Ustanawianie i egzekwowanie polityki bezpieczeństwa w punktach końcowych sieci może mieć kluczowe znaczenie dla pozytywnego audytu bezpieczeństwa sieci.

Podczas testów produktów zabezpieczania punktów końcowych sieci, zapewniających mechanizmy wymuszania polityki bezpieczeństwa, sprawdzano zdolność każdego produktu do identyfikacji odstępstw od przyjętej polityki i podejmowania odpowiedniej akcji naprawczej w celu ich usunięcia.

Utworzono listę wymagań dotyczących kontroli polityki, którą produkt powinien oferować, obejmującą: zdolność do identyfikacji zaniechanych łatek systemów operacyjnych (aplikacji) i niezgodne z polityką ustawienia systemu bezpieczeństwa oraz ograniczanie dostępu do systemów, tworzenie raportów dla analizy niezgodności, a także akcji naprawczych.

Listę utworzono przy założeniu, że żaden pojedynczy produkt nie spełni wszystkich wymogów, dopuszczono jednocześnie, aby dostawcy przygotowali kombinacje produktów, które wspólnie takie wymagania spełniają.

Prezentujemy wyniki testów produktów firm Check Point, Cisco Systems i Trend Micro.

Trend Micro

Testom poddano urządzenie Network VirusWall 2500 i oprogramowanie OfficeScan 7 Corporate Edition Antivirus. VirusWall 2500 jest urządzeniem włączanym do sieci, które może dopuszczać lub blokować dostęp do sieci zgodnie ze zdefiniowanym zestawem reguł polityki, ustawianych w samym urządzeniu. System, który próbuje uzyskać dostęp do sieci, jest skanowany pod kątem luk (brakujące łatki, nieszczelne usługi). Podczas testów wszystkie kontrole pracowały zgodnie z opisem.

Zestaw nie ma możliwości tworzenia indywidualnie dostosowywanej kontroli zgodności z regułami polityki. Taka kontrola nie działa również, jeżeli punkt końcowy nie jest bezpośrednio wpięty do sieci przedsiębiorstwa. Kombinacja oferowana przez Trend Micro może pracować przez VPN i integruje się z kilkoma bramami VPN w zakresie skanowania antywirusowego.

Produkt cechuje się łatwością ustawiania i jest intuicyjny w użytkowaniu. Jeżeli podłączający się do sieci system nie spełnia wymagań, to użytkownik końcowy uzyska komunikat o błędzie i zostanie skierowany pod URL zdefiniowany przez administratora, gdy otworzy przeglądarkę. Przydałby się też komunikat zachęcający do otwarcia przeglądarki, ponieważ użytkownik końcowy nie jest powiadamiany o konieczności otwarcia przeglądarki w celu uzyskania dalszych informacji.

Ponieważ VirusWall 2500 i jego możliwości wymuszania reguł polityki są ściśle zintegrowane z OfficeScan, przeoczone oprogramowanie antywirusowe może być łatwo uzupełnione, a wykryte wirusy usunięte automatycznie. Inne usterki, takie jak pominięte łatki, muszą być naprawiane w inny sposób, np. przez Windows Update.

Możliwości raportowania i alarmy oferowane przez Trend Micro okazały się najlepsze wśród testowanych produktów. System może być łatwo skonfigurowany w zakresie sposobu informowania administratora (pocztą elektroniczną lub alarmem SNMP) o problemach w momencie, gdy system niespełniający założeń polityki usiłuje uzyskać dostęp do sieci. Można także generować jednorazowe lub okresowe raporty o historii akcji naprawczych i eksportować je do formatu PDF lub innego. Przydatne są też raporty pokazujące komputery online i offline z przeterminowanymi komponentami.

Cisco Systems

Cisco przedstawiło dwa produkty do testowania. Jednym z nich jest serwer Cisco Clean Access - technologia działająca na urządzeniach wpiętych do sieci i kierująca funkcjami zgodności polityki punktów końcowych, w połączeniu z oprogramowaniem Cisco Trust Agent (CTA - element CCA), rezydującym na maszynach klienckich.

Drugim jest Cisco Secure Agent (CSA) - technologia agentów hostowych monitorujących system pod kątem szkodliwej aktywności, składająca się z serwerowego oprogramowania zarządzającego oraz kodu strony klienckiej.

