Ahol más nem véd meg

Írta: Seres Gábor
2006-03-31 16:55

EndPointSecurity

Furcsa háborút viselünk a rosszindulatú kódokkal szemben. Vagyonokat költünk hálózatvédelemre, mindent megteszünk, hogy cégünk hálózatát megfelelő védelemmel vegyük körbe a külső fenyegetésekkel szemben, de közben a naponta használt perifériákat, a hordozható és vezeték nélküli eszközök teljes tárházát a felügyelet teljes hiánya, valamint sötét homály övezi. Képletesen szólva: van egy magas várfalunk tele ágyúval, de csak egy oldala van, és simán körbe lehet sétálni. Camelot, csak egy makett. A paradox helyzetet felismerve a GFI igyekezett egy olyan szoftvert létrehozni, amelynek segítségével a várfal „körbeér”.

Az USB-kulcsok és egyéb mobilis adathordozók által támasztott fenyegetések unásig ismételt veszélyei – a hálózat belső fertőződése, adatlopás stb. – mellett a hordozható számítógépek, illetve a vezeték nélküli eszközök rohamos terjedése jelenti az igazi veszélyt. (Gondoljunk csak bele, hány ismerősünk kapott PDA-t vagy smartphone-t karácsonyra! Vagy hogy hányadik USB-dongle-ünket kapjuk a legújabb bluetoothos eszközünkhöz!) Ha ezeket a mozgásban lévő eszközöket is hozzávesszük az egyébként statikus vállalati hálózatunkhoz, akkor az esettől függően 20-40 százalékkal is megnőhet. Tehát nem elég, hogy a hálózat tekintélyes része szabadon garázdálkodik, de ráadásul folyamatosan változik, nyomon követni informatikai agyrém.

[+]

A GFI héten megjelent EndPointSecurity nevű alkalmazása igyekszik ezt az ellentmondást feloldani. Az áhított felügyelet megszerzése érdekében ugyan szükséges egy 1,2 MB méretű ügynök telepítése a kliensekre, ám ez feltűnés nélkül, központilag, tömegesen telepíthető a mellékelt segédprogrammal, míg maga a kliens annyira kicsi és kevés erőforrást igényel, hogy a felhasználók nem fogják észrevenni.

Védtelen hálózat

A védelmet illetően érdemes sorra venni a veszélyeztetett perifériákat. Alapszolgáltatásnak mondható a flashmemóriák – USB-kulcsok, memóriakártyák és beépített memóriával rendelkező eszközök, mp3-lejátszók, fényképezők, PDA-k – felügyelete. Alapvetően jelenleg ez a hordozható eszközök leggyakoribb megnyilvánulási formája, így egyben a legtipikusabb veszélyforrás is. Nagy a kapacitásuk, bárki zsebében elférnek és minden alaplapon van csatlakozójuk, tehát ott és onnan hoz és visz adatot bárki, ahonnan nem szégyell.

Meglepően hangozhat, ha az optikai meghajtókról mint kockázati tényezőkről beszélünk, de ha azt vesszük figyelembe, hogy egy írható DVD-re hány GB adat elfér, és mennyire mindennapos, akkor megint más világításban szemlélhetjük a dolgokat. De nem is kell íróval rendelkeznünk, hisz egy otthon írt, vírussal vagy trójaival fertőzött lemez beolvasása is kellően romboló hatású lehet.

Újdonságnak számít a fenyegetések sorában a vezeték nélküli eszközök rohamosan terjedő, de egyáltalán nem statikus hálózata. Mivel a legtöbb felhasználó „csak apróság” miatt használja őket, és nem is rendszeresen, így a biztonsági beállítások fölött nagyvonalúan elsiklunk. Az már jó esetnek számít, ha például egy Bluetooth eszköznél egyáltalán jelszó van beállítva, de az még mindig gyakran 0000 vagy 1234. Tegyük a szívünkre a kezünket, és nézzünk magunkba: bizony néha mi is így teszünk. Vagy veszünk egy routert, amely történetesen Wi-fi-t is tud, de csatlakoztatandó vezeték nélküli eszköz híján telepítésekor legfeljebb megfogadjuk, hogy legközelebb majd átnézzük a biztonsági beállításokat. Több helyen lehetett olvasni már, hogy nyugaton már néhány lelkes rajongó sportot űz abból, hogy hány cég hálózatához tud betörni – vagy sokkal inkább besétálni – a vezeték nélküli eszközök gondatlan kezelése miatt. De ha még lelkes és következetes is a rendszergazda, akkor sem tudja azt garantálni, hogy egy-egy „értő” felhasználó sosem fog engedélye nélkül ilyen eszközöket csatlakoztatni alkalmasint.

