учетную запись для пользователя oracle: /usr/sbin/useradd -g oinstall -G dba oracle

Задайте пароль для этой учетной записи: passwd oracle

Шаг 5. Создание каталога для установки Создайте каталог, в который будет установлен сервер СУБД Oracle (рекомендуется создать каталог /u01): mkdir -p /u01/app chown -R oracle:oinstall /u01/app chmod -R 775 /u01/app/

Шаг 6. Настройка параметров ядра Добавьте в файл /etc/sysctl.conf следующие строки: kernel.sem = 250 32000 100 128 net.ipv4.ip_local_port_range = 1024 65000 net.core.rmem_default = 4194304 net.core.rmem_max = 4194304 net.core.wmem_default = 262144 net.core.wmem_max = 262144 fs.file-max = 6553600

Измените текущие параметры ядра при помощи следующей команды: /sbin/sysctl –p

Шаг 7. Настройка файла /etc/security/limits.conf Добавьте в файл /etc/security/limits.conf следующие строки: oracle soft nproc 2047 oracle hard nproc 16384 oracle soft nofile 1024 oracle hard nofile 65536

Шаг 8. Настройка файла /etc/pam.d/login Добавьте в файл /etc/pam.d/login следующую строку (если данная строка не была добавлена ранее): session required pam_limits.so


Шаг 9. Настройка файла /etc/profile Добавьте в конец файла /etc/profile следующие строки:

if [ $USER = “oracle" ]; then if [ $SHELL = "/bin/ksh" ]; then ulimit -p 16384 ulimit -n 65536 else ulimit -u 16384 ulimit -n 65536 fi fi

Шаг 10. Настройка файла /home/oracle/.bash_profile Добавьте в конец файла /home/oracle/.bash_profile следующие строки: ORACLE_BASE=/u01/app/oracle export ORACLE_BASE ORACLE_SID=orcl export ORACLE_SID ORACLE_HOME=/u01/app/oracle/product/11.1.0/db_1 export ORACLE_HOME PATH=$ORACLE_HOME/bin:$PATH export PATH

Шаг 11. Запуск системы X Window Установка сервера выполняется в графическом режиме. Поэтому перед началом установки запустите систему X Window.

Если установка выполняется удаленно, то предварительно выполните следующие действия:

1. Чтобы иметь возможность управлять работой инсталлятора Oracle с локального X сервера, введите команду: xhost IP-адрес_удаленного_компьютера

например: xhost 10.60.0.159

2. Задайте переменную окружения DISPLAY: DISPLAY=имя_локального_X_сервера:0.0; export DISPLAY

например: DISPLAY=myhost.xzy.com:0.0; export DISPLAY

A.1.3. Установка сервера СУБД Oracle После того как все необходимые настройки будут выполнены, можно приступить к установке сервера СУБД Oracle.


Обязательные компоненты установки: Oracle Label Security, Oracle Text.

Шаг 1. Регистрация от имени пользователя oracle Зарегистрируйтесь в системе от имени учетной записи пользователя oracle. Для этого выполните коман-ду: su – oracle


Шаг 2. Запуск инсталлятора Запустите Oracle Universal Installer, выполнив команду: /directory_path/runInstaller

где directory_path – путь к каталогу, в котором находится дистрибутив сервера СУБД Oracle. По умолчанию Oracle Universal Installer располагается в каталоге /Disk1.

Шаг 3. Настройка параметров установки После того как будет запущен инсталлятор Oracle, настройте параметры установки:

1. В окне Select Installation Method выберите режим Advanced installation.

2. В окне Select Installation Type выберите тип установки Custom.

3. Следуйте дальнейшим инструкциям инсталлятора до появления окна Available Product Components. В данном окне должны быть установлены флажки напротив компонентов Oracle Par-titioning и Oracle Label Security (оба компонента входят в группу Enterprise Edition Options).

