Punkty końcowe pod ochroną

Check Point

Punkty końcowe pod ochroną

Integrity 6.0

Integrity 6.0 jest ofertą oprogramowania, które powstało z rozszerzenia personalnej zapory ogniowej o mechanizmy kontroli i wymuszania zgodności z regułami polityki.

Instalacja produktu przebiegała bez niespodzianek. Utworzono domyślny pakiet instalacyjny dla klienta i wygenerowano własne polityki bezpieczeństwa i kontrole zgodności z polityką. Integrity zawiera domyślne kontrole rozwiązań antywirusowych głównych dostawców.

Można także dostosowywać sterowanie egzekwowaniem, używając interfejsu zarządzania do kontroli takich elementów, jak klucze rejestrów, niebezpieczne pliki czy niedozwolone procesy. Brakujące łatki oprogramowania i systemu operacyjnego nie są domyślnie objęte kontrolą, ale może je objąć kontrola dostosowana.

Dostęp do aplikacji jest kontrolowany przez standardowe reguły zapory ogniowej i mechanizmy kontrolne aplikacji. Programy spyware mogą być monitorowane poprzez usługę SmartDefense Program Advisor Check Point. Kontrola portu USB nie jest zapewniana.

Wszystkie testy kontroli zgodności przebiegły pomyślnie. Integrity nie zapewnia jednak ochrony, gdy system nie jest podłączony do sieci korporacyjnej lub pracuje przez połączenia VPN.

Systemy niespełniające wymagań mogą być poddane obserwacji, ostrzegane lub pozbawione dostępu do sieci - z wyjątkiem wyraźnie określonych przypadków. W celu usunięcia wykrytych niezgodności administrator może udostępnić linki, spod których można pobrać niezbędne pliki. Może to również uczynić bezpośrednio użytkownik. Podczas testowania tych mechanizmów stwierdzono poprawne skierowanie do miejsca sieciowego zdefiniowanego w kontroli reguł polityki bezpieczeństwa - po wykryciu braku łatek systemu operacyjnego, nastąpiło skierowanie do usługi Windows Update.

Raportowanie Integrity jest bardzo proste. Przewidziano podstawowe raporty tworzone za pomocą przeglądarkowego motoru raportującego, które nie mogą być jednak eksportowane. Można uzyskać raport o systemach niespełniających wymagań, można także przeglądać wykresy historii napraw, ale brakuje pełnych raportów. Integrity nie zapewnia żadnych funkcji alarmowych.

Integrity 6.0

Producent: Check Point

Zalety: dobra integracja z bramami VPN; łatwy w użytkowaniu

Wady: raportowanie wymaga ulepszenia, ograniczone akcje naprawcze

Cena: od 1750 USD

Podsumowanie

Punkty końcowe pod ochroną

Ocena produktów zabezpieczania punktów końcowych sieci

Chociaż testowane produkty egzekwowania polityki w punktach końcowych zaspokajają podstawowe potrzeby, to jednak przed nimi jeszcze długa droga do osiągnięcia statusu dojrzałych komponentów infrastruktury ochronnej przedsiębiorstwa. Można się spodziewać, że będą one ewoluować w kierunku poszerzania zakresu kontroli zgodności i dopasowywania się do istniejącej ochrony i infrastruktury sieci.

Wspólną cechą, jaką można zauważyć, jest brak większych możliwości alarmowania i konieczność poprawienia technik raportowania. Komponenty te są kluczowe dla takich produktów.

Ponadto wiele produktów zawiera możliwości kontroli zgodności na podstawie nazwy pliku lub procesu. Takie kontrole łatwo można obejść - zmieniając nazwę procesu lub pliku. Pewniejszym sposobem jest wykorzystywanie różnego rodzaju sum kontrolnych, pozwalających na zabezpieczenia się przed takimi przypadkami. Ulepszenia wymaga też komunikacja z użytkownikiem końcowym, mająca na celu zwrócenie jego uwagi, gdy system nie spełnia wymagań. Większość produktów przewiduje przekierowanie w przeglądarce webowej, ale nie jest ono dostępne, jeżeli użytkownik dostaje się do sieci przez inną aplikację.

Jak testowano

Ponieważ produkty ochrony punktów końcowych skupiające się na egzekwowaniu reguł polityki bezpieczeństwa są bardzo różnorodne we wdrożeniu, starano się testować je w sposób, który powinien prowadzić do porównywalnych wyników.

Problem zdefiniowano jako potrzebę egzekwowania polityki bezpieczeństwa punktów końcowych sieci na komputerach próbujących uzyskać dostęp do sieci. Następnie zdefiniowano cel: niedopuszczenie do sieci systemów, które nie spełniają wymagań polityki, i podjęcie akcji - automatycznie lub ręcznej - przywracającej system do stanu zgodności przed dopuszczeniem do sieci.

W celu uwzględnienia bardziej specyficznych wymagań utworzono "listę życzeń" zakresu kontroli zgodności z polityką oraz funkcjonalności produktu, którą chciałoby się mieć do rozwiązania tego problemu.

Postawione wymagania podzielono na pięć głównych kategorii: zarządzanie polityką, ustawianie/wdrażanie, procesy naprawcze, odporność, raportowanie/alarmy.

