Bezpečnostní produkty pro ochranu klientů

Koncová podniková bezpečnostní opatření vám mohou pomoci lépe ovládat zájmy bezpečnosti distribuovaných klientů. ...


Koncová podniková bezpečnostní opatření vám mohou pomoci lépe ovládat zájmy
bezpečnosti distribuovaných klientů. Na trhu existuje celá řada produktů, od
softwarových, které umějí zpracovat pouze povolené aplikace, až po produkty,
jež dokáží sledovat činnost aplikací či sítě a detekovat zákeřné či abnormální
chování.
V aktuálním testu vám představíme právě softwarové aplikace, které v případě
útoku dokáží zareagovat například tak, že zablokují určitý port nebo zastaví
provádění určité operace. Do přehledu naši kolegové z NetworkWorldu zařadili
produkty od celkem pěti výrobců. Konkrétně šlo o Blink 1.0 od eEye Digital
Security, F-Secure Anti-Virus Client Security, Sygate Secure Enterprise 4.0,
Symantec Client Security 2.0 a Zone Labs (nyní součást firmy Check Point)
Integrity 5.0.
K bezpečnostní politice koncových uživatelů se staví každý výrobce jinak.
Někteří, jako třeba F-Secure a Symantec, kombinují antivirové programy s
technologií firewallů. Jiní, jako například eEye, Sygate a Check Point, se
pokoušejí skloubit systém prevence vniknutí, "klasická" firewallová pravidla a
ochranu aplikací.
Naši kolegové z amerického NetworkWorldu nejprve ve svých testovacích
laboratořích výše zmíněné produkty nainstalovali, aby poté definovali politiku,
nastavili klienty a porovnali hlášení. Poté vytvořili scénář, ve kterém se
útočník pokouší prolomit chráněný klientský systém; vytvořili plán útoku (viz
"Útok na bezpečnost klientů: Naše strategie") a zaútočili na každý produkt tak,
aby mohli ohodnotit účinnost a způsob, jakým pracují jejich obranné prostředky.

Instalace a dokumentace
Jelikož nastavení softwaru, které se dotýká každého klienta v korporátní síti,
není nijak jednoduché, hodnotili jsme i způsob, jakým se s tímto problémem
jednotliví výrobci vyrovnali.
Sygate a eEye samy zajišťují instalaci serveru, konzole pro správu a několika
klientů (pro jistotu jsme tyto instalace opakovali, abychom se ujistili, že v
nich nejsou schované nějaké háčky).
U Check Pointu jsme spustili průvodce instalací, postupovali podle jeho pokynů,
a během několika minut tak úspěšně nastavili a spustili systém. Nastavení
klientů je dostupné prostřednictvím odkazu ke stažení, ale lze je rovněž
nastavit i pomocí jakéhokoliv jiného korporátního instalačního mechanismu, jako
jsou Microsoft Group Policy (nástroj pro správu klientských prostředí) či
System Management Server.
Během instalace konzole F-Secure jsme narazili na jeden problém. Tato
společnost nedodala veškerý software potřebný pro to, abychom mohli následovat
instalační instrukce, takže jsme museli zavolat servisní středisko.
U Symantecu jsme rovněž postupovali dle pokynů pro instalaci, ale zjistili
jsme, že ne všechny komponenty se zobrazily na konzoli a že firewally u klientů
nebyly po instalaci funkční. Nakonec jsme museli všechny komponenty serveru
Symantec znovu instalovat od počátku, což některé problémy vyřešilo, ale přesto
se Alert Management na konzoli neobjevil ve všech případech.
Kvůli komponentě klientského firewallu jsme hovořili s podporou Symantecu a
zjistili, že její instalace není součástí defaultního nastavení. Museli jsme
tedy vytvořit vlastní instalační cestu. Jelikož jsme testovali produkt s
označením Symantec Client Security, rádi bychom bývali viděli defaultní
nastavení instalace komponenty firewallu, a ne pouze instalaci antivirového
programu.
Check Point dodal nejlépe zpracovanou dokumentaci, jež byla srozumitelná,
detailní, přesná a snadno pochopitelná. Produkty F-Secure a Sygate obsahovaly
adekvátní dokumentaci. Symantec je rovněž dodáván s rozsáhlou dokumentací
včetně zdlouhavého návodu k instalaci, ale máme pocit, že by tato dokumentace
měla projít úpravou vedoucí k tomu, aby se uživatelé nedostali do stejných
problémů, s nimiž jsme se setkali i my.
EEye neobsahoval žádnou dokumentaci, ale produkt samotný je dostatečně
intuitivní a snadno se ovládá. Nepotřebovali jsme proto příliš nahlížet do
dokumentace a v případech, kdy jsme se bez ní neobešli, nám pomohla on-line
nápověda.

