Biztonság, védelem a számítástechnikában

Biztonság, védelem a számítástechnikában Wagner György Általános Informatikai Tanszék 2. előadás

A védelem fogalmának kiterjesztése Egy számítógépes rendszer processzek és objektumok gyűjteménye. Az objektumok lehetnek: hardware-es objektumok CPU memóriaszegmens diszk (mágneses, optikai, ) szalagos egység (pl. DAT) printer software-es objektumok adatfile-ok programok szemaforok

Need to know Egy process számára csak azokhoz az erőforrásokhoz szabad engedélyezni a hozzáférést, amelyekhez engedélyezve van a hozzáférés. Később (bármikor) csak azokhoz az erőforrásokhoz kell tudnia hozzáférnie, amelyekhez PILLANATNYILAG szüksége van, hogy befejezze feladatát.

Protection domain (védelmi tartomány) Egy process egy védelmi tartományon belül fut. Ez meghatározza azokat az erőforrásokat, amelyekhez a process hozzáférhet. Minden tartomány definiál egy objektum halmazt, és azokat a művelet típusokat, amelyek elvégezhetők az objektumon. A képesség, hogy végrehajtódjon egy művelet egy objektumon, a HOZZÁFÉRÉSI JOG (access right). Egy domain hozzáférési jogok gyűjteménye, amelyek mindegyike <objektumnév, {jogok halmaza}> párba van rendezve. Pl.: <F file, {read, write}>

Protection domain (2) A domain-ek megoszthatják a hozzáférési jogokat (rajz táblára) Az összerendelés egy domain és egy process közt statikus vagy dinamikus lehet.

Statikus összerendelés Módosíthatónak kell lennie a domain tartalmának!! Pl.: egy process futása során elkülöníthető két állapot: egy pillanatban szüksége lehet egy file olvasására, majd később írására. Statikus esetben a domain-ban mindkét jogot szerepeltetni kell, ez azonban olvasási fázisban is biztosítaná az írási jogot!!! Így többlet jogokhoz juthat a process, sérül a Need to know -elv. Meg kell tehát engedni a domain tartalmának módosítását

Dinamikus összerendelés Egy mechanizmusnak kell rendelkezésre állnia, amely lehetővé teszi egy process-nek hogy átkapcsoljon egyik domain-ról egy másikra. A domain tartalmának módosítása ekkor is lehetséges

Megvalósítások Minden usernek lehet egy domain-ja. Ebben az esetben a hozzáférhető objektumok halmaza a felhasználó beazonosításától függ. Domain váltás user váltáskor következik be (logout-logon) Minden processnek lehet egy domain-ja. Ebben az esetben a hozzáférhető objektumok halmaza a process beazonosításától függ. Domain váltás: egy process üzenetet küld egy másiknak és válaszra vár Minden procedurának lehet egy domain-ja. Ebben az esetben a hozzáférhető objektumok halmaza megfelel a procedúrán belüli lokális változók definiálásának. Domain átkapcsolás a procedura hívás végén van. UNIX-ban hogy van?

Access Matrix A protection domain elvonatkoztatva felfogható, mint egy mátrix. Ekkor a mátrix sorai a domain-okat jelentik, oszlopai az objektumokat. A mátrix egyes elemei a hozzáférési jogok halmazából egynek-egynek felelnek meg. Az access (i,j) a mátrixban egy olyan művelethalmaz, amelyben egy process a D i domain-ban hivatkozhat az O j objektumra.

Access Matrix (1) Objektum F 1 F 2 F 3 LP Domain D 1 read read D 2 print D 3 read execute D 4 read write read write

Access Matrix (2) Objektum F 1 F 2 F 3 LP D 1 D 2 D 3 D 4 Domain D 1 read read switch D 2 print switch switch D 3 read execute D 4 read write read write switch Átkapcsolás abban az esetben, ha switch access (i, j)

Access Matrix (3) Objektum F 1 F 2 F 3 Domain D 1 execute write * D 2 execute read * execute D 3 execute Jogmásolás: a jogok átmásolhatók a domain-on belül egyik domainból a másikba, de jog csak oszlopon belül másolható! Jele: *

Jog másolás (1) Objektum F 1 F 2 F 3 Domain D 1 execute write * D 2 execute read * execute D 3 execute read * A D 2 domain-ban futó process átmásolhatja read jogosultságát az F 2 objektum oszlopán belül bármelyik domain-ra, pl. D 3 -ra

