BusinesSecure és ClientShield

Legyen cikkünk főszereplője egy rendszergazda, valamint a cég, amelynek hálózati biztonságáért felel. Nyilván vennie kell egy vírusirtót. Lehetőleg irtsa a férgeket, a spamet és a spyware-t is. Védje a szervereket is, no, meg nem ártana, ha központilag is menedzselhető lenne. A beszerzést követően feltelepíti, bekonfigurálja a szoftvert. Pár héttel később megjelenik a világhálón az épp legújabb, világszinten is gyorsan terjedő fertőzés. Mivel a cég dolgozói eleve raklapszám kapják a tengerentúli és távol-keleti spamet, így a rendszer már hajnalban fertőzött. Hősünk délelőtt már a főnökség előtt áll, számonkérésen (mennyibe került a vírusvédelmi rendszer?). Délután megérkezik az új vírusdefiníció, estére a veszély elhárítva. Egy nap kiesett, és rendszergazdánkat munkaadói megint megfenyegették a felmondással. Elgondolkozik, mit tehetne még. Ennél gyorsabban lehetetlen reagálni, a heurisztikát meg inkább nem piszkálná, mert akkor meg a vakriasztások miatt eldobott levelek miatt kap a fejére.

Pedig milyen egyszerű lenne, gondolja hősünk, hiszen miből állna megírni egy kódot, ami, mondjuk, figyeli a futó alkalmazásokat, és ha az egyik a címjegyzékben lévő összes címzettnek küldeni akar, akkor az legalábbis gyanús.

2005 óta már létezik ilyen termék. A spanyol antivírus, behatolásvédelmi és számítógépes biztonsággal foglalkozó Panda Software által kifejlesztett TruPrevent technológiával ellátott komplex vállalati szoftverei megoldást jelentenek a valóban ismeretlen fenyegetések ellen is. Ezek közül is a legnépszerűbb a kis- és középvállalkozások számára kialakított BusinesSecure, mely a munkaállomás, valamint a fájl- és nyomtatószerver védelmét foglalja magában.

A védelmi megoldás négy alkotóelemből áll:

• a ClientShield nevezetű munkaállomás-védelemből,
• a FileSecure Windows és Novell alapú fájl- és nyomtatószerverek védelméből,
• a CommandlineSecure elnevezésű parancssori antivírus-alkalmazásból
• és a mindezeket összefogó, vállalati hálózatok védelmének hatékony üzemeltetésére kialakított központi menedzsment-szoftverből, az AdminSecure-ból.

ClientShield, a kőkemény védőjátékos

A rendszer alapkövét a hálózatba kötött munkaállomások teljes körű védelme képezi, amelyet a TruPrevent technológiával kiegészített ClientShield biztosít. Legfőbb feladata természetesen a vállalat munkaállomásainak és hordozható eszközeinek vírus- és behatolás elleni védelme, és az általuk okozott sérülések javítása. Ezek mellett persze tartalmaz spam, kémprogram és adathalászat elleni védelmet, valamint web-tartalomszűrést is. Mindezekért a Panda SmartClean2-technológiája a felelős. Természetesen rendelkezik automata adatbázis-frissítéssel is, illetve a Panda webes fórumain az adott problémára vonatkozó részletes leírások is elérhetőek.

Külön említést érdemel a szűrendő események közül a vállalati környezetben általános és folyamatosan fennálló problémának tekinthető kéretlen levelek esete. Elég 2-3 site-on megadni az email-címünk – például egy driver-letöltéshez – és pár napon belül már özönlenek is a világ legkülönbözőbb tájáról származó spamek, melyek nem csak bosszantóak, de komoly erőforrásokat is lekötnek mind feldolgozó-kapacitás, mind háttértár tekintetében. A ClientShield MAPI, POP3, SMTP és NNTP védelme mellé beépített anti-spam/anti-hoax technológiája speciális szabályok, Bayesian szűrők, tiltólisták és öntanulás segítségével választja külön a káros leveleket a felhasználóétól.

A jelek szerint a Panda külön figyelmet szentel a hálózatbiztonság integritására is, így kívülről, vagy hordozható gépről bejelentkezők csak akkor férhetnek a hálózati erőforrásokhoz, ha mindenben megfelelnek a beállított hálózatbiztonsági előírásoknak. A program fejlesztésekor a spanyolok tekintettel voltak a régebbi munkaállomásokat alkalmazó cégekre is. A kliens keresőmotorja tényleg minimális erőforrás-igényűre sikerült: veterán Win98-as gépek is jól használhatóak vele.

