Via usb-poorten, cd- en dvd-romlezers en -schrijvers en nog heel wat meer invoer- en uitvoerapparaten (‘fysieke endpoints’) kan zowat eender wie informatie lezen en wegschrijven, vaak zonder extra stuurbestanden of beheerderrechten. Het veiligheidsrisico is dus erg hoog. Gespecialiseerde beveiligingssoftware helpt u daar paal en perk aan te stellen.

Het is beter het fysieke gebruik van externe opslagmedia niet volledig te blokkeren, maar hun gebruik aan regels en dus voorwaarden te onderwerpen. Dat kunnen we doen met de installatie van software op de gebruikers-pc’s om de toegang tot externe opslagmedia te weigeren tenzij aan bepaalde voorwaarden voldaan is. Die voorwaarden leggen we vast in een beveiligingsreglement (‘security policy’) en de genoemde beveiligingssoftware kan die dan lokaal raadplegen of ze kan in een netwerk verdeeld worden. Dit is wat de hierna besproken producten DeviceLock, DeviceWall en Network USB Monitor doen. Door plaatsgebrek hebben we ons tot deze drie beperkt, maar er zijn er natuurlijk andere waar we in de toekomst nog een keer op terug zullen komen.

DEVICELOCK

DeviceLock is een gedistribueerde software-oplossing die niet-ingrijpend werkt en de toegang kan controleren voor alle soorten randapparatuur, of die nu fysiek of mobiel zijn aangesloten. Het systeem kan allerlei rapporten genereren. Met gedistribueerd bedoelen we dat er een onderscheid gemaakt wordt tussen een DeviceLock Server, DeviceLock Service en DeviceLock Manager Console. Met de beheerconsole beheert u alles en dat bestaat uit een aantal Windows-programma’s: naast de eigenlijke beheerconsole ook nog een bedrijfsbeheer en een instellingeneditor.

Functionaliteit

Individuele gebruikers en groepen gebruikers binnen Windows of Active Directory kunt u toegang geven voor alleen lezen of lezen en schrijven voor alle randapparatuur: usb- en firewire-poorten, wifi en bluetooth-adapters, seriële poorten, parallelle poorten, diskettestations, cd-/dvd-roms of writers, noem maar op. U kunt verder specifieke regels opstellen voor het gebruik van allerlei types mobiele apparaten met Windows Mobile, Blackberry, iPhone of Palm OS. U kunt de toegang tot zulke toestellen beperken afhankelijk van een bepaalde dag of tijd. Het is ook mogelijk alleen-leestoegang te geven. Bij sommige types usb-toestellen kunt u toestaan dat ze altijd aangesloten mogen worden ongeacht de andere instellingen voor usb-apparaten. Zo kan een scanner bijvoorbeeld wel nog werken, terwijl een usb-geheugenstaafje verboden wordt.

Het systeem is beveiligd tegen inbraak: u kunt centraal beslissen wie DeviceLock mag beheren en wie niet. Daardoor kunnen gebruikers die lokale beheerdertoegang hebben toch niet aan de lokale DeviceLock-instellingen tenzij u ze dat toestaat. Ook het verwijderen van de DeviceLock software is dan niet mogelijk, zelfs als de pc losgekoppeld wordt van het netwerk.

Bij de integratie met AD en groeppolicy’s zit de DeviceLock beheerconsole geïntegreerd in de bekende MMC (Microsoft Management Console), zodat beheerders eigenlijk niets extra moeten leren om DeviceLock-beveiligingsreglementen op te stellen en over het netwerk te propageren. Zo kunt u instellingen in verband met eindpuntdatalekken en audits dynamisch beheren samen met de andere GP-specifieke taken.

Het is mogelijk nog iets verder te gaan dan het koudweg blokkeren van toestellen of opslagmedia. DeviceLock kan namelijk ook inhoudsafhankelijke regels afdwingen. In dat geval zal de dienst in bestanden kijken om hun echte type te kennen (onafhankelijk van bestandsnaam en -extensie) om te bepalen welke regels in verband met toegang en ‘schaduwen’ (Windows Shadow Volume Copy) van toepassing zijn. Op deze manier kunt u bepaalde bestanden, weren maar alle andere toelaten.

Witte en zwarte lijsten

Met behulp van witte lijsten voor usb-poorten en media kunt u specifieke toestellen of media (met datasignatuur-identificatie) toelaten, ook al zou het reglement een toestel voor alle andere media geblokkeerd hebben. Dit is nuttig om toegang tot bepaalde media open te houden voor bepaalde gebruikers of groepen van gebruikers. Daarnaast kunt u een tijdelijke witte lijst aanmaken. Dan staat u tijdelijk toegang tot bepaalde toestellen of media toe met behulp van een toegangscode.

DeviceLock kan alle activiteit journaliseren. U kunt alle activiteit volgens gebruiker en bestand volgen voor specifieke toestellen of poorten op een bepaalde computer. Filters staan u toe de auditdata te sorteren of in te delen volgens gebruiker of groep, dag of uur, bestandstype, of poort/toestel-type en nog veel meer. De audits worden in de standaard Windows Event Viewer logboeken geschreven en logs kunt u exporteren naar andere rapportagesystemen. Het is ook mogelijk deze data volautomatisch te laten bijschrijven in een SQL Server. Gebruikers met lokale beheerrechten kunnen niets wijzigen of wissen aan zulke logs en ook niet verhinderen dat ze doorgestuurd worden naar de DeviceLock Enterprise Server.

Productoordeel

DeviceLock stelt u effectief in staat alle externe opslagmedia en nog heel wat meer aan banden te leggen en met behulp van een beveiligingsreglement precies te bepalen wie wat mag doen en vooral: wat niet. Het werkt en wij konden het als gewone gebruiker niet omzeilen.

INFO

PRODUCT: DEVICELOCK 6.4.1

PRODUCENT: SmartLine Inc.; USA; www.devicelock.com

LEVERANCIER: PC-Ware Information Technologies BVBA, www.pc-ware.be; PC Safe BV, www.pcsafel.nl

ADVIESPRIJS: ca. 35 euro (single user licentie, er zijn ook site- en enterprise-licenties verkrijgbaar)

SYSTEEMVEREISTEN: pc/server met Windows NT4 of hoger, ook Windows 7 en Windows Server 2008 R2 (ook 64-bit)

FRONTRANGE DEVICEWALL

FrontRange DeviceWall vergrendelt allerlei systemen, dus niet alleen opslagmedia. Het geeft u bovendien een overzicht van welke categorieën apparatuur in gebruik is in uw netwerk en of die momenteel aangesloten is of niet en wie die gebruikt. De software stelt u in staat een beveiligingsreglement op te stellen waarmee u vastlegt welke medewerkers in uw bedrijf toegang hebben tot welke soorten van toestellen. Elke toestelsoort die niet specifiek toegestaan is, is automatisch geblokkeerd voor een gebruiker.

Naast usb-geheugenstaafjes, algemene usb- en firewire-opslagmedia voorkomt DeviceWall het ongeoorloofde gebruik van iPods/iPhones en andere mediaspelers (inclusief willekeurige mp3-spelers), pda’s (zowel Symbian- als Microsoft-gebaseerde), Blackberry-toestellen en smartphones, maar ook cd’s, dvd’s en diskettes. Overigens blokkeert DeviceWall alleen de toegang tot toestellen die werkelijk een beveiligingsrisico vertegenwoordigen. Een usb-toetsenbord, usb-muis of usb-scanner vormt bijvoorbeeld geen beveiligingsrisico en die zal DeviceWall dus negeren. Bij de beveiliging van cd’s en dvd’s gaat het niet alleen om extern aangesloten lezers of schrijvers, maar ook om de ingebouwde.

DeviceWall gaat nog een stap verder als u het op een notebook installeert, want dan kan het ook draadloze toegang (zowel wlan als bluetooth als irda) blokkeren zodat uw bedrijfsactiva niet zomaar contact kunnen opnemen met onbekende toestellen of netwerken. Daartoe deelt DeviceWall alle toestellen in in vier toestelklassen: geëncrypteerde opslagtoestellen, opslagtoestellen, pda’s & smartphones en communicatiepoorten (draadloze). Deze vier hoofdklassen zijn elk nog onderverdeeld in verscheidene subklassen. Lees- en schrijftoegang voor apparaten kan voor elke individuele klasse apart geregeld worden.

Client/server

DeviceWall is een client/server-oplossing. Alles begint met het DeviceWall Control Center van waaruit u alles beheert en regelt. Op alle andere pc’s in het netwerk die u wilt beveiligen draait dan een clientagent en die agenten communiceren met het Control Center. Uiteraard moet de Control Center-dienst een beheerbevoegdheid hebben voor de te beveiligen pc’s. Veiligheidsbeheerders kunnen op hun pc een DeviceWall Monitor installeren om hen in staat te stellen op afstand het aantal geblokkeerde of toegestane toestelverbindingen op het netwerk te volgen, ook als ze niet ingelogd zijn in het DeviceWall Control Center. Aan de clientzijde hebben de agents beveiligingen aan boord om te voorkomen dat gebruikers die diensten kunnen stoppen of verwijderen, zelfs al hebben ze lokale beheerderrechten.