Jog másolás (2) Több megvalósítás képzelhető el: copy: már tisztáztuk... transfer: egy access (i, j) jognak az access (k, j)-be történő átmásolása után az access (i, j)-ből a jog törlődik. limited copy: másoláskor csak az elemi jog másolódik át, nem az eredeti, *-gal bővített. Így nincs lehetőség az eredeti jog korlátok nélküli továbbmásolására. owner: bár nem copy, de itt célszerű bevezetni. Az objektum oszlopán belül a jog birtokosa jogokat adhat és vonhat meg.

owner (1) Objektum F 1 F 2 F 3 Domain D 1 owner execute D 2 read * owner write read * write owner D 3 execute

owner (2) Objektum F 1 F 2 F 3 Domain D 1 owner execute D 2 read * owner write * read * write * owner D 3 write write

control jog Objektum F 1 F 2 F 3 LP D 1 D 2 D 3 D 4 Domain D 1 read read switch D 2 print switch switch control D 3 read execute D 4 write write switch Control abban az esetben, ha control access (i, j)

Control jog (2) Soron belüli módosítást tesz lehetővé (!). Ha control access (i, j), akkor egy process a D i -ben futva eltávolíthat bármely jogot a j sorból, de!: Control jog csak domain objektumra használható az előző példában egy, a D 2 domain-ban futó process control joggal rendelkezik a D 4 domainra, ezért a D 4 sorában jogot adhat és vonhat meg.

Az Access Matrix implementációja A Global Table: <domain, objektum, joghalmaz> hármasok rendezett sorozata Amikor egy M művelet végrehajtódik az O j objektumon a D i domain-ban, akkor a Global Táblából kikeresésre kerül a <D i, O j, R k >, ahol M R k. Ha ez létezik, akkor a művelet folytatódik, egyébként hiba lép fel. (Privilégium sértés). Hátránya: A tábla igen nagy, nem tartható a memóriában, azért további I/O műveletek lépnek fel.

Objektumok Access listája Az Access Mátrixban minden oszlopot le lehet képezni, mint egy objektum access listáját. Az üres elemek elhagyhatók. De így is nagyon hosszú a lista Egyszerűsíteni rajta egy default lista kialakításával lehet. Ebben az esetben először az objektum ACL-je kerül átvizsgálásra, majd ha ott nem szerepel, akkor a default ACL ellenőrzésével folytatódik. Bizonyos esetekben gazdaságosabb először a default-ot, majd csak ezután az objektum ACL-jét vizsgálni.

Capability List Az Access Matrix soraiból levezethető a Domain-ek képesség listája (CL) Optimális megvalósításakor egy objektumhoz való hozzáféréskor bár a Capability List össze van kapcsolva egy domain-nal, de nem szabad, hogy hozzáférhető legyen egy olyan process számára, amely ugyanabban a domainban fut. A Capability alapú védelem azon alapul, hogy a Capability-k soha nem kerülhetnek más címterületre, mivel ott hozzáférhetővé válnának.

Az adat Védeni mindig az információt kell! De mi az információ? Adat: tény, egy olyan állítás, ami a valóságra vonatkozik. Az adat minden, amit fel lehet dolgozni. Jel, esetleg jelsorozat

Az információ Információ: Az információ az adat feldolgozásának, átalakításának és rendezésének az eredménye oly módon, hogy az plusz tudást adjon annak a személynek, aki megkapja. Egy bekövetkezett esemény is lehet információ(forrás). Minél váratlanabb az esemény, annál nagyobb az információ értéke.

Az információbiztonság (1) Olyan állapot, amelyben az információk: védve vannak a sérüléstől, csak jogosult személyek férnek hozzá nem törlődnek szükség szerint hozzáférhetők

Az információbiztonság (2) Az információ három biztonsági jellemzője (CIA): Confidentiality (Bizalmasság) Integrity (Sértetlenség) Availability (Rendelkezésre állás)

Bizalmasság Egy információhoz csak az férhessen hozzá, akinek engedélye van Biztosítja, hogy az információt nem teszik hozzáférhetővé jogosulatlan egyének, entitások, vagy folyamatok számára Kivitelezése: pl: CL, ACL

Sértetlenség Az információ eredeti állapotának megőrzése Fontos, hogy egyáltalán érzékelni tudjuk az információ megváltozását! Kivitelezése pl.: redundáns információk segítségével.