4. В окне Create Database выберите вариант Create a database.

5. В окне Configuration Assistants выберите вариант Oracle Database Configuration Assistant. Это нужно для того, чтобы настроить параметры создаваемой базы данных с использованием утилиты Oracle Database Configuration Assistant.

6. Следуйте дальнейшим инструкциям инсталлятора до появления окна Oracle Net Configuration Assistant. В данном окне установите флажок Perform typical configuration.

Шаг 4. Настройка конфигурации базы данных После завершения работы утилиты Net Configuration Assistant на экран будет выведено окно утилиты Database Configuration Assistant. При помощи данной утилиты настройте параметры создаваемой базы данных:

1. В окне Database Templates (см. рис. 15) выберите шаблон для создания базы данных. Рекомен-дуемое значение – Сustom Database (в этом случае база данных будет создана из пустого шаб-лона).

Рисунок 15. Конфигурирование базы данных (шаг 1 из 14)

2. Задайте параметры идентификации базы данных в окне Database Identification (см. рис. 16).

3. Укажите параметры управления базой данных в окне Management Options (см. рис. 17).




4. В окне Database Credentials задайте правила использования паролей для учетных записей (см. рис. 18).



5. В окне Storage Options выберите механизм хранения данных (см. рис. 19). При отсутствии специ-альных навыков администрирования СУБД Oracle, рекомендуется выбрать вариант File System (создание базы данных на файловой системе).


6. В окне Database File Locations укажите путь к файлам базы данных (см. рис. 20).


Необходимо предварительно создать папку, в которой будут храниться файлы базы данных.



7. Настройте параметры создания резервной базы данных в окне Recovery Configuration (см. рис. 21).


8. В окне Database Content выберите компоненты, которые должны быть сконфигурированы для ис-пользования в базе данных. На вкладке Database Components обязательно установите флажки Oracle Text и Oracle Label Security (см. рис. 22).



9. Задайте параметры инициализации базы данных в окне Initialization Parameters:

• На вкладке Memory укажите объем оперативной памяти, выделяемой для СУБД Oracle (см. рис. 23). Рекомендуется выделить как можно больше (обычно до 80%) оперативной памяти.

При отсутствии специальных навыков администрирования СУБД Oracle, рекомендуется оста-вить значение по умолчанию – Typical. Если необходимо увеличить объем выделяемой памяти, проконсультируйтесь с администратором вашей базы данных.

• Задайте требуемые параметры на вкладке Sizing (см. рис. 24).

• На вкладке Character Sets укажите кодировку AL32UTF8 (см. рис. 25).


Выбор кодировки AL32UTF8 при создании базы данных является обязательным условием для корректной работы InfoWatch Traffic Monitor.

• На вкладке Connection Mode рекомендуется задавать только режим Dedicated Server Mode (см. рис. 26).

• Нажмите кнопку All Initialization Parameters, чтобы открыть диалоговое окно All Initialization Parameters. В данном окне нажмите кнопку Show Advanced Parameters. Затем установите значение для ряда параметров. Список параметров и значения, которые им нужно присвоить находится в таблице 17. Пример настройки см. на рис. 27.

Таблица 17. Значения дополнительных параметров инициализации

Параметр Необходимое значение

db_files 5000

db_keep_cache_size 50M

large_pool_size 314572800


Рисунок 23. Конфигурирование базы данных (шаг 9 из 13, вкладка Memory)

Рисунок 24. Конфигурирование базы данных (шаг 9 из 13, вкладка Sizing)


Рисунок 25. Конфигурирование базы данных (шаг 9 из 13, вкладка Character Sets)

Рисунок 26. Конфигурирование базы данных (шаг 9 из 13, вкладка Connection Mode)


Рисунок 27. Настройка дополнительных параметров инициализации

10. Перейдите к окну Security Settings и следуйте дальнейшим указаниям конфигуратора базы дан-ных (см. рис. 28).

