De eTrust Vulnerability Manager r8 van Computer Associates is een ’toevoeging’ die het netwerk onderzoekt op kwetsbaarheden. Het biedt daarnaast ook een geautomatiseerd repareer- en configuratiebeheer samen met analyses van oplossingen en tegemoetkoming aan de gestelde beveiligingsreglement(en). Dat is een hele mondvol, maar zo omschrijft CA deze ‘appliance’. Data TestLab zocht uit of dit het walhalla inzake beveiliging is.
Een goede security appliance vertelt niet alleen wat er op het bedrijfsnetwerk kwetsbaar is en waarom, maar geeft ook tips om de problemen op te lossen of reikt de oplossingen meteen aan. Computer Associates hanteert een centraal beheersysteem dat modulair is en waarbij alle CA-producten onderling altijd kunnen samenwerken en beheerd worden, maar desgewenst ook zelfstandig werken. De eTrust Vulnerability Manager Appliance of kortweg VMA is daar volgens de leverancier dan ook geen uitzondering op. Het toestel zit in een 19-inch rack en is in feite een server met twee of drie netwerkkaarten. Het gaat om een Windows 2000 server met 1 GB RAM en een snelle processor. Daarop draait dan de eigenlijke eTrust Vulnerability Manager software, die niet los verkocht wordt.
Installatie en configuratie
Het goede nieuws is dat de gebruiker de installatie en configuratie niet zelf hoeft te doen. Deze handelingen zijn bij de prijs inbegrepen en worden ter plaatse uitgevoerd.. Dat is maar goed ook, want – en dit is meteen het slechte nieuws – de configuratie van het VMA-systeem blijkt behoorlijk moeilijk. Het bij Data TesLab geInstalleerde systeem werd gedemonstreerd door twee specialisten van CA en ook die hadden problemen met de webinterface. Zo konden zelfs zij bepaalde taken – zoals distributie van oplossingen van kwetsbaarheden naar activa (alle computers en netwerkapparatuur die door VMA gescand en eventueel inzake kwetsbaarheden beheerd moet worden) toe – niet tot een goed einde brengen. Het gaat dan ook niet bepaald om een systeem met gemakkelijke wizards. Nee, CA gaat ervan uit dat de persoon die deze webinterface zal bedienen volledig vertrouwd is met activa- en kwetsbaarhedenbeheer. Er is dus geen stap-voor-stap gids.
Bij het werken met de webinterface van VMA valt meteen op dat het systeem erg traag is. Zo duurt het inloggen veel te lang en heeft VMA ook teveel tijd nodig om bepaalde opdrachten uit te voeren. De grootste slokop qua tijd is het activabeheer. Het scannen van een subnet op zoek naar activa bleek in het gebruikte, relatief kleine, testnetwerk van Data TestLab maar even vier uur te kosten. Volgens CA wordt de activascan van VMA in de nabije toekomst vervangen door het efficiëntere en snellere activabeheer van CA Unicenter.
VMA heeft voor zijn bestandsdistributie overigens wel al het onderdeel ‘Software Delivery’ van Unicenter aan boord: helaas heeft men voor de software delivery agent er raadselachtig genoeg voor gekozen om helemaal geen installatieprocedure te voorzien. Als de gebruiker de agent downloadt, krijgt deze een zip-bestand dat moet worden uitgepakt. Daarna moet men een configuratietekstbestand voor de agent eerst in orde maken en
Productinfo Product: eTrust Vulnerability Manager r8 Appliance Producent: Computer Associates Inc., http://www.ca.com/nl/ Leverancier: eTrust Vulnerability Manager (eVM) wordt niet via distributie verdeeld. Een en ander werkt via geaccrediteerde partners die het product rechtstreeks bij CA halen. CA is in Nederland momenteel wel bezig om een ‘dedicated distributor’ aan te stellen. Adviesprijs (excl. BTW): vanaf 9500 dollar met onderhoudscontract van 2850 dollar per jaar (100 managed nodes) Systeemvereisten: Ethernet netwerk met RJ45-stekkers, te beheren stations met Windows, Linux of AIX |
Beheer
VMA is ontworpen als een zwarte doos op beveiligingsvlak. De doos wordt in het ‘rack’ geplaatst, ingeplugt en nadat alles netjes is geconfigureerd heeft men er geen omkijken meer naar. ‘Plug it and forget it’, als het ware. Zo gemakkelijk is het nu ook weer niet, vrezen wij.
Eerst en vooral zijn er de activa. Daaronder verstaat CA, zoals eerder al gesteld, alle computers en netwerkapparatuur die door VMA gescand en eventueel inzake kwetsbaarheden beheerd moet worden. Op de clients installeert de gebruiker een agent om VMA in staat te stellen zijn werk te doen. Kan men geen agent installeren, dan kan VMA beperkte informatie verzamelen als het netwerkstation Snmp ondersteunt. Is er ook geen Snmp-voorziening op de client dan kan die alleen worden ‘gepingd’.
Dit moet echt wel beter. CA moet maar eens kijken naar GFI LANguard Network Security Scan: dat product kan een echte weelde aan informatie verzamelen over systemen waarop geen agent geïnstalleerd is.
VMA ondersteunt een ‘auto-discovery’ om zelfstandig een reeks IP-adressen af te lopen op zoek naar activa. Zoals al aangegeven, kan dit flink lang duren. Activa kunnen in beheergroepen ingedeeld worden. Men kan dan later scannen op kwetsbaarheden voor specifieke groepen, of oplossingen doorsturen naar deze groepen. Het is ook mogelijk op te geven aan welke minimumvereisten inzake beveiliging een groep moet voldoen. VMA kan dan nagaan of er kwetsbaarheden zijn die deze minimumvereisten schaden.
De tweede stap is het scannen van activa op zoek naar kwetsbaarheden. De gebruiker/bheerder kan de gevonden kwetsbaarheden in detail bekijken en VMA vertelt of er oplossingen of omzeilingen voor bestaan. Als er een oplossing is, kan men die eventueel centraal doorsturen naar activa: daartoe wordt de oplossing in een ‘deployment queue’ gezet en volgens het door de gebruiker opgegeven schema naar de activa gedistribueerd. Ook dit liep niet van een leien dakje tijdens de test en bovendien bleken de mensen van CA er eveneens de grootste moeite mee te hebben.
VMA heeft een volledige rapportagesectie. Er zijn heel wat rapporten vooraf gedefinieerd, met verschillende niveaus van detail.
Conclusie
eTrust Vulnerability Manager Appliance biedt een nuttige dienst, maar CA heeft nog wat werk om de webinterface gebruiksvriendelijker te maken. Ook de installatieprocedure van de Software Delivery Agent vraagt verbetering. Tot slot zal de integratie van de activascan uit Unicenter de werksnelheid zeker ten goede komen.