Usb-apparatuur aan banden

Er bestaan heel veel soorten usb-apparatuur, sommige al intelligenter dan andere. Vaak krijgen ze probleemloos toegang tot het bedrijfsnetwerk als ze ingeplugd worden op een pc. Centennial DeviceWall beveiligt hiertegen.

Apparatuur via usb aangesluiten op de computer is erg gebruiksvriendelijk: Windows XP kan er – vaak zonder dat er extra stuurbestanden geladen hoeven te worden – mee werken. Er is niet eens een inlog als beheerder voor nodig. Of het nu een usb-stick is, een mp3-spelertje, een pda of nog iets anders, iedereen kan het inpluggen en er meteen gebruik van maken onder Windows. Omdat Windows het net herkende usb-toestel meestal meteen ‘opent’ zodat de gebruiker er meteen mee kan werken én er een ‘auto play’ voorzien is die een aanwezige configuratie- of installatieprocedure automatisch start, praten we hier over een duidelijk en hoog beveiligingsrisico.

Niets weerhoudt een hacker ervan zijn pda in een van de bedrijfs-pc’s te pluggen en zo aan alle data op het netwerk te kunnen komen waartoe de pc-gebruiker ook al toegang toe had. U zou ook een usb-stick toegestuurd kunnen krijgen met het verzoek de inhoud ervan te bekijken. Als een dergelijk verzoek in e-mail wordt gestuurd, zijn we tegenwoordig wantrouwig genoeg om zo’n bijlage zomaar te openen. Stuur mensen echter een usb-stick en vaak pluggen ze het zonder nadenken gewoon in hun computer. De pc start het setup-programma op het usb-toestelletje, maar dat zou dus een virus of een parasiet (spyware) kunnen bevatten.

Gevaar van binnenuit

Natuurlijk hoeft er niet eens sprake te zijn van een hacker. Meer dan 80 procent van alle beveiligingsinbreuken komen immers vanuit de eigen onderneming en gebeuren dus door medewerkers. Vaak hebben zij een veel flexibeler toegang tot allerlei bedrijfsdata dan hackers van buitenaf. Op die manieren kan gevoelige informatie het bedrijf verlaten zonder dat men er weet van heeft.

Het is duidelijk: het vrije en ongecontroleerde gebruik van usb-apparatