3. Архитектура системы

3.1. Модули системы

Архитектура системы FraudWall является модульной, позволяющей реализовать установку одного комплекса системы на нескольких серверах.

Таблица 1. Перечень модулей системы FraudWall:

Модуль Назначение
hGuard. Модуль фильтрации HTTP-трафика Основное назначение данного модуля - фильтрация всего HTTP-трафика работы клиента в системе ДБО. Дополнительно данный модуль формирует файл дампа трафика клиента, который в дальнейшем будет обработан модулем анализатора трафика.
анализатор трафика Данный модуль осуществляет анализ файла дампа трафика, сформированного модулем hGuard, на предмет обнаружения подозрительных платежей в системе ДБО.
модуль управления Основное назначение данного модуля - управлять остальными модулями FraudWall, осуществлять автоматическое конфигурирование программного обеспечения на сервере и выполнять прочие служебные операции.
удостоверяющий центр Реализует инфраструктуру открытых ключей для всех модулей в системы FraudWall.
интерфейс системы WWW-интерфейс, позволяющий администратору либо пользователю системы FraudWall выполнять необходимые действия в системе.
управляющий www-сервер Обеспечивает работу WWW-интерфейса системы FraudWall.
исполнительный www-сервер Обеспечивает транспортный уровень между управляющим WWW-сервером, который может быть установлен на выделенном сервере, и модулем управления, установленным на данном сервере.


3.1.1. FraudWall. Интерфейс системы

Администрирование системы FraudWall реализовано через WWW-интерфейс.

Рисунок 1. Модуль FraudWall. Интерфейс системы

Модуль FraudWall. Интерфейс системы

WWW-интерфейс может работать в 2 режимах:

  • демонстрационный режим

  • работа с реальными данными

При работе в демонстрационном режиме установка каких-либо других модулей либо компонент системы не требуется - WWW-интерфейс представляет собой набор статических файлов, которые могут быть записаны, например, на CD-диск, и запущены непосредственно с CD-диска без какой-либо установки на компьютер.

В режиме работы с реальными данными необходима установка дополнительных модулей системы FraudWall на сервер. Демонстрационный режим может быть запущен даже в том случае, если возможна работа с реальными данными (например, для обучения сотрудников бэк-офиса работе на новой системе).

Выбор режима работы осуществляется в процессе аутентификации пользователя:

Рисунок 2. Выбор режима работы в процессе аутентификации пользователя

Выбор режима работы в процессе аутентификации пользователя

WWW-интерфейс содержит в себе встроенную помощь, которая доступна при клике мышкой на значок

Рисунок 3. Встроенная помощь в WWW-интерфейсе системы

Встроенная помощь в WWW-интерфейсе системы

В системе предусмотрены информационные сообщения-подсказки, улучшающие работу пользователя в системе:

Рисунок 4. Подсказки в WWW-интерфейсе системы

Подсказки в WWW-интерфейсе системы

3.1.2. hGuard. Модуль фильтрации HTTP-трафика

В качестве одного из источников получения данных о действиях клиента система FraudWall использует HTTP-трафик между клиентом банка и сервером системы ДБО.

FraudWall позволяет реализовать два принципиально разных подхода к проверке данных HTTP-трафика:

  • FraudWall устанавливается в разрыв между WWW-сервером банка и клиентом (работа в режиме прокси)

  • формирование содержимого WWW-страниц полностью осуществляется непосредственно на сервере FraudWall

Помимо получения дампа HTTP-трафика, FraudWall позволяет фильтровать HTTP-трафик, поступающий из сети Интернет, блокируя попадание вредоносных либо нежелательных запросов непосредственно на WWW-сервер банка (т.е. фактически, является Web Application FireWall).

hGuard представляет собой модуль FraudWall, реализовывающий весь вышеперечисленный функционал.

Схематически работа модуля hGuard показана ниже на рисунках.