Rendet a káoszba!

Az EndPointSecurity nem a spanyolviasz. Telepítés után persze nem elég egy nagy zöld gombra klikkelni, hogy a fent vázolt problémák azonnal megoldódjanak. Tény: sok hardvereszköz letiltható a BIOS-ból. Egy hálózat létrehozásakor talán még pár, nem feltétlenül szükséges portot le is tiltunk, de az utóéletüknél melyik rendszergazda fogja tudni követni, hogy a későbbi javításokkor eszközölt cserék, áttelepített gépek esetén, vagy épp bővítésekkor vajon megmarad-e a BIOS-beállítások következetessége és aktualitása. Akár egy kisebb hálózat életében is gondot és főleg biztonsági réseket szül az idő múlása, ha egyenként kényszerülünk karbantartani őket.

Mennyivel átláthatóbb lenne, ha a felhasználókat jól definiált csoportokba tudnánk osztani, természetesen a saját gépünkön, nem pedig helyszíni javítással, hogy könnyen menedzselhessük jogosultságaikat a korábban taglalt témákban. Aztán, mondjuk, ez a program akár az Active Directoryt is kezelhetné, hogy ne kelljen új felhasználókat és gépeket definiálni. És persze a rendszer legyen áttekinthető és könnyen módosítható. Aztán – ha már úgyis kívánhatunk – az is hasznos lenne, ha megadhatnánk, hogy egyik-másik eszköz – hordozható tárolók, CD, DVD, floppy stb. – például inkább csak olvasható legyen az adott gépeken, és csak eseti alapon lehetne írni rájuk. No meg hogy végképp védjük a saját bőrünket, jó lenne, ha célirányosan naplózná is a felhasználók aktivitását. (Ha valaki például mégis adatlopásra adná a fejét, legalább nyoma legyen.) Sőt, igazából még jobb lenne, ha máris SQL adatbázisba loggolna, mert kinek van ideje hagyományos naplófájlokban keresgélni. Így legalább még az aktivitásokról is lehetne statisztikát csinálni, hogy könnyebben meggyőzzük főnökünket: Icukának teljesen felesleges volt a DVD-író/USB-kulcs, viszont fájdalmasan hiányzik egy az informatikáról.

[+]

Komolyra fordítva a szót, a GFI bevált szokásához híven sorra vette az ilyenkor szóba jövő, a rendszergazdák mindennapi munkáját gyorsító lehetőségeket, és ismét egy kézenfekvő és hasznos kiegészítést írt a vállalatok meglévő védelmi rendszereihez.

A termék teljes értékű próbaverziója letölthető a gyártó és a hazai forgalmazó SVED Rt. honlapjáról. A legkisebb, egyszerre 25 gépet védő verzió ajánlott végfelhasználói ára 550 euró, míg egy nagyobb, például 100 gépes hálózat védelme 1350 euróba kerül.

Seres Gábor

Kapcsolódó cégek:
GFI
SVED Zrt.

Azóta történt

Spamszűrés a szerveren

A GFI Mail Essentials a kéretlen leveleket már akkor leválogatja, amikor a postáshoz érkeznek.

Biztonság 2006-10-24 2

Előzmények

A GFI LANguard jelenti

Elkészült a ReportCenter jelentéskészítő add-on a GFI LANguard N.S.S-hez. Hálózati riportok készíthetők eltérő célközönségek számára is.

Biztonság 2006-02-21 0
Fokozott hálózati biztonság a GFI-tól

A LANguard NSS új verziója a magyar nyelvű patchekkel is boldogul.

Biztonság 2005-11-23 0
Piacon a legszemetebb szoftver

Sasszem mindent lát!? Ingyenes licenc indulásként, egymilliárdot várnak tőle jövőre.

Biztonság 2005-10-20 30
Spóroljuk sávszélességet!

Sok cégnél kontrollálni akarják a munkavállalók internethasználatát. A GFI válasza a Webmonitor.

Szoftver 2005-09-16 7

Percről percre

A virágcsokor mellé hardvert is ajándékozhatunk anyák napján

ph A héten desktop PC-k, monitorok, gamer kiegészítők és házak vannak a kirakatban.

Lunar Lander Beyond teszt

gp Nagyon sok évtizeddel az eredeti Lunar Lander megjelenése óta ismét ezen a címen jelent meg Atari logóval egy játék. Vajon mennyit javult a játékdesign a hetvenes évek óta?