Másrészről viszont ez még mindig kevés, mert az ismeretlen biztonsági réseken beosonó kártevők ellen, definíció nélkül még mindig ugyanolyan védtelen a cégünk gépe, mintha pucér Windows-zal vágnánk neki a hálónak. A Panda elgondolkodott ezen a problémán, és a másik végéről fogta meg azt: megpróbálta csokorba szedni, hogy mit is csinál egy rosszindulatú kód általában, majd ezek definíciójával egészítette ki korábbi megoldásait. A technológia alacsonyszintű csomagvizsgálaton és a futó kódok összes kommunikációjának, valamint memóriahasználatának vizsgálatán alapul.

Egyszerű példánál maradva, ha egy futó alkalmazás/szolgáltatás a címjegyzék összes címére levelet akar küldeni, túlterheléses támadás céljából (DoS), vagy puffertúlcsordulást készül előidézni, akkor a TruPrevent közbelép és blokkolja a „gyanúsítottat” – szemben a többi behatolásérzékelő rendszerrel.

A technológia az elmúlt egy évben sikerrel bizonyított, és tényleg meggátolta az idén megjelent kártevők tevékenységét addig, amíg pár órával később a vírusdefiníció birtokában már lehetségessé vált a biztonságos eltávolításuk.

FileSecure, CommandlineSecure és AdminSecure

A BusinesSecure csomag másik „oszlopát” a Windows és Novell fájl- és nyomtatószerver-védelem alkotja. A FileSecure a klienseknél már megszokott módon egyaránt tartalmazza az előző oldalon említett fejlett víruskereső-motort és a TruPrevent technológiát, mellyel a megosztott hálózati erőforrásokról származó ismeretlen fenyegetések is vakriasztások nélkül válnak kivédhetővé viselkedésmintáik alapján.

A FileSecure természetesen nem csak felismeri az ismeretlen fenyegetéseket, de le is állítja ezek futását, majd kódolva továbbítja a Panda központjába vírusdefiníció elkészítésének kérelmével, végül pedig automatikusan törli a fertőzést és helyreállítja a rendszert. Ez drasztikusan lecsökkenti az új fenyegetésekre nyújtható válaszidőt, ami pedig a cég hálózatát érő károkat csökkenti minimálisra. Ezek mellett jól használható felügyeleti funkciókat, valamint számos, hackerek által használt alkalmazás működését érzékelő rutint is tartalmaz.

A keresés alapesetben valósidejű, de van mód időzített, vagy kézi indítású vizsgálatok beállítására is. Az automatikus frissítések inkrementális módon épülnek egymásra, ezzel is minimalizálva a hálózat terhelését. Természetesen ilyenkor nem csak az újonnan megjelent rosszindulatú kódok definíciói, hanem a TruPrevent által használt gyanús viselkedésre utaló minták is kiegészülnek.

A FileSecure-t a tervezésekor a nagyvállalati igények kielégítése érdekében eleve többszálú és több csatornás futtatásra készítették fel, ideálisan kihasználva a most megjelent többmagos processzorok többlettudását. Ezek mellé nagyméretű cache-t és egy AutoTuning elnevezésű rendszert is illesztettek, ami a redundáns feladatok elkerülésére, valamint a szerver processzoridejének optimális kihasználására szolgál. A szervervédelem erőforrásigénye a Pandától megszokott minimális, így akár egy Pentium 133Mhz-es NT 4.0, vagy Novell 4.11 szervertől már használható.

CommandlineSecure, a söprögető

A csomag harmadik tagja, a CommandlineSecure egy apró, de hasznos figyelmesség a fejlesztőktől. Tartalmazza a Panda legfrissebb keresőmotorját – vírus, féreg, adware, spyware, betárcsázó program, rosszindulatú ActiveX- és Java kód ellen, akárhányszorosan tömörített fájlban is –, de parancssori kivitelének köszönhetően mégis beillesztethető a legtöbb Windows- és Linux-alapú alkalmazásba.

Mivel a CommandlineSecure nélkülözi a TruPrevent technológiát, így itt jó szolgálatot tesz a Panda keresőmotorjának heurisztikus tudása, mellyel tovább lehet növelni a gép biztonságát. Erőforrásigényének jellemzésére elég annyi, hogy MS-DOS 4.01-től már feltelepíthető. Mivel együttműködik a DOS szolgáltatásaival is, ezért lehetséges a Windows 9x rendszerek bootolás előtti ellenőrzése is, melyekkel az egészen mélye beágyazódott fertőzések is orvosolhatók. Számos fejlett kereső- és leválogató beállításával a CommandlineSecure ideális választás a heterogén (Windows és Linux/Unix) környezetben dolgozó tapasztalt felhasználók részére.

