Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikai Kar Távközlési és Médiainformatikai Tanszék
TÓTH ATTILA BALÁZS
HÁLÓZATI ALKALMAZÁSOK ALTERNATÍV BIZTONSÁGI MEGOLDÁSAI
KONZULENS
Dr. Varga Pál BUDAPEST, 2014
Tartalomjegyzék Tartalomjegyzék ................................................................................................................ 2 Összefoglaló ...................................................................................................................... 6 Abstract ............................................................................................................................. 7 1
Bevezetés ................................................................................................................... 8
2
A feladat műszaki háttere ........................................................................................ 10
3
4
5
2.1.
Fenyegetettség .................................................................................................. 10
2.2.
Kockázatcsökkentő technikák (Mitigation Technologies) ............................... 10
2.3.
Kockázatminimalizálás ..................................................................................... 12
2.4.
Egyéb biztonsági stratégiák .............................................................................. 12
Fehérlistás szűrés..................................................................................................... 14 3.1.
Bevezetés .......................................................................................................... 14
3.2.
Működés ........................................................................................................... 14
3.3.
Milyen támadások ellen véd? ........................................................................... 14
3.4.
A fehérlista ....................................................................................................... 15
3.5.
Mi nem minősül fehérlistázásnak? ................................................................... 15
3.6.
Hogyan implementáljuk a fehérlistázást? ......................................................... 15
Frissítéskezelés ........................................................................................................ 18 4.1.
Bevezetés .......................................................................................................... 18
4.2.
Frissítéskezelés Linuxon................................................................................... 18
4.3.
Frissítéskezelés Macintosh számítógépen ........................................................ 19
4.4.
Frissítéskezelés Windowson ............................................................................. 19
Komplex megoldások .............................................................................................. 21 5.1.
Lumension® Endpoint Management and Security Suite 8.1 ........................... 21
5.2.
Symantec™ Endpoint Protection 12.1 ............................................................. 26
6
7
8
9
A feladat környezete ............................................................................................... 30 6.1.
Mérési feladat ................................................................................................... 30
6.2.
Mérési elrendezés ............................................................................................. 30
6.3.
Használt szoftverek .......................................................................................... 34
6.4.
Tapasztalatok az mérési környezet kialakításánál ............................................ 35
Az „application whitelisting”-gel kapcsolatos vizsgálatok .................................... 42 7.1.
Fehérlistás szűrés aktiválása, feketelista hozzáadása ....................................... 42
7.2.
Szűrés és tiltás ellenőrzése ............................................................................... 44
7.3.
Megbízható, de engedély nélküli program futtatása ........................................ 46
7.4.
Alkalmazásfuttatás külső meghajtóról ............................................................. 46
7.5.
Alkalmazásfuttatás hálózati meghajtóról ......................................................... 47
7.6.
Engedélyezett alkalmazás más verziója ........................................................... 48
7.7.
Kártékony alkalmazások hatása ....................................................................... 49
Frissítéskezelés vizsgálata ...................................................................................... 51 8.1.
Frissítés távolról ............................................................................................... 51
8.2.
Alkalmazástelepítés a szerverről ...................................................................... 53
8.3.
Egy alkalmazás felülírása korábbi verzióval.................................................... 55
Eszközfelügyelet (Device Control) vizsgálata ........................................................ 56 9.1.
USB csatlakozású adattárolók letiltása ............................................................ 56
9.2.
Másolási limit beállítása ................................................................................... 58
9.3.
Árnyékmentések készítése ............................................................................... 60
10 Végpontvédelem más megközelítésben .................................................................. 62 10.1.
Telepítés ....................................................................................................... 62
10.2.
Fehérlistás feladatok ..................................................................................... 63
10.3.
Frissítéskezelési feladatok ............................................................................ 65
10.4.
Eszközfelügyeleti feladatok.......................................................................... 66
Konklúzió ................................................................................................................ 67
11
11.1.
Áttekintés ...................................................................................................... 67
11.2.
Fehérlistázás (Application Whitelisting) ...................................................... 67
11.3.
Frissítéskezelés (Patch Management) ........................................................... 68
11.4.
Eszközhasználat menedzselése (Device Control) ......................................... 68
11.5.
Gyengeségek, és megoldási lehetőségeik ..................................................... 68
11.6.
A rendszerek használhatósága ...................................................................... 70
12
Irodalomjegyzék ...................................................................................................... 71
13
Ábrajegyzék ............................................................................................................ 73
HALLGATÓI NYILATKOZAT Alulírott Tóth Attila Balázs, szigorló hallgató kijelentem, hogy ezt a szakdolgozatot meg nem engedett segítség nélkül, saját magam készítettem, csak a megadott forrásokat (szakirodalom, eszközök stb.) használtam fel. Minden olyan részt, melyet szó szerint, vagy azonos értelemben, de átfogalmazva más forrásból átvettem, egyértelműen, a forrás megadásával megjelöltem. Hozzájárulok, hogy a jelen munkám alapadatait (szerző(k), cím, angol és magyar nyelvű tartalmi kivonat, készítés éve, konzulens(ek) neve) a BME VIK nyilvánosan hozzáférhető elektronikus formában, a munka teljes szövegét pedig az egyetem belső hálózatán keresztül (vagy hitelesített felhasználók számára) közzétegye. Kijelentem, hogy a benyújtott munka és annak elektronikus verziója megegyezik. Dékáni engedéllyel titkosított diplomatervek esetén a dolgozat szövege csak 3 év eltelte után válik hozzáférhetővé. Kelt: Budapest, 2014. 12. 21.
...……………………………………………. Tóth Attila Balázs
Összefoglaló A feladatom lényege az volt, hogy felhívjam a figyelmet a hálózati végpontok operációs rendszerének és alkalmazásainak sérülékenységét kihasználó támadások veszélyére, majd bemutassam és vizsgáljam a különböző alternatív biztonsági megoldásokat, amik az ilyen fajta támadások megfékezésében segítenek. Ezen lehetőségek közül az alkalmazások fehérlistás szűrésére (application whitelisting) fordítottam a legnagyobb figyelmet, de foglalkoztam a frissítés-kezeléssel, és a külső eszközök használatának szabályozásával. Ezeken felül megemlítettem több, gyakran használt eljárást is. Az elkészített mérési környezetben elvégeztem a módszerek hatékonyságának vizsgálatát, az általam tervezett ellenőrző feladatokat felhasználásával. Két különböző biztonsági rendszerrel is megoldottam a feladatokat, és arra a következtetésre jutottam, hogy a két rendszer közül a Lumension cég terméke használhatóbb, a három bemutatott konfiguráció-menedzsment technika alkalmazására. A hipotézis, miszerint az alternatív biztonsági megoldásokra szükség van, a vizsgálatok során beigazolódott. Az említett rendszerek felhasználásával jelentősen növelhető a hálózati végpontok biztonsága.
6. oldal
Abstract The essence of my project was to draw attention to the danger of network attacks, which use vulnerabilities of the network endpoints’ operation systems and applications. My task also contained the investigation and presentation of the alternative security solutions, which helps to defend these kinds of assaults. Out of these opportunities I spent the largest part of my time with application whitelisting, but I also investigated update-management and rules of external device use. Furthermore, I briefly dealt with other widespread methods, as well. In the prepared measurement environment I have made the efficiency test of the methods, with my own designed check tasks. I have managed the tasks with two different security-systems. My conclusion is that the product of Lumension Company is more useable for the three presented configuration-management techniques. The hypothesis that the alternative security solutions are necessary has been confirmed during the research. With the use of the mentioned systems, the network endpoint’s security could be significantly increased.
7. oldal
1 Bevezetés A hálózati végpontok (számítógépek, és egyéb informatikai eszközök) védelme a hálózati támadásokkal szemben nagyon fontos, aktuális problémakör. A tűzfalak (hardveres és szoftveres) hivatottak távol tartani az illetéktelen behatolókat, azonban jelentős részt a hálózatot használó alkalmazások és az operációs rendszer sérülékenységein keresztül akarnak hozzáférést szerezni a számítógéphez a támadók. Ahhoz, hogy ennek a kockázatát csökkentsük, alternatív biztonsági technikák alkalmazására van szükség. Ilyenek a konfiguráció-menedzsmenten alapú technikák, például az „application whitelisting”, és a frissítéskezelés. A dolgozatban egy hálózati végpont védelmének lehetőségeit vizsgálom, az általam felépített laborkörnyezetben. Bemutatok néhány erre a célra kifejlesztett alkalmazást, és ezek közül egy segítségével részletesen vizsgálom a különböző védelmi lehetőségeket, majd összehasonlítom a bemutatott rendszert, egy másik erre a célra szánt megoldással. Fejezetek rövid áttekintése: „A feladat műszaki háttere” című fejezetben ismertetem a különböző fenyegetéseket, illetve bemutatom a különböző védelmi lehetőségeket. A „Fehérlistás szűrés” című fejezetben az említett módszert mutatom be részletesen működés, védelem, implementálás szempontjából. A
„Frissítéskezelés”
című
fejezetben
a
rendszer-
és
alkalmazásfrissítések
végrehajtásának módszereit tárgyalom, a különböző operációs rendszereken való lehetőségeket tekintve. „Komplex megoldás” című fejezetben a Lumension® Endpoint Management and Security Suite és a Symantec™ Endpoint Protection nevű megoldások felépítését, és a használathoz szükséges lépések megtételét tárgyalom. „A feladat környezete” című fejezetben a kiépítésre kerülő mérési elrendezés felépítését, az eszközök paramétereit, és a felhasznált szoftvereket mutatom be.
8. oldal
Az „Az „application whitelisting”-gel kapcsolatos vizsgálat”, „Frissítéskezelés vizsgálata” „Eszközfelügyelet (Device Control) vizsgálata” című fejezetekben az általam meghatározott mérési feladatokat, ezek megoldási módját, és a kapott eredményéket írom le, a szerzett tapasztalok, észrevételek, javaslatok közbeiktatásával. „Végpontvédelem
A
más megközelítésben” című fejezetben elvégzem egy másik, erre a célra készített program segítségével az előzőleg végrehajtott feladatokat. Erre azért van szükség, hogy összehasonlíthassam a két probléma-megoldási stratégiát. A „Konklúzió” című fejezetben a két tárgyalt biztonsági szoftvert hasonlítom össze, és lehetőségeket ajánlok használhatóságuk optimalizálásához.
9. oldal
2 A feladat műszaki háttere 2.1.
Fenyegetettség
Az interneten keringő rosszindulatú szoftverek (továbbiakban malware - malicious software) száma nagyon magas és folyton növekszik [1]. Ezek a szoftverek lehetnek vírusok, férgek, kémprogramok, reklámprogramok, rejtetten működő alkalmazások. Jelenlétük a rendszer lassulását, lebénulását, adatok elvesztését vagy eltulajdonítását okozhatják. A malware-k fejlesztői folyamatosan módosítják a kódjaikat, hogy észrevehetetlenek és hatékonyak maradjanak a védelmi rendszerekkel szemben. Ezért az antivírusok, és egyéb biztonsági megoldások fejlesztői naponta frissítik az adatbázisaikat, hogy naprakészek legyenek a kártevőkkel vívott harcban. Azonban így sem sikerül azonnal minden malware-t detektálni, és védelmi megoldást találni ellene, ezért ezek feketelistára tétele (blacklisting) nem tud teljes mértékben védeni. Emiatt az ismereten támadókkal és ismeretlen biztonsági résekkel szemben ez a megoldás nem teljes értékű. A támadók fő célpontjai az állami és vállalati szervezetek. Ezek a szervezetek rengeteg kényes és bizalmas információt tárolnak, tehát ha túljut a védelmi rendszeren, a támadó értékes információk birtokába kerülhet. Ahogyan az operációs rendszerek védelmére is egyre több figyelmet fordítottak a gyártók, úgy az alkalmazásokon keresztüli támadási lehetőség is felértékelődött. Minden hálózati hozzáféréssel rendelkező felhasználó ki van téve ezeknek a veszélyeknek. A továbbiakban azokat a lehetőségeket tekintem át, amiket felhasználhatunk eszközeink védelme érdekében.
2.2.
Kockázatcsökkentő technikák (Mitigation Technologies)
2.2.1. Application whitelisting Az application whitelisting arra szolgál, hogy megnehezítse a támadó fél dolgát azzal, hogy a nemkívánatos szoftverek futtatását megtiltja az áldozat (támadást elszenvedő) eszközön. Ez azt jelenti, csak olyan alkalmazások futhatnak a céleszközön, amik a megfelelő
engedélyekkel
rendelkeznek,
és
szoftvereknek.
10. oldal
nem
minősülnek
rosszindulatú
2.2.2. Az
operációs
rendszer
és
a
telepített
alkalmazások
frissítése,
illetve a legújabb verzió használata Az operációs rendszer frissen tartása a biztonsági rések lefedése érdekében rettentően fontos. Nagyon sűrűn fedeznek fel újabb támadási lehetőségeket, ezért ezeknek a kivédéséhez fontos, hogy telepítve legyenek a biztonsági frissítések. A legújabb verzió használata, illetve az arra való frissítés azért ajánlott, mert egy bizonyos idő elteltével a gyártók több figyelmet szentelnek az újabb rendszerek naprakészen tartására (a támogatási idő lejáratával például), így, ha elavult verziót használunk, akkor kieshetünk a védettségi zónából. Ajánlott a frissítések érkezését minden második nap ellenőrizni. Amint felfedezésre kerül egy biztonsági rés, szinte biztosak lehetünk benne, hogy 48 órán belül valaki kihasználja ezt egy rosszindulatú program megírásánál. Néhány esetben arra is volt példa, hogy ez 8 órán belül megtörtént [2]. Az ilyen eseteket nevezik nulladik napi támadásnak (zero-day attack). Az alkalmazások tekintetében szinte ugyanolyan fontos a hibajavítások telepítése, mint az operációs rendszereknél. Ez fokozattan érvényes a hálózatot használó alkalmazásoknál. Az a vélemény is felmerül persze, hogy az azonnali frissítés okozhat problémákat a rendszeren, azonban a kritikus frissítések esetén nem szabad heteket várni a teszteléssel, mert a sérülékenység nagyobb veszélyeket rejt. 2.2.3. Az adminisztrátori jogosultságok minimalizálása Egy támadás esetén a fő célpont az adminisztrátori engedéllyel rendelkező felhasználó, mert az ő fiókjába bejutva a rendszer irányítása felett nagyobb szabadságot szerez a támadó. Emiatt, ha nem szabjuk meg, hogy csak a szükséges engedélyeket kapja meg az adminisztrátori fiókkal rendelkező személy, az ő fiókjának feltörésével akár a teljes rendszer felett átveheti az irányítást a támadó. Teljes körű hozzáférést lehetőség szerint csak a legszűkebb tagú csoportnak adjunk (pl. rendszergazdák). Azzal is javíthatjuk annak az esélyét, hogy ne fertőződjön meg az ilyen jogosultságokkal rendelkező felhasználó, ha a magasabb szintű beavatkozás idejére elszeparáljuk a világhálótól (pl. szoftvertelepítés közben ne férjen hozzá a szabad böngészési lehetőségekhez, valamint az e-mail fiókjaihoz).
11. oldal
2.3.
Kockázatminimalizálás
A fent említett eszközök együttes alkalmazásával, helyes konfigurálásával, számottevően csökkenthetjük a veszélyét annak, hogy rendszerünket / rendszereinket megfertőzzék a támadók. Emellett annak az esélyét is csökkentjük, hogy mindezt úgy hajtsák végre, hogy mi erről nem szerzünk tudomást. Természetesen használhatunk ezeken felül további biztonsági stratégiákat, de fontos azt is szem előtt tartani, hogy ezek ne legyenek olyan mértékű beavatkozások, amik a felhasználót a munkavégzésben már frusztrálják. Tekintsük példaként a hordozható adattároló eszközök csatlakoztathatóságát, és az operációs rendszer frissen tartását. Az a felhasználót nem zavarja (vagy csak kis mértékben), hogy távollétében a számítógépe frissül, azonban ha megtiltjuk a rendszernek a külső eszközök felismerését, miközben az ilyen jellegű támadások száma cégen belül elenyésző, az hátráltathatja munkájában a dolgozót.
2.4.
Egyéb biztonsági stratégiák Felhasználói alkalmazások szigorú konfigurálása: Java bővítmények letiltása, nemkívánatos Microsoft Office makrók tiltása, különböző internetböngésző és PDF olvasó funkciók korlátozása.
Automatizált dinamikus ellenőrzés: E-mail mellékletek futtatása elszeparált környezetben, webtartalmak ellenőrzése futtatás előtt. Ez azt a célt szolgálja, hogy feltérképezzük a tartalmak fájlmódosító és kapcsolódási szándékait.
Lokális adminisztrátori fiók letiltása: A visszaélési lehetőségek csökkentése érdekében csak akkor engedélyezünk adminisztrátori hozzáférést, ha a helyzet megköveteli.
Hálózat felosztása biztonsági zónákra: Az eszközök nem látják egyszerre az összes többi eszközt a hálózaton, így könnyebben lehet szabályozni, hogy ki mely adatokhoz férjen hozzá.
Többlépcsős hitelesítés: A bizalmas adatok kezelésének megkezdésekor ismét hitelesítenie kell a felhasználónak magát, így csökkenthető annak kockázata, hogy a felügyelet nélkül hagyott bejelentkezésen keresztül visszaélés történjen.
12. oldal
Szoftveres tűzfal alkalmazása az operációs rendszeren Az adott eszközön átfolyó ki és bementi kapcsolatok szűrésére, ellenőrzése. Ez azért fontos, mert árulkodó jel lehet, ha egy szoftver külső kapcsolatokat akar létesíteni a felhasználó akarata nélkül.
Rendszeresemények időszinkronizált naplózása a szerveren Be- és kijelentkezési kísérletek naplózása, illetve hálózati kapcsolódási szándékok naplózása. A statisztikai adatok alapján hozhatunk biztonsági házirendeket, illetve ellenőrizhetjük ezek betartását.
Vírusvédelmi szoftver telepítése az eszközre Vírusvédelmi szoftver telepítése minden irodai számítógép esetén nagyon fontos, de otthoni használatkor is ajánlott.
13. oldal
3 Fehérlistás szűrés 3.1. A
Bevezetés fehérlistás
szűrést
(application
whitelisting)
arra
fejlesztették
ki,
hogy
megakadályozza a cég szempontjából nem kívánatos, valamint a rosszindulatú szoftverek futtatását az operációs rendszeren.
3.2.
Működés
A szűrést úgy végzi, hogy csak a listán (fehérlistán) szereplő alkalmazások, és DLL fájlok aktiválódhatnak a rendszeren, a többi elem futási/futtatási igénye elutasításra kerül. Emellett megakadályozza, hogy az engedéllyel nem rendelkezdő szoftverek feltelepüljenek a rendszerre, és a felhasználótól megvonja a jogot arra, hogy a definiált szabályokon módosítson. Egy teljes vállalatra való kiterjesztése sok időt vesz igénybe, azonban vezető szerepet betöltő munkatársak és asszisztenseik eszközein a használata mindenképpen ajánlott [3].
3.3.
Milyen támadások ellen véd?
A jellegzetes mindennapi támadások a következők.
A felhasználó kap egy levelet, amiben egy üdvözlőkártya linkje található vagy egy vicces videó üzenet, amire rákattintva a háttérben elindul egy malware [3].
Web böngészés közben egy ismeretlen vagy javítatlan böngésző biztonsági résen keresztül a háttérben bejut egy malware, feltelepül, és a későbbiekben megfigyelheti a hálózati tevékenységet, vagy adatgyűjtést végezhet. Harmadik féltől származó böngészőbővítmény is okozhat ilyen biztonsági rést.
Letöltött tartalom megnyitásakor elindul egy kártékony parancsfájl, ami a megtekintő szoftver hibáit használja ki.
Hordozható meghajtó csatlakoztatásakor, miután a rendszer felismerte eszközként és felcsatolta meghajtóként, elindul egy rajta lévő malware.
A felhasználó úgy telepít egy programot, hogy arról nem értesíti az adminisztrátort, ezért annak későbbi karbantartása elmarad, és biztonsági réseket generál vele.
14. oldal
3.4.
A fehérlista
A listán az alkalmazásokat és DLL fájlokat soroljuk fel, amiket szeretnénk engedélyezni a rendszeren. Itt meghatározhatjuk a futtatás helyét, a felhasználót vagy felhasználói csoportot, aki futtathatja, és egyéb paramétereket. A komolyabb rendszerek az egyértelmű azonosítás céljából ujjlenyomatokat rendelnek a fájlokhoz, és ezeket is tartalmazza a lista. A
futtatás
helyét
meghatározhatjuk
teljesen
pontosan
(pl.
„C:/Program
Files/Célalkalmazás”), de megadhatunk egy gyűjtőmappát is (pl. „C:/Program Files”). Az utóbbi nem annyira hatékony, mert ezzel olyan futtatható állományt is a listára tehetünk, amit nem szeretnénk.
3.5.
Mi nem minősül fehérlistázásnak?
Ha csak azt tiltjuk meg, hogy a felhasználók telepíthessenek a rendszerre, az még nem minősül fehérlistázásnak. A telepítéstől függetlenül is kerülhetnek a rendszerre nem engedélyezett szoftverek, valamint kártevők is, amik akár végre is hajtódhatnak a tiltás hiányában. Az sem nevezhető fehérlistázásnak, ha egy útvonalat teszünk írásvédetté a felhasználó számára. Ez megakadályozza abban, hogy az adott helyre telepítsen, azonban attól nem, hogy más helyről (asztal, dokumentumok) futtasson. Ráadásul a kártékony szoftvereknek sem szükséges, hogy a „C:/Program Files”-ban foglaljanak helyet.
3.6.
Hogyan implementáljuk a fehérlistázást?
Általában az alapvető stratégia, ha egy szoftvert (amiben engedélyezzük a kívánt futtatható-és könyvtár állományokat) kombinálunk egy ACL-el (Access Control List – Hozzáférhetőségi lista) amiben meghatározzuk, hogy a felhasználónak mit van joga módosítani. Ilyen szoftver lehet például az AppLocker, ami a Microsoft Windows operációs rendszer 7 verziószámától elérhető ingyenesen.
15. oldal
3.6.1. AppLocker Az AppLocker segítségével az alábbi funkciók valósíthatóak meg [4]:
Nem licenszelt szoftverek futtatásának megtiltása a rendszeren.
Sérülékeny vagy azonosítatlan szoftverek (tipikusan malware) futtatásának megtiltása a rendszeren.
Felhasználók számára a nagy hálózati sebességet igénylő alkalmazások futtatásának tiltása.
Felhasználók
védelme
érdekében
a
rendszer
instabilitásához
vezető
alkalmazások futtatásának megtiltása.
A hitelesített alkalmazások telepítésének, futtatásának
és frissítésének
megengedése a felhasználó számára. Ezzel kiküszöbölhető, hogy csak a rendszergazda telepíthessen vagy frissíthessen.
Ellenőrizhetjük, hogy az adott rendszer megfelel-e a vállalati szabályozásnak.
Az alábbi képen látható az alkalmazás kezelői felülete, a futtathatósági lista, és az új szabály létrehozásának legördülő menüje (1. ábra - AppLocker kezelői felület).
1. ábra - AppLocker kezelői felület [5]
16. oldal
3.6.2. További megoldások Természetesen több gyártó is foglalkozik ilyen típusú szoftverek forgalmazásával. Ezek komplexebb megoldást nyújtanak az ingyenes verzióval szemben. A komplexebb megoldás alatt azt kell érteni, hogy az „application whitelisting” témakörével mélyebben foglalkoznak, bonyolultabb listákat lehet velük létrehozni, illetve más konfiguráció-menedzsment módszereket is magukba foglalnak. Ezek a termékek például az alábbiak:
Lumension Application Control
Symantec Endpoint Protection
Bit9 Parity Suite
CoreTrace Bouncer
McAfee Application Control
A továbbiakban az első két helyen említett termékkel fogok mélyrehatóbban foglalkozni.
17. oldal
4 Frissítéskezelés 4.1.
Bevezetés
Ahogyan az előzőekben láthattuk, az operációs rendszer és az alkalmazások naprakészen tartása nagyon fontos a hálózatot használó eszközök esetén. A továbbiakban az aktuális megvalósításokat tekintjük át.
4.2.
Frissítéskezelés Linuxon
A Linux operációs rendszeren lehetőségünk nyílik használni a beépített (Debian alapú rendszerek esetén) Advanced Packaging Tool (APT) csomagkezelőt [6]. Használatához az apt-get parancssori eszközt kell igénybe venni. Ezzel lehetőségünk nyílik új szoftvercsomagok telepítésére, a meglévő szoftvercsomagok mellett a csomaglista-index, sőt akár az egész rendszer frissítésére. Csomag
telepítéséhez
az
alábbi
parancsot
kell
bevinnünk
a
terminálba:
sudo apt-get install csomagnév Több csomag egyszerre történő telepítéséhez elég szóközökkel elválasztva felsorolni a csomagneveket. A csomag eltávolításához elég az „install” parancsot „remove” parancsra cserélni. A csomaglista frissítéséhez az „update” parancsot kell használni az „install” helyett. A csomaglista frissítésére azért van szükség, mert ez tartalmazza, hogy melyek az elérhető csomagverziók a kiszolgálón, és ennek alapján lehet a frissítést elvégezni. A frissítés végrehajtásához az „update” helyett az „upgrade” parancsot kell alkalmazni. A frissítéseket egy egyszerű ütemező segítségével lehet automatizálni. Természetesen a modernebb felhasználói felülettel rendelkező Linuxok esetén (pl. Ubuntu, Linux Mint, SUSE Linux) lehetőség nyílik mindezt az integrált grafikus programmal elvégezni. Ha frissítés jelenik meg a rendszerhez vagy az alkalmazásokhoz, azt jelzi a rendszer és felkínálja ezek telepítését. Az ellenőrzések gyakoriságát is konfigurálhatjuk.
18. oldal
4.3.
Frissítéskezelés Macintosh számítógépen
A Macintosh számítógépeken futó OS X operációs rendszer 10.7-es verziójától a frissítési feladatot az „App Store” nevű alkalmazás végzi. Régebbi verzióknál a rendszerfrissítéseket külön alkalmazásban lehetett elérni. Itt egy helyen láthatjuk a rendszerhez és az áruházból telepített (ingyenes vagy fizetős) alkalmazásokhoz megjelent frissítéseket, amit kérésünkre telepít az alkalmazás. Szintén lehet ütemezni a frissítés ellenőrzési időközöket. Ahogyan Linux esetén is, ezeket a frissítéseket a háttérben elvégzi a rendszer, és csak indokolt esetben kér újraindítást. Az egyéb forrásból telepített alkalmazások nagy részénél az alkalmazásban elhelyezett frissítő végzi el a feladatot.
4.4.
Frissítéskezelés Windowson
Az operációs rendszer frissítését a „Windows Update” rendszeralkalmazás menedzseli. Szintén konfigurálható a frissítés-keresési időköz, valamint, hogy a detektált frissítéseket le is töltse egyből a rendszer, vagy csak felhasználói megerősítés után tegye meg. Természetesen az azonnali telepítés is igényelhető. A „Windows Update” azonban nem frissíti a harmadik féltől származó alkalmazásokat. Ezt a népszerűbb alkalmazások a beépített frissítő funkció segítségével végzik. A Windows 8-al megjelenő Áruház alkalmazás viszont az áruházból telepített alkalmazásokat az „App Store”-hoz hasonlóan frissíti. Az egyéb alkalmazások frissítését manuálisan végezhetjük, valamint harmadik féltől származó frissítő alkalmazás segítségével. Ezek az ingyenes harmadik féltől származó alkalmazások nagyrészt csak az új szoftververzió megjelenését jelzik, és összegyűjtik nekünk a letöltési linkeket a manuális frissítéshez. Létezik fizetős frissítő alkalmazás, ami elvégzi az összes alkalmazás frissítését, ilyen például a Ninite (https://ninite.com). Azonban a harmadik féltől származó frissítőalkalmazások biztonságossága, különösen az ingyenesek esetén megkérdőjelezhető.
19. oldal
Az antivirus szoftverek esetén is alkalmazzák a kockázat csökkentésére a beépített alkalmazásfrissítőt, ilyen például az Avast 2015 Antivirus. Az ingyenes verziója is tartalmazza az alkalmazásfrissítőt, azonban csak a premium verzióban állíthatjuk be, hogy ezt
teljesen önállóan működjön. Megvizsgálja a rendszerre telepített
alkalmazásokat, ha talál újabb programverziót, azt felajánlja telepítésre, és az elfogadás után letölti, és a háttérben feltelepíti. Vannak alkalmazások, amiket a letöltés után a háttérben nem tud frissíteni (ilyen például az iTunes), a telepítő lépésein nekünk kell végighaladni. A programfrissítő képe alább látható (2. ábra - Az Avast programfrissítő).
2. ábra - Az Avast programfrissítő
20. oldal
5 Komplex megoldások Az említett védelmi lehetőségek egymással ötvözve komolyabb védelmet biztosítanak hálózati
végpontjaink
számára,
mintha
külön
alkalmaznánk
őket.
Komplex
megoldásoknak tekinthetjük azokat a szoftvereket, amelyek segítségével ezek közül többet egyszerre valósíthatjuk meg. Ezen komplex megoldások közé tartozik a Lumension® Endpoint Management and Security Suite és a Symantec™ Endpoint Protection. A továbbiakban a Lumension termékét fogom részletesen bemutatni a mérések során, összehasonlítási alapként a konklúzió levonásához a Symantec rendszerét fogom vizsgálni.
5.1.
Lumension® Endpoint Management and Security Suite 8.1
5.1.1. Felépítés A Lumension® Endpoint Management and Security Suite 8.1 (továbbiakban LEMSS) egy irodai hálózatokon elhelyezkedő végpontok védelmére kifejlesztett rendszer, ami egy szervergépet igényel, ami Windows Server operációs rendszerrel (ajánlott Windows Server 2012 R2 (x64)), és egy SQL szerverrel (ajánlott SQL Server 2012 (x64)) van ellátva. A kliensgépeken egy ügynök (Agent) futtatása a feltétele a működésnek, mely elérhető Windowsra, Macintoshra és Linuxra is. A rendszer az alábbi modulokból áll (3. ábra - LEMSS összetevők), aminek rövid értelmezését a következőkben tekintjük át [7].