Let wel: DeviceWall verlost u niet van de verplichting noodzakelijke beveiligingen zoals antivirussoftware, een persoonlijke firewall en anti-parasietsoftware te installeren. Met het DeviceWall Control Center maakt u het hoofdreglement of ‘master policy’ aan, dat ook wel ‘Device Class Use Policy’ (toestelklassengebruiksreglement) heet. U krijgt bij het aanmaken van het nieuwe hoofdreglement (een wizard die na installatie automatisch start) de keuze of dat een open, gesloten of aangepast reglement moet worden. Kiest u voor gesloten, dan is standaard niets toegestaan tenzij u het expliciet toestaat. Bij open is standaard alle toesteltoegang mogelijk, tenzij u het in een regel expliciet verbiedt. Als u voor aanpassen kiest, dan kunt u voor elk soort toestel instellen of u de toegang standaard wil toestaan of verbieden. Vanuit dat Control Center kunt u ook agenten distribueren over het netwerk en uiteraard uw beveiligingsreglement uploaden naar de agenten (die sowieso ook om de zoveel tijd de server polsen voor reglementupdates).

XML

DeviceWall slaat alle reglementen op als xml-documenten en die worden gepubliceerd via de iis-webserver zodat ze gedownload kunnen worden door de client-agent. Zoals u al begrijpt, zorgt het gebruik van http ervoor dat de DeviceWall-beveiliging ook kan werken over firewalls en routers heen. Het hoofdreglement bepaalt de toegangsrechten tot elke toestelklasse voor elke gebruiker op het netwerk. U kunt ‘trustees’ (vertrouwelingen) definiëren – zowel individuele gebruikers als groepen – voor elke toestelklasse die lees- en/of schrijftoegang of -verbod hebben voor de toestellen in deze klasse. De met een toestelklasse geassocieerde lijst van vertrouwelingen noemen we een ACL of ‘Access Control List’ (toegangscontrolelijst). Elke gebruiker die niet in zo’n ACL voorkomt, zal geen enkel toestel uit de gedefinieerde toestelklassen mogen gebruiken. De gebruikers en gebruikersgroepen die zichtbaar zijn in het Control Center, zijn uiteraard uw Windows-gebruikers en -groepen (of die van Active Directory).

Helaas is er geen tweewegintegratie tussen DeviceWall en Active Directory, zodat u geen gebruik kunt maken van de Group Policy in Active Directory om toesteltoegang voor gebruikers te regelen. In plaats daarvan loopt dat via een eigen DeviceWall beheersysteem dat op iis draait op een Windows server. Eenmaal dat het beveiligingsreglement klaar en actief is, zal een gebruiker de beveiliging niet meer kunnen omzeilen. U kunt gebruikers en groepen toevoegen of weghalen in de ACL van een toestelklasse op eender welk moment. De gewijzigde policy staat onmiddellijk klaar op de iis-webserver voor download. Als u echter niet wil wachten tot het volgende downloadtijdstip van de agenten, kunt u ook klikken op ‘Push Policy Update’ om de bijwerking ogenblikkelijk naar de clientagenten te laten sturen.

Het is mogelijk om gebruikers tijdelijke toegang tot een bepaald apparaat te geven. Dat werkt met een sleutelcode die gebruikers van de beheerder krijgen en kunnen ingeven in ‘Tijdelijk Toegangsgereedschap’ als ze een melding krijgen dat ze geen toegangsrechten hebben tot een bepaald toestel.

Encryptie

Naast gewone opslagtoestellen kent DeviceWall nu ook geëncrypteerde opslagtoestellen. Dit is erg interessant, omdat de beheerder bepaalde gebruikers nu toegang kan verlenen tot geëncrypteerde usb-geheugens, maar niet tot ongeëncrypteerde. De encryptie werkt met 256 bit sleutels volgens AES of BlowFish en gebeurt volautomatisch bij het schrijven op een toestel van de geëncrypteerde opslagklasse. Voor de encryptie kunt u kiezen tussen een model met globale of met gebruikerspecifieke sleutel. Als een gebruiker alleen toegang heeft tot apparaten mits encryptie, dan krijgt hij een waarschuwing met de vraag het opslagmedium met encryptie te herformatteren als hij een ongeëncrypteerd opslagtoestel aansluit. Er is geen voorziening om een onderscheid te maken tussen geëncrypteerde en ongeëncrypteerde media, het beveiligingsreglement geldt altijd voor het gehele toestel (in feite een gehele toestelklasse).