Nastavení politiky a rozmístění
Z našeho pohledu je nejdůležitější komponentou tohoto typu produktů nastavení
politiky, kde konfigurujete, jak bude produkt chránit vaše koncová zařízení. Se
špatně definovanou politikou lze zakázat či omezit platné aplikace nebo
komunikaci, kterou uživatelé potřebují ke každodenní práci, či naopak umožnit
přístup zákeřných aplikací do vašeho systému.
Testované produkty přistupují k zajištění bezpečnosti klientů odlišnými způsoby.
Některé produkty pouze sledují aplikace přijímající nebo generující síťový
provoz, jiné hlídají chování aplikací a vyhledávají znaky nedovolené aktivity.
Ještě více jich k této problematice přistupuje hybridním způsobem a kombinují
technologie síťově založených pravidel pro firewally, kontrolu aplikačních
mechanismů, analýzu protokolů a signatury detekce narušení.
V testu funkčnosti politiky jsme se pokusili vytvořit a rozmístit takovou
politiku, která by blokovala všechen příchozí provoz s výjimkou vzdáleného
desktopu, blokovala odchozí provoz na port 23 u vzdáleného systému, zabránila
Netcatu navázat se na port 468 a zabránila možnosti spuštění hry Solitaire
(sol.exe) z Windows. Po rozmístění politiky jsme testovali konektivitu
vzdáleného desktopu, připojení telnetu a možnost spouštět Solitaire. Zkouškou
ovládání těchto čtyřech procesů můžete snadno pochopit parametry, s jejichž
pomocí lze u těchto produktů nastavit politiku v rámci rozsáhlejší škály
aplikací a síťových aktivit.
Nejzajímavějším testem nastavení politiky byla prevence spuštění souboru
sol.exe. U Symantecu a eEye můžete určit, kterým souborům má systém věřit a
kterým nevěřit, ale musíte specifikovat cestu k souboru. To představuje výzvu,
jelikož sol.exe se u systému Windows 2000 Server nachází v adresáři
WINNTsystem32, kde rovněž najdete i konzoli každého produktu, a u systémů s
Windows XP se sol.exe nachází ve Windowssystem32, kde běží i systém, který by
se měl starat o výkon bezpečnostní politiky. U těchto produktů jsme nemohli
aktivovat blokaci, jelikož žádný z nich nám nedovolil ručně nastavit cestu k
souboru. Soubor jsme museli hledat pomocí procházení adresářové struktury, což
ale nešlo, jelikož ten, k němuž jsme se snažili dojít, se ve správě serveru
nenachází.
Check Point, Sygate a F-Secure se pouze tváří, že sledují aplikace pokoušející
se přistoupit na síť, jelikož Solitaire se neobjevoval v seznamu aplikací
běžících v systému. Telnet se na druhou stranu objevil ihned po spuštění.
Při blokování odchozího provozu telnetového připojení na portu 23 byly produkty
Symantec, Check Point, Sygate a eEye všechny úspěšné. Nastavení pravidla
odchozího provozu na portu 23 u F-Secure nefungovalo, ale zákaz spuštění
souboru telnet.exe pracoval podle předpokladu správně.
Poté jsme nastavili každou politiku tak, aby umožňovala přístup na port 3389
pro utilitu Microsoft Remote Desktop Connection. Zde produkty eEye, F-Secure,
Sygate a Check Point úspěšně umožnili, připojení vzdáleného systému. Na klientu
Symantec jsme nedokázali zprovoznit přístup vzdáleného desktopu, i když v
politice bylo toto pravidlo nastaveno.
Celkově vzato bylo nastavení politik u jednotlivých produktů velmi zajímavé a
odhalilo způsoby, jakými jednotlivé produkty pracují s nastavením specifických
politik. Síťově založené politiky šlo nastavovat snadněji než ty týkající se
aplikací.
U několika produktů jsme se ale setkali i s problémy. Při tvorbě systémových
pravidel v eEye jsme se pokusili zvýšit jejich prioritu, ale tato funkce
opakovaně selhávala.
Symantec Client Firewall Administrator, s jehož pomocí jsme tvořili nastavení
politik u Symantecu, je složitý na ovládání a při několika příležitostech
zatuhl.

