Bedrijfsbreed versleutelen

Gevoelige data moeten beveiligd worden. Een encryptiesysteem met bedrijfsbrede en af te dwingen beveiligingsreglementen biedt een oplossing daarvoor. Het Nederlandse Safeboot is zo’n product.

Organisaties moeten gevoelige gegevens beschermen tegen nieuwsgierige ogen van onbevoegden. Wat zijn gevoelige data? Financiële gegevens, creditcardinformatie, informatie over klanten, marketing en productontwikkelingsplannen, medische gegevens enzovoort. Alles wat voor de organisatie of de concurrentie waarde heeft, is per definitie gevoelig: je wilt niet dat het in verkeerde handen raakt. Zulke gevoelige data zijn te beschermen door ze te versleutelen. Hoe pak je dat aan voor meerdere pc’s tegelijk in een onderneming?

Beveiligingsreglement

Beveiligingsoplossingen voor bedrijfsnetwerken horen een gecentraliseerd beheer met een beveiligingsreglement (security policy) te hebben. De beheerder moet dat reglement naar alle pc’s sturen en het regelmatig bijwerken. Safeboot biedt gecentraliseerd beheer met behulp van de Safeboot Administrator en de Safeboot Server. De laatste is verantwoordelijk voor het uitreiken van encryptie- en authenticatiesleutels.
Op ieder te beveiligen netwerkstation wordt een Safeboot Client geïnstalleerd. Dat kan vrijwel onzichtbaar gebeuren. De beheerder kan bij het aanmaken van een ‘installation set’ (een specifiek clientinstallatiebestand voor een bepaald profiel) instellen of de installatieprocedure onzichtbaar moet verlopen. Daarnaast kan hij instellen of er toestemming gevraagd moet worden om de client-pc te herstarten na de installatie van de client.
In een beveiligingsreglement kan de beheerder aangeven wat standaard versleuteld moet worden, of er rechten toegekend worden om rechtstreeks bestanden of mappen te versleutelen of te ontcijferen, of versleutelde objecten gewist mogen worden en nog veel meer. Zo’n beveiligingsreglement is te koppelen aan individuele gebruikers, gebruikersgroepen of machines. Bij iedere Safeboot-inlog leest de client het reglement dat bij zijn profiel hoort altijd opnieuw in van de Safeboot-server. Daardoor worden wijzigingen in het reglement keurig doorgegeven aan alle clients die tot dat profiel behoren. De beheerder kan meerdere profielen aanmaken en elk daarvan specifieke rechten of beperkingen toewijzen. Ook kan hij meerdere sleutels en sleutelgroepen definiëren, met allerlei parameters, zoals de geldigheidsduur.

Transparant

Voor gebruikers is de beveiliging nagenoeg transparant. De enige zichtbare wijziging is het Safeboot-pictogram onderaan rechts op de statusbalk van Windows. Daarmee kan de gebruiker een scherm oproepen met inlichtingen over de sleutels en beveiligingsreglementen die actief zijn. De actieve sleutels zijn uit het geheugen te verwijderen (dat vereist dan een herinlog om toegang te krijgen tot beveiligde data). De gebruiker kan inloggen in het Safeboot-systeem. Die inlog heeft het inlezen van een beveiligingsreglement tot gevolg. Dat bepaalt dan weer welke versleutelingen waar, wanneer en hoe toegepast worden in de gebruikers-pc.
De beheerder kan ervoor kiezen om bij versleutelde bestanden en mappen een symbool (een plaatje van een sleutelgat) in het objectpictogram zichtbaar te maken, maar dat hoeft niet. Als het symbool aanwezig is, kan de gebruiker zien wat versleuteld is en wat niet. Bij het rechtsklikken op een object zal de gebruiker drie nieuwe functies in het pop-up menu vinden: ‘encrypt’, ‘decrypt’ en ‘delete’ (de laatste met een specifiek symbool ervoor). Afhankelijk van wat het beveiligingsreglement de gebruiker toestaat, is het mogelijk dat een of meerdere van deze opties uitgegrijsd en dus onbruikbaar zijn.
Zelfs als de gebruiker toestemming heeft om zelf bestanden te versleutelen en te ontcijferen, kan hij geen bestanden of mappen ontcijferen die het beveiligingsreglement heeft gemarkeerd als objecten die altijd versleuteld moeten zijn en blijven.

Ontbrekend

Het openen van een versleuteld bestand ging tijdens de test in alle gevallen snel. Er was eigenlijk geen verschil met een onbeveiligd systeem merkbaar. Ook het versleutelen van een hele directory met documenten (zo’n 60 MB) verliep zonder nadelige gevolgen voor de gebruiker. De encryptie gebeurt namelijk in de achtergrond; het vertraagt het systeem niet en alle bestanden die nog niet versleuteld zijn, blijven gewoon beschikbaar voor de gebruiker. De client vraagt wel al naar een inlog als er geklikt wordt op een bestand dat normaal versleuteld zou moeten zijn, maar als die encryptie nog niet rond is, krijgt de gebruiker de inhoud ook te zien als hij niet geldig inlogt.
Dat laatste zien de testers niet als een probleem. Wel een nadeel is dat de mogelijkheid ontbreekt om een limiet te stellen aan de geldigheid van een inlog. Nu blijven de gegevens beschikbaar na een inlog totdat de gebruiker zelf de sleutels uit het geheugen gooit of totdat de in het reglement opgegeven geldigheidsduur daarvan verstrijkt. Als een systeem een tijdje niet gebruikt wordt (bijvoorbeeld vijf minuten), zouden de sleutels automatisch moeten vervallen, ook al geeft het reglement geen geldigheidsduur op.