Op de clientsystemen worden de beveiligingsreglementen strikt toegepast. Een gebruiker die geen toelating had voor opslagmedia, kreeg meteen nul op het rekest bij het inpluggen van een usb-geheugenstaaf. DeviceWall maakt echter geen onderscheid tussen een toestel en verwisselbare media. Zo kunt u geen beveiligingsregel opstellen die een gebruiker wel toestaat bestaande, op voorhand geregistreerde media te gebruiken, maar geen nieuwe. Er zijn ook geen specifieke toegangsrechten voor bepaalde soorten data of bestanden en zelfs niet voor een welbepaald individueel toestel. Als een gebruiker toegangsrechten heeft tot een bepaalde toestelklasse, gelden die rechten meteen voor alle toestellen die tot die klasse behoren. U kunt een gebruiker met andere woorden geen toegang verlenen tot één enkele usb-staaf, maar wel tot usb-staven in het algemeen. Er kan wel een onderscheid gemaakt worden tussen verschillende soorten usb-geheugens, die dan allemaal in een aparte klasse ingedeeld worden.

Rechten

Een gebruiker kan alleen-leesrechten of volledige lees- en schrijfrechten hebben. Als de beheerder een wijziging aanbrengt in het beveiligingsreglement, wordt het nieuwe reglement pas actief voor usb-toestellen als de gebruiker die eerst uittrekt en dan weer inplugt. Dat doet echter een tijdelijke toegang weer teniet en die moet dan opnieuw aangevraagd worden. Het is wel een goede zaak dat het beveiligingssysteem blijft werken ongeacht waar u een pc of notebook mee naartoe neemt. Bij een gesloten reglement blijft de toegang tot alle risicovolle apparaten dus geblokkeerd totdat de clientagent contact kan opnemen met het DeviceWall Control Center. En het bedrijfsreglement blijft dus volledig van toepassing voor een gebruiker die een notebook mee naar huis zou nemen. Zodra de notebook een internetverbinding heeft, kan hij contact opnemen met het Control Center en kan de gebruiker toegang krijgen tot alle toestellen waartoe het beveiligingsreglement hem rechten geeft. Het is mogelijk daarvan af te wijken en een ‘bij verstek’-actie te definiëren voor als er geen contact met de server mogelijk blijkt: geen toegang, volle toegang, of de bestaande toegangsrechtendefinitie toepassen. Het reglement kan ook regels op inhoud bevatten, zodat u bijvoorbeeld kunt verhinderen dat Office documenten op usb-sticks geschreven worden maar andere soorten bestanden wel.

Productoordeel

FrontRange DeviceWall werkt uitstekend, maar ondersteunt helaas geen Windows 7. We hebben het geprobeerd en het werkt niet. FrontRange kondigt aan dat versie 5.1 (die verkrijgbaar moet zijn wanneer u dit leest) wel met Windows 7 zou werken. Verder kadert FrontRage DeciveWall duidelijk in een geheel van eindpuntbeveiligingsoplossingen en it-activabeheer. Wellicht is dit dus vooral interessant als u de FrontRange beheersoftwaresuite overweegt.

INFO

PRODUCT: DEVICEWALL 5.0

PRODUCENT: FrontRange Software, USA; http://www.frontrange.com/software/it-asset-management/endpoint-security/

LEVERANCIER: Pillar Solutions, www.pillar-solutions.nl; Flexos, www.flexos.be

ADVIESPRIJS: ca. 25 euro/pc (vanaf 25 licenties)

SYSTEEMVEREISTEN: Windows XP/2003 (Windows Vista/7 en Server 2008 worden niét ondersteund in deze versie!)

MONITORUSB.COM NETWORK USB MONITOR

Network USB Monitor (ook Network Manager of Monitor USB genoemd) is een antidiefstalproduct van de Amerikaanse firma Monitorusb.com. De software werkt met onzichtbare clients op elke werkpc of notebook en een centrale server in het bedrijf. De Network Manager Server of NMS stelt u in staat van elke client in het netwerk vast te leggen wat wel of niet mag met usb-poorten. De Network Manager Client of NMC is een agent die op een pc of notebook de toegang tot usb-poorten controleert.