Klienti odolávají útokům
Útoky použité na každého z klientů byly vypracovány tak, aby prověřily
očekávané ochranné prostředky testovaných produktů.
Nejdříve jsme se zaměřili na vlastnosti ovládání aplikací (také nazývané jako
kontrola provádění, execution containment) a spustili aplikaci přistupující na
síť způsobem, který byl v nastavení politiky zakázán. Prostřednictvím skenování
portů jsme pak testovali detekci vniknutí do systému. Testovali jsme rovněž
prevenci vniknutí do systému (implementovanou, pokud byla přítomna, jako
detekci anomálií), a to útokem realizovaným přes Universal Plug and Play
(UPNP). Odolnost obrany jsme dále zkoušeli odebráním programu "natvrdo", tj.
smazáním souborů z programové složky produktu.
A jak si vedly jednotlivé produkty po naší sérii útoků? EEye bez problému
ovládl aplikaci, detekoval narušení sítě a rovněž detekoval specifický síťový
útok. I tak jsme však (stejně jako by to mohl udělat útočník) smazali všechny
soubory programové složky tohoto produktu, což vedlo ke zničení obrany.
Další produkty, F-Secure, Sygate a Symantec, zvládly kontrolu provádění a
detekovaly napadení sítě, ale nerozpoznaly specifický útok. Klient Symantecu
dokonce nenahlásil otevření UPNP portů, takže jsme útok ani neprovedli.
Útočník, který by se snažil proniknout do sítě nějaké společnosti, by očekával,
že klientské stanice komunikují s nějakou bezpečnostní infrastrukturou, a
pokusil by se obejít tuto ochranu. Naším záměrem bylo otestovat, jak dobře
hlásí klienti serveru tyto útoky, ale všechny produkty měly v tomto ohledu svá
omezení. Žádný z nich například nedetekoval restart klientské stanice, který by
mohl být způsoben právě útočníkem.

Vytváření zpráv
Vytváření zpráv definujeme jako schopnost zobrazit varování a trendy všech
klientů z jednoho centrálního místa.
Hned po instalaci nabízí eEye Blink přímé náhledy logů na vzdáleném klientovi.
Centrální vytváření zpráv vyžaduje instalaci reportovacího systému REMstet
Security Management Console, který je součástí Blinku, ale pracuje samostatně.
Jednotlivé události jsou zasílány do databáze REM, kde mohou být generovány
rozličné dotazy a zprávy včetně hlášení trendů útoku a stavu klienta. Výsledky
hlášení přitom mohou být tištěny do PDF souborů.
F-Secure nabízí výborné na webu založené reportovací moduly, které dokáží
generovat množství grafů podle různých kritérií, a to včetně virových infekcí,
všeobecných varování, stavu systému a podrobností útoku. Hlášení mohou být
exportována do řady formátů včetně CSV, HTML nebo XML.
I Sygate disponuje nástroji pro prohlížení logů a mechanismy pro vytváření
grafů podle záznamů v databázi. Obsahuje také možnost prohlížet statistiky o
stavu klientů podle skupin i podle individuálních systémů. Díky tomu se můžete
například dozvědět, který z klientů se již delší dobu nenahlásil, a zjistit
proč. Rádi bychom zde ale uvítali zprávy generované podle těchto informací.
Check Point obsahuje sekci věnovanou hlášení, ale běžně poskytuje pouze
výsledky dotazů podle záznamů z logů. Uvítali bychom zde možnost vytvářet grafy
a souhrnná hlášení a exportovat je do PDF či jiných formátů. Tiskové náhledy
jsou ve formátu HTML, ale ukazují pouze výsledky dotazů z obrazovky, tedy ne
všechny výsledky. Ocenili bychom rovněž možnosti uživatelského nastavení a
schopnost generovat hlášení podle informací získaných sledováním stavu klientů.
Symantec neobsahuje žádné možnosti hlášení. Pokud je klient on-line, můžete
vzdáleně prohlížet jeho lokální logy.