3. ábra - LEMSS összetevők [8]
21. oldal
Patch & Remediation Ez a modul a frissítéskezelés feladatát látja el, segítségével a szerver karbantarthatja a végpontokon és a szervereken futtatható alkalmazásokat, operációs rendszereket. Támogatja közel az összes asztali platformot (Windows, Linux, Unix, OSX, és ezek különböző verzióit), és harmadik féltől származó alkalmazásokat (pl. Adobe, Java, Apple).
Security Config. Mgmt A helyes biztonsági beállítások, és a céges szabályzatok (pl. adatkezelés) érvényre jutását menedzselhetjük, ellenőrizhetjük.
Power Management Energiagazdálkodási lehetőségeket lehet megadni a végpontokon, akár online, akár offline működés esetére.
Content Wizard Telepítő-varázsló működésű modul, segítségével egyszerre telepíthetünk vagy távolíthatunk el alkalmazásokat a végpontokon, vagy saját készítésű patcheket alkalmazhatunk.
Reporting Services Üzleti intelligencia rendszer (business intelligence), integrált módszerekkel, amik módosíthatók.
AntiVirus Ez
a
feketelistás
védelem
eszköze,
eltávolíthatjuk
vele
a
malware
alkalmazásokat (vírusok, férgek, kémprogramok, trójaiak, reklám programok). Használhatunk saját programot is helyette, nem kötelező a beépített megoldást választani.
Application Control Ez a fehérlistázás (application whitelisting) megvalósításához szükséges modul. Ezzel határozhatjuk meg a megbízható és futtatható alkalmazásokat, így hozhatjuk létre a fehérlistát. Tartalmaz memória beszúrásos/módosításos támadás (memory injecton) elleni védelmet is.
Device Control A végponthoz csatlakoztatható eszközökkel kapcsolatos szabályokat állíthatjuk be vele. Meghatározhatjuk, milyen eszközöket lehet csatlakoztatni, melyik portra. Adattárolók esetén beállíthatunk kötelező titkosítást. 22. oldal
Disk Encryption Az adatszivárgás megakadályozása, megnehezítése érdekében beállíthatunk teljes merevlemez-titkosítást a klienseken.
5.1.2. Használat Tekintsük azt a helyzetet kiindulási pontnak, hogy egy irodai hálózatban ki van jelölve egy számítógép a szerver feladatának ellátására, és az irodában több különböző egyéb számítógép található. Különböző verziójú operációs rendszerekkel, különböző programokkal vannak ellátva ezek az eszközök. Nekünk azonban arra van szükségünk, hogy egységes, biztonságos működést biztosítsunk a számítógépek és a vállalat számára. Fontos megemlíteni, hogy a kliensügynök Macintosh és Linux rendszereken csak a frissítés-kezelés feladatát látja el. Első lépésként le kell ellenőriznünk, hogy a kijelölt számítógép megfelel-e a rendszerminimumoknak a LEMSS tekintetében. Ezek az alábbiak (szoftverek tekintetében):
Windows Server 2012 R2, SP1 vagy későbbi (x64))
SQL Server 2014 (x64)
Továbbá ajánlott, hogy a szerver rendelkezzen legalább az alábbi hardverekkel:
2x1.4 GHz-es processzorral
4 GB memóriával
60 GB szabad merevlemez területtel, az adatbázisok számára
Miután ezt ellenőriztük, szerezzük be a telepítő csomagot. A csomag a cég honlapjáról érhető
el
(https://www.lumension.com/endpoint-management-security-suite.aspx),
megvásárlás vagy próbaverzió igénylése után, a letöltési oldalon. A beszerzés után telepítsük fel a programot a szerverre, ezután jelentkezzünk be a számítógép adminisztrátori fiókjával a kezelőfelületre. A kezelőfelület webes alapú, de a program hoz létre parancsikont az asztalra, hogy elérhessük ezt a telepítés után. A további lépésekről egy szemléletes ábrát (4. ábra - LEMSS beállítás lépései) szeretnék bemutatni, ami összefoglalja a lényegesebb lépéseket ahhoz, egy stabilan működő rendszert üzembe helyezzünk. A következőkben az ábra pontjainak jelentését is kifejtem.
23. oldal
Egyszerű
értesülés
a
Végpontok felfedezése,
folyamatok végrehajtódásáról,
ügynökök telepítése
a működésről.
Szabályok érvényre juttatása,
Házirendek meghatározása
végpontok biztonságba helyezése
4. ábra - LEMSS beállítás lépései [9]
Az ábra magyarázata, a felületre való belépés után végrehajtandó feladatok: 1. Megkeressük a hálózatra csatlakoztatott menedzselni kívánt végpontokat (Discover → Assets). A Discover menü lenyitása után megadhatjuk, hogy a kereséssel egybekötve szeretnénk-e az ügynök-szolgáltatást telepíteni / eltávolítani (ha kiveszünk egy végpontot a felügyeletből). Az ügynök telepítése után a számítógépeket újra kell indítani, hogy a szolgáltatás elindulhasson. Ezután ellenőrizzük a megtalált végpontok kártevőmentességét (Discover → Scan Now – Virus and Malware Scan). Az ellenőrzést a klienseken elhelyezett ügynök végzi, és informálja a szervert az eredményekről. Minden feladatot végrehajtathatunk azonnal a rendszerrel, vagy ütemezhetjük későbbre is. 2. Miután
a
keresés
befejeződött
és
meggyőződtünk
az
eszközök
fertőzésmentességéről, állítsuk be a klienseken megkövetelt házirendeket az antivírus, alkalmazás használat, memória védelem, csatlakoztatható eszközök tekintetében. A házirend beállítások a „Manage” fülön találhatók, itt meghatározhatjuk az ügynökök opcióit is, és távoli alkalmazástelepítést is végezhetünk. 3. Eldönthetjük, hogy mikor jussanak érvényre az előzőleg létrehozott és végpontokhoz hozzárendelt szabályok, műveletek. Első használatnál célszerűen azonnal érvényesíteni kell őket.
24. oldal
4. Ellenőrizzük a megfelelő működést, akár lokális adminisztráció segítségével, akár a szerverről a naplóbejegyzések és jelentések használatával. Mostantól frissülnek a támogatott alkalmazások, és önállóan hajtódnak végre a kártevő ellenőrzések és tisztítások, és csak a kijelölt alkalmazások futtathatók a rendszeren. Természetesen nem szükséges egyszerre mindent beállítani, haladhatunk fokozatosan is, illetve nem szükséges a rendszer összes elemét kötelezően felhasználni (azonban ajánlott). Az ügynök telepítésénél megadhatjuk, hogy az adott eszközökön melyik Lumension módszereket szeretnénk használni, és az ezekhez tartozó komponensek is telepítésre kerülnek. A rendszer minden adminisztrátori tevékenységről naplóbejegyzést készít, így visszanézhetjük időrendi sorrendben a kért módosításokat és végrehajtott feladatokat, valamint a lekérdezéseket. A végrehajtás folyamatát is követhetjük valós időben a kezelőfelületen. Piktogramok és rövid címszavak segítségével jelzi a rendszer, hogy éppen melyik állapotban van művelet, erre egy példa alább látható (5. ábra – Művelet folyamatban a Lumension rendszerén).
5. ábra – Művelet folyamatban a Lumension rendszerén
Láthatjuk, hogy éppen csomagtelepítés folyik (Type = Package Deployment), azt is, hogy ki rendelte el (Created By), hogy hol tart a művelet (Status). A további piktogramok elárulják, hogy hányas számú eszközön zajlik a művelet, hány sikeres vagy sikertelen művelet volt, illetve hány számítógép végzett már a telepítésekkel, és az egész folyamat hány százalékon áll.
25. oldal
Amikor a rendszert telepítjük, a szerverre feltelepül az ügynök is, annak érdekében, hogy a menedzser feladatot végző számítógép is el legyen látva vírusvédelemmel, frissítésekkel, és a modul többi előnyével. Alapértelmezésben az alkalmazás és eszközfelügyeleti komponens nem települ, azonban igény esetén ezt később hozzáadhatjuk.
5.2.
Symantec™ Endpoint Protection 12.1
5.2.1. Felépítés A szoftver az előzőleg bemutatott termékhez hasonlóan irodai hálózatok végpontjainak védelmére szolgál. A menedzser rendszer Windows operációs rendszeren fut, azonban nem követeli meg a szerver operációs rendszert, Windows XP (SP2, SP3) és Windows 7 rendszereken is működik. A hivatalos közlemény szerint [10], viszont jelenleg a Windows 8 rendszert nem tartalmazza a támogatottsági lista. A kliens munkaállomáson futó szoftver (értsd ügynök) futtatása is feltétele a rendszer működésének, ez elérhető Windows XP-t követően az összes asztali Windows verzióra, Mac OSX-re 10.6.8-as verziótól, és Linuxra is. Fontos megemlíteni, hogy a Macintosh és Linux rendszereken a kliens nem teljes funkcionalitású, nem tartalmazza a „Device and application control” komponenst. Az alábbi modulokból épül fel a szoftver.
Antivirus and antispyware Teljes értékű antivírus és kémprogram szűrő szoftver, ami akár önálló működésre is képes.
Desktop firewall Hálózati tűzfalmegoldás a kliensek számára.
Intrusion prevention Ez a megoldás azt a célt szolgálja, hogy folyamatosan vizsgálja a hálózati forgalmat, ha valamilyen gyanús tevékenységet észlel (pl. egy alkalmazás szokatlanul sok hálózati forgalmat generál), akkor a meghatározott intézkedést meghozza (pl. leálltja az alkalmazást vagy letiltja a fájlátvitelt meghajtókra).
26. oldal
Device and application control A csatlakoztatható eszközökhöz vehetünk fel házirend szabályokat, valamint a futtatható alkalmazásokat határozhatjuk meg. Ezzel a modullal lehet megvalósítani a fehérlistázást.
Host Integrity Checking Ez új lehetőség a 12.1-es szoftverben, ellenőrzi a végpontokon, hogy telepítve van-e a vírusvédelem, és a kívánt biztonsági szabályokat tudja-e alkalmazni a kliens (pl. friss-e a vírusdefiníciós fájl).
Advanced protection for virtual environments Virtuális gépek biztonságát támogató lehetőségeket tartalmaz. Ilyen lehetőségek közé tartozik, hogy képes keresni a kikapcsolt virtuális gép merevlemezén fenyegetéseket, vagy hogy használathoz mérten indítja az automatikus vírusellenőrzéseket.
5.2.2. Használat Az alkalmazási környezet azonos az előző szoftver által említett esettel. Eszerint, egy szervergépnek kell felügyelni az irodában lévő többi számítógép védelmét, biztonságos működését. A szervergéppel szemben támasztott rendszerkövetelmények az alábbiak: Szoftver Operációs rendszer:
Jelenleg támogatott a Windows operációs rendszer a Windows 8 kivételével, vegyük optimálisnak a Windows Server 2012 R2, SP1 vagy későbbit (x64)).
Web böngésző:
Microsoft Internet Explorer
Mozilla Firefox
Adatbázis: Tartalmaz beágyazott adatbázist, azonban nagyobb felhasználószám mellett az ajánlott:
SQL Server 2005, SP4 vagy későbbi 27. oldal
Hardver (minimum)
A
1GHz CPU
1 GB of RAM (2 GB ajánlott)
16 GB szabadhely a merevlemezen
biztonsági
megoldás
telepítő
csomagja
(http://www.symantec.com/endpoint-protection/),
a
gyártó
oldaláról
megvásárlás
vagy
tölthető
le
próbaverzió
igénylése után, ahogyan az előző szoftver esetében is említettem. Miután beszereztük a telepítőt, indítsuk el, és a varázsló segítségével haladjunk végig a lépéseken. Miután elkészült az installáció a szoftver két kezelői felületet ajánl fel: egy webes böngészőből futtathatót, valamint egy asztali Java alkalmazást. Én az utóbbit használtam, mert a webes felület tanúsítványproblémák miatt nem volt futtatható. Miután bejelentkeztünk a kezelői felületre, hozzáadhatjuk a hálózaton található eszközöket végpontokként. Az ügynökök telepítését a rendszer automatikusan elvégzi, miután megadtuk az adminisztrátori fiók adatait a telepíteni kívánt kliensek tekintetében. A telepítő olyan funkciót is felajánl, ha más biztonsági szoftverek voltak telepítve már a kliensre korábban, akkor ezeket letörli nekünk, hogy ne ütközzenek az új szoftverrel a használat során. A rendszer nem engedélyezi harmadik féltől származó antivírus használatát. A feltelepített ügynökök az összes komponenst tartalmazzák, a nem kívánt összetevőket kikapcsolhatjuk. A telepítő elhelyez mind a kliensen, mind a szerveren egy LiveUpdate nevű alkalmazást, aminek segítségével frissíthetjük a Symantec szoftvereit és a vírusdefiníciós adatbázist. Fontos megemlíteni, hogy a rendszer alapértelmezetten nem telepíti fel a szerverre a védelmi klienst, csak a menedzseléshez szükséges rendszert. Ha komolyabban védeni akarjuk a szervergépet, oda is fel kell telepíteni a klienst. A szerver kezelőfelületén állíthatjuk be a modulokhoz tartozó házirendeket, tekinthetjük meg a naplókat és a jelentéseket. A rendszer naplóz minden adminisztrátori beavatkozást,
és
védelem
során
felmerült
figyelmeztetés).
28. oldal
eseményt
(ellenőrzés,
fertőzés,
A nyitóképernyőn (6. ábra - SEP Manager nyitóképe) a Lumension megoldásához hasonlóan egy gyors áttekintés fogad minket a felügyeletről. Ezek között a következők szerepelnek:
Végpontok állapota (Online, Offline, friss vagy elavult-e védelem)
Biztonsági állapot (Van-e valami hiba a védelemmel)
Fenyegetettség állapota (Egy skála, hogy hol helyezkedünk el)
Vírus és egyéb támadások száma az elmúlt időszakban
Kedvenc jelentések (Legfontosabb információk)
6. ábra - SEP Manager nyitóképe
29. oldal
6 A feladat környezete 6.1.
Mérési feladat
A mérési feladat lényege, hogy bemutassak egy, a végpontok (kliensek) védelmére szolgáló szerver oldali lehetőséget, az application whitelisting szempontjából. A választott biztonsági megoldás a Lumension LEMSS rendszere. Megvizsgálom az eszközfelügyelet (Device Control) és a frissítéskezelés (Patch management) lehetőségeit is. Feladatom része továbbá a vizsgálathoz szükséges környezet kialakítása, a rendszer és a szükséges szoftverek telepítése, konfigurációja, valamint a vizsgálati módszer meghatározása, és a vizsgálat elvégzése.
6.2.
Mérési elrendezés
A rendszerben az alábbi komponensekre lesz szükség (7. ábra - Topológiai kialakítás című képen szemléltetem a kapcsolatukat): -
Szerver
-
Kliens
-
Hálózati eszközök a kapcsolat létrehozásához (integrált forgalomirányító egység, UTP kábel)
7. ábra - Topológiai kialakítás
30. oldal
6.2.1. Szerver A szerver fogja megvalósítani a védelemért felelős rendszert. A biztonsági szoftver futtatását egy virtuális gépben futó Windows Server 2012 (64 bit) operációs rendszer teszi lehetővé. A LEMSS esetén a processzorigény: legalább egy kétmagos, magonként 1.4 GHz-es processzor. Memória tekintetében a 4GB ajánlott, azonban a lehetőségekhez mérten
2GB-ot
tudtam
elérhetővé
tenni
a
virtuális
gép
számára.