Beheerconsole

De beheerconsole, Safeboot Administrator, is op vrijwel iedere pc te installeren. Bij de installatie duikt een dialoogvenster met drie panelen op: twee bovenaan en onderaan een derde dat de hele breedte van het scherm krijgt en dient voor systeemjournaalboodschappen. Het paneel linksboven toont een boomstructuur. De installateur kan kiezen uit twee tabbladen: gebruikers en systeem. In het tabblad ‘gebruikers’ neemt hij de individuele gebruikers en gebruikersgroepen op. Die zijn naar wens te definiëren. Koppelingen met Windows-gebruikers of Active Directory zijn mogelijk, maar daarin is niet standaard voorzien: het is een optie die geld kost.

Productinfo Product: Safeboot CE Producent en leverancier: Control Break International, Nieuwegein, tel. +31 30 63 48 800, http://www.safeboot.com. Adviesprijs (exclusief btw): basis (database met beheerconsole) 2500 euro (tien gebruikers); bijkomende licenties beginnen bij 130 euro per gebruiker voor kleine aantallen en lopen tot circa negentig euro per gebruiker voor grote aantallen (meer dan duizend). Systeemvereisten client: pc met Windows 9x/Me/NT/200x/XP en 5 MB vrije harde schijf-ruimte; er bestaat ook een client voor pda’s met Windows Mobile 2003. Systeemvereisten server: pc met Windows 9x/Me/NT/200x/XP en 20 MB vrije harde schijf-ruimte. Systeemvereisten beheerconsole: deze mag draaien op een derde pc met Windows 9x/Me/NT/200x/XP en 20 MB vrije harde schijf-ruimte.

Het tabblad ‘systeem’ toont vijf groepen: Safeboot Servers, Safeboot Bestanden, Encryptiesleutels, Beveiligingsreglementen en Gewiste Zaken. De laatste werkt volgens het vuilnisbaksysteem van Windows; gewiste zaken zijn ermee terug te halen. Het is mogelijk om meerdere Safeboot Servers in werking te stellen. Ze dienen voor het verstrekken van sleutel- en reglementinformatie aan de clients.
Safeboot Bestanden stelt de beheerder in staat om de bestanden voor een client of voor specifieke beveiligingstokens (usb-tokens, Smartcard-tokens, floppydisk-tokens) naar andere locaties te exporteren. De beheerder kan zelf nieuwe bestandengroepen definiëren of bestaande aanklikken en specificeren wat voor soort bestanden erin thuishoren: beheersysteem, client, taalondersteuning, herstel, token, lezer, C4 (versleuteling/ontcijfering) en pda.
Bij het definiëren van sleutels kan de beheerder opgeven wat hun geldigheidsduur is, of lokale caching toegestaan is, of ze voor specifieke gebruikers bestemd zijn en wat het toe te passen encryptie-algoritme is. Bij de reglementgroepen kan hij voor alle reglementen en voor individuele reglementen aangeven dat er een installatieset aangemaakt moet worden. De beheerconsole bouwt dan één clientinstallatie (één exe-bestand) met daarin de gekozen bestandengroep en het gewenste beveiligingsreglement (of meerdere reglementen).
Een beveiligingsreglement definiëren is bij Safeboot vrij gemakkelijk. Net als de meeste andere configuratieschermen heeft het deelvenster dat geopend wordt een echt Outlook-uiterlijk met links een donkere verticale balk met daarin bedieningspictogrammen en rechts de configuratie die bij het gekozen pictogram hoort. Een Safeboot-reglement heeft van boven naar onder: Group, General, File Extensions, Folders, Key Manager en Network. Group bevat de naam van het reglement en een eventueel commentaar. General is een aanklikbare reeks acties die de beheerder al dan niet kan toestaan.
Bij File Extensions geeft de beheerder op welke versleuteling toegepast moet worden op specifieke bestandenextensies. Hetzelfde val te specificeren voor folders en mappen. Safeboot voorziet hier in een soort macro’s waardoor bekende Windows-mappen als ‘Mijn Documenten’ al aanwezig zijn, ongeacht op welk schijfstation deze staan en hoe ze precies heten (dat is namelijk taalafhankelijk). Met deze macro’s kan de client via Windows te weten komen waar de gekozen directory staat en hoe die heet. De beheerder kan hierbij aangeven of reeds bestaande inhoud in zo’n directory versleuteld moet worden of niet. Indien hij dat niet laat doen, wordt alleen nieuwe inhoud versleuteld.
Bij de Key Manager (sleutelbeheer) kan de beheerder alleen opgeven hoe lang het systeem moet wachten alvorens opnieuw om een sleutel te vragen als de vorige aanvraag mislukte of er om een ongeregistreerde sleutel gevraagd is. Onder de rubriek Network kan de beheerder ervoor kiezen dat netwerkvolumes ook versleuteld mogen worden. Dit zal deze volumes wel ontoegankelijk maken voor iedereen die de Safeboot-client niet heeft draaien. Bij pc’s die een cache hebben waarin netwerkbestanden gekopieerd worden zodat deze te gebruiken zijn als de netwerkverbinding onderbroken is, is het mogelijk om ook die cache te laten versleutelen.

Conclusie

Safeboot CE werkt prima, maar de grote hoeveelheid opties en instellingen maken het niet direct geschikt voor beheerders die weinig ervaring hebben met zoiets, ongeacht de op het eerste zicht gemakkelijk uitziende gebruikersinterface. Als de complexiteit van het beheer geen probleem is, biedt dit product een krachtig gereedschap met een voldoende harde versleuteling.< BR>
 
Johan Zwiekhorst