Závěr
Z pohledu útočníka je koncový klientský systém lákavou cestou pro útok na
podnikovou síť. Proto je obrana těchto systémů a schopnost centrálně je
spravovat a monitorovat důležitou součástí jakékoliv obranné síťové strategie.
Ač tyto produkty nabízejí významné obranné prvky závislé na tom, které
prostředky jsou důležité pro danou síť, jejich dokonalost není na takové
úrovni, aby nabízely dostatečnou ochranu proti moderním útočníkům. Zejména jsou
zapotřebí zlepšení v oblasti vytváření zpráv a správy, kontroly ovládání a
rozpoznávání typů útoků.

Software pro ochranu klientských stanic
eEye Blink 1.0
Software eEye Blink 1.0, jenž v našem testu dosáhl nejvyššího hodnocení, získal
ocenění Computerworld Excellent díky solidnímu způsobu podávání hlášení a
hybridnímu přístupu k obraně klientů. Rovněž některé další produkty, jako
například od společností F-Secure, Check Pointu a Sygate, se dostaly do užšího
výběru, a to díky výtečnému výkonu v testovaných kategoriích

Windows XP SP2: Zapezpečení klienty?
V rámci testu softwaru pro ochranu koncových stanic jsme se rozhodli prověřit i
na trh nedávno uvedený servisní balíček Microsoft Windows XP Service Pack 2,
který má za úkol lépe zabezpečit operační systém. Upgrade systému jsme
testovali na PC osazeném procesorem Pentium 4 s frekvencí 3 GHz a 2GB operační
pamětí.
První zásadní bezpečnostní komponentou opravného balíčku je firewall. Ten
obsažený v aktualizaci SP2 bohužel disponuje omezeným mechanismem filtrování
paketů a limitovány jsou také možnosti konfigurace a logování. Servisní balíček
dále obsahuje nový mechanismus ochrany spouštění aplikací, který by po správném
nastavení a s podporou vhodného hardwaru měl pomoci zabránit útokům, jež
používají ke spuštění nebezpečného kódu datové zásobníky. Upgrade prohlížeče by
zase měl zabránit alespoň některým typům nebezpečného obsahu z webu v útoku na
systém, a to prostřednictvím defaultního zablokování pop-up oken. Byl změněn
mechanismus zpracovávající e-mailové přílohy, takže by mělo docházet k mnohem
menšímu množství spouštění nepovolených a nezkontrolovaných programů, jež
pomáhají přenášet a rozšiřovat viry.
Firewall, ochrana spuštění aplikací a nová centrální bezpečnostní komponenta
nové grafické rozhraní ovládání firewallu, virový skener a možnost sledování
updatů to vše nabízí možnosti podobné většině bezpečnostních produktů určených
pro klienty z dílen jiných výrobců.
Firewall od Microsoftu je ale v porovnání s moderními standardy poměrně hrubě
zpracován. Zápisy logů provádí do textových souborů pouze na straně klienta a
nenabízí možnost rotace logů bez vypnutí firewallu (periodický přechod na nový
log je běžnou bezpečnostní praxí). Pravidla nastavení firewallu umožňují
blokovat zvolené příchozí porty, ale nenabízejí podrobnější nastavení
(například povolení připojení pouze z určité IP adresy).
Microsoft tvrdí, že nastavení firewallu lze provádět centrálně, ale zdá se, že
v service packu není žádný mechanismus, který by to umožňoval, například
integrace se standardním windowsovým záznamníkem logů nebo možnost doručit
upozornění do centrálního serveru běžícího pod Windows nebo do souboru syslog.
V XP SP2 není žádná specifická funkce detekce vniknutí nebo prevence vniknutí,
i když řada jeho bezpečnostních funkcí bude mít užitečný vedlejší následek v
podobě blokování vniknutí. XP SP2 nezajišťuje stejné služby jako bezpečnostní
produkty, které jsme testovali v tomto přehledu, nicméně splňuje svůj všeobecný
úkol "lépe ochránit klienta před útoky". Naše celkové hodnocení XP SP2 lze
rozdělit do dvou otázek: "Nabízí užitečnou ochranu?" a "Obsahuje nějaká
rizika?"Ano, nabízí ochranu, ale potřebujete-li podrobnější přístup k ovládání
a užitečnější nástroje reportingu, obraťte se na výrobky třetích stran. Změny v
prohlížeči, i když se zdá, že zlepšují celkovou bezpečnost, mohou znemožnit
návštěvu některých legitimních webových stránek, které uživatelé běžně
navštěvují; jeho implementace tedy může být krátkodobě nepříjemná.
XP SP2 s sebou přináší některá nová rizika. Firewall je ovládán jednoduchým
API, jehož se útočník může zmocnit stejně snadno jako klientský uživatel. To
znamená, že vypnutí firewallu dnes znamená potenciální odhalení cíle pro útok.
Hlášení událostí obsahuje zásadní díry, které musejí být prozkoumány, například
absenci centralizovaného sledování logů a úplnou absenci událostí blokování
pop-upů.