Instalacja CCA okazała się trochę skomplikowana. Zamierzano używać urządzenia pracującego w trybie pomostowym, przekazującym ruch bez wykonywania operacji translacji adresu (NAT). Dokumentacja była trochę zawiła w tym szczególnym przypadku - zawierała wymaganie, aby serwer zarządzający rezydował w innej podsieci.

W zakresie kontroli zgodności z regułami polityki CCA poprawnie identyfikował sygnatury antywirusowe (domyślny profil obejmuje trzech dużych dostawców rozwiązań antywirusowych) oraz brakujące łatki systemu operacyjnego. Ruch sieciowy był kontrolowany zgodnie ze zdefiniowanymi na użytek testów regułami polityki. Ustawienia systemu operacyjnego w zakresie bezpieczeństwa są kontrolowane za pomocą skanera Nessus, uruchamianego z urządzenia CCA w momencie, gdy urządzenie końcowe chce podłączyć się do sieci.

Kontrole dostosowywane, pozwalające monitorować klucze rejestrów, pliki i procesy, mogą być budowane za pośrednictwem konsoli CCA. Na ogół były one łatwe do utworzenia.

Jedna z kontroli miała sprawdzać, czy na punkcie końcowym pracuje określona osobista zapora ogniowa. W większości produktów polega to na stwierdzeniu, czy pracuje w nim odpowiednia aplikacja lub proces. Cisco obsługuje taką kontrolę i zapewnia gotowe reguły polityki napisane dla agenta CSA. Używanie zapór ogniowych innych niż uwzględnione w tych regułach może być egzekwowane przez użycie kontroli dostosowanej w CCA. W opinii testujących dostosowywanie kontroli polityki Cisco powinno być jednak poszerzone o bardziej szczegółowe motory skryptowe.

Kombinacja produktów zaproponowana przez Cisco może także identyfikować spyware i wymuszać większe bezpieczeństwo aplikacji, rejestrów i procesów, zapewniając ochronę w czasie, gdy punkt końcowy jest online lub offline w sieci korporacyjnej.

CCA może być bez kłopotu użyty jako punkt zakończenia VPN. Przyszłe wydania mają ściślej integrować się z Cisco VPN Concentrator.

Zgodność jest wymuszana przez zdefiniowane reguły polityki, które rezydują w urządzeniu CCA. Używając interfejsu zarządzania CCA, można ustawić pewną liczbę polityk wykorzystujących takie stany, jak: uwierzytelniony użytkownik, nieuwierzytelniony użytkownik, luki wykryte przez skanowanie i niepomyślna kontrola zgodności.

Jeżeli użytkownik nie zostanie uwierzytelniony przez urządzenie CCA, można ograniczyć mu dostęp do określonych obszarów sieci. Użytkownik uwierzytelniony może być poddany bardziej szczegółowej kontroli i może uzyskać szerszy dostęp do zasobów sieci. Oprogramowanie CTA, rezydujące w każdym punkcie końcowym sieci, zapewnia dostęp do hosta oraz możliwość przeglądania plików, procesów i kluczy rejestrów. Jeżeli CTA zidentyfikuje problem, system niespełniający wymagań może uzyskać plik instalacyjny, odebrać wiadomość alarmową lub zostać skierowany pod wskazany URL.

Instalację oprogramowania, które powinno przywrócić punktowi końcowemu zgodność z wymaganiami, użytkownik końcowy musi zainicjować ręcznie. Dopóki kwestionowany punkt końcowy oczekuje na uzyskanie stanu zgodności, dopóty serwer blokuje ruch sieciowy, z wyjątkiem niezbędnego do wyjścia z tego stanu, takiego jak pochodzący z Windows Update.

Zarówno w CCA, jak i CSA raportowanie nie jest nadzwyczajne. W przypadku CCA można przeglądać logi systemowe na serwerze w celu zidentyfikowania kluczowych zdarzeń, ale sam system nie generuje raportów. Rezultaty skanowania i kontroli zgodności można oglądać na poszczególnych punktach końcowych. Niepomyślne skanowanie generuje odpowiednią pozycje do logu zdarzeń CCA, ale nie można generować raportów pokazujących bieżący stan wszystkich komputerów online, historie lub trendy.