Rendelkezésre állás Az információ a szükséges időben és helyen hozzáférhető Az információnak csak akkor van haszna, ha ténylegesen el lehet érni azt. Kivitelezése. Pl: többszörözés, elosztott adatbázis, szünetmentes tápegység

Formális módszerek Segítségével általánosan leírható, mit értünk az előbb tárgyalt bizalmasság, sértetlenség és rendelkezésre állás alatt. INFORMÁCIÓ Bizalmasság Sértetlenség Rendelkezésre állás Bell-LaPadula modell Biba modell Clark-Wilson modell Kínai fal modell

Hozzáférés védelem Alapvetően két változata van: MAC: Mandatory Access Control (Kötelező hozzáférés védelem) DAC: Discretionary Access Control (Tetszőleges hozzáférés védelem)

MAC Egy rendszer mechanizmus határozza meg az objektum hozzáférési szabályait. Ezen a felhasználó nem változtathat. A szabályok írják le, hogy milyen feltételek melett engedélyezett a hozzáférés.

DAC (Belátáson alapuló hozzáférés ellenőrzés, vagy önkényes hozzéférés ellenőrzés, vagy tetszőleges hozzáférés védelem) Ha a felhasználó beállíthatja egy objektumhoz való hozzáférés szabályait, akkor azt DAC-nak nevezzük. Fontos: egyértelműen be kell tudni azonosítani mind az objektumot, mind a szubjektumot.

Bell LaPadula modell (1) David Elliott Bell és Len LaPadula dolgozta ki 1973-ban. Célja a DoD által elkészített biztonsági szabályzat (MLS - Multi Level Security) modelljének kidolgozása. Lényegében egy formális állapot átmenet modell, amely hozzáférési szabályokat határoz meg.

Bell LaPadula modell (2) Két alapvető entitás közötti viszonyt határoz meg: Objektum: olyan entitás, amely információt tartalmaz, vagy fogad, és amin a szubjektum műveleket hajt végre. Szubjektum: olyan entitás, amely az objektumon műveleket hajt végre. (A felhasználó, vagy a felhasználó által indított folyamat)

Bell LaPadula modell (3) Az objektumok biztonsági címkékkel rendelkeznek. A szubjektumok az objektumok egy körére érvényes elérési engedéllyel. A címkék: Szigorúan titkos Titkos Bizalmas Nem minősített

Bell LaPadula modell (4) Szabályok: 1. Az adott megbízhatósági szinten levő szubjektum nem olvashat egy magasabb szinten levő objektumot 2. Az adott megbízhatósági szinten levő szubjektum nem írhat egy alacsonyabb szinten levő objektumot 3. Egyes szubjektumok hozzáférési mátrix segítségével jogosultak ettől eltérő hozzáférésekre.

Bell LaPadula modell (5) Gyakorlati megvalósítása nehézkes. Módosított változatát használják például a Linux-okban, FreeBSD-ben.

Firewall A név eredete Mire való? Mire nem? (Általános tévedések, téves hiedelmek) Kialakítások

A név eredete Középkor, faházak, tüzek Jelen: a házak közé sima, tűzgátló fal

Mire való? Általánosítva: ellenőrzött hálózati forgalom kialakítására Szűkebben: (felfogástól függően ) védelem a külvilágtól a felesleges Internetezés megakadályozása a belső hálózat részeinek egymástól való elszigetelése

Általános tévedések,... Amit mindig elmondanak: tojásrántotta készítésére nem, Vírusok ellen nem véd (klasszikus tűzfalról van szó!) Hangposta lehallgatása ellen sem Nem alkalmas olyan támadás kivédésére, amely nem a tűzfalon keresztül érkezik!! És ami a legfontosabb: nem a tűzfal az igazi védelem, hanem egy jól kialakított biztonságpolitika, aminek természetesen egy tűzfal is része lehet.

Akkor mit tud? Egyetlen csatlakozási pont a külvilág felől, kívülről csak ez támadható. Egyetlen csatlakozási pont a belső hálózat felől, itt minden megfigyelhető. A védett hálózat struktúrája rejtve marad. Minden eseményhez füstjelzők rendelhetők hozzá. Hálózati szolgáltatások központilag engedélyezhetők. VPN.