11. Перейдите к окну Automatic Maintenance Task и следуйте дальнейшим указаниям конфигуратора базы данных (см. рис. 29)




12. Перейдите к окну Database Storage и следуйте дальнейшим указаниям конфигуратора базы дан-ных (см. рис. 30).


13. В окне Creation Options укажите параметры создания базы данных. В данном окне нужно устано-вить флажки Create Database и Generate Database Creation Scripts (см. рис. 29). (Сценарий соз-дания базы данных может потребоваться при диагностике неполадок.)



14. Следуйте дальнейшим инструкциям конфигуратора базы данных для завершения процесса созда-ния базы данных.

Шаг 5. Настройка после установки По завершении установки отредактируйте файл /etc/oratab. Укажите флаг Y для установленного эк-земпляра базы данных: orcl:/u01/app/oracle/product/11.1.0/db_1:Y

A.2. Клиент СУБД Oracle В данном подразделе приводятся рекомендации по установке клиента СУБД Oracle версии 11g R1 (11.1.0.6.0). Подраздел содержит следующие сведения:

• Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 86).

• Рекомендации по установке клиента СУБД Oracle на платформу Microsoft Windows (прил. A.2.2 на стр. 89).

• Настройка параметров соединения с сервером СУБД Oracle (прил. A.2.3 на стр. 89).

• Проверка взаимодействия между клиентом и сервером Oracle (прил. A.2.4 на стр. 90).

A.2.1. Рекомендации по установке клиента СУБД Oracle на платформу Linux Клиент СУБД Oracle устанавливается на тот же компьютер, на который будет выполнена установка Traffic Monitor Server.

В данном подразделе рассматривается установка клиента СУБД Oracle на компьютер, работающий под управлением операционной системы Red Hat Enterprise Linux. Подраздел содержит следующие сведения:

• Подготовка к установке (прил. A.2.1.1 на стр. 87).

• Установка клиента СУБД Oracle (прил. A.2.1.2 на стр. 88).


A.2.1.1. Подготовка к установке


В данном разделе используются примеры настроек, выполняемых при установке клиента СУБД Oracle в среде операционной системы Red Hat Enterprise Linux 4 update 5 x86-32.

Перед тем как приступить к установке клиента СУБД Oracle, необходимо выполнить ряд подготовитель-ных настроек.

Шаг 1. Регистрация от имени пользователя root Зарегистрируйтесь в системе от имени учетной записи пользователя root. Для этого выполните коман-ду: su – root

Шаг 2. Настройка файла /etc/hosts В файле /etc/hosts укажите IP-адрес, полное доменное имя и псевдоним того компьютера, на который будет выполняться установка клиента СУБД Oracle: IP-адрес полное_доменное_имя псевдоним

Шаг 3. Создание новых групп и учетных записей пользователей Создайте группы пользователей oinstall и dba: /usr/sbin/groupadd oinstall /usr/sbin/groupadd dba

Создайте учетную запись для пользователя oracle: /usr/sbin/useradd -g oinstall -G dba oracle

Задайте пароль для этой учетной записи: passwd oracle

Шаг 4. Создание каталога для установки Создайте каталог, в который будет установлен клиент СУБД Oracle (рекомендуется создать каталог /u01): mkdir -p /u01/app chown -R oracle:oinstall /u01/app chmod -R 775 /u01/app/

Шаг 5. Настройка файла /etc/profile Добавьте в конец файла /etc/profile следующие строки: ORACLE_BASE=/u01/app/oracle export ORACLE_BASE ORACLE_SID=orcl export ORACLE_SID ORACLE_HOME=/u01/app/oracle/product/11.1.0/client_1 export ORACLE_HOME PATH=$ORACLE_HOME/bin:$PATH export PATH

Шаг 6. Запуск системы X Window Установка клиента выполняется в графическом режиме. Поэтому перед началом установки запустите систему X Window.