A rendelkezésemre álló számítógépben 4GB memória található, és a futtató gazdarendszernek is szüksége van szabad memóriára a virtualizációhoz. A virtualizálást Linux Mint 17 Qiana operációs rendszeren végzem, a VMware Player for Linux ingyenes virtualizáló szoftverrel. Azért esett a választás ezen ingyenes alkalmazásra, mert megfelelően stabil virtuális gépeket lehet vele létrehozni, és a virtuális gépek létrehozása is egyszerűbb, mint más szoftverek esetén. Az operációsrendszer telepítésnél, miután kiválasztottuk a telepítési médiát egyszerűen megadhatjuk a sorozatszámot, és az alap felhasználói fiók adatait, majd a telepítést maga elvégzi a virtualizációs szoftver. Hátránya a fizetős verziójával szemben az, hogy nem tudunk létrehozni egyszerű állapotmentéseket (snapshot-okat). Ezek azért lennének hasznosak, mert gyorsan vissza lehet állítani a virtuális gép állapotát, ha valami hiba történt, vagy nem kívánt módosítást hajtottunk végre a rendszeren. Ennek hiányát azzal pótolom, hogy a főbb tevékenységek előtt a virtuális gépről teljes mentést végzek külső meghajtóra. Ennek mérete azonban jelentősen nagyobb és több időt vesz igénybe, mint a beépített funkció esetén. Fontosabb eszközparaméterek:
Alaplap: ASUSTeK – P8H67-M
Processzor: Dual Core - Intel Core i3-2120, 4x1600 MHz
Memória: 4GB
Merevlemez: Samsung HD502HJ - 500 GB
Virtuális gép eszközparaméterek:
Processzor: 2 processzormag
Memória: 2 GB
Merevlemez: 60 GB rendszerlemez, 120 GB adattároló (dinamikusan növekvő)
31. oldal
6.2.2. Kliens A LEMSS rendszer több kliens egyszeri kiszolgálását, menedzselését teszi lehetővé, azonban vizsgálataimat egy alany bevonásával végzem. A rendszer valódi működésének szemléltetéséhez egy csoportra vonatkozóan érvényesítem a szabályokat és a feladatokat. Így, ha több számítógép hozzáadására lenne mód, csak annyiban térne el a vizsgálat, hogy ezeket a további számítógépeket hozzá kéne adni a csoporthoz, és ezeken ugyan ilyen módon végrehajtódnának a műveletek. Fontosabb eszközparaméterek:
A
Alaplap: Gigabyte Tech. – 8I915GMF
Processzor: Intel Pentium 4 – 630 – 3.0 GHz
Memória: 2 GB
Merevlemez: Maxtor 6L160M0 - 160 GB kliens
számítógépen
Windows
7
operációs
rendszert
használok.
A
rendszerkonfiguráció általános felhasználói beállításokat tartalmaz. A számítógépre különböző, napi használatú felhasználói szoftvereket telepítek. Az eszközön, ahogyan a fentebb már említettem a rendszer beüzemelésénél, fut egy ügynök-szolgáltatás is. Ez kapcsolatot tart a szerverrel, és végrehajtja a kéréseket. A feltelepített ügynök az alábbi ábrán látható: 8. ábra - A feltelepített ügynök a kliensen. Az ügynök funkciót a „Tapasztalatok az mérési környezet kialakításánál” című fejezetben tárgyalom.
8. ábra - A feltelepített ügynök a kliensen
32. oldal
6.2.3. Hálózati eszközök A hálózati eszközök közé mindössze egy integrált router egység tartozik, amelyhez a szervert és a klienst csatlakoztatom UTP kábel segítségével. Az így kialakított hálózati kapcsolatban fogják egymást felismerni és elérni a számítógépek. Az integrált router (forgalomirányító) típusa: TP-Link TL-WR841ND 300 Mbps Wireless N router A méréshez kiépített környezet látható a 9. ábra - A pontos kialakítás című képen. Az ábrán feltüntettem a (valódi és virtuális) számítógépekre telepített operációs rendszereket. Emellett megtekinthetjük, hogy ezek a rendszerek hogyan (fizikai vagy logikai kapcsolat segítségével) kapcsolódnak egymáshoz a forgalomirányítón keresztül.
9. ábra - A pontos kialakítás
33. oldal
6.3.
Használt szoftverek
Operációs rendszerek
Linux Mint 17 Qiana
Windows 7
Windows Server 2012 (64-bit)
Biztonsági szoftverek
Lumension® Endpoint Management and Security Suite
Symantec™ Endpoint Protection
Felhasználói alkalmazások
CPUID CPU-Z
FreeCommanderXE és portable
Mozilla Firefox
Skype
VMware Player
VLC Media Player
A szoftvereket hivatalos forrásból szereztem be. A Microsoft szoftvereket az egyetemi azonosítóval elérhető Dreamspark program keretében töltöttem le, az ingyenesen letölthető alkalmazásokat és a biztonsági szoftvereket (kipróbálási regisztrációval) a gyártó oldaláról töltöttem le.
34. oldal
6.4.
Tapasztalatok az mérési környezet kialakításánál
6.4.1. Szerver A rendelkezésre álló számítógépen egy 32-bites Windows XP volt található, ezt terveztem
lecserélni
egy
gyorsabb
működésű
64-bites
Linuxra.
Ahogyan korábban említettem a választás a Linux Mint 17 Qiana rendszerre esett. Az alap rendszert sem szerettem volna maradéktalanul eltávolítani, ezért egy olyan megoldást kellett találnom, amivel mindkét rendszer tud egymás mellett működni. Először arra gondoltam, hogy egy „Windows-Ubuntu-Installer” megoldást választok, ez lehetővé tette volna a Linux telepítését, mint egy hagyományos alkalmazásét. Így létrehozva egy „dual-boot” rendszert. A Qiana rendszerből azonban már kivették ezt a telepítési lehetőséget, mert a telepítő megnövekedett mérete miatt már nem volt olyan biztonságosan indítható a rendszer, mint az előző verziók esetén. Ezért gondoltam, hogy a feladatot egy korábbi rendszer is el tudja végezni, így elkezdtem kutatni az interneten egy régebbi image (lemezkép) fájl után. Az említett telepítési mód a 15-ös verziójú rendszerben még benne volt, azonban ennek a lemezképét nem lehetett letölteni a hivatalos oldalról, mert ez a verzió nem LTS (Long Time Supported – hosszú távon támogatott / elérhető). A hivatalosan elérhető korábbi LTS verzió a 13-as. Ezt a hivatalos oldalról le is töltöttem, valamint a 15-ös verziót is megtaláltam egy archívumban. A telepítése azonban mindkét verziónak kudarcba fulladt, mert hiába telepítette fel magát a rendszer, arról a partícióról nem tudott elindulni, amelyiken volt hely a számára (nem tudta magát beírni a rendszerindítóba). Mindezek után a teljes értékű telepítés mellett döntöttem. Betöltöttem a külső meghajtómon található Linux operációs rendszert, ezzel elvégeztem a szükséges partícionálást a merevlemezen, és elkészítettem egy USB rendszertelepítő lemezt. A telepítés így már gördülékenyen zajlott, azonban véletlenül rossz partícióra került a rendszerbetöltő, így ezt később korrigálni kellett, hogy mindkét operációs rendszer (Windows és Linux) indítható legyen a számítógépen. Így már készen állt az alaprendszer a további feladatokhoz. A következő problémát akkor tapasztaltam, miután létrehoztam a virtuális gépet a Windows Server 2012 (64-bit) operációs rendszerrel, és a konfiguráció után telepíteni szerettem volna a LEMSS-t. 35. oldal
Az igényelt próbaverzió telepítő fájljainak letöltése után megkezdtem a telepítést, azonban miután kicsomagolta magát a telepítő, és elindult, egy olyan hibaüzenetet dobott fel, miszerint a telepítő nem támogatja az angol, német, spanyol nyelvű telepítéstől különböző rendszereket. Nem értettem ennek okát, ugyanis a magyar nyelvű rendszer tartalmazza az angol nyelvi rendszerkomponenseket is, ezért megpróbálkoztam átállítani a rendszert angol nyelvi beállításokra. Azonban hiába állítottam át a rendszer teljes felületét angolra, a telepítő továbbra is az említett hibát hozta fel a telepítés során. A megoldás egy angol nyelvű Windows Server 2012 (64-bit) beszerzése volt, amit ismét installálni, és konfigurálni kellett. Ezután a LEMSS rendszer telepítése egyszerűen zajlott, nagyon szimpatikus volt számomra, hogy a telepítő felajánlotta, hogy a még nem aktivált szolgáltatásokról, és hiányzó programokról gondoskodik, ha igénylem. Sőt a Microsoft SQL 2014 Express segítségével a szükséges SQL adatbázist is előállítja a rendszer számára. A
telepítő
az
adminisztrátori
fiókot
az
operációs
rendszer
alapértelmezett
adminisztrátori fiókjához rendelte. Az újonnan telepített biztonsági rendszerben böngészve észrevettem, hogy a második Windows Server telepítését követően, a számítógép alapértelmezett nevét elfelejtettem értelmezhető névre cserélni, és ezt gyorsan pótoltam is. Azonban nem számoltam azzal, hogy az újraindítást követően elvesztem a belépési jogomat a LEMSS rendszerhez. Ez valószínűleg azért történhetett, mert az alapértelmezett számítógépnév is hozzá volt rendelve az adminisztrátori fiókhoz, és miután azt lecseréltem, és nem állítottam át a rendszer kezelőfelületén, így elveszítettem a jogosultságot a módosításokhoz. Ezen esemény után egy eltávolítási procedúra kezdődött azért, hogy a LEMSS rendszert újra lehessen telepíteni. Az eltávolítás nem volt problémamentes, az SQL adatbázis törlésénél többször „lefagyott” az operációs rendszer a csekély rendszerteljesítmény miatt, és megszakadt az eltávolítás. Végül sikerült maradéktalanul eltávolítani a programot. A LEMSS újratelepítése után a probléma megszűnt, a működő rendszer nyitóképe az alábbi képen (10. ábra - LEMSS kezdőképernyő) látható. Ezen a felületen gyorsan átfuthatjuk a fontosabb rendszerjelentéseket, és az állapotokat. A képen a készre konfigurált rendszerről mutatok ábrát, és elmagyarázom röviden a gyorsan kivehető információkat.
36. oldal
10. ábra - LEMSS kezdőképernyő
A „Server Information” szakasz a licence kihasználtságát mutatja. Látható, hogy melyik vállalathoz tartozik a szerver, mi a rendszer sorozatszáma, valamint megmutatja, hogy melyik komponenst hány példányban lehet felhasználni, és ezek közül mennyi került eddig felhasználásra vagy van éppen folyamatban a telepítése. A „Latest News” szakasz a termékcsaládot érintő fontosabb hírekről informálja az adminisztrátort, valamint a fontosabb biztonsági hírekről. Az
„Agent
Module
Installation
Status”
szakasz
a
feltelepített
ügynökök,
komponenseinek telepítettségéről ad tájékoztatást. A képen az látható, hogy a szerveren, és a kliensen is megtalálható az ügynök, de a szerveren nincs telepítve az eszközfelügyelet (Device Control) és az alkalmazás felügyelet (Application Control) modul. Az éppen folyamatban lévő telepítéseket is mutatja a rendszer. A „Device Control Denied Actions” szakasz arról ad információt, hogy a beállított eszközházirendeket melyik kliens hányszor próbálta megszegni utoljára. Itt állítható az időintervallum is. Az „Application Library File Assassment” diagram arról ad gyors áttekintést, hogy a „File Assassment” funkció legutóbbi használatát követően mennyi alkalmazást sikerült hitelesíteni. 37. oldal
A szolgáltatás segítségével lehetőségünk nyílik elküldeni a Lumension szerverének, hogy mik a klienseken telepített alkalmazások, és futtatásra alkalmas állományok. Ez után a Lumension szervere végigellenőrzi a kapott adatokat, majd áttekintést ad nekünk arról, hogy mennyire megbízhatóak a listán szereplő fájlok. Ezek alapján könnyebb szűrni a nem oda illő elemeket. A „Top 10 Infected Endpoints” szakasz felsorolja azokat a végpontokat, amelyeken az elmúlt időszakban a legtöbb kártékony állomány előfordult. Az „Un-remediated Critical Vulnerabilities” diagram a még megoldatlan kritikus sebezhetőségeket mutatja az idő függvényében. Természetesen van lehetőségünk hozzáadni további állapotjelzőket, illetve el is lehet távolítani a számunkra annyira nem érdekes ábrákat. 6.4.2. Hálózat Fontos megemlítenem a Linux gazdarendszer és a Windowsos kliens számítógép hálózati összekötését. Miután a forgalomirányítón beállítottam a megfelelő IP-címeket, és ezeket érvényre juttattam az eszközökön, az a szituáció lépett fel, hogy a Windowsos kliens el tudta érni a szerver számítógépet, viszont fordítva nem működött az átvitel. Ez alatt azt kell érteni, hogy a „ping” segédprogram segítségével sikerességről szóló eredményeket kaptam a Windowsos kliensen, a szerveren viszont sem a Linux gazdarendszer, sem az azon futó virtuális Windows Server operációs rendszer nem tudta megerősíteni az átvitel létrejöttét. Ezt a problémát úgy sikerült megoldanom, hogy a Linux rendszeren futó SAMBA (Windows hálózatokkal való együttműködésért felelős) segédprogramot leállítottam, a hálózati munkacsoport paraméterét átállítottam a Windows
rendszereken
használt
hálózati
munkacsoport
paraméterére,
majd
újraindítottam a szolgáltatást. Kis idő múlva a Linux rendszer felismerte az eddig elérhetetlennek tűnő kliens számítógépet, majd a virtuális gép is megtalálta a klienst. Ez azért volt fontos, hogy a LEMSS biztonsági rendszer a végpont felderítő funkciójában felismerje a szabályozni kívánt számítógépet.
38. oldal
6.4.3. Kliens A kliensre feltelepült ügynök (agent) nem csak egyszerűen a háttérben végrehajtja a szervertől kapott utasításokat, hanem a felhasználónak is nyújt információkat a rendszeréről. Az alábbi képen (11. ábra - Felhasználói engedélyek az ügynökben) azt mutatom meg, hogy a felhasználó hogyan tájékozódhat az ügynök e paneljának megnyitásával az eszközházirendről (Device Control):
11. ábra - Felhasználói engedélyek az ügynökben
A képről kivehető, hogy fel vannak sorolva a számítógéphez csatlakoztatható perifériák (Device), és ezekhez társított engedélyek (Permission). Be lehet állítani olyan szabályt is, hogy csak korlátozott adatmennyiségig használhassa a perifériát a felhasználó, ezt mutatja a „Copy limit” mező. Ha a felhasználó számára le van tiltva a külső forrásból származó fájlok használata, akkor itt kérhet ideiglenesen hozzáférést a rendszergazdától. Ezt úgy tudja megtenni, hogy a rendszergazdával való egyeztetés után egy ideiglenes kódot kap, amivel a meghatározott ideig engedélyt kap a műveletvégzésre. A feltelepített védelmi szolgáltatásokat önmaga is elindíthatja, nem kell sem engedélyt kérni a rendszergazdától, sem magasabb jogosultsággal rendelkeznie. Ilyen például egy gyanú esetén lefuttatható vírusellenőrzés, aminek indítási felületét alább szemléltetem (12. ábra - Kliens vírusellenőrzést indíthat). Kérhető teljes (Full Scan) vagy részleges vizsgálat (Custom Scan). Az utóbbi esetén kiválaszthatjuk, hogy melyik meghajtókat vagy mappákat kívánjuk ellenőriztetni.