Bewaking

Een essentieel onderdeel van elke antidiefstalprocedure is bewaking. Dat geldt zowel voor mensen als machines als software. Met behulp van NMC gebeurt de bewaking zowel in realtime als offline. De geïnstalleerde agent houdt de laatst toegewezen instructies, ook als de netwerkverbinding zou wegvallen. Daardoor kan de bewaking en bescherming verderlopen ook als de pc niet meer met het bedrijfsnetwerk verbonden is. Hierbij heeft Monitorusb.com geen optie voorzien om bij offline gebruik toch af te wijken van het ingestelde veiligheidsreglement, bijvoorbeeld met behulp van een extra authenticatie. Van alle aangesloten of verwijderde usb-apparaten of -media houdt het systeem een logboek bij. Zo’n aansluit- of verwijderactiviteit is volgens het ingestelde reglement ofwel toegestaan ofwel verboden. In het laatste geval verhindert NMC Windows van het usb-toestel of -medium te herkennen en te gebruiken. De activiteitenlog wordt gedeeld met NMS en als beheerder kunt u die logs dan inkijken en doorzoeken.

Beheer

U beheert het systeem vanaf de NMS en diens beheerconsole. Dat is een Windows-programma dat alle gevonden netwerkclients in een boomstructuur onder de server toont. Wij stelden vast dat Windows-systemen zonder NMC aan boord niet automatisch herkend werden. Pas als een systeem voorzien was van NMC verscheen het in de NMS-clientlijst. Het is uiteraard gebruiksvriendelijker als we vanuit NMS de clientsoftware zouden kunnen distribueren naar de client-pc’s toe. In de NMS-console kunt u voor elke client opgeven of de usb-drive aan of uit moet staan, en of die – indien actief – alleen voor lezen dient of ook voor schrijven. Als usb-drive wordt ieder usb-toestel of -medium herkend waarnaar geschreven kan worden. Dus naast geheugensticks ook camera’s, mp3-spelers en smartphones. Helaas ondersteunt NMS niet meer granulariteit dan aan/uit en alleen lezen of ook schrijven. Met deze beveiliging kunt u dus nog perfect data wegschrijven via Bluetooth of via Firewire. Omdat een usb-netwerkkaart of usb-bluetooth-adapter niet als een beschrijfbaar opslagmedium herkend wordt, verhindert NMC de installatie van dergelijke adapters niet.

Productoordeel

Network USB Monitor houdt zich meer bezig met het voorkomen van datalekken en minder met het voorkomen van malwareinfecties, maar het een sluit het ander niet uit. Er is geen granulariteit tot op het niveau van specifieke media voorzien en alleen usb-opslagsystemen worden herkend, geen andere verbindingsmethodes of usb- of andere adapters. Om de slimmere hackers onder uw personeel te omzeilen, kijkt u dus beter naar een alternatief uit.

INFO

PRODUCT: NETWORK USB MONITOR

PRODUCENT EN LEVERANCIER: Monitorusb.com, USA; www.networkusbmonitor.com of www.monitorusb.com

ADVIESPRIJS: $69 (licentie tot 10 netwerkclients)

SYSTEEMVEREISTEN SERVERMACHINE: Windows Server 2003/2008 (maar XP en 7 werken ook), min 512 MiB RAM vrij en 10 MB schijfruimte vrij.

SYSTEEMVEREISTEN CLIENTMACHINE: Windows XP/Vista/7 client, min. 256 MiB RAM vrij en 10 MB schijfruimte vrij.

CONCLUSIE

Van de drie besproken producten zijn we het meest opgetogen over DriveLock. Dat product biedt veel functionaliteit en is makkelijk in het gebruik, zeker met de integratie in AD Group Policy. DeviceWall lijkt bijna even goed, maar ondersteunt de laatste Windows versies nog niet. Dat zou echter binnenkort opgelost moeten worden. Het minst onder de indruk zijn we van Network USB Monitor: die biedt te weinig granulariteit en laat te veel veiligheidsgaten om echt veilig te zijn.

Johan Zwiekhorst

Let wel: DeviceWall verlost u niet van de verplichting noodzakelijke beveiligingen zoals antivirussoftware, een persoonlijke firewall en anti-parasietsoftware te installeren. Helaas is er geen tweewegintegratie tussen DeviceWall en Active Directory, zodat u geen gebruik kunt maken van de Group Policy in Active Directory om toesteltoegang voor gebruikers te regelen. Network USB Monitor houdt zich meer bezig met het voorkomen van datalekken en minder met het voorkomen van malwareinfecties, maar het een sluit het ander niet uit.