Стетоскоп | Сетевая аналитика Часто задаваемые вопросы — Стетоскоп | Сетевая аналитика
rus / eng  

FAQ

Как установить анализатор трафика Стетоскоп?

Для установки необходимо:

  • Скачать требуемую версию (Скачать);
  • Проверить контрольную сумму скаченного exe-файла со значением, указанном на сайте;
  • Запустить исполняемый файл с правами пользователя администратора;
  • Ответить утвердительно на запрос компонента учетных записей MS Windows (UAC);
  • Далее следовать подсказкам мастера установки;
Каков принцип работы приложения?

Для enterprise версии

Хост (может быть в серверном исполнении для установки в стандартную 19″ стойку или в миниатюрном десктопном исполнении) с установленным программным средством Стетоскоп (далее программа) устанавливается в канал связи в разрыв. Обычно точка применения хоста с программой является выделенный канал интернета организации и установка производится на границе периметре локальной сети для контроля всего сетевого взаимодействия локальной сети и сети Интернет. Для решения задач контроля и анализа трафика внутри сети организации хост с программой может быть установлен между ее сегментами.
Чтобы максимально сократить риски отказа в работе сетевых сервисов при установке в разрыв хост с программой оснащается специальным сетевым оборудованием, обладающим функцией «bypass», которая позволяет передавать данные через хост даже в том случае, если хост обесточен или программное обеспечение хоста работает нестабильно.
Хост с программой должен быть оснащен как минимум двумя сетевыми интерфейсами для реализации виртуального интерфейса типа «мост» и достаточным количеством жестких дисков для записи трафика. Два сетевых интерфейса хоста объединяются в логический интерфейс типа «мост», а программа выполняет обработку всего трафика проходящего через этот виртуальный интерфейс. Для задач управления хостом рекомендуется выделить третий сетевой интерфейс. При этом не запрещается для задач управления использовать интерфейс, входящий в «мост».

Для Free версии

Программное средство Стетоскоп (далее программа) устанавливается на компьютер пользователя, который работает под управлением операционной системы Windows. Поддерживаются следующие версии ОС Windows: Windows XP SP3, Windows Vista, Windows Vista SP1, Windows Vista SP2, Windows 7, Windows 7 SP1, Windows 8, Windows 8.1, Windows 10. Все версии ОС Windows поддерживаются в 32 битном и 64 битном исполнении.
В процессе установки программа внедряется в сетевой стек компьютера пользователя, что позволяет ей контролировать все сетевые взаимодействия любых программ и процессов пользователя и системы.

Принцип работы обеих версий

В основу положен принцип перехвата сессий с последующей записью их на диск и передаче на анализаторы протоколов. Анализаторы выполняют динамическое выявление протоколов, расшифровку контента, получение метаинформации о сессиях и передают собранные данные индексатору. Индексатор записывает в базу данных информацию о сессиях, которая становится доступна пользователю в специальной консоли управления и мониторинга. Работа в консоли поддерживает статический и динамический режим. В динамическом режиме пользователю в режиме близком к реальному времени автоматически предоставляются новые данные о взаимодействиях пользователей, хостов и процессов операционных систем.

Какие технические требования? Сколько места нужно для хранения данных?
  • Скорость работы дисковой подсистемы должна быть выше скорости анализируемых сетевых потоков. При этом допускается кратковременное увеличение скорости потоков, превышающее скорость записи дисковой подсистемы;
  • ОС Windows: Windows XP SP3, Windows Vista, Windows Vista SP1, Windows Vista SP2, Windows 7, Windows 7 SP1, Windows 8, Windows 8.1, Windows 10
  • Для установки программы требуется не менее 1Гб свободного места на жестком диске
  • Для работы программы требуется место на диске, которое можно посчитать по формуле <требуемое место> = <скорость трафика в Мбит/с> * 8 * <количество дней для хранения> * 86400 (сек). Результат будет в Мб.
    К примеру, при скорости 100 Мбит/с для гарантированного хранения трафика в течение 10 суток потребуется 10 Тб места на жестком диске (При условии загруженности канала в течении всего времени на 100%).
  • Требования к процессору для Enterprise версии зависят от пропускной способности сети, количества пользователей и количества локальных хостов, а для Free особых требований к процессору не предъявляется
  • Требования к оперативной памяти (ОЗУ): для Enterprise — от 16 Гб, для Free — от 1 Гб.
Как работает система блокировок? Можно ли поставить блокировку на переписку с отдельными контактами? Можно ли поставить блокировку на пользование мессенджерами?

Приоритетной задачей развития Стетоскоп является модуль блокировки и подмены траифка по объектам контента. К объектам контента по которому можно будет осуществлять блокировку относятся: контакт, адрес, приложение, протокол, сервис, наборам символов, словам и выражениям в передаваемом контенте с использованием регулярных выражений.

Есть ли описание интерфейса?

На странице «Документация» доступен для скачивания документ — «Руководство администратора», в котором описаны основные возможности интерфейса программы «Стетоскоп». Документация постоянно развивается вместе с Программой.

Каким образом приложение может перехватывать шифрованный трафик?

Перехват возможен тремя способами:

  • Перехватчик вне машины клиента. Через специальную настройку у каждого клиента — «Прокси сервер». Браузер клиента умышленно шлет все запросы на специальный сервер, который терминирует соединение, выступаю требуемым конечным сервером, подделывая сертификат сервера назначения, и открывает с требуемым сервером сам соединение. После этого данные из соединения с сервером перекладывает в соединение с клиентом и наоборот. Для того, чтобы поддельный сертификат у клиента не вызывал подозрений, ему устанавливается специальный корневой сертификат в доверенные, которым подписываются все поддельные — и схема работает. Режим — «классический прокси».
  • Перехватчик вне машины клиента. Через специальную настройку маршрутизатора, которая позволяет неявно для клиента перенаправлять весь потом на прокси-сервер. Дальше схема похожа на первую. Отличается тем, что не надо на клиенте делать настройку прокси, но все равно надо прописывать доверенный корневой сертификат. Режим — «прозрачный прокси».
  • Перехват непосредственно на машине клиента. В сетевой стек (драйвер) машины клиента внедряется обработчик, который, получает открытые данные. Режим — «прозрачный прокси».
Каким конкретно образом анализируется зашифрованное соединение?

Обработка соединения, защищенного SSL/TLS-шифрованием, в Программе заключается в сохранении оригинального зашифрованного трафика, сохранении расшифрованного трафика, индексации зашифрованного и расшифрованного трафика. Остальное пока только в дорожной карте: выделение из расшифрованного трафика объектов прикладных протоколов (письма, ссылки, файлы, адресаты и т.п.), сохранение и индексация объектов прикладных протоколов.

Чем отличается от конкурентов? Какие преимущества у программы?
  • Простая процедура развертывания/внедрения, не требующая дополнительного оборудования от клиента и дополнительных свойств оборудования клиента
  • Управление на уровне простого пользователя
  • Для каналов до 1 Гбит/с не требует дорогого серверного оборудования
  • Ретроспективый анализ — «машина времени (time machine)». Пользователь может, сдвинув окно просмотра по оси времени, просматривать все, что происходило в сети с точки зрения статистики и [в дорожной карте] с точки зрения передаваемого контента — объектов прикладных протоколов.
  • [В дорожной карте] плагинная система расширения возможностей по аналитике (плагины пользователей и собственной разработки Компании, доступные на маркете собственной площадки). С учетом ретроспективного анализа, подключение в будущем плагина позволит обработать его функционалом трафик за период, когда плагина еще не было установлено.
  • Мы постоянно работаем над улучшением пользовательского интерфейса программы, чтобы ее возможности были доступны пользователю с минимальными знаниями IT и ИБ.
  • [Для корпораций, подпадающих под госрегулирование в сфере ИБ] Сделано в России (Импортозамещение), возможность внедрения в государственные органы (лицензирование, сертификация по требования нормативной базы РФ в области защиты информации)
Каким образом вычленяются и расследуются сетевые инциденты?

Здесь надо сразу разделить понятия: есть системы ведения сетевых инцидентов, т.е. предоставляющие интерфейс для управления жизненным циклом инцидента (сбор и нормализация сообщений, выявление событий, регистрация инцидентов, расследование инцидентов с последующим их закрытие, есть ответственный, есть сроки по инциденту и т.п.), а есть системы, которые являясь датчиками, предоставляют информацию для первых систем, а также предоставляют расширенную информацию потребованию для обеспечения доказательной базы или для проведения более тщательного расследования. Кроме этого, от качества работы датчика и минимизация на нем ложных срабатываний записит сильно и качество обнаружения и расследования инцидентов.
Наша программа позволяет выявлять инциденты пока в автоматизированном режиме, но [в дорожной карте] планируется реализовать еще и автоматическое выявление. Для примера автоматизированного выявления можно представить ситуацию, когда пользователь периодически (раз в день или раз в неделю) проводит поиск по графикам и таблицам хостов и/или процессов, которые больше всех использовали ресурсы сети за заданный интервал времени (за последний день или неделю). Выявив эти объекты, пользователь получает информацию о том, что за внешние ресурсы были соучастниками использования пропускной способности сети. Примерами автоматических режимов будут поиск по контенту (пользователь отправил документ со словом «Резюме»), поиск комбинаций статистики трафика за период, подпадающих под аномальное поведение (Хост бухгалтера за последний час имел 100 контактов с другими хостами, что свидетельствует либо о вирусе, сканирующем сеть, либо о бухгалтере, который занялся чем-то отличным от прямых обязанностей, или в крайнем случае неправильной настройкой сети администраторами).

Стетоскоп Free

Полнофункциональная рабочая версия программы для личного использования, позволяющая решать базовые задачи по контролю и анализу сетевой активности.

История версий

    11.04.2018 1.5.6
    • - Добавлен функционал нормализации значений валового графика. При наличии на графике больших пиковых значений параметров трафика, средние и низкие значения стали более заметны;
      - Добавлено подробное описание ошибок, выводимых пользователю;
      - Выполнено обновление базы геопозиционирования IP-адресов по состоянию на март 2018 года;
      . . .
    31.01.2018 1.5.5
    • - Добавлена возможность фильтрации сетевых сессий по DNS-именам;
      - Добавлена возможность поиска в окне контента сетевых сессий;
      - Добавлена возможность множественного выбора сетевых сессий для экспорта в файл;
      . . .
    13.10.2017 1.5.4
    • - Добавлена возможность просмотра данных сессий непосредственно в Консоли;
      - Добавлена возможность экспорта отображаемых данных сессий с предварительным получением всех данных сессий;
      - Добавлена индикация текущего состояния для сервисов индексации, сохранения и сервера приложений;
      . . .