39. oldal
Az ilyen jellegű műveletekről is kap értesítést a szerver, a vizsgálati eredményt a művelet végeztével feltölti a szerverre az ügynök-szolgáltatás.
12. ábra - Kliens vírusellenőrzést indíthat
A képen továbbá látható a többi modul. Ezekből a következő információkat tudhatjuk meg:
Summary: A telepített modulok verziószámát, állapotát listázza. Emellett megmutatja a kliens gép hálózati nevét, és végpont azonosítóját. Az utóbbi számunkra nem mond sokat, mert csak egy számsorozat. Megjeleníti viszont a kapcsolódott szerver nevét is, és, hogy melyik portokon kommunikál vele. Ezek a portok a http (80) és a https (443).
Patch and Remediation: Ezen a fülön nem láthatjuk egyből a patchek állapotát, viszont innen indíthatjuk el a frissítés ellenőrzőt (Patch Managert). Itt beállíthatunk proxyt a szerver eléréséhez, valamint bekapcsolhatjuk, hogy a tálcán mindig jelenjenek meg az értesítések, ha a szerver küld valami információt. Emellett információkat nyerhetünk a szerver frissítőrendszerének verziószámairól, és megtekinthetjük a log file-okat a történt frissítésekről. Kérhetünk frissítés-ellenőrzést a szervertől, ilyenkor az ügynök leellenőrzi a szoftververziókat és feltölti a szerverre.
40. oldal
Device Control: A modul verziószáma tekinthető meg, illetve egy rövid leírás, hogy hogyan nyissuk meg azt az ablakot, ahol megtekinthetjük, melyik perifériák vannak engedélyezve a felhasználó számára. Ez az ablak látható a fenti képen (11. ábra - Felhasználói engedélyek az ügynökben).
Proxy Server: Ismét a Patch Managert megnyitását ajánlja fel, hogyha szeretnénk proxyt beállítani.
AntiVirus: Megmutatja, hogy be van-e kapcsolva a folyamatos védelem (RealTime monitoring), mikor volt az utolsó ellenőrzés és milyen eredményt hozott, valamint az antivírus modul és a definíciós fájl verziószámát. A definíciós fájl frissítése kb. 8 óránként megtörténik. Az AntiVirus fülön belül található további két fül az önellenőrzés funkcióját és a karanténozott fájlok listáját rejti. Ez a 12. ábra - Kliens vírusellenőrzést indíthat című képen látható.
Application Control: Itt a modul funkcióinak állapotát tekinthetjük meg (Yes/No), és az utolsó adatfeltöltés, valamint az utolsó szabályfrissítés időpontját. A modul funkciók a következők: o Application control service: Azt mutatja meg, hogy a modul aktívan működik-e. o Endpoint under lockdown: Ez a funkció a legfontosabb, ez valósítja meg valójában az „application whitelisting”-et. A lockdown (zárolt) állapot azt jelenti, hogy a rendszer számára meg vannak határozva, a futtatható programok, és a további programok hozzáadása / használata zárolva van. o Applicion control policies applied: Azt jelzi, hogy a meghatározott szabályok érvényre jutottak-e.
41. oldal
7 Az „application whitelisting”-gel kapcsolatos vizsgálatok A vizsgálatokat a fentebb meghatározott mérési elrendezésben végezem el. A főcél annak feltárása, hogy az „application whitelising” technikát mennyire lehet megfelelően alkalmazni a választott szoftver segítségével. Emellett a frissítéskezelés és az engedélyezett eszközök témakörét is elemzem. A munkavégzés során először meghatározom a konkrét feladatot, majd megoldási tervet készítek hozzá. A megoldási terv alapján elvégzem a feladatot, majd az eredmények szakaszban ismertetem ezek sikerességét, tapasztalatokkal és javaslatokkal kiegészítve. A vizsgálatok ily módon történő ismertetését külön alfejezetekben tárgyalom.
7.1.
Fehérlistás szűrés aktiválása, feketelista hozzáadása
7.1.1. Feladat meghatározása A biztonsági rendszer számára határozza meg, hogy a kliens eszközökön csak a választott, harmadik féltől származó programokat, és a rendszer-alkalmazásokat lehessen futtatni, kivéve a WordPad-ot! 7.1.2. A feladat tervezett megoldása Lépjünk be a szerver webes kezelőfelületére, az alapértelmezett rendszergazdafiók hitelesítő adataival. Feltételezhetjük, hogy a szerver már ismeri a végpontot, hiszen a mérési elrendezés kialakítása során a felismertetése a leírtak alapján megtörtént. Feltételezzük továbbá, hogy végeztünk teljes AntiVirus ellenőrzést a klienseken, és megbizonyosodtunk azok kártevő-mentességéről. A felhasználói számítógépet (számítógépeket) az általam létrehozott „Kliensek” csoportba helyeztem. A feltételek teljesülése után egy „Easy Auditor” típusú „Application Control Policiy” szabályt kell létrehozni az „Manage” menüben. Ez arra szolgál, hogy feltérképezze az összes futtatható állományt a kliens számítógépeken, ami alapján további szabályokat tudunk létrehozni. A szabály létrehozása végén ezt hozzá kell rendelni (Assign) a klienscsoporthoz: „Kliensek”. Miután lefutott az elemzés, hozzunk létre egy újabb szabályt „Easy Lockdown” típussal. Ezt az új szabályt is rendeljük hozzá a „Kliensek” csoporthoz. 42. oldal
Ezután már nem lehet más alkalmazást futtatni a rendszeren, csak azokat, amik eddig is telepítve voltak (valamint a rendszeralkalmazásokat). Ahhoz, hogy a WordPad-ot le tudjuk tiltani (ez a feketelistázás a fehérlistázáson belül), a következőket kell tenni. Létre kell hozni egy „Denied Application Policy” szabályt, ahol hozzáadjuk a WordPad fájljait a tiltott elemek listájához, majd ki kell választani a célcsoportot (Kliensek). Ezzel letiltásra került a WordPad a kliens számítógépeken. 7.1.3. Eredmények A feladatot a tervezett megoldási menettel elvégeztem. Annyi kellemetlenség merült fel, hogy amíg a blokkolni kívánt alkalmazást nagyon rövid időn belül tiltotta a rendszer, addig az „application whitelisting” érvényesülésére többet kellett várni, ezért többször ellenőriztem a beállításokat, mert azt hittem én konfiguráltam valamit rosszul. A várakozási idő nem volt annyira hosszú: körülbelül 10 percet vett igénybe. Ez alatt a művelet alatt fedeztem fel, hogy a kliensen elhelyezett ügynök pontosan mutatja, hogy mikor frissültek az eszközön, a szerveren létrehozott szabályok. Ez az információ az ügynök „Application Control” menüjében olvasható. Amíg nem jutott érvényre a lezárási szabály addig, ha el akartam indítani egy alkalmazást, az ügynök a háttérben egy AppScanner nevű folyamatot aktivált. Ezzel a folyamattal (vélhetőleg) leellenőrizte, hogy mi az a kód, amit futtatni akarok. További megjegyzés, hogy célszerű a tiltott elemeket az először említett módszer helyett, az
„Application
Library” segítségével
felvenni.
Az
„Application Library” az „Easy Auditor” szabály által megtalált alkalmazások fájljait listázza. Ezen listából többféle szűrővel (fájlnév, gyártó, alkalmazásnév stb.) kiválaszthatjuk az egy adott alkalmazáshoz tartozó fájlokat, és ezeket a fájlokat összegyűjtve létrehozhatunk egy fájlcsoportot (Application), ami meghatározza az alkalmazást. Ezt a fájlcsoportot nevezzünk esetünkben WordPad-nek. Ezután hozzunk létre egy, pl. „Tiltott Alkalmazások” nevű alkalmazáscsoportot (Application Group), amibe belehelyezzünk az imént létrehozott WordPad fájlcsoportot.
43. oldal
Majd a „Tiltott Alkalmazások” nevű alkalmazáscsoportra jobb egérkattintást követően válasszuk a tiltás opciót (Deny). Ezzel a művelettel hozzárendeljük az alkalmazáscsoportot egy tiltást eredményező alkalmazásszabályhoz (Application Control Policy). A műveletsorral létrehoztunk egy alkalmazáscsoportot, amibe a tiltani kívánt alkalmazásokat helyezhetjük. Ezzel elérhetjük, hogy az alkalmazás ne indulhasson el semmilyen komponensével sem a kliensen. A létrehozott fájlcsoportokat „fogd és vidd” (drag and drop) módszerrel belehelyezhetjük a „Tiltott Alkalmazások” csoportba. Ez a módszer több tiltott alkalmazás esetén sokkal átláthatóbb megoldást eredményez.
7.2.
Szűrés és tiltás ellenőrzése
7.2.1. Feladat meghatározása Ellenőrizze, hogy a megbízható alkalmazások indíthatóak-e, illetve, hogy a tiltott alkalmazást sikerül-e futtatni! 7.2.2. A feladat tervezett megoldása A telepített alkalmazásokat megpróbálom elindítani a hagyományos módon. Az engedélyezett alkalmazások normál elindulását várom, a WordPad esetén hibaüzenetet vagy figyelmeztető üzenetet. Ezután megpróbálom az alkalmazást áthelyezni, és úgy elindítani; majd át is nevezni és egy újabb helyről indítani. 7.2.3. Eredmények A megbízhatónak választott (ki nem szűrt) alkalmazások az elvárásoknak megfelelően indíthatóak és használhatóak. A WordPad indításakor az alábbi figyelmeztetést kaptam, ami a „13. ábra - Tiltott alkalmazás” ábrán látható. Ahogyan a képről leolvasható, az ügynök érzékelte, hogy olyan alkalmazás kerülne indításra, ami nincs engedélyezve a kliens számára, ezért blokkolta. Olvasható az indítás helye, és az alkalmazás pontos leírása. A megjelenő üzenet konfigurálható a szerver beállításai között. Erre akkor lehet szükség, ha szeretnénk pontosabb magyarázatot adni a felhasználó számára, vagy esetleg lefordítani az üzenetet.
44. oldal
13. ábra - Tiltott alkalmazás
A tiltott alkalmazás másolatát áthelyezetem az asztalra és megpróbáltam futtatni, erre azonos módszerrel reagált a rendszer. Ezután át is neveztem az alkalmazást, de ez sem okozott fennakadást az alkalmazás blokkolásában, a következő képen látható a tiltás (14. ábra - Az áthelyezett és átnevezett alkalmazás).
14. ábra - Az áthelyezett és átnevezett alkalmazás
45. oldal
Ahogyan az ábráról leolvasható, az alkalmazás már nem a saját telepítési helyén, és a nevével szerepel, azonban ez nem befolyásolja a tiltást, mivel egy úgynevezett „fingerprint” (ujjlenyomat) segítségével ismeri fel a védelem az indítani kívánt állományt. Ezt az ujjlenyomatot a rendszer akkor hozza létre, amikor feltérképezésre kerülnek a futtatható állományok, ezután a szoftverek egyértelműen azonosíthatóak.
7.3.
Megbízható, de engedély nélküli program futtatása
7.3.1. Feladat meghatározása Töltsön le az internetről egy megbízható, de nem engedélyezett alkalmazást. Próbálja meg telepíteni, ha ez sikerül, futtatni! A kísérletet végezze el úgy is, hogy telepítést nem igénylő alkalmazást próbál meg futtatni! 7.3.2. A feladat tervezett megoldása A FreeCommander nevű ingyenes, megbízható alkalmazást próbálom meg telepíteni letöltés után. Létezik hordozható (portable) verzió is, ez nem igényel telepítést a rendszeren, megpróbálom e verziót is elindítani. 7.3.3. Eredmények A FreeCommander alkalmazás letöltése, és a telepítő kicsomagolása után megkíséreltem elindítani az alkalmazást, azonban a védelem ezt nem engedélyezte. Annak ellenére, hogy ez egy megbízható alkalmazás, nem került be a futtatható állományok listájára, így nem kapott engedélyt az elindulásra. A FreeCommander portable (telepítést nem igénylő alkalmazás) esetén is azonos eredményt kaptam. A telepítés mellőzése nincs hatással a védelemre.
7.4.
Alkalmazásfuttatás külső meghajtóról
7.4.1. Feladat meghatározása Az előző feladatot ismételje meg külső meghajtón található állományokkal is! Ezek lehetnek az engedélyezettek, vagy a tiltottak is. 7.4.2. A feladat tervezett megoldása Az előző pontban említett feladatot elvégzem úgy is, hogy flash-alapú külső tárolóról (pendrive) próbálom meg indítani az alkalmazásokat, valamint felmásolom a CPU-Z nevű engedélyezett programot is a meghajtóra.
46. oldal
7.4.3. Eredmények A külső meghajtóról való futtatás során sem sikerült elindítani a nem engedélyezett alkalmazásokat (FreeCommander telepítő, FreeCommander portable), viszont az engedélyezett alkalmazás futtatható volt (CPU-Z). A hordozható meghajtón lévő állományok esetén is azonosan működik a védelem.
7.5.
Alkalmazásfuttatás hálózati meghajtóról
7.5.1. Feladat meghatározása Kísérelje meg hálózati meghajtón található állományok futtatását! Ezek lehetnek az engedélyezettek, vagy a tiltottak is. 7.5.2. A feladat tervezett megoldása A szerveren létrehozok egy mappamegosztást, és oda helyezem az engedélyezett CPU-Z hordozható verzióját, és a FreeCommander alkalmazás két verzióját. Ezután csatlakoztatom a kliensen hálózati meghajtóként a mappát, és megpróbálom innen futtatni az állományokat. 7.5.3. Eredmények Miután létrehoztam a hálózati megosztást a szerveren, és elhelyeztem rajta a kijelölt alkalmazásokat, csatlakoztattam a hálózati meghajtót a kliensen. Ezután elkezdtem sorban elindítani az alkalmazásokat. Az előző feladatban tapasztalt eredményeket kaptam hálózati meghajtó esetén is. Ezek alapján kijelenthető, hogy a rendszer számára engedélyezett alkalmazások helyfüggetlenül is elindulhatnak, valamint a tiltás sikeres ezekben az esetekben is.
47. oldal
7.6.