Hát akkor sorjában... A tűzfal nem egy router, bástya (bastion host), vagy egyéb eszközök kombinációja, hanem a cég biztonság politikájának szerves része. Előnye: ennek segítségével egy cég belső hálózatának használata korrekt módon menedzselhető. E nélkül mind belülről (gyakoribb, mint a külső támadások!!), mind kívülről bárki próbálkozhat sikerrel vagy sikertelenül Egyébként is, a belső hálózatot célszerű leválasztani az Internetről, hiszen e nélkül a teljes Internet forgalom lecsapódhat a subnet-en.

Védelmi struktúrák (1) Intranet-en belül: Három hálózati kártya

Védelmi struktúrák (2) Intranet Internet Internet Fizikai kapcsoló

Védelmi struktúrák (3) Intranet Internet Internet 2 hálózati kártya

Védelmi struktúrák (4) Modem erősen kerülendő (ld. Sun), ha mégis: Megfelelő azonosítás után vonalbontás, és fix telefonszám visszahívása Saját, zárt hálózat használata

Biztonság politika Első lépésként fel kell mérni a cég TELJES hálózatát Ha vannak telephelyek modemes, vagy egyéb (bérelt vonalas) csatlakozással, esetleg mindkettővel, azokat is be kell venni ebbe a felmérésbe. Meg kell határozni, honnan, minek az elérésére van szükség, kinek és milyen módon. (Anélkül, hogy azt firewall-nak nevezték volna, többnyire eddig is volt egy router, aminek egyszerűen csomagirányító szerepe volt. Tulajdonképp ez egy kezdetleges firewall de ne siessünk előre)

Miért legyen? Az Internetről letölthető hasznos programok garmadája, azok ész- és értelem nélküli kipróbálása pl.: Hacker Toolbox SNMP: routing táblák vizsgálata, esetleges módosítása TraceRoute: routerek, hálózati eszközök feltérképezése DNS: IP címek átberhelése map-elések kapcsolatok átvétele...

Firewall építőelemek Packet-filtering firewall (Csomagszűrő tűzfal) A csomagszűrő tűzfal minden egyes IP csomagot megvizsgál, és annak forrás-, illetve célcíme, a benne levő protokoll (TCP, UDP, ICMP, IP Tunnel), a TCP/UDP forrásport, célport száma, az ICMP message tartalma, a bejövő illetve kimenő interface alapján eldönti, hogy a kialakított szabályhalmaznak megfelelően átengedje-e vagy sem. nem túl részletes a logfile FELVONÓHÍD

Packet Filtering Firewall

Firewall építőelemek (2) Circuit-Level Gateway TCP kapcsolatokat enged át mindenféle tartalom vizsgálat nélkül A kapcsolat felépítését azonban képes felügyelni Mire jó? egy-egy portjára érkező kapcsolatot egy másik, meghatározott portjára tesz. Akit egy bizonyos portra teszünk, az csak a beállított porton mehet ki.

Circuit Level Gateway

Firewall építőelemek (3) Application-Level Gateway (Proxy firewall, vagy Alkalmazás szintű tűzfal) (RAJZ!, az elv!) Több lehetőséget biztosít: szétválaszthatók a user-ek szétválaszthatók az alkalmazások mivel alkalmazás szinten szűr, nem csak a csomag tartalma, hanem az egész információfolyam vizsgálható kérhető teljes részletességű logfile VASRÁCS

Application Level Gateway

Kialakítások (1) Packet filtering router (rajz) Screened host firewall (rajz) Screened host with dual homed bastion host (rajz) Screened subnet firewall (DMZ - Demilitarizált zóna) (rajz)

Proxy Firewall (pl. Ms ISA Server)

Proxy Firewall (pl. Ms ISA Server)

Proxy Firewall (pl. Ms ISA Server)

Proxy Firewall (pl. Ms ISA Server)

Proxy Firewall (pl. Ms ISA Server)

Proxy Firewall (pl. Ms ISA Server)

Probléma a csomagszűrő tűzfal esetén Működési elve szerint a csomagban levő információk alapján szűr. 1. A felhasználók Interneteznek 2. Emiatt a visszaérkező csomagokban szinte bármilyen IP cím előfordulhat 3. Ezért minden IP címet engedélyezni kellene? 4. Akkor viszont azokról a címekről bármikor bejöhet egyegy kapcsolat 5. A megoldás: stateful packetfiltering firewall (állapotfigyelő v. állapottartó csomagszűrő tűzfal)