Если установка выполняется удаленно, то предварительно выполните следующие действия:


1. Чтобы иметь возможность управлять работой инсталлятора Oracle с локального X сервера, введите команду: xhost IP-адрес_удаленного_компьютера

например: xhost 10.60.0.159

2. Задайте переменную окружения DISPLAY: DISPLAY=имя_локального_X_сервера:0.0; export DISPLAY

например: DISPLAY=myhost.xzy.com:0.0; export DISPLAY

A.2.1.2. Установка клиента СУБД Oracle


В данном разделе используются примеры настроек, выполняемых при установке клиента СУБД Oracle в среде операционной системы Red Hat Enterprise Linux 4 update 5 x86-32.

После того как все необходимые настройки будут выполнены, можно приступить к установке клиента СУБД Oracle.

Шаг 1. Регистрация от имени пользователя oracle Зарегистрируйтесь в системе от имени учетной записи пользователя oracle. Для этого выполните ко-манду: su – oracle

Шаг 2. Запуск инсталлятора Запустите Oracle Universal Installer, выполнив команду: /directory_path/runInstaller

где directory_path – путь к каталогу, в котором находится дистрибутив клиента СУБД Oracle. По умолчанию Oracle Universal Installer располагается в каталоге /Disk1.

Шаг 3. Настройка параметров установки После запуска инсталлятора Oracle настройте параметры установки:

1. Укажите имя и путь к каталогу ORACLE_HOME (путь задан в файле /etc/profile).

2. Выберите тип установки Administrator.

Продолжайте следовать указаниям инсталлятора Oracle, чтобы завершить установку.

Шаг 4. Настройка после установки По завершении установки выполните следующие настройки:

1. Для поддержки национальных кодировок установите значение переменной окружения NLS_LANG равным RUSSIAN_RUSSIA.AL32UTF8.

2. Для корректного соединения с сервером СУБД Oracle настройте параметры соединения в файле tnsnames.ora (см. п. A.2.2 на стр. 89).

3. Проверьте взаимодействие между клиентом и сервером СУБД Oracle (см. п. A.2.4 на стр. 90).


A.2.2. Рекомендации по установке клиента СУБД Oracle на платформу Microsoft Windows Установка клиента СУБД Oracle на компьютер, работающий под управлением операционной системы Mi-crosoft Windows, выполняется в соответствии с указаниями документации к СУБД Oracle.

При настройке параметров установки необходимо придерживаться следующих рекомендаций:

• Выбрать тип установки Administrator.


Тип установки Administrator обеспечивает установку компонентов, обязательных для обеспечения рабо-ты InfoWatch Traffic Monitor: Oracle Call Interface (OCI), SQL *Plus (для разбора ошибочных ситуаций), Oracle Data Provider for .Net.

По завершении установки выполните следующие действия:

• Для поддержки национальных кодировок установите в системном реестре значение переменной окружения NLS_LANG равным RUSSIAN_CIS.AL32UTF8.

Путь к ключу реестра: HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\KEY_OraClient11g_home#\NLS_LANG

где символ «#» означает некоторую цифру. Для KEY_OraClient11g_home# значение символа «#» будет совпадать со значением этого же символа для каталога OraHome_#.

• Для корректного соединения с сервером СУБД Oracle настройте параметры соединения в файле tnsnames.ora (см. прил. A.2.3 на стр.89).

• Проверьте взаимодействие между клиентом и сервером СУБД Oracle (см. прил. A.2.4 на стр. 90).

A.2.3. Настройка параметров соединения с сервером СУБД Oracle Для корректного соединения с сервером СУБД Oracle на каждом компьютере, на котором установлен клиент СУБД Oracle, необходимо настроить параметры соединения в файле tnsnames.ora.


По умолчанию файл tnsnames.ora расположен в каталоге /ORACLE_HOME/network/admin (здесь /ORACLE_HOME – это путь к каталогу, в который установлен клиент СУБД Oracle).