Ocena zarządzania polityką skupiała się na zdolności produktu do kontroli zgodności ze zdefiniowaną polityką. Założono też, że ustawianie powinno być jak najprostsze i dobrze udokumentowane. Wdrażanie agentów powinno być procesem prostym, produkt powinien być generalnie intuicyjny i łatwy w obsłudze.Testy procesów naprawczych skupiały się na tym, jak obsługiwane są systemy niespełniające wymagań. Czy są poddawane kwarantannie i czy blokowane są wszystkie dostępy do sieci? Czy można skierować użytkownika do miejsca, gdzie może on pobrać do zainstalowania brakujące oprogramowanie lub łatki? Czy akcja naprawcza może wykonać się automatycznie?

Testy odporności skupiały się na tym, jak system odpowiada na atak. Czy można łatwo obejść reguły polityki i uzyskać pełny dostęp do sieci? Czy serwer jest podatny na atak? Czy można w sposób nieskomplikowany odinstalować klienta i obejść reguły polityki?

Ocena raportów i alarmów skupiała się na tym, jak administrator będzie powiadamiany o systemach niespełniających wymagań polityki oraz śledzeniu statusu zgodności i historii akcji naprawczych. A także na tym, czy można generować raporty dla szczebla zarządzającego, pozwalające na ocenę bieżącego stanu bezpieczeństwa.

Wszystkie komponenty serwerowe instalowano na Windows 2003 Server (jeżeli był obsługiwany przez dany produkt) z kompletem łatek. Jeżeli 2003 nie był obsługiwany (serwer zarządzania Cisco CSA i serwer zarządzania Trend Micro OfficeScan) używano Windows 2000 Server - także z kompletem łatek. Serwery te zainstalowano na maszynach wirtualnych VMware, skonfigurowanych z 1 GB RAM i pracujących na serwerze Shuttle - Pentium 3 GHz.

Klienty instalowano na Windows 2000 SP4 i Windows XP SP2 Professional. Systemy nie zawierały innych dodatkowych łatek poza SP, o ile nie były wymagane przez instalowane oprogramowanie klienckie. Klienty zainstalowano na maszynach wirtualnych VMware, konfigurowanych z 500 MB RAM i pracujących na serwerze Shuttle, Pentium 3 GHz. Na potrzeby testów wszystkie klienty skonfigurowano z Sophos AntiVirus i personalną zaporą ogniową eEye Blink.

W sieci pracowały przełączniki Cisco 3500, skonfigurowane z dwoma wirtualnymi LAN. Pierwsza VLAN była główną siecią produkcyjną. Druga działała jako sieć poza obszarem zaufania, wykorzystywana przez produkty w postaci urządzeń wpiętych do sieci. Druga VLAN funkcjonowała także jako sieć naprawcza - jeżeli była wymagana.

Do testowania zarządzania polityką ustawiono w każdym z produktów reguły polityki wymagające zapory ogniowej Blink oraz oprogramowania antywirusowego Sophos i aktualnych sygnatur tego ostatniego. Zainstalowano trojana/spyware o nazwie Dloader (nomenklatura Sophos) w celu sprawdzenia, czy zostanie on zidentyfikowany i zatrzymany lub poddany kwarantannie. Skonfigurowano też reguły polityki wymagające zainstalowania w systemie łatek bezpieczeństwa MS05-014 dla Internet Explorer, a w przypadku ich braku, wyzwolenie akcji naprawczej, obsługiwanej przez dany produkt (wysłanie URL, sprowadzenie pliku łatek w celu ręcznej instalacji lub automatyczne zainstalowanie łatek).

Testowano możliwość egzekwowania polityki poprzez zdalne połączenia VPN, używając jako bramy Cisco VPN Concentrator, a także zdolność egzekwowania polityki, gdy punkt końcowy nie był podłączony do sieci korporacyjnej.

Na końcu przyjrzano się mechanizmom do tworzenia dostosowywanych kontroli zgodności i próbowano tworzyć kontrole, które nie były przewidziane jako domyślne.

W obszarze "naprawczym" testowano zdolność pełnego blokowania lub sterowania dostępem dla systemów niespełniających wymogów polityki, ograniczającego ich dostęp do wewnętrznego serwera. Testowano także przekierowanie przeglądarki, jeżeli była taka możliwość, i wszystkie akcje naprawcze dostępne w danym produkcie.

W zakresie raportów i alarmów testowano przede wszystkim zdolność generowania alarmów pocztą elektroniczną lub za pomocą SNMP, jeżeli system niespełniający wymagań był online. Raporty oceniano poczynając od podstawowych logów systemowych. Sprawdzano możliwość generowania raportów z możliwością eksportu, a także zdolność do tworzenia raportów w dwóch specyficznych obszarach: historia akcji naprawczych i szczegółowy raport o odstępstwach systemów.

W testowaniu odporności używano spiętych portów przełącznika i hubów na Linuksie (Centos 4) do sprawdzenia monitorowania sieci. Wykorzystano OpenSSL do ręcznego przetestowania dowolnego połączenia SSL. Do skanowania serwerów, w celu zidentyfikowania potencjalnych obszarów podatności, użyto NMAP i NESSUS. Do manipulowania plikami, w celu wykonania testu usunięcia klienta, zastosowano podstawowe narzędzia Windows.


TOP 200