Usb-geheugensticks, geheugenkaartjes en andere opslagmedia kunnen zomaar in iedere pc gestoken worden en werken dan vaak zonder extra stuurbestanden of beheerdersrechten. Het veiligheidsrisico is dus hoog. Disknet Pro van Reflex claimt dat het bescherming biedt daartegen.
Het basisprincipe is gebruiksvriendelijk: als de gebruiker wat voor opslagmedium dan ook in een pc met Windows XP plugt, kan hij ermee werken, vaak zonder dat er extra stuurbestanden geladen hoeven te worden. Er is niet eens een inlog als beheerder voor nodig. Of het nu een usb-geheugenstick, een geheugenkaartje of iets anders is, iedereen kan het inpluggen en er meteen gebruik van maken onder Windows.
Omdat het besturingssysteem het net herkende opslagmedium meestal direct opent, zodat de gebruiker er meteen mee kan beginnen, en er een ‘auto play’ voorzien is die een aanwezige configuratie- of installatieprocedure meteen start, brengt dit grote beveiligingsrisico’s met zich mee. Stel dat de inhoud van zo’n opslagmedium besmet is met een virus, dan komt dat meteen op de bedrijfs-pc en zo in het bedrijfsnetwerk terecht. Een medewerker zou zo’n opslagmedium ook kunnen gebruiken om kopieën van bedrijfsdocumenten op te slaan. Zo kan gevoelige informatie ongemerkt de onderneming verlaten. Het gebruik van externe opslagmedia moet dus verhinderd of ten minste aan banden gelegd worden.
Blokkeren
De goedkoopste oplossing is het verhinderen van het gebruik van externe opslagmedia. Als de pc’s in feite normaal geen usb-toestellen nodig hebben, zou de organisatie de usb-poorten kunnen afsluiten. Dat kan softwarematig door ze gewoon uit te schakelen in het bios. Dan moet er wel een wachtwoord komen, zodat gebruikers niet zelf in het bios de usb-poorten kunnen heractiveren, en een slot op de pc-kast, zodat ze het bios niet kunnen ‘resetten’ om zodoende het bios-wachtwoord te vernietigen. Het is ook mogelijk om de usb-poorten fysiek te blokkeren door ze te verzegelen met een epoxyhars. Zoiets zal een eventuele garantie teniet doen. Verder moet je oppassen dat de hars niet in of op andere delen van de pc terechtkomt. Bovendien is deze methode onomkeerbaar.
Een betere oplossing is om het gebruik van externe opslagmedia niet te blokkeren, maar het gebruik ervan aan regels te onderwerpen. Dat is te regelen door de installatie van clientsoftware op de pc’s van de gebruikers die de toegang tot externe opslagmedia blokkeert tenzij aan bepaalde voorwaarden voldaan is. Die voorwaarden legt de organisatie vast in een beveiligingsreglement (security policy). De clientsoftware kan dat reglement raadplegen via een gespecialiseerde server. De Disknet Pro-oplossing van Reflex werkt op die manier.
Gecentraliseerd beheer
Reflex Disknet Pro is een client-server-beveiligingsoplossing die vertrekt vanuit een centraal systeem met een databaseserver waarop de organisatie haar beveiligingsreglement vastlegt en gebruikers en hun toegangsrechten definieert, en software op de pc’s die de toegang tot alle opslagmedia regelt. Deze oplossing functioneert goed doordat Disknet Pro letterlijk alle in- en uitvoerapparaten kan beheren. Dat gebeurt met behulp van rmm (removable media manager) en ‘port guard’. Dit zijn systeemsturingen die ervoor zorgen dat de toegang tot alle opslagmedia en aansluitpoorten (usb, firewire, parallel, serieel, geheugenkaartsleuven en wat een pc nog meer kan hebben) toegestaan of geweigerd wordt.
De organisatie kan de toegang als volgt regelen: alle toegang weigeren; alleen lezen toestaan; volledige geautoriseerde toegang toestaan; alleen versleutelde toegang toestaan. Het client-server-systeem van Disknet Pro biedt gecentraliseerd beheer met auditing en waarschuwingen, definitie van regels voor toegang tot software en bestanden op elk soort media en via elke soort toegangspoort, inclusief encryptie van data en de verplichting daartoe (epm, encryption policy manager). Daarnaast is het mogelijk om regels te definiëren voor het gebruik van printers, scanners en modems.