Stateful vagy stateless? A csomagszűrő tűzfal kétféle lehet: Stateless (állapotmentes): Már tárgyaltuk Stateful (állapottartó) (1993): Első ilyen firewall: CheckPoint Firewall-1 Jellemzői:

HA (High Availability) tűzfalak (1) Cold stand-by: van egy cseregép. Ha az éles rendszer elromlik, kicseréljük a tartalékra. Mikor fedezi fel az adminisztrátor? Néhány perc, néhány nap Hot stand-by: két gép folyamatosan üzemel, de csak az egyik szűr. (folyamatosan életjeleket heartbeat, szívverés - ad) Ha baj van, beáll a másik helyette. Az aktív fél folyamatosan frissíti a passzív fél adattábláit. Szerepcsere akkor, ha 3 életjel kimarad. Probléma: erős hálózati terheléskor kimaradhat 3 életjel. Ekkor feleslegesen történik meg a csere, emiatt rövid idő után vissza csere, majd megint, Neve: forró krumpli. Ezért: vagy közvetlen kapcsolat (soros vonalon), vagy dedikált hálózati csatlakozás.

HA (High Availability) tűzfalak (2) Tűzfal cluster (amíg mind működik, elosztják a feladatokat, ha az egyik feldobta a talpát, a többi átveszi a szerepét) A cluster egyetlen gépnek látszik, egyetlen IP-vel (egyetlen címmel minden hálózati rétegben). A tagok egymás közt valamilyen módon megosztják a forgalmat, de! minden tag feldolgoz minden hálózati csomagot! Több IP-s változat: a kliensek felváltva használják a cluster IP címeit. Túlterheléskor a cluster tagja átad egy vagy több IP címet a többeiknek. Probléma: a cluster és a kliensek közé további hálózati eszközök kellenek, amelyek véletlenszerűen elosztják a forgalmat a cluster több IP címe között. Route-olás: több internet kapcsolat több szolgáltató felé.

Virtual Private Network Csak egy titkosítás kiegészítés és megoldható egy proxy firewall-lal a VPN Mi is az...

Deep (packet) Inspection Firewall Alapjában egy Packet Filtering Firewall 2003-ban dolgozták ki Elve: egy adatbázisban (Attack Object Database) tárolja az ún. protocol anomáliákat (az egyes protokollok sebezhetőségeit) Csoportosítja azokat protokollok illetve biztonsági szintek (sebezhetőségi szintek) szerint Tudja mindazt a védelmet, amit a stateful pfw A következő alkalmazási szintű protokollokat ismeri: HTTP, SMTP, IMAP, POP, FTP, DNS

Deep Inspection Firewall Lényege, hogy csomagszűrő tűzfal létére képes alkalmazási szintű támadások beazonosítására és kivédésére Ehhez signature-t használ Kezdetben csak kb. 250 támadási módot ismert Nem sokkal később már mintegy 3000-et, és ez folyton nő Átlagosan hetente kb 70 új támadási formát találnak, azaz évente több mint 3500-at Ezek kb 10%-ának kivédésére alkalmas egy DI firewall

Informatikai hálózatok határvédelme (esettanulmány) Axent: Raptor Network Associates: Gauntlet

a n V a n V P N t á m o g a t á s V a n V a n O p e r á c i ó s r e n d s z e r e r ő s s é g M s W i n d o w s U n i x ( S u n S o l a r i s ) Rövid összehasonlítás Raptor Gauntlet Több interfész kezelése Igen Igen Interfész integrálódás Igen Igen Alkalmazás proxy-k Vannak Vannak Azonosítás támogatása Támogatott Támogatott Tevékenység az összes layer-ben Layer szintű naplózás V Igen Igen

A szempontok (1) Több interfész: Több DMZ kialakítási lehetőség. Ha nincs, általában hiába ígérik későbbi verzióban Ha van, tudja-e mindet egyszerre is használni, illetve Tudja-e mindre alkalmazni a szabályokat? Interfész integrálódás: A Raptor az Ms esetében pl. lecseréli az összes hálózati driver-t a sajátjára, virtuális driver-ekkel helyettesítve az összes funkciót. Így már a csomagok szintjén be tud avatkozni