При настройке параметров файла tnsnames.ora необходимо указать значения для всех параметров, перечисленных в следующем примере: IWMS = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = iwns)(PORT = 1521)) ) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = orcl) ) )


A.2.4. Проверка взаимодействия между клиентом и сервером Oracle Перед началом эксплуатации СУБД Oracle, на каждом компьютере, на котором установлен клиент СУБД Oracle, необходимо выполнить ряд проверок:

• Проверить работоспособность и доступность СУБД Oracle. Для выполнения проверки введите ко-манду: sqlplus db_login/db_password@tns_name

где db_login и db_password – имя и пароль владельца схемы базы данных, а tns_name – имя службы TNS.

Если проверка пройдена успешно, то в ответ на выполнение указанной команды будет выведено приглашение SQL *Plus: SQL>

• Убедиться, что в файле NETWORK/ADMIN/sqlnet.ora строка sqlnet.ora начинается символом «#»: # sqlnet.ora Network Configuration File: C:\Oracle\product\11.1.0\Client_1\network\admin\sqlnet.ora

ПРИЛОЖЕНИЕ B. РАЗРЕШЕНИЕ ПРОБЛЕМ

В настоящей главе приводится описание и способы разрешения различных проблем, которые могут воз-никнуть при эксплуатации Системы:

• Проблемы со схемой базы данных (прил. B.1 на стр. 91).

• Проблемы с Traffic Monitor Server (прил. B.2 на стр. 94).

B.1. Проблемы со схемой базы данных В настоящем приложении описываются проблемы, которые могут возникать при создании, обновлении или удалении схемы базы данных.

При запуске Traffic Monitor Create Schema Wizard выдается сообщение о невозможности установки

Инсталлятор был запущен из сетевой папки. В этом случае будет выдано сообщение, подобное тому, которое показано на рисунке:

Решение

Скопируйте инсталлятор схемы базы данных в папку на локальном диске. Затем запустите ин-сталлятор из локальной папки.

При нажатии кнопки Старт появляется сообщение об ошибке ORA-12154

При настройке параметров создания (обновления/удаления) схемы базы данных неверно указано имя сервера базы данных. В результате на экран будет выведено уведомление об ошибке:

Решение

Запустите повторно процесс создания (обновления/удаления) схемы базы данных и при настройке параметров соединения введите корректное имя сервера базы данных.

Настройка параметров соединения с сервером описывается в следующих разделах:




При нажатии кнопки Старт появляется сообщение об ошибке ORA-01017

При настройке параметров обновления/удаления схемы базы данных неверно указано имя и/или пароль владельца схемы базы данных. В результате на экран будет выведено уведомление об ошибке:


Решение

Запустите повторно процесс обновления/удаления схемы базы данных и при настройке парамет-ров учетной записи введите корректное имя владельца схемы базы данных.

Настройка параметров учетной записи владельца схемы базы данных описывается в следующих разделах:



При нажатии кнопки Старт появляется сообщение об ошибке ORA-12560 или ошибка SQL*Plus

При настройке параметров создания (обновления/удаления) схемы базы данных неверно указан один или несколько следующих параметров: имя сервера базы данных, имя и/или пароль вла-дельца схемы базы данных. В результате на экран будет выведено уведомление об ошибке ORA-12560:

или сообщение SQL*Plus:

Приложение B 93

Решение

Запустите повторно процесс создания (обновления/удаления) схемы базы данных и при настройке параметров соединения введите корректное имя сервера базы данных. При обновлении/удалении схемы базы данных укажите корректные имя и пароль владельца обновляемой/удаляемой схемы базы данных.

Корректные значения параметров не должны содержать служебные символы (пробелы, тире и пр.).