Engedélyezett alkalmazás más verziója
7.6.1. Feladat meghatározása Engedélyezett alkalmazás frissebb, illetve korábbi verzióját próbálja meg telepíteni, ha ez sikerül, futtatni a rendszeren! Sikertelenség esetén tegye a telepítőt az engedélyezett alkalmazások közé! 7.6.2. A feladat tervezett megoldása A Firefox engedélyezett alkalmazás egy régebbi és egy újabb telepítőjét próbálom meg elindítani a rendszeren. Ezeken túlmenően a hordozható verziójú Firefoxot is megkísérlem futtatni, aktuális és korábbi verzió esetén. Ha a telepítés sikertelen lesz, a szerveren az alkalmazás szabályoknál hozzáadom az engedélyezett alkalmazásokhoz a telepítőt, ennek menete megegyezik a tiltás során elvégzett műveletsorral, a végén azonban az engedélyezéshez az „Authorize” (hitelesítés) opciót kell választani, és így létrehozni a szabályt. 7.6.3. Eredmények A hitelesnek jelölt Firefox alkalmazás korábbi, illetve frissebb verziójú telepítője sem indult el a kliensen. Ez azért történhetett, mert nem egyező az ujjlenyomata egy alkalmazás különböző verziójú telepítőjének. A hordozható verziójú Firefox esetében is ez az eredmény adódott. A hordozható verziót ráadásul nem azonos gyártó adta ki, ezért eltérés van az ujjlenyomatban azonos verziószám mellett. A korábbi telepítőt a tervezett megoldási folyamattal engedélyeztem. A telepítés azonban sikertelen volt, mert a rendszer érzékelte, hogy az alkalmazás a futási engedélye segítségével módosítást kíván végrehajtani a számítógépen, és erre nem kapott engedélyt, csak saját maga futtatására. Ahhoz, hogy a telepítést elvégezhessem, a rendszer intelligens fehérlistás módszerét kellett választanom (intelligent application whitelisting). Ennek folyamata abban tér el a hagyományos megbízhatósági szabálytól, hogy az „Authorize” (hitelesítés) helyett a „Trust” (megbízható) opciót kell választani. Ezen opció kiválasztása után az alkalmazás egy külön listára kerül, e listán lévő alkalmazások már hajthatnak végre módosításokat a rendszerben, így egy telepítő végrehajthatja a feladatát.
48. oldal
A „Lumension Trust engine” segítségével felvehetünk a listára olyan alkalmazásokat, fejlesztőket, útvonalakat, amiket a rendszer automatikusan felismer. Ezen elemek adhatnak hozzá programokat a felügyelt rendszerhez, amiket a felügyelő rendszer automatikusan a fehérlistára tesz, ezzel engedélyezve futtatását.
7.7.
Kártékony alkalmazások hatása
7.7.1. Feladat meghatározása Próbáljon
meg
kártékonynak
minősülő
alkalmazást
futtatni
a
kliens
számítógépen! 7.7.2. A feladat tervezett megoldása Az eicar csoport (EUROPEAN EXPERT GROUP FOR IT-SECURITY) antivírus és malware futtatható tesztfájlját próbálom feljuttatni a rendszerre [11]. Erre a fájlra az antivírusnak reagálnia kell, az állomány nem okoz kárt a rendszerben. A másik teszt file, egy valódi vírus (Win32.Polip.a), a Tuts4You portálról beszerezve, ahova antivírus tesztelés céljából töltötték fel [12]. A vírus elindulás után elhelyezi magát az összes meghajtón, és minden behelyezett adattárolót megfertőz. Ezt is megpróbálom elindítani a rendszeren. 7.7.3. Eredmények Az eicar csoport oldaláról letölthető próbafájlt sikeresen mentettem a rendszeren, archívumként. Több változat létezik ezekből a fájlokból. Az egyszeresen tömörített állományt nem engedte letölteni a Firefox, mert felismerte ártalmas fájlként. Ennek letöltését az Internet Explorer segítségével pótoltam. Az egyszeresen csomagolt állomány kitömörítése után a rendszer azonnal karanténba helyezte a futtatható fájlt, mert felismerte kártevőként. A kétszeresen tömörített állományt a manuálisan indítható vizsgálattal ellenőriztem, a vizsgálat végeztével a végrehajtható állomány szintén elkülönítésre került. A „Win32.Polip.a” nevű vírus egy jelszóval ellátott tömörített (rar) fájlban érkezett. A kicsomagolást követően a rendszer ismét azonnal elszeparálta a fájlokat, és a pontos megnevezéssel megjelenített egy figyelmeztető üzenetet, amiben közölte, hogy biztonságos helyre tette a vírusos állományokat. A kliens ügynökben az AntiVirus szekcióban a karantén elemei között megtekinthettem az eddig odahelyezett állományokat. 49. oldal
Ezek törlése mellett döntöttem azért, hogy elkerüljem a további kockázatokat. A szerver természetesen pontos tájékoztatást kapott a kliensen lezajlott eseményekről, a webes felület segítségével le is tudtam kérdezni ezeket. A lekérdezés eredményét az alábbi ábrán jelenítem meg (15. ábra - Vírusfigyelmeztetések a szerveren).
15. ábra - Vírusfigyelmeztetések a szerveren
Az ábráról leolvasható, hogy a szerver pontosan kilistázza a kártevő nevét, az előfordulás helyét és időpontját, valamint azt, hogy melyik szolgáltatás detektálta (folyamatos védelem, vagy rendszerellenőrzés) és azt is, hogy mi lett a folyamat eredménye.
50. oldal
8 Frissítéskezelés vizsgálata A frissítés-kezelési feladatokat a Patch and Remediation modul segítségével végezhetjük. Beállíthatjuk, hogy milyen rendszeresen keressen frissítéseket a szerver a kliens számítógépeken. A modullal továbbá telepíthetünk a szerverről alkalmazásokat a kliens eszközökre. A vizsgálatokat külön alfejezetekben tárgyalom.
8.1.
Frissítés távolról
8.1.1. Feladat meghatározása Frissítsen egy rendszeren található elavult verziójú alkalmazást a szerverről! 8.1.2. Feladat tervezett megoldása A szerver kezelőfelületén a „Manage” → „Endpoints” menüben kiválasztjuk a klienst vagy kliens csoportot, ezután a „Vulnerabilities” (sérülékenységek) lapot nyitjuk meg. Itt a végpontra vonatkozó sérülékenységek listája található meg. Különböző feltételek alapján szűrhetünk a találatok között. Elsőként érdemes beállítatni, hogy csak a még nem telepített és a továbbiakban telepíthető javításokat listázza a szoftver. Választhatunk pl. a kritikus rendszerfrissítések, és egyéb alkalmazásfrissítések, alkalmazástelepítők listázása között is. Jelen esetben én a VLC Media Player alkalmazást szeretném frissíteni a telepített 2.1.2 verzióról a 2.1.5-ös verzióra. A listát gyártó alapján szűröm (VideoLAN Oragnization), és kikeresem a csomagot, majd a „Deploy” gomb segítségével elkezdem létrehozni a rendszer számára a frissítési feladatot. Beállítom, hogy mikor vegye kezdetét a frissítés, a felhasználónak legyen-e beleszólása a csomag telepítésébe (késleltetés, leállítás), illetve, ha szükséges újraindítás a telepítés után, az mikor történjen meg. Azt is beállíthatjuk itt, hogy csendes telepítés legyen-e vagy kapjon értesítést a felhasználó a változásról. Ez után meg kell jelölni, hogy melyik kliensekre szeretnénk telepíteni a csomagot, azonban már úgy álltunk neki a feladatnak, hogy a kliens kiválasztásra került, így a rendszer már hozzárendelte a célszámítógépet a feladathoz. Több csomagot is tudunk telepíteni egyszerre, ehhez csak annyit kell tenni, hogy többet jelölünk ki a listából.
51. oldal
Az újraindítást igénylő alkalmazások frissítését/telepítését össze tudja fűzni a csomagkezelő, így egyetlen újraindítással elvégezhető a művelet. Miután a feladat létrehozása megtörtént, a telepítés egy rövid átfutási idő után megkezdődik a számítógépen. 8.1.3. Eredmények A megoldási tervben ismerettett műveletsort elvégeztem, azonban a várt idő után sem kezdődött meg a csomag telepítése. Többször ellenőriztem, hogy nem felejtettem-e el valamit a rendszeresemény létrehozása közben, azonban a hibakeresés nem járt eredménnyel. Ez után megnyitottam a kliens ügynök kezelői felületét, ahol a „Patch and Remediation” lap segítségével elindítottam a „Patch Managert”. A menedzser azt jelezte, hogy még nem sikerült végigfuttatni egyetlen alkalommal sem egy teljes sérülékenység vizsgálatot. Ekkor a „Scan” (detektálás) opciót választottam, ahol már egy folyamatban lévő vizsgálat állapotára leltem, majd a szerveren is ellenőriztem ezt. Így nyert bizonyosságot, hogy valóban felmérés van folyamatban: a rendszer nem végez frissítési műveleteket a kliensen, ha éppen aktív egy másik, azonos jellegű folyamat. Miután a kliensügynök befejezte a felmérést, és az adatokat továbbította a szervernek, az ütemezett frissítés megkezdődött. Azt állítottam be, hogy értesítse a klienst a frissítés érkezéséről, így nem kerüli el a figyelmemet, ha a művelet megkezdődött. Az alábbi értesítést kaptam a frissítés kezdetekor (16. ábra Frissítés érkezett a kliensnek).
52. oldal
16. ábra - Frissítés érkezett a kliensnek
Az értesítésből egyértelműen kiolvasható, hogy mi fog történni a rendszerrel, és pontosan melyik csomag fog frissülni, valamint, hogy honnan érkezik a csomag. A kliensnek jelen esetben beleszólást engedtem a frissítés telepítésébe, tehát el is halaszthatta volna azonban most az azonnali telepítésre került sor. A frissítés a háttérben problémamentes lezajlott. A telepítés után ellenőriztem a programban a helyes verziószámot, ami megfelelt az elvárásnak (2.1.5). Az előbb említett sérülékenység-vizsgálatot a rendszer automatikusan elvégzi a beállított időközzel, így a szerver mindig tisztában van azzal, hogy a klienseken mely alkalmazásokat kell frissíteni.
8.2.
Alkalmazástelepítés a szerverről
8.2.1. Feladatok meghatározása Telepítsen egy, a rendszeren nem található alkalmazást a csomagkezelőn keresztül (Patch and Remediation), és ellenőrizze, hogy sikerül-e a telepítés után elindítani! 8.2.2. Feladatok meghatározása A telepíteni kívánt program a Skype csevegőalkalmazás 6.9-es verziója. Az előző feladat megoldását felhasználva annyit kell módosítani, hogy nem a program frissítőcsomagját választom ki, hanem a teljes telepítő csomagot. Ezt a listában jelöli a szoftver, „Full / Upgrade” címkével a szoftvercsomag neve után. 53. oldal
Miután a telepítés befejeződött, megkísérlem elindítani a telepített alkalmazást. Ez azért érdekes feladat, mert aktív az alkalmazásszűrés, és ez egy új telepített alkalmazás, ami még nem szerepel az engedélyezett programok listáján. Emiatt kérdéses, hogy rendszer engedélyezni fogja-e. 8.2.3. Eredmények A leírtak alapján kiválasztottam a Skype telepítő-csomagját, és létrehoztam a kliens számára a frissítési feladatot. Most háttértelepítést igényeltem a rendszertől, amit sikeresen végre is hajtott. A felhasználó csak akkor szerzett tudomást a telepítésről, amikor a rendszer újraindítását igényelte a frissítés befejezése. Ahogyan az ábrán látszik (17. ábra - Döntés az újraindításról), elegendő, ha a munkája végeztével indítja újra a számítógépet a felhasználó, mivel nem volt létfontosságú telepítés. A „Mégse” gombra kattintva folytathatja a munkáját.
17. ábra - Döntés az újraindításról
Az újraindítást követően az alkalmazás sikeresen elindult, mivel a szerver frissítés-telepítője alapértelmezetten a megbízható (Trusted) csoportba tartozik. A rendszer tehát automatikusan hozzáadta a kivétellistához az újonnan telepített alkalmazást.
54. oldal
8.3.
Egy alkalmazás felülírása korábbi verzióval
8.3.1. Feladatok meghatározása Kíséreljen meg egy szoftvert a korábbi verziójával felülírni, engedélyezett telepítő segítségével! 8.3.2. Feladat tervezett megoldása Az imént frissített VLC Media Player aktuális (2.1.5) verzióját próbálom meg felülíratni egy engedélyezett korábbi verziójú telepítő-csomagjával. A telepítést eleve megakadályozná a korábbi tapasztalatok alapján a rendszer, ha nem került volna kivétellistára a végrehajtható állomány. 8.3.3. Eredmények A telepítési folyamat sikeresen megkezdődött, és sikerült is végigvinni a telepítés lépésein az alkalmazást. A Windows feladatkezelőjében közben folyamatosan figyeltem, hogy nem jelenik-e meg egy alkalmazás, ami felügyeli a telepítési folyamatot. Sejtésem beigazolódott: a telepítést végigkövette az „LM.Detection.exe”, ami a Lumension rendszeréhez tartozó detektáló ügynök. A telepítés végeztével elindítottam a „felülírt” alkalmazást (2.1.5 → 2.1.2), azonban arra lettem figyelmes, hogy a verziószám nem íródott át a programban, tehát a rendszer nem engedi a frissített program felülírását az elavult programverzióval.
55. oldal
9
Eszközfelügyelet (Device Control) vizsgálata
Az eszközhasználat beállításával is tudjuk csökkenteni a támadási lehetőségeket, mert kizárhatjuk a nemkívánatos külső forrásból származó állományokat. Ennek kezelésére különböző stratégiákat állíthatunk be. Szabályainkat eszköztípus, csatlakozási felület, és hozzáférési engedélyek szerint határozhatjuk meg. A Device Control modul rendelkezik egy olyan lehetőséggel, hogy monitorozni tudja a hordozható adattárolóról a kliens rendszerre/rendszerről felmásolt, vagy a rendszeren elolvasott adatokat. Ez az opció a „Shadow access” (árnyékhozzáférés) nevet kapta. A monitorozás mértéke konfigurálható: választhatunk, hogy csak listát szeretnénk-e a fájlokról vagy a szerveren elhelyezett másolatot is. A vizsgálatokat külön alfejezetekben tárgyalom.
9.1.
USB csatlakozású adattárolók letiltása
9.1.1. Feladat meghatározása Tiltsa le az USB-n csatlakozó külső adattároló egységek használatát a kliensen, függetlenül attól, hogy az adattároló merevlemez vagy egyéb adattároló eszköz! 9.1.2. Feladat tervezett megoldása Ahhoz, hogy ezt a műveletet elvégezzük, a „Manage” menü „Device Control Policy” (eszközházirend) lapjára kell navigálnunk. Itt létre kell hozni egy új szabályt „Device Class Policy” típussal. A szabály létrehozásánál arra kell figyelni, hogy Device Classnak (eszköztípusnak) a „Removable Storage Devices” (hordozható eszközök) lehetőséget válasszuk. Válasszuk a szabályt állandó érvényűnek (Policy enforcement: Always). Ezután a következő lapon válasszuk a „Block all access”-t (minden hozzáférés letiltása), majd a „Connections”-nél (csatlakoztatási felület) az USB-t, végül a „Drives” (meghajtók) szekcióban a „Both drive types”-t (minden meghajtótípus). Az utóbbival garantáljuk, hogy merevlemezre és egyéb típusú eszközre is vonatkozzon a szabály.
56. oldal
9.1.3. Eredmények A feladatot sikerült helyesen végrehajtani a tervezett megoldásmenettel. A szabály érvényesítéséhez azonban módosítani kellett a főszabályt az eszközházirendeknél megfigyelő üzemmódról végrehajtó üzemmódra, ahogyan a képen látható (18. ábra - A főszabály módosítása). A főszabály a többi szabály között található meg a szabálylistában (Global Device Policy).