AdminSecure, az irányító középpályás

A csomag utolsó és egyben legfontosabb tagja a korábbiak menedzsmentjéről gondoskodó AdminSecure. Feladata a kliens- és szervervédelem automatikus, hálózaton keresztüli telepítése, meglétük ellenőrzése, frissítése, a hálózatbiztonsági házirend fenntartása. Több-összetevős felépítése a konzolból (kezelőfelület), az Administration szerverből (üzleti logika, távoli telepítés támogatása), a kommunikációs rétegből, a Repository szerverből (elosztott struktúrájú vállalati architektúrákhoz) és az AdminSecure Event Storage Database-ből (eseményadatbázis) áll.

Az alkalmazás folyamatos nyilvántartást vezet a vállalat teljes hálózatbiztonsági állapotáról, függetlenül a gépek fizikai elhelyezkedésétől, vagy azok operációs rendszerétől. Számos előre konfigurált szűrőt és nézetet tartalmaz, de egyedi kategóriákat és nézeteket is létrehozhatunk a kényelmesebb használat érdekében. Segítségükkel könnyedén leszűrhetővé válnak például az olyan gépek, amelyeken nincs telepítve vírusvédelem, vagy a vírusdefiníciós fájlok elavultak, illetve gépre pontosan meghatározhatjuk egy esetleges fertőződés kiterjedését.

[+]

A biztonsági házirend karbantartását a hálózati erőforrások csoportjainak és alcsoportjainak menedzsmentjével végezhetjük a leghatékonyabban. Az objektumorientált programozáshoz hasonlóan az alcsoportok itt is automatikusan öröklik a gyűjtőcsoport beállításait, melyeket persze egyedileg módosíthatunk, ezzel is megkönnyítve a rendszergazda munkáját, és nem utolsósorban csökkentve az emberi tényezőkből fakadó potenciális biztonsági rések számát. A modul felismeri mind a Windows XP/2000 Pro/NT/Me/98/95 munkaállomásokat, mind pedig a Windows NT/2000/2003, Exchange, sendmail, qmail, Postfix Novell NetWare, Proxy, Lotus Domino, ISA és a CVP tűzfal-szervereket is.

Az AdminSecure számos funkcióval igyekszik még gördülékenyebbé tenni a telepítést és a munkát: az inkrementális frissítések minimálisra csökkentik a hálózat terhelését, a kliensoldali telepítőcsomagok igen kis méretűek, hogy telepítésük a lehető leggyorsabban történhessen, a védendő munkaállomások száma alapján a repository-szerver(ek)kel történő kommunikációk gyakoriságát és a hibatűréshez szükséges megfelelő redundanciát automatikusan állapítja meg. Az adminisztrációs szerver és a konzol közötti TCP/IP kommunikáció aszinkron alapú, azaz a konzol nem várja meg a korábban elindított folyamatok végét, hanem azonnal rendelkezésre áll, kiküszöbölve a rendszergazda munkájának ilyenkor adódó kényszerű megszakítását. Több adminisztrátorral rendelkező környezetben természetesen lehetőség van a kezelői felületek személyre szabott párhuzamos működtetésére is.

Mindezeket egy mindenre kiterjedő jelentés-készítő és naplózó funkcióval egészítették ki, ami tételesen rögzíti a műveleteket, és kimutathatóvá teszi a vállalati hálózat it-biztonság terén elért fejlődését, ami nem elhanyagolható funkció, mivel a rendszergazdának kézzelfogható eredményeket kell felmutatnia a vezetőség számára.

A Panda vállalati megoldások lehető leggyorsabb és leggördülékenyebb üzembe helyezését megkönnyítendő, a Panda AdminSecure nem csak a Panda, hanem a konkurens gyártók által fejlesztett termékek törlésére is képes, minimalizálva az átállás nehézségeit.

A termék teljes értékű próbaverziója letölthető a gyártó és a hazai disztribútor, a SVED Rt. honlapjáról. A legkisebb, egyszerre 5 hálózati eszközt (munkaállomás/szerver) védő licenc-csomagjának ajánlott végfelhasználói ára nettó 55920 Ft, de természetesen 5 géptől már gépenként is beszerezhető. Ennek ársávja nettó 11760Ft/db-tól indul.

(x)