Настройка параметров схемы базы данных описывается в следующих разделах:




При нажатии кнопки Старт появляется сообщение об ошибках ORA-20000 и ORA-02165

Схема базы данных уже обновлена до версии 3.1.0.364 или предпринимается попытка обновить схему базы данных, имеющую версию, отличную от 3.1.0.364. В результате на экран будет выве-дено уведомление об ошибке:


Решение

Если текущая схема базы данных имеет версию, отличную от 3.1.0.364, то используйте для обнов-ления другой инсталлятор схемы базы данных (версия схемы, обновляемой при помощи выбран-ного инсталлятора, отображается в заголовке окна мастера обновления схемы, см. рисунок 13).

B.2. Проблемы с Traffic Monitor Server При запуске процессов iw_messed, iw_deliverd выдается сообщение о том, что не найдены дина-мические библиотеки СУБД Oracle

В скрипте автостарта iw-trafmon неверно задана переменная окружения ORACLE_HOME.

Решение

Откройте скрипты автостарта серверной части: /etc/rc.d/init.d/iw-trafmon /usr/local/infowatch/tm3/bin/scripts/iw-autorestart

Проверьте значение переменной окружения ORACLE_HOME. Это значение должно совпадать со значением ORACLE_HOME, заданным при установке сервера СУБД Oracle.

При запуске процессов iw_messed, iw_deliverd выдается сообщение о том, что нет прав на загруз-ку динамических библиотек СУБД Oracle

Некорректно выполнена установка Traffic Monitor Server.

Решение

Необходимо включить пользователя – владельца Traffic Monitor Server (от имени которого запус-каются процессы Traffic Monitor Server) – в группу oinstall (группа владельца инсталляции кли-ента СУБД Oracle) (см. п. 3.2.3 на стр. 24).

Учетная запись владельца схемы базы данных заблокирована

При установке Traffic Monitor Server был указан неверный пароль владельца схемы базы данных.

Решение

Для того чтобы разблокировать учетную запись владельца схемы базы данных, необходимо вы-полнить следующие действия:

1. Остановить все процессы Traffic Monitor Server, выполнив команду: /etc/rc.d/init.d/iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf указать корректные имя и пароль вла-дельца схемы базы данных (секция [ORACLE], параметры Username и Password, соответствен-но).

3. Разблокировать учетную запись владельца схемы базы данных, выполнив в SQL *Plus команду: ALTER USER имя_владельца_схемы_БД ACCOUNT UNLOCK

4. Запустить все процессы Traffic Monitor Server, выполнив команду: /etc/rc.d/init.d/iw-trafmon start

ГЛОССАРИЙ

CAS

См.: Content Analysis Server

Content Analysis Server (CAS)

Подсистема контентного анализа текста. Принимает тексты (преобразованные в формат plain-text) от подсистемы анализа и принятия решений (DAE). Контентный анализ позволяет выявить текст, содержание которого нарушает корпоративную политику безопасности.

DAE

См.: Decision and Analysis Engine

Decision and Analysis Engine (DAE)

Подсистема анализа и принятия решений. Выполняет общий анализ объектов, принимает реше-ния по дальнейшим действиям над объектами. Взаимодействует с подсистемой контентного ана-лиза.

HTTP-запрос

Запрос, удовлетворяющий требованиям протокола HTTP (POST-запрос, GET-запрос и т. д.).

ICQ-сообщение

Сообщение, передаваемое по протоколу ICQ.

InfoWatch Device Monitor

Система, предназначенная для контроля за доступом пользователей к периферийным устройст-вам и мониторинга операций по созданию файлов на съемных устройствах.

InfoWatch Traffic Monitor

Система для контроля над различными видами трафика (SMTP, HTTP, ICQ). Также в InfoWatch Traffic Monitor осуществляется анализ теневых копий файлов, полученных от системы InfoWatch Device Monitor.

InfoWatch Traffic Monitor Management Console

Графический интерфейс пользователя. Предназначен для управления системой InfoWatch Traffic Monitor (администрирование Системы, настройка конфигурации, анализ объектов и т. п.).