Microsoft XP Service Pack 2
+integrovaný firewall vylepšuje ochranu sítě, změny v prohlížeči a zpracování
příloh e-mailů pomáhají eliminovat spuštění nechtěných souborů, zlepšená
odolnost proti známým typům útoků
-firewall není dobře integrován do prostředí velké společnosti
Výrobce: Microsoft, www.microsoft.cz
Cena: zdarma

Útok na bezpečnost klientů: Naše strategie
Abychom prověřili schopnosti produktů určených k ochraně stanic koncových
uživatelů, zaměřili jsme se na provádění útoků, které by mohly nastat, pokud by
selhaly základní bezpečnostní prvky ochrany sítě i jednotlivých stanic. Pro
naše testování jsme použili takové typy útoků, jimž by byla vystavena stanice,
pokud by klientské bezpečnostní komponenty představovaly poslední ochrannou
vrstvu, jež se má snažit ochránit systém samotný a síť, ke které je připojen.
Klientské systémy, jak je definujeme v testu, jsou desktopové systémy, které
fyzicky přebývají na území podniku, a mobilní systémy, které pracují jak vně,
tak uvnitř firmy. V každém případě předpokládáme, že může nastat určitý
kompromis. Například takový, že útočník již našel způsob, díky němuž je schopen
spouštět vlastní kód na straně klienta, a to včetně kódu, který mu umožní
přístup k administrátorským právům. Nemyslíme si, že jsou tyto parametry běžné.
Ale očekáváme, že takovéto situace mohou nastat a obranné prvky sítě musejí být
připraveny se s takovýmto nebezpečím vyrovnat.
Předpokládejme rovněž, že útočník může mít fyzický přístup k systému a může
sbírat vysledovaná data tato situace nastane například pokud uživatel mobilního
zařízení zanechá svůj přístroj bez dozoru v internetové kavárně, nebo může být
útočníkem osoba s fyzickým přístupem k systému, například někdo z noční
uklízecí čety. Základní cíle našeho testu byly jasné:
Zjistit, zda můžeme zaútočit na cíl bez toho, abychom byli odhaleni.
Ohodnotit úroveň ochrany dané stanice.
Narušit ochranu.
Zaútočit na stanici.
Jelikož jsme věděli, že útočíme na cíl, klienta, který je chráněn alespoň
nějakým zabezpečením, předpokládali jsme různé úrovně složitosti ochrany a byli
jsme na ně připraveni. Počítač může být například vybaven schopností blokovat,
ale nerozpoznat či nehlásit jednoduché útoky, jako je například skenování
portů, nebo může nabídnout detekci a blokování anomálního chování programů a
sítě.
K prozkoumání cíle útoku jsme použili sledovací nástroje a nástroje pro
skenování sítě. Rovněž jsme zkoumali případ, kdy má útočník fyzický přístup
tak, abychom zjistili, co můžeme objevit v případě, kdy máme (alespoň na krátký
čas) přímý přístup do systému.
Jelikož se ve všech případech jedná o podnikové klienty, nahlíželi jsme na cíl
ne jako pouze na klientský systém, ale rovněž jako na vstupní bránu do
podnikového systému, k němuž jsou klienti připojeni. S tímto předpokladem jsme
se rozhodli prozkoumat variantu oslepení serveru, která by nám umožnila vyhnout
se prozrazení při časově náročném útoku. Chtěli jsme také zjistit, jak složité
je odstranění či znemožnění ochrany pro případ, kdybychom chtěli použít klienta
pro další útoky nebo získat čas pro dokonalejší napadení systému.
Náš přístup je založen na předpokladu, že útočník má na své straně celou řadu
značných výhod, jakými jsou fyzický přístup, přístup k síti či administrátorská
práva. I když to není běžné, nelze z hlediska bezpečnosti předpokládat, že
počítače budou vždy fyzicky zabezpečeny nebo že software splňující pravidla
nastavených politik neobsahuje nějaké bezpečnostní riziko nebo že síť, ke které
je klient připojen, není odposlouchávána. Tyto složitější situace jsme zařadili
do testu proto, že přesně v takovém okamžiku se mohou bezpečnostní klientské
produkty ukázat jako užitečná investice.

