Варианты работы Агента

<< Кликните, чтобы показать Содержание >>

Руководство Администратора | CHM EPUB PDF A4/Letter   

Варианты работы Агента

Работа Агента с сервером EtherStat

Для работы Агента с сервером EtherStat необходимо, чтобы рабочие станции, на которых установлен EtherSensor Agent, находились в одной с сервером EtherStat локальной  сети. EtherStat с помощью шифрованного TCP-соединения собирает информацию от агентов, установленных на рабочих станциях, и анализирует ее.  Для идентификации рабочих станций Агент генерирует уникальный UHID и отправляет его в сообщенииях серверу EtherStat.

Работа Агента с сервером EtherSensor

Режим прозрачного проксирования без маркировки трафика

В данном режиме Агент прозрачно проксирует соединения приложений, запущенных на компьютере пользователя. При успешной установке приложением соединения Агент отправляет на сервер EtherSensor информацию об установлении TCP соединения конкретным приложением, выполняющимся под конкретным пользователем сети.

admin_guide-01-settings-agent-mlsp-usage-1

Рис.28. Прозрачное проксирование без маркировки трафика

Таким образом EtherSensor при реконструкции сообщения может полностью идентифицировать пользователя, отправившего данное сообщение посредством любого поддерживаемого на данный момент протокола (ICQ, MSN, MRA, IRC, XMPP, SMTP, POP3, LOTUS, HTTP, FTP  и т.п.).

При этом обязательно должно выполняться условие отвода копии анализируемого трафика: копия трафика должна отводиться на EtherSensor до того, как произойдут изменения в параметрах соединений.

Например:

До прокси-сервера

До NAT

До межсетевого экрана.

Режим прозрачного проксирования с маркировкой HTTP трафика

Данный режим работы Агента отличается от режима без маркировки трафика только тем, что Агент модифицирует на клиентской рабочей станции отправляемые приложениями HTTP-запросы, добавляя в них заголовок X-Sensor-UID: <GUID>, где <GUID> – уникальный идентификатор пользователя на конкретном компьютере внутри локальной сети. Эти действия выполняются в полном соответствии с HTTP-протоколом, не нарушая его работу.

admin_guide-01-settings-agent-mlsp-usage-2

Рис.29. Проксирование с маркировкой трафика

Такой режим работы может использоваться, когда EtherSensor  может получать копию трафика для анализа только после модификации параметров соединений. Например, после прохождения соединениями прокси-сервера, NAT или межсетевого экрана.

В этом случае EtherSensor при реконструкции сообщения полностью идентифицирует пользователя, отправившего данное сообщение, по заголовкам X-Sensor-UID из HTTP-протокола.