Management Console

См.: InfoWatch Traffic Monitor Management Console

MTA

Mail Transfer Agent.

См.: Почтовый агент


SMTP-конверт

Элемент SMTP-протокола, невидимый для получателя письма. Используется только для обмена информацией между почтовыми серверами. В SMTP-конверте содержится информация об отпра-вителе и получателях письма.

SMTP-письмо

Письмо, удовлетворяющее требованиям протокола SMTP.

SPAN порт

Switched Port Analyzer. Функция, позволяющая принимать копию трафика, проходящего через ком-мутаторы CISCO

SPAN-копия

Разновидность транспортного режима Копия. Передача трафика в этом режиме осуществляется через коммутатор CISCO. Копия трафика передается для анализа на Traffic Monitor Server

См. также: Копия, Обычная копия, Транспортный режим

Switched Port Analyzer

См. SPAN порт

Traffic Monitor Server

Компонент InfoWatch Traffic Monitor, включающий в себя несколько подсистем, предназначенных для выполнения задач контроля и анализа объектов.

Transparent Proxy

Одна из подсистем Traffic Monitor Server. Прокси-сервер, предназначенный для контроля HTTP- и ICQ-трафика.

XML-контекст

Содержимое (текст, заголовки, архивы, вложения и т.п.), извлекаемое из объекта при обработке на Traffic Monitor Server.

Копия

Один из транспортных режимов системы InfoWatch Traffic Monitor. В этом режиме реальный трафик не проходит через Систему. Анализу подвергается копия трафика. В данном режиме невозможна фильтрация трафика средствами Системы

См. также: SPAN-копия, Обычная копия, Транспортный режим

Нормальный транспортный режим

Режим, в котором выполняется анализ и фильтрация проходящего трафика.

См. также: Транспортный режим

Обычная копия

Разновидность транспортного режима Копия. Поддерживается только для SMTP-трафика. Трафик передается через корпоративный почтовый сервер. Копия трафика передается на Traffic Monitor Server для анализа.

См. также: Копия, SPAN-Копия, Транспортный режим

Глоссарий 97

Почтовый агент

В системе электронной почты – агент для пересылки почтовых сообщений (Mail Transfer Agent).

Прозрачный транспортный режим

Режим, в котором трафик передается через Систему без фильтрации. Задачей Системы является только анализ перехваченного трафика

См. также: Транспортный режим

СУБД

Система управления базами данных.

Теневая копия файла

Копия файла, создаваемого на съемном устройстве. Создается только при успешном завершении операции сохранения файла на съемное устройство. Анализ теневых копий файлов выполняется в системе InfoWatch Traffic Monitor.

Транспортный режим

Определяет степень контроля за доставкой объектов получателям. Обязательный атрибут объек-та. Назначается в процессе анализа объекта на DAE и впоследствии не может быть изменен. В сочетании с атрибутом Вердикт определяет возможность дальнейшей транспортировки объекта (атрибут Состояние доставки). Обязательный атрибут объекта.

См. также: SPAN-копия, Копия, Нормальный транспортный режим, Обычная копия, Прозрачный транспортный режим

УКАЗАТЕЛЬ

A

Active Directory......................................................28

C

CAS настройка параметров ....................................58

H

HTTP-трафик ........................................................63 перенаправление.............................................63

I

ICQ-трафик ...........................................................66 перенаправление.............................................66

InfoWatch Device Monitor параметры обработки объектов .....................59

InfoWatch Traffic Monitor.....................................6, 8 CreateSchemaWizard .........................................9 Management Console .........................................9 Traffic Monitor Server..........................................8

iptables.............................................................63, 66 перенаправление HTTP ............................63, 66

iw_forwarder ..........................................................56 iw_lickey.................................................................44