18. ábra - A főszabály módosítása
A szabály érvényre jutása mindössze néhány percet vett igénybe a kliensen. Az addig használható (felismert) flash-alapú tárolóeszköz elérhetetlen eszközzé változott. Az eszköz mérete is elrejtésre került, és a tartalmát sem lehetett megtekinteni, valamint másolni sem lehetett rá. A hozzáférési engedély megtagadása alább látható (19. ábra - USB eszközök letiltva).
19. ábra - USB eszközök letiltva
57. oldal
9.2.
Másolási limit beállítása
9.2.1. Feladat meghatározása Az előző feladat tiltását oldja fel, és a teljes tiltás helyett állítsa be, hogy naponta maximum 100 MB-ot lehessen másolni a külső egységre! 9.2.2. Feladat tervezett megoldása Az előző feladat korlátozását úgy tudjuk feloldani, hogy a szabályok listájában kiválasztjuk az előzőleg létrehozott szabályt, és a „Disable” (letiltás) opciót választjuk. Akár törölhetjük is a szabályt, ha többet nem lesz rá szükségünk. Ezután az előbbi feladat megoldásának műveletsorát követve a tiltás meghatározása mellett ki kell választani a „Daily limit” lehetőséget, és beállítani a 100 MB-os határt. Ezt úgy tervezem tesztelni, hogy egy 60 MB körüli videó állományt próbálok meg kétszer felmásolni a meghajtóra. Ha egyszer sikerül, akkor a szabály engedi a másolást, ha kétszer is sikerül, akkor viszont a rendszer nem gátolja a limit elérése utáni további adatforgalmat. 9.2.3. Eredmények A megoldási menetet követve nem azt az eredményt kaptam, amit reméltem. Az eszközhöz továbbra sem lehetett hozzáférni egyáltalán, ezért módosítanom kellett a szabályt. Nem szükséges jelen esetben beállítani a teljes tiltást, elég, ha csak a napi másolási limitet határozom meg. Ezen érték elérése után automatikusan írásvédett lesz az adattároló. A szabály módosítása után sikerült a fájlt felmásolni az eszközre. A másodszori felmásolás közben (természetesen más névvel) az ügynök jelezte, hogy átlépnénk ezzel a művelettel az engedélyezett határt. Ez látható a 20. ábra - Másolás megtiltása című képen. Az ügynöktől lekérdezhetjük a már említett „Status” menüben (11. ábra Felhasználói engedélyek az ügynökben), hogy milyen szabályok tartoznak a kliensgéphez csatlakoztatható eszközökhöz, illetve azt is megjeleníti az ügynök, hogy mennyi adatforgalom van hátra a napi határ eléréséig.
58. oldal
20. ábra - Másolás megtiltása
Az ügynök megtiltotta a másolás létrejöttét, ami a kép felső részén látható. A kép alsó részén azt láthatjuk, hogy a művelet végrehajtásával megváltoznának az engedélyeink a lemezhasználattal kapcsolatban.
59. oldal
9.3.
Árnyékmentések készítése
9.3.1. Feladat meghatározása Állítsa be, hogy a rendszer teljes másolatot készítsen a külső adattárolóval végzett munkáról! 9.3.2. Feladat tervezett megoldása A feladat megoldásának kezdő lépései szintén megegyeznek a korábban végzett feladatokéval, azonban most semmilyen tiltást nem kell beállítani. Egyszerűen csak válasszuk ki, hogy külső eszközről van szó, majd válasszuk ki a „Shadow access” opciót. Így megjelenik egy következő lap, ahol beállíthatjuk, hogy a rendszer milyen monitorozást végezzen. Lehetőségünk van meghatározni, hogy a monitorozást írás vagy olvasás esetén kérjük-e. Módunkban áll csak az egyiket igénybe venni. Az „Options” (beállítások) menüben a „Device Control” beállításainál lehetőségünk van módosítani, hogy a szerver meghajtóján hol helyezze el az árnyékmásolatokat a rendszer. 9.3.3. Eredmények A szabály létrehozása és érvényre jutása után csatlakoztattam a hordozható meghajtót. Tesztelés céljából megnyitottam néhány fájlt, majd másoltam az eszközre és az eszközről. Ezen tevékenységeket követően a szerver webes felületén kerestem a bejegyzéseket a végzett műveletről. Ezeket a „Review” (áttekintés) menü „Device Event Logs” (eszköz esemény naplók) almenüjében találtam meg, egy új lekérdezést létrehozva. A lekérdezés típusának az „All file shadowing events” (minden árnyékmásolattal kapcsolatos esemény) bejegyzést választottam. Kis idő elteltével elkészült a lekérdezés, azonban nem tartalmazott fájlokat. Pár perc várakozási idő után újra elvégeztem a lekérdezést, ekkor már megjelentek a fájlok, azonban a beállított tükörmentés ellenére nem voltak elérhetőek az állományok, csak a listájuk. További várakozás és lekérdezés után viszont már megjelent egy floppy ikon a fájlok részletes leírásánál. Erre rákattintva azonnal megtekinthető volt a szerveren a kliensgépen használt állomány. Az utolsó lekérdezésről készült ábra alább látható (21. ábra - Árnyékmentési műveletek). Az első két lekérdezés csak részleges eredményt adott. Feltehetőleg a szinkronizálási és feltöltési idő hossza miatt történhetett ez. 60. oldal
Vállalati környezetben azonban ennek nincsen jelentősége, ugyanis a rendszergazda nem figyeli folyamatosan, hogy melyik felhasználó mikor másol fel egy fájlt a meghajtójára. Elegendő tehát, ha a rendszer ciklikusan készíti a bejegyzéseket.
21. ábra - Árnyékmentési műveletek
Az ábráról a rendszergazda leolvashatja az említett letölthetőség mellett azt is, hogy ki, mikor, melyik gépről végezett milyen műveletet, milyen típusú és méretű fájllal.
61. oldal
10 Végpontvédelem más megközelítésben Az előző fejezetben meghatározott és megoldott feladatokat most elvégzem a másik bemutatott biztonsági megoldás segítségével, a Symantec™ Endpoint Protection (SEP) szoftverrel. Ehhez a fel nem használt magyar nyelvű Windows Server virtuális gépet veszem igénybe (6.4.1 fejezet), illetve a kliens számítógépről eltávolítottam az ügynökprogramot, hogy felhasználhassam ez alkalommal is. Ebben a fejezetben terjedelmi okokból nem részletezem olyan mélységben a feladatok megoldását, mint az előzőben tettem. Fontos megjegyzéseket természetesen itt sem hanyagolom el, illetve a tapasztalatokat is leírom.
10.1. Telepítés A telepítés viszonylag gyorsan zajlott. Telepítés közben a SEP letöltötte a szoftverhez tartozó frissítéseket, hogy naprakész legyen a rendszer az első használatkor. Ez a rendszer nem működik együtt más gyártóktól származó antivírus megoldással. Így a kliensek telepítésénél fel is ajánlotta, hogy letörli nekünk az eddig használtat, hogy telepíthesse a beépített Symantec antivírust. A szükséges adatbázis létrehozásánál megkérdezte a telepítő, hogy hány gépet tervezünk menedzselni, mert ha nem több száz gépről van szó a hálózatban, akkor nem szükséges a Microsoft SQL szerverét használni, hanem a beépített adatbázis is el tudja látni a feladatot. Ez azért hasznos, mert így kisebb igényű, integráltabb rendszert lehet létrehozni, ha a helyzet nem kívánja meg a komplex adatbázisok használatát. A telepített ügynök igazából egy önálló működésre képes Symantec antivírus, tűzfallal ellátva. A szerver képes menedzselni az ellenőrzések gyakoriságát, egyéb biztonsági házirendeket, illetve kiegészíti a rendszert alkalmazás és eszközfelügyelettel, valamint ellenőrzi a kliens megfelelő működését. Az különösen tetszett a kliensben, hogy a házirendfrissítéseket manuálisan is le lehetett kérni a szerverről, nem kellett megvárni a szinkronizálási idő végét. A lokális adminisztrátor kikapcsolhatta a védelmet ideiglenesen, ami biztonsági kockázatot jelent, ha a támadó hozzáfér a rendszergazda fiókhoz.
62. oldal
A felhasználói engedéllyel rendelkező fiók természetesen nem kapott erre engedélyt, ott a „lépjen kapcsolatba a rendszergazdával” üzenetet jelenítette meg az ügynök. A szerver rendelkezik Java-s asztali alkalmazással támogatott kezelői felülettel, és egy böngészőből nyithatóval is. A böngészőből nyitható felületet azonban nem sikerült kipróbálnom, mert a belépés után mindkét ajánlott böngésző hitelesítési hibával tiltotta a modulok megjelenítését. Többször próbáltam hozzáadni a tanúsítványokat kivételként, de ez sem oldotta meg a problémát. A Java kliens viszont megfelelően működött. Kérdést vet fel azonban, hogy a szerver webes felületére akár a kliensről is be lehetett volna jelentkezni, ha a hitelesítés nem akadályozza meg, és a kliens tudja a Symantec szerver adminisztrátori fiókjának belépési adatait.
10.2. Fehérlistás feladatok A feladatok szövege a 7. Az „application whitelisting”-gel kapcsolatos vizsgálat fejezetben olvasható. A számok a feladatokat jelölik, egymás utáni elvégzés sorrendjében. A megoldás során szerzett tapasztalatokat írom le a továbbiakban. 1. A feladatot sikeresen végrehajtottam, azonban a megoldás menete lényegesen több lépést igényelt. Ezen rendszer esetén a fehérlista létrehozása nem úgy történik, hogy végigfuttatunk egy analízist a kliensgépeken a szerverről vezérelve, annak érdekében, hogy elkészüljenek az ujjlenyomatok (fingerprint) a telepített alkalmazásokhoz, majd ennek segítségével egyszerűen zároljuk a további alkalmazások elől a klienst. Itt manuálisan kell létrehozni az ujjlenyomatokat a klienseken az ügynök mappájában található Checksum.exe segítségével, melynek használatához a gyártó oldalán találunk segítséget [13]. Fontos megjegyezni, hogy a segítségben leírtakkal ellentétben nem elég a kimeneti fájl nevét megadni, hanem az útvonalat is fel kell tüntetni, különben biztonsági hibára hivatkozva leáll az alkalmazás. Miután elkészült a lista (txt fájl), el kell juttatni a szerver számítógépre, és a kezelőfelületen importálni az ujjlenyomatlistákhoz, miután kitöröltük belőle a nem kívántos alkalmazások sorait. Ezután a rendszer lezárást kell elrendelni (a hozzáadott lista alapján). Emellett választhatjuk azt is, hogy első körben csak megfigyelést végzünk, hogy milyen alkalmazások blokkolódnának a lista hatályba lépése után, és csak később élesítjük a rendszert. Ezzel létrehoztuk a fehérlistás szűrést. 63. oldal
A WordPad blokkolásánál egy alkalmazászabályt kell felvenni a házirendeknél. Azt azonban nem tudjuk megadni, hogy a programhoz tartozó ujjlenyomatok alapján tiltsa a rendszer a futtatást: mi első körben csak név alapján tudunk tiltani manuálisan, ami több problémát is felvet, de erről a következő feladatban írok. Ha biztosra akarunk menni akkor a fájl ujjlenyomata segítségével kell tiltani. Az ujjlenyomatnak rendelkezésre kell lennie legenerálva, vagy a hozzáadott főlistából törölni kell az ehhez a programhoz tartozó sorokat, és újra importálni az ujjlenyomatlistát. 2. Az engedélyezőlistán szereplő alkalmazások elindulhattak, az ezen nem szereplő alkalmazások sikeresen tiltásra kerültek. Ez alól kivételt képezett az engedélyezett Firefox böngésző, mert hozzá akart férni egy operációs rendszer dll fájlhoz, ezért az ügynök letiltotta az elindulását, ahogyan a képen látható (22. ábra - Tiltásra került Firefox).
22. ábra - Tiltásra került Firefox
A WordPad.exe-t név szerint tiltottam a házirendben, tehát gátolt volt az indítás, de így az atverlek.exe (átnevezett WordPad) elindulhatott, és ehhez még át sem kellett helyezni a fájlt a meghajtón. Ha bármilyen futtatható állományt átneveztem WordPad-ra, akkor azt blokkolta a rendszer. A tanulság az, hogy ujjlenyomat szerint kell tiltani a szabályokban, vagy szerkeszteni a teljes engedélyező listát. 3. Megbízható
alkalmazásnak
ismét
a
FreeCommander-t
választottam.
Természetesen tiltotta a rendszer a hordozható verzióval együtt, mert nem szerepelt a fehérlistán. 4. Megfelelően alkalmazza a fehérlistás házirendet külső meghajtók esetén is. 5. Helyesen használja a fehérlistás házirendet hálózati meghajtók esetén is.
64. oldal
6. Természetesen tiltotta az ujjlenyomattal nem rendelkező telepítőt a rendszer. Amikor engedélyezni akartam, és a nevét hozzáadtam az alkalmazás házirendben a megerősítettekhez, a fehérlista továbbra is tiltotta, és nem engedte elindulni. Létezik a rendszerlezárás panelen is „engedélyezett alkalmazások” lista. Ha itt adtam hozzá, akkor ez végrehajtható volt, viszont minden más ilyen névre keresztelt alkalmazás is. Ehhez a listához már nem lehet hozzáadni ujjlenyomat szerint alkalmazást. A telepítést viszont így is megakadályozta a rendszer. Ez abból a szempontból megfelelő, hogy módosításokat így nem tud végrehajtani egy engedélyezett ujjlenyomattal nem rendelkező alkalmazás. Ezért más módszerhez
folyamodtam.
Hozzáadtam
az
ujjlenyomatot
az
importált
kivétellistához, így már elindulhatott a program, és a többi erre átnevezett program nem, viszont így sem sikerült véghezvinni a telepítést. A tapasztalat az, hogy lezárás esetén (aktív fehérlistázás esetén) nem lehet telepíteni a rendszerre. Emiatt minden egyes új alkalmazás hozzáadásánál, fel kell oldani a lezárást, elvégezni a
telepítést, a hozzáadott programhoz
ujjlenyomatot kell generálni, és ezt hozzáadni a kivétellistához. Ez
meglehetősen
bonyolultabb
a
Lumension
intelligens
fehérlistázási
lehetőségéhez képest, ahol egy szabály létrehozásával megoldaható a probléma. 7. Nem tartalmazza a fehérlista a teszt és a valódi vírust sem, így nem lehetett őket elindítani. Az eicar.exe nevű tesztállományt felbukkanásakor azonnal le is törölte a védelem, mert felismerte vírusként. A duplán tömörített futtatható állományt vírusellenőrzés indítása után a rendszer biztonságosan eltávolította. A valódi vírust, a „Win32.Polip.a”-t sem engedte elindulni a fehérlistás védelem, viszont nem törölte a vírusírtó a fájlt a kitömörítésekor (valós idejű védelemnek kellett volna reagálni). A vírusos állományt a manuálisan indított vírusellenőrzést követően sem ismerte fel fenyegetésnek a rendszer.
10.3. Frissítéskezelési feladatok A szoftver nem rendelkezik harmadik féltől származó program és operációs rendszer frissítésére alkalmas modullal, így a feladatokat nem lehetett elvégezni. A LiveUpdate nevű segédprogram a rendszer része, de az csak a biztonsági szoftvert, és a vírusdefiníciós adatbázist frissíti.