Hoewel het eigenlijk niets met opslagmedia te maken heeft, wordt aan client-kant ook een mailbeveiliging geïnstalleerd en kan de organisatie regels definiëren voor mail alsof het om een extern opslagmedium gaat. Het is mogelijk om bepaalde bestandstypes in de mailbijlagen te weren, de installatie van illegale software tegen te houden en allerlei kwaadaardige mails te blokkeren. Let wel: dit pakket verlost de organisatie niet van de noodzaak beveiligingen als antivirussoftware, een persoonlijke firewall en anti-ad- en -spyware te installeren.
Installatie
De installatie van Disknet Pro begint met de server. Al gebruiken server en clients dezelfde installatieprocedure, de beheerder kiest gewoon in het begin wat hij wil installeren. De centrale beheerconsole kan op de server of op een andere pc draaien. De server-installatie installeert een My SQL-databaseserver. Dit is enigszins verrassend, want dat databasesysteem tref je zo goed als nooit aan in Windows-omgevingen.
Er is geen voorziening om andere databaseservers, zoals een Microsoft- of Postgres SQL-server, te gebruiken. De installatieprocedure is volledig wizard-gebaseerd en daardoor gemakkelijk. De standaardinstellingen laten vrijwel alle toegang toe. Dit zorgt ervoor dat gebruikers niet plotseling zonder mediatoegang zitten terwijl er nog geen beveiligingsreglement gedefinieerd is.
Aan de client-zijde kan de beheerder de software alvast installeren, ook al is de server nog niet klaar of geconfigureerd. Een aantal externe opslagmedia zal dan geblokkeerd worden, maar een gebruiker heeft op dat moment nog de mogelijkheid de Disknet Pro-client uit te schakelen zodat hij nog overal bij kan. Als het beveiligingsreglement eenmaal gereed en actief is, kan de gebruiker de beveiliging niet meer omzeilen.
Strikt
Het centrale beheer is gebaseerd op MMC (Microsoft Management Console). De beheerder definieert gebruikers, die hij kan overnemen uit het Windows-domein. Het is niet mogelijk gebruikers toe te voegen die de Windows-server niet kent. De
| Productinfo Product: Disknet Pro Producent: Reflex Magnetics, http://www.reflex-magnetics.com Leverancier: Da Vinsi, tel. +32 3 2052900, http://www.davinsi.com Adviesprijs (excl. BTW): 43 euro per gebruiker vanaf honderd gebruikers Systeemvereisten: server: Windows XP/2000/2003/NT4SP6a, minstens 1 GB vrije schijfruimte en minstens 256 MB ram voor de My SQL database; client: Windows NT4 Workstation SP6a, Windows 2000 Professional SP2+ of Windows XP Professional |
De organisatie kan zoveel beveiligingsreglementen aanmaken als ze noodzakelijk acht. In zo’n reglement definieert ze op welke gebruikers en op welke hardware het slaat, en wat wel en niet toegestaan is. Als er meerdere gebruikersgroepen gedefinieerd zijn, is het aan te bevelen om per groep een reglement op te stellen. De definitie van een reglement verloopt via een dialoogscherm met tabbladen. Een wizard zou misschien nog iets gemakkelijker geweest zijn, maar in essentie komt het aflopen van alle tabbladen op hetzelfde neer.
Op de client-systemen worden de beveiligingsreglementen strikt toegepast. Een gebruiker die geen toestemming had om opslagmedia aan zijn systeem toe te voegen, kreeg meteen nul op het rekest bij het inpluggen van zo’n toestelletje. Een andere gebruiker die het toestel wel mocht toevoegen, maar geen vreemde media mocht inbrengen, kon alleen werken met op voorhand geregistreerde media. Zo is dus perfect te voorkomen dat er gevaarlijke bestanden op het netwerk terechtkomen via externe opslagmedia.
Conclusie
Reflex Disknet Pro stelt een organisatie effectief in staat alle externe opslagmedia en nog veel meer aan banden te leggen en met behulp van een beveiligingsreglement precies te bepalen wie wat mag doen en vooral wat niet is toegestaan. Het werkt en de testers konden het als gewone gebruiker niet omzeilen. De beheerder krijgt bovendien een waarschuwing als er illegale operaties uitgeprobeerd worden (inbegrepen een poging tot de-installeren van de software).< BR>
Johan Zwiekhorst