L

LDAP......................................................................28

M

Management Console рекомендации по установке ...........................43 удаление...........................................................74 установка ..........................................................44

MTA .......................................................................26

P

Postfix ........................................................25, 26, 28 настройка интеграции .....................................62

S

SMTP-письмо очередь входящих писем................................52

syslog.....................................................................60

T

Traffic Monitor Server ............................................24 CAS ...................................................................57 Content Analysis Server................................8, 25 Decision and Analysis Engine .......................8, 24 анализ файлов InfoWatch Device Monitor ..8, 24 контроль HTTP-трафика (Transparent Proxy) .8,

24 контроль ICQ-трафика (Transparent Proxy) ....8,

24 контроль SMTP-трафика .............................8, 24 параметры загрузки конфигурации ................59

рекомендации по установке............................25 удаление...........................................................73 установка ..........................................................25

Transparent Proxy .......................................... 24, 53 клиентские настройки (HTTP).........................65 клиентские настройки (ICQ) ............................67 перенаправление HTTP-трафика...................63 перенаправление ICQ-трафика......................66

А

Администратор пользователей ..........................21

В

Входящая почта настройка IP-адреса ........................................26 настройка порта ...............................................26

Г

Группа oinstall......................................................... 26, 50

И

Исходящая почта доменное имя компьютера .............................27 порт компьютера..............................................27

К

Клиент СУБД Oracle.............................................27 проверка взаимодействия с сервером ..........91 рекомендации по установке (Linux) ...............88 рекомендации по установке (Windows) .........90 установка (Linux)..............................................89

Конфигурация параметры загрузки на Traffic Monitor Server 59

Л

Лицензионный ключ iw_customer.dat ......................................... 45, 46 iw_licence.dat ............................................. 45, 46 замена...............................................................46 особенности использования ...........................45 установка ..........................................................45

Лицензирование iw_lickey ............................................................44

Лицензия .................................................................9

О

Обработка архивов и вложений настройка tm.conf.............................................59 настройка параметров в detector.conf............61

П

Пользователь root.............................................................. 26, 70 владелец InfoWatch Traffic Monitor .................49 владелец Traffic Monitor Server.......................26 владелец инсталляции клиента Oracle .........26

Указатель 99

Почтовый агент ....................................................26 Процессы Traffic Monitor Server

iw_dbloader .................................................25, 58 iw_deliverd.........................................................52 iw_expressd.................................................24, 58 iw_messed...................................................24, 51 iw_proxy ............................................................53 iw_proxy (HTTP)..........................................24, 54 iw_proxy (ICQ).............................................24, 53 iw_proxy (SMTP) ...............................................24 iw_smtpd .....................................................24, 50 iw_snmpd ..........................................................60

Р

Расширенное протоколирование .......................60

С

Сервер СУБД Oracle взаимодействие с клиентом ...........................91 конфигурация базы данных (Linux)................78 рекомендации по развертыванию..................75 установка ..........................................................75

СУБД Oracle tnsnames.ora.....................................................27 параметры соединения .......................27, 58, 91

Схема базы данных подготовка к обновлению................................68 подготовка к созданию ....................................18 подготовка к удалению....................................72

рекомендации по созданию ............................18 создание ...........................................................19 удаление...........................................................72

Схемы базы данных Параметры обновления ..................................69 Параметры удаления ......................................73 Параметры установки......................................20

Т

Табличное пространство ежедневное ......................................................18 основное ...........................................................18

Табличное Пространство Ежедневное ......................................................22

Транспортный режим.............................................9 SPAN-копия ........................................................9 копия ...................................................................9 нормальный........................................................9 обычная копия....................................................9 прозрачный.........................................................9

Ф

Файл tm.conf ...............................................................49

Файл данных.................................................. 19, 22

Ц

Циклическая файловая система.................. 19, 23

InfoWatch Traffic Monitor - Проект InfoSecurity.ru

Documents