A szempontok (2) Alkalmazás proxy-k: Vannak-e már kész proxy-k? Van-e lehetőség a későbbiekben ezeket bővíteni? Milyen mértékben képesek a protokollokat feldolgozni? Azonosítás támogatása: Ha a tűzfal mögött erős azonosítással dolgozó rendszerek vannak, képesek-e ezt átverekedni? (Többnyire csak úgy, hogy ezt az azonosítást kiviszik a tűzfalra!! Egy spéci proxy segítségével) Tevékenység az összes layer-ben: a Data Link Layertől a Network Layer-ig a fontosabb ha e felett is, akkor jónak mondható

A szempontok (3) Layer szintű naplózás: Egyértelmű... VPN támogatás: OS: Már órán vettük az elvet. Ha nem a tűzfal végzi a titkosítást, képes-e feldolgozni, és átengedni? A Gauntlet-nek is van Ms-os verziója, de nem annyira jó

Szolgáltatás átirányítás Mindkét tűzfal támogatja Mi is ez: (Service redirect) A tűzfalat úgy is feltüntetni, mint egy különálló gépet Ha egy erre a címre érkező, pl.: 80-as portot kérő igény érkezik, akkor azt átirányítja a DMZ-ben a 80-as porton levő Web server-re A szolgáltatást nyújtó belső címek így rejtve maradnak. Fontos: bár transzparens, de ez továbbítás, és nem összekapcsolás

Portscan védekezés Mindkét tűzfal támogatja Ha egy külső/belső program a tűzfal port-jait próbálgatja, az észleli ezt log-olja és automatikus válaszlépéseket tud foganatosítani!

Nincs proxy?? Ha olyan alkalmazást kell használni, amihez nincs proxy: transzparensen nyitogatni kell a tűzfalat vagy tán mégsem kell az az alkalmazás mindkét tűzfal képes arra, hogy egy csomagot egy másikba csomagolva is fel tudjon dolgozni képesek erre néhány ismeretlen protokoll esetében is

Raptor összefoglalás Windows Domain integrálódás Authentikációs proxy (Axent Defender, SecurID) Újrahasználható & eldobható jelszavak Alternatív protokollok (Radius, ) VPN Véd a legtöbb ismert támadás ellen (Spoofing, SYN flood, Port scan) Anti spaming Service redirect transzparens viselkedés

Gauntlet összefoglalás Unix (Sun) teljes integrálódás Authentikációs proxy (Axent Defender, SecurID) GVPN Felismer támadás módokat (DoS, Port scan) Komponens alapú felépítés (cserélhető komponensek) IP in IP (csomag a csomagban) támogatás, ne kelljen ismeretlen protokollt átengedni Erős DMZ támogatás

Valós idejű tartalom- és vírusszűrés (újabb esettanulmány) TrendMicro: VirusWall Content Technologies: Sweeper (persze vannak még mások is, de ezek mérvadók) Amiben igen gyorsak: valós idejű (!) HTTP és SMTP szűrés

Rövid összehasonlítás TrendMicro Content Technologies HTTP, SMTP tartalomszűrés Integrált Integrált HTTP, SMTP vírusszűrés Integrált Külső + Integrált Tömörített fájlok vizsgálata Van Van Automatikus pattern frissítés Van Van Tűzfal integráció Közepes Jó Szűrési irányvonal Vírus Tartalom Központi management Kiváló Jó Operációs rendszer erősség NT és Solaris NT

VirusWall Felismer és eltávolít ismert és ismeretlen macro és polimorf vírusokat Több mint 20-féle tömörítőt ismer Tömörített fájlokban is képes scan-elni és irtani Automatikus pattern frissítés Folyamatos víruskövetés Valós időben szűr: SMTP, FTP, HTTP Veszélyes kódrészletek észlelése és blokkolása (Képes megvizsgálni, mit tenne, majd üzen a rendszergazdának) Rosszindulatú, vagy nem megfelelően írt Java Applet-ek és ActiveX objektumok blokkolása (második Java layer-rel való borítékolás ) Spam lista figyelés, multithread felépítés

Sweeper Integrált, fejlett tartalomszűrő eljárások Részletes eseménynaplózás Tömörített fájlokban is képes scan-elni és irtani Automatikus pattern frissítés Azonos idejű HTTP és SMTP szűrés Titkosított és kódolt levelek szűrése (SecretSweeper) Titkosított távoli menedzsment multi-thread felépítés