65. oldal
10.4. Eszközfelügyeleti feladatok A feladatok szövege a 9. Eszközfelügyelet (Device Control) vizsgálata című fejezetben olvasható. 1. Több módszer is létezik a feladat kivitelezésére. Az egyik megoldás az, hogy az USB csatlakozó használatát teljes mértékben le lehet tiltani, majd külön lehet engedélyezni, hogy milyen eszközt engedünk az USB-n kapcsolódni. Ezt a megoldást választottam először, de nem adtam akkor még hozzá engedélyezett eszközt, így a számítógéphez tartozó USB-s egér is letiltásra került. Ezt később korrigáltam. A másik módszer az, hogy eszköztípus alapján tiltjuk a használatot, tehát hozzáadjuk, hogy a külső adattárolók kerüljenek tiltás alá. A szabály létrehozása után, a pendrive csatlakoztatásakor, a képernyő sarkában felvillant az eszköz jele, de utána már nem lehetett információt megtekinteni róla a sajátgépben. Nem látszódott, hogy valóban csatlakoztatva van az eszköz. Ez zavarba ejtheti a felhasználót, ezért a szabály létrehozásánál megadhatjuk, hogy ilyenkor a félreértések elkerülése érdekében jelenjen-e meg egy rövid figyelmeztető üzenet. Emellett minden megkísérelt eszközcsatlakoztatást képes naplózni a szoftver. 2. Adatmennyiség szabályozására alkalmas beállítás nincs a rendszerben. 3. Árnyékmentéseket sem lehet végezni a védelem segítségével, viszont listát tud készíteni a külső meghajtóra kiírt fájlokról. Mindkét rendszeren elvégeztem a feladatokat, és beszámoltam végrehajtásuk során kapott eredményekről. A 11. Konklúzió című fejezetben összefoglalom a két rendszer során tapasztalt különbségeket, pozitív és negatív tapasztalatokat, valamint lehetőségeket említek a gyengeségek javítása érdekében.
66. oldal
11 Konklúzió 11.1. Áttekintés A feladatom lényege az volt, hogy felhívjam a figyelmet a hálózati végpontok alkalmazásainak és az operációs rendszerének sérülékenységét kihasználó támadások veszélyére, és bemutassam a különböző alternatív biztonsági megoldásokat, amik az ilyen fajta támadások megfékezésében segítenek. Az alternatív biztonsági megoldások közül az alkalmazások fehérlistás szűrésére (application whitelisting) fordítottam a legnagyobb figyelmet, de kiemeltem a frissítéskezelést, és a külső eszközök használatának szabályozását. Ezen felül megemlítettem több, gyakran használt módszert is. A három kiemelt védelmi módszer gyakorlatban történő megvalósítására két népszerű biztonsági rendszer módszereit próbáltam ki. Ez a két biztonsági rendszer a Lumension® Endpoint Management and Security Suite 8.1 verziója (LEMSS), és a Symantec™ Endpoint Protection 12.1 verziója (SEP) volt. A két rendszert teljes értékű próbaváltozati licenccel használtam. A vizsgált módszerek a következőek voltak.
11.2. Fehérlistázás (Application Whitelisting) A LEMSS rendszerben a fehérlistás szűrés beállítása könnyen megvalósítható. A szerver kezelőfelületéről lefuttatjuk a klienseken használt programok felderítését, majd a felderítés során automatikusan legenerált ujjlenyomatok alapján aktiváljuk a szűrést a kliens eszközökön. A szűrés aktív állapota mellett is könnyen adhatunk további alkalmazást
az
engedélyezett
engedélyezhetünk
a
kliens
programok
listájához,
programok
számára,
és
akár ha
telepítést
is
meggyőződtünk
megbízhatóságukról. Ha a körülmények megkívánják, egyszerűen tilthatunk további alkalmazásokat a felhasználói rendszereken. A SEP segítségével is el tudjuk végezni a fehérlistás szűrést, de az alkalmazások ujjlenyomatait
manuálisan
kell
legenerálunk,
egy
parancssori
alkalmazás
igénybevételével, majd ezt a listát el kell juttatni a szerverhez. Az alkalmazása előtt manuálisan kell szűrni a fájlok és ujjlenyomatok párba rendezett szöveges állományát, majd az így elkészült listát importálni kell a kezelői felületen.
67. oldal
Az importálás után már aktiválni lehet a kliens rendszer lezárását, ami megfelelően működik is. További alkalmazások hozzáadása az engedélyezett, és tiltott listához azonban a műveletsor majdnem teljes megismétlését igényli.
11.3. Frissítéskezelés (Patch Management) A
Lumension
megoldásának használatával
a végpontok
szoftverei
átfogóan
karbantarthatók, az operációs rendszer sérülékenységeinek javítása egyszerűen alkalmazható. A Symantec rendszere nem tartalmaz frissítés-kezelő modult, azonban a biztonsági rendszer a LiveUpdate segédprogramja segítségével képes önmagát frissíteni, és ez a program kezeli a vírusdefiníciós adatbázisok naprakészen tartását is.
11.4. Eszközhasználat menedzselése (Device Control) A
LEMSS
rendszer
használatával
pontosan
meghatározható,
hogy
milyen
csatolófelületen milyen eszközök illeszthetőek a végpontokhoz. Külső adattárolók esetén nem szükséges a teljes adatforgalmat letiltani, ha szabályozni szeretnénk: beállíthatunk napi használati limitet is, valamint menthetjük ezen az eszközökön generálódott adatforgalmat, naplószinten vagy akár fájlszinten is. A SEP segítségével létrehozott eszköz-engedélyekkel is szabályozhatóak a csatlakozási lehetőségek, azonban ezek a szabályok kevésbé testre szabhatóak. Napi limit beállítása és árnyékmentés nem lehetséges, viszont az adatforgalomról e rendszer is tud naplót készíteni.
11.5. Gyengeségek, és megoldási lehetőségeik A LEMSS rendszer tekintetében az egyik észrevétel amit megemlítek az, hogy a házirendek módosítását követően mindaddig kénytelen várakozni a célszámítógépek ügynöke, amíg a szinkronizációs idő eltelik, és frissítésre kerülnek az ügynök számára használatos szabályok. A SEP esetén ez aszinkron módon is frissíthető volt, a kliens ikonjára kattintva elérhető volt az azonnali házirend lekérés. Véleményem szerint a továbbiakban hasznos lenne, ha ezt a funkciót elérhetővé tennék a kliens ügynökök számára a LEMSS rendszerben is. Ennek megvalósítása abból állna, hogy a kliens ügynök küld egy kérést a szerver felé, majd ha volt módosítás a házirendekben, a szerver elküldi a módosítási információt. Emellett célszerű lenne meghatározni, hogy
68. oldal
milyen gyakran végezhet ilyen jellegű lekérést a kliens, a szerver terhelésének csökkentése érdekében. A LEMSS rendszerrel kapcsolatos másik észrevétel az, hogy annak ellenére, hogy lehet szűrni a sérülékenységeket, és a nem alkalmazott frissítések listáját, célravezető módszer lenne, ha áttekinthetőbb formában lehetne ezt megtenni. Itt arra gondolok, hogy a frissítések között listázásra kerülnek olyan alkalmazások sérülékenységei is, amik nincsenek installálva a végponton. Az erre történő szűrési feltétel hozzáadása egyszerűsítené az adminisztrátorok feladatát. Mindezeken túl, a több oldalas eredménylista elemei között hatékonyabb lenne egyszerre való keresési lehetőséget biztosítani. Egy feltétel megadását követően az összes lapot átnézné a rendszer, és ezek közül jelenítené meg a találatot, nem csak az aktuálisan megnyitott lapot venné figyelembe. A SEP rendszerrel kapcsolatban egyértelműen az alternatív biztonsági megoldások lehetőségén kellene változtatni. A fehérlista létrehozásához, és menedzselésére egy gördülékenyebb módszert lehetne alkalmazni. A szerver képes futtatni folyamatokat a klienseken, ezért akár a menedzser rendszer is lefuttathatja az ujjlenyomat-generálást, aminek végeztével a kimeneti fájlt a szerverre helyezi el. Így egy egyszerű szerkesztő segédprogram közbeiktatásával, grafikusan lehetne módosítani az állományok ujjlenyomatlistáját, és ezután importálni a kezelőfelületen. A másik megoldás erre az esetre az volna, ha az említett listát egy szerkeszthető adatbázisfájlba importálná a program, amit akár Microsoft Accessel szerkeszthetünk, ha a kezelői felület nem rendelkezik ilyen segédfunkcióval. A SEP megoldás esetén a frissítés-kezelő modul hozzáadása is csökkenté a biztonsági kockázatokat, ennek kifejlesztése természetesen további fejlesztési költségeket jelentene. Esetünkben azonban már az is segítené a sérülékenységek felszámolását, ha az ügynökön keresztül kötelezővé lehetne tenni egy meghatározott időpontban történő Windows Update frissítés keresést és telepítést. Az időpontot úgy kellene megválasztani ehhez, hogy munkaidőn kívülre essen, ezzel nem hátráltatva a felhasználó munkavégzését. A SEP kezelőfelületén az eszközengedélyek szabályozásánál az USB csatlakozó letiltásának esetére két egyszerű módosítást ajánlok.
69. oldal
Az első javaslat az, hogy egy üzenet figyelmeztesse az adminisztrátort annak veszélyére, hogy ha nem engedélyezi a szabály létrehozásánál a beviteli eszközök használatát, a számítógép lokálisan használhatatlanná válhat. A másik módosítás is egy figyelmeztetést takar, ezt arra az esetre ajánlom, hogy ha egy meghajtótípus teljes tiltását kérjük, értesítse az adminisztrátort a felület, hogy célszerű beállítani az opcionális értesítőüzenetet a felhasználó számára. Erre azért lenne szükség, mert ha a felhasználónak szóló értesítés inaktív, nem értesül róla a felhasználó, hogy a tiltás miatt nem jelenik meg az meghajtója az eszközlistában. Ez frusztráló lehet a kliens gépet használó munkatársak számára.
11.6. A rendszerek használhatósága Az eredmények azt mutatják, hogy a Lumension megoldása bizonyult kézenfekvőbbnek a meghatározott feladatok elvégzésére. Érdemes azonban megemlíteni, hogy a két biztonsági szoftver tartalmaz további védelmi lehetőségeket. A LEMSS további konfiguráció-menedzsment eszközöket (pl. merevlemez-titkosítást, távoli hozzáférés és diagnosztikai
eszközöket),
a
SEP
összetett
tűzfal
megoldást,
és
hálózati
forgalomellenőrző módszert kínál. Ezek alapján nem lehet határozottan kijelenteni, hogy az egyik szoftver jobb, mint a másik, azonban az alternatív biztonsági megoldások tekintetében a Lumension terméke meggyőzőbb teljesítményt nyújtott. Az alkalmazott konfiguráció-menedzsment módszerek használata a hagyományos vírusvédelem és tűzfalmegoldások mellett, nagymértékben növeli a rendszerek biztonságát. Ahogyan látható volt a feladatok elvégzésénél, amikor a SEP antivírus modulja nem ismerte fel a fenyegetést, a fehérlistás szűrés megakadályozta a vírus elindulását, ezzel megvédve a végpontot. Emellett megakadályozta a szűrés, a nem kívánt programok installálását is a számítógépre. A frissítés-kezelés eltávolította az ismert
sérülékenységeket
a
hivatalos
javítócsomagok
alkalmazásával.
Az
eszközhasználat konfigurálása átláthatóvá tette a külső meghajtókon történő adatforgalmat, és megbizonyosodhattam, hogyha a helyzet megkívánja, tiltani lehet a végpontok csatlakozási felületének használatát. Összességben tehát elmondható, hogy a módszerek alkalmazása jelentősen erősíti a végpontok védelmét.
70. oldal
12 Irodalomjegyzék [1]
NSA – Application Whitelisting cikke https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf 2014.10.31 – 21:08
[2]
Australian Government - Cyber Security Operation Centre, Top 4 Mitigations http://www.asd.gov.au/publications/csocprotect/Top_4_Mitigations.pdf 2014.10.27 - 18:42
[3]
Australian Government - Cyber Security Operation Centre, Application Whitelisting http://www.asd.gov.au/publications/csocprotect/application_whitelisting.htm 2014.10.30. - 16:23
[4]
Microsoft Windows AppLocker leírása http://msdn.microsoft.com/en-us/library/dd548340%28v=ws.10%29.aspx 2014.10.31 - 20:17
[5]
Microsoft Windows AppLocker képernyőképe http://i.technet.microsoft.com/dd630640.fig04_L(en-us).gif 2014. 10. 31 - 20:27
[6]
Ubuntu – APT működése http://sugo.ubuntu.hu/10.04/html/serverguide/hu/apt-get.html 2014.11.09 - 19:25
[7]
Lumension – LEMSS rendszer adatlapja https://www.lumension.com/Media_Files/Documents/Marketing--Sales/Datasheets/Lumension-Endpoint-Management-Security-Suite.aspx 2014.11.09. - 23:00
[8]
Lumension összetevők ábrája https://relnet.hu/sites/default/files/Lumension%20LEMSS%20v6.png 2014. december 6. - 22:06
[9]
Lumension beállítás lépései http://www.ibv-solutions.com/images/LAC_Funktionsweise_951.png 2014. december 6. - 22:09
71. oldal
[10] Symantec – SEP felépítése http://www.symantec.com/content/en/us/enterprise/fact_sheets/b-endpointprotection-DS-21320633.pdf 2014. december 2. - 20:58 [11] Eicar csoport által készített antivírus tesztfájl http://www.eicar.org/85-0-Download.html 2014. november 27. - 21: 48 [12] Tuts4You fórum, működő kártevő beszerzése https://tuts4you.com/download.php?view.2795 2014. november 27. - 21:50 [13] Symantec – A checksum.exe működése http://www.symantec.com/business/support/index?page=content&id=HOWTO 81199 2014.december. 5 - 0:50
72. oldal
13 Ábrajegyzék 1. ábra - AppLocker kezelői felület [5]........................................................................... 16 2. ábra - Az Avast programfrissítő.................................................................................. 20 3. ábra - LEMSS összetevők [8] ..................................................................................... 21 4. ábra - LEMSS beállítás lépései [9] ............................................................................. 24 5. ábra – Művelet folyamatban a Lumension rendszerén ............................................... 25 6. ábra - SEP Manager nyitóképe ................................................................................... 29 7. ábra - Topológiai kialakítás ........................................................................................ 30 8. ábra - A feltelepített ügynök a kliensen ...................................................................... 32 9. ábra - A pontos kialakítás ........................................................................................... 33 10. ábra - LEMSS kezdőképernyő .................................................................................. 37 11. ábra - Felhasználói engedélyek az ügynökben ......................................................... 39 12. ábra - Kliens vírusellenőrzést indíthat ...................................................................... 40 13. ábra - Tiltott alkalmazás ........................................................................................... 45 14. ábra - Az áthelyezett és átnevezett alkalmazás ......................................................... 45 15. ábra - Vírusfigyelmeztetések a szerveren ................................................................. 50 16. ábra - Frissítés érkezett a kliensnek .......................................................................... 53 17. ábra - Döntés az újraindításról .................................................................................. 54 18. ábra - A főszabály módosítása .................................................................................. 57 19. ábra - USB eszközök letiltva .................................................................................... 57 20. ábra - Másolás megtiltása ......................................................................................... 59 21. ábra - Árnyékmentési műveletek .............................................................................. 61 22. ábra - Tiltásra került Firefox ..................................................................................... 64
73. oldal