Рисунок 5. Схема функционирования модуля hGuard (работа в режиме прокси)

Схема функционирования модуля hGuard (работа в режиме прокси)

Рисунок 6. Схема функционирования модуля hGuard (генерация содержимого непосредственно на сервере Apache)

Схема функционирования модуля hGuard (генерация содержимого непосредственно на сервере Apache)

На рисунке показаны:

Таблица 2. Условное обозначение

Обозначение Функционал
(Используется при необходимости) Организовывает шифрованное HTTPS-соединение между клиентом и сервером Apache
Собственно модуль hGuard - проверяет входящий трафик от клиента на допустимость (защищая тем самым сервер ДБО от несанкционированного доступа) и сохраняет дамп трафика (от клиента к WWW-серверу и обратно) в файл
(Используется при необходимости) Кеширует трафик WWW-сервера (если страница находится в кеше, содержимое отдается непосредственно из кеша)
(Используется при необходимости) Пробрасывает HTTP-запрос, полученный от клиента, на другой WWW-сервер. Дополнительно осуществляется балансировка нагрузки между WWW-серверами (если их несколько)
Станицы сайта, непосредственно располагающиеся на сервере Apache
Компоненты, необходимые для работы модуля BSI системы BS-Client на сервере Apache

3.1.3. Модуль FraudWall. Анализатор трафика

Защита системы ДБО от мошеннических платежей, созданных злоумышленником от имени клиента, реализуется с помощью модуля анализатора трафика.

Данный модуль осуществляет анализ дамп-файла, сформированного модулем фильтрации HTTP-трафика, на предмет обнаружения подозрительных платежей в системе ДБО.

В процессе своей работы модуль анализатора трафика формирует для каждого клиента банка статистический профиль, который храниться в базе данных системы. Статистический профиль клиента непрерывно корректируется с учетом текущих особенностей бизнеса клиента (например, клиент банка может со временем расширить свой бизнес, с аналогичным изменением характера создаваемых им документов в системе ДБО).

Корректировка статистического профиля осуществляется в автоматическом режиме.

Информация о накопленных статистических данных храниться в базе данных с использованием односторонней хеш-функции. Это означает, что можно проверить профиль для заданного клиента, но нельзя извлечь информацию, к какому клиенту принадлежит конкретный профиль. Такой механизм защиты делает бесперспективной кражу базы статистических данных системы FraudWall потенциальным злоумышленником, что исключает возможность «обхода» правил обнаружения мошеннических платежей, например, создав от имени клиента платеж, соответствующей статистическому профилю.

При обнаружении подозрительного платежа, информация о таком платеже записывается в базу данных PostgreSQL. В дальнейшем информацию о подозрительных платежах из базы PostgreSQL может быть отображена в WWW-интерфейсе системы либо посредством модуля управления передана внешним по отношению к FraudWall системам (например, АБС и т.д.).

3.1.4. Удостоверяющий центр системы FraudWall

Внутреннее взаимодействие всех модулей системы между собой осуществляется через HTTPS-соединение с взаимной аутентификацией по SSL-сертификатам.

Для организации инфраструктуры открытых ключей в системе FraudWall предусмотрен собственный удостоверяющий центр на основе программного обеспечения openssl.

WWW-интерфейс системы доступен пользователям через HTTPS-интерфейс, SSL-сертификат которого автоматически выпускается на удостоверяющем центре системы FraudWall.

3.1.5. Управляющий WWW-сервер системы FraudWall

При необходимости работы в модуле «FraudWall. Интерфейс системы» с реальными данными, он устанавливается на сервере совместно с модулем «Управляющий WWW-сервер системы Fraudwall».

Данный модуль представляет собой WWW-сервер apache, на котором автоматически настраивается единственный HTTPS-сайт на порту TCP 1000, обрабатывающий запросы пользователя при работе через интерфейс системы.

Для работы в интерфейсе системы FraudWall с реальными данными, пользователь должен авторизоваться в системе. После прохождения успешной аутентификации, пользователю становятся доступны только те операции, которые соответствуют его роли и правам доступа к данным.

3.1.6. Исполнительный WWW-сервер системы FraudWall

Данный модуль представляет собой WWW-сервер apache, на котором автоматически настраивается единственный HTTPS-сайт на порту TCP 1001. Основное его назначение - организация защищенного транспорта передачи запросов от управляющего WWW-сервера к модулю управления системы FraudWall.

3.1.7. Модуль управления системы FraudWall

Данный модуль представляет собой постоянно запущенный процесс (демон), который обрабатывает запросы от управляющего WWW-сервера по изменению конфигурации сайтов, а также выполняет прочие служебные операции.