Jak jsme testovali
Každý server/konzole byl nainstalován na Windows 2000 Serveru se všemi
potřebnými záplatami. Všech pět konzolí běželo na individuálních instalacích
operačního systému na jedné sestavě s pomocí virtualizačního softwaru VMware.
Server pracoval s 3GHz procesorem Pentium 4 a 2GB operační pamětí. Klienti
využívali systému Windows XP s 3GHz procesorem Pentium 4 a 2GB RAM. Na
klientské stanici jsme rovněž použili program VMware.
Centrální server/konzoli jsme nainstalovali u každého produktu tak, jak je
popsáno v instalačních instrukcích a klientské instalace jsme rozmístili pomocí
dodávaných nástrojů.
Každý produkt jsme nakonfigurovali pro odesílání upozornění e-mailem a pro
klientské počítače jsme vytvořili testovací skupinu v doméně, kterou jsme
ovládali.
K otestování funkčnosti politik jsme se pokusili vytvořit a rozmístit politiku,
která by blokovala všechen příchozí provoz kromě vzdáleného desktopu, blokovala
odchozí provoz na port 23 u vzdálených systémů, blokovala Netcat proti navázání
spojení na port 468 a zabraňovala spuštění hry Solitaire (sol.exe). K
otestování způsobu, jakým jednotlivé produkty pomáhají ochránit systém před
útokem, jsme se u každého z nich zaměřili na čtyři oblasti:
Ovládání aplikací: Jakým způsobem produkt zachytí nebezpečné či zakázané
aplikace.
Detekce vniknutí: Jak byl produkt úspěšný při detekci pokusu o vniknutí do
sítě. Prevence vniknutí: Jak byl produkt úspěšný při odhalení útoků
prostřednictvím detekce anomálií.
Odolnost obrany: Jak se produkt chová při napadení. Ovládání aplikací jsme
testovali tak, že jsme spustili Netcat tak, aby naslouchal na portu 468 a k
propojení používal telnetového klienta. Schopnosti detekce napadení jsme
zkoušeli pomocí programů pro skenování portů NMAP a Nessus nastavených na
skenování portů TCP a User Datagram Protocol (UDP). Schopnosti prevence
vniknutí jsme ověřovali pomocí aplikace Netcat, jež posílala znetvořený
požadavek prostřednictvím Universal Plug and Play.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.