LINUX.ORG.RU
ФорумGeneral

Мониторинг действий пользователей на рабочих местах


0

1

Шеф озадачил нетривиальной задачей - обеспечить мониторинг действий пользователей на работе, поскольку у него появились агентурные сведения, что кто-то «сливает» конфиденциальную инфу, приналежащую компании, «налево», возможно, конкурентам или еще кому-то. И возгорелся фикс-идеей поймать крота на горячем и прижать к стенке фактами.
Сливают, скорее всего через сторонние почтовые ящики типа mail.ru/gmail.com и мн. другие халявные почтовые сервисы и наверняка по веб-интерфейсу, т.е. по http/https. Не исключено, что заливают на файлообменники, но это менее вероятно.

Конечно, я попытался объяснить, что если захотят, то инфу все равно сольют, даже если отключить от всех Инет - будут выносить на флешках или еще на чем-то, ведь, например, каждой девке в сумочку или в лифчик не залезешь на выходе.
Но шеф парировал тем, что, во-первых, заблокировать всем юзерам доступ к съемным носителям, во-вторых, вести мониторинг негласно, чтобы юзеры не чувствовали себя под колпаком, тем самым ослабили свою бдительность и поймались.

Лично я не уверен в успехе предприятия, но указание свыше, и придется таки что-то делать. Первым делом поискал готовые решения - да, есть такие.
Например, на винде это StaffCop и ей подобные - фигня полная, потому что базируется на установке неких «агентов» на компьютеры пользователей, которые собирают инфу о действиях юзеров и посылают ее на сервер для анализа. Это значит, что для неоднородной сети (Linux и Windows) компьютеров оно уже не годится.
Также эти «агентные» решения не годятся там, где часто производится переинсталляция компьютеров пользователями - а у нас как раз есть такой экспериментальный отдел, который каждый каждый день сносит ОСи и ставят новые, от виндов до маков. На Linux количество полноценных решений для удобного мониторинга думаю, еще меньше.

Задача усложняется еще и тем, что пока трудно представить, как можно осуществлять контроль за веб-почтовыми ящиками. Если бы это был pop3/smtp, то можно бы сниферить, а по вебу непонятно, разве что взлом пароля юзера через контроль трафика и проверка содержимого ящика, но это некрасиво и глупо.

Технически пока представляю сбор инфы с помощью отдельного компьютера, у которого сетевая карта работает в режиме promission, как дальше ее анализировать, просто не представляю, потому что мини-СОРМы для офиса мне не доводилось строить. А придется :(

Кто знает, подскажите, как быть, плиз. Мне все равно придется осуществлять эту задачу, только с вашей помощью она получится лучше.

PS. Только пожалуйста, если подсказываете, то давайте по существу вопроса, поэтому не надо поднимать стоголосый вой, что это неэтично и незаконно - шеф официально получил такое право, а все сотрудники при приеме на работу расписались в приказе, что за ними будет осуществляться технический контроль их на рабочих местах.

★★★★★

1. учти что вебморды почт идут на ssl, хотя если настроена прокся и на ssl это может быть проще.

2. может поможет слив ложной инфы сузить круг

3. как минимум чтобы хоть как-то сузить круг - посмотри кто из пользователей лазил на сайт к конкурентам

4. если текстовые данные сливаются, попробуй хоть правило в iptables добавить - может чтонибудь словишь.

visual ★★★
()

То есть ты и сам не знаешь, что искать? Тогда остается запретить все шифрованные протоколы и регистрировать весь входящий/исходящий трафик. А потом его как-то анализировать (правда, непонятно, как).

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

Ну да, по ssl, об этом и сказал - «https», на жмейле он есть к примеру. На сайт к конкурентам вряд ли крысы вряд ли лазят, не такие они дураки, скорее всего через сторонний публичный почтовый ящик.

И да, я сам не знаю, что искать. Вернее, мне оно нафиг не нужно - подглядывать юзерами, искать хочет сам шеф, но ему для этого нужно дать какой-то понятный инструмент для мониторинга.

chukcha ★★★★★
() автор топика

DLP

Предотвращение утечек - огромная и дорогая тема. Смотрите в гугл на предмет комплексных DLP-систем. Основные источники утечек:
1. Веб - жестко контролировать куда можно пользователю, куда нельзя. + Перехватывать и анализировать весь траффик.
2. Внешние устройства (Zlock, Device Control)
3. Удаленный доступ к рабочим местам (VMWare View, Citrix XenDesktop)
4. Всевозможные интернет-пейджеры
5. Корпоративная почта
Проивостоять утечкам практически невозможно, важно иметь средства остледить их. Во многих банках стаят даже аппаратные key-логеры.

bashnia
()

Судя по описанию потребностей шефа, достаточно будет купить teamviewer на все компы и на клиентских подозреваемых компах пусть сидит подглядывает за рабочим столом пользователей, пока не надоест или пока не появятся другие потребности. Может просто мониторить может скринкасты записывать. Купить просто потому, что в бесплатной версии видно, кто подключен к сеансу пользователя, а в платной, вроде как, можно скрытно подключаться. Ну и справа можно вывести список рабочих в данный момент компов. И если работник на рабочем месте, а компа нет в списке, то ... А-ТА-ТА.

justAmoment ★★★★★
()
Ответ на: комментарий от chukcha

Можно делать скриншоты раб.стола каждую минуту и отправлять их шефу в файлопомойку. Пусть любуется. Под линуксом и виндосом интрументы для этого наверняка есть.

imul ★★★★★
()

Если потребуется более сложные решения. То, например, http://www.devicelock.com/ru/dl/ или продукты checkpoint http://www.checkpoint.com/products/dlp-software-blade/index.html (а также endpoint security). Только учти, что по checkpoint придётся читать документацию на английском, интерфейсы в программах тоже могут быть только на английском. Плюс сроки внедрения — оптимистично, месяца за два можно попытаться внедрить.

P.S. Розовые мечты по покупке Ъ-энтерпрайз продуктов, обычно, сразу перестают быть привлекательным как только руководство видит ценник на внедряемые продукты.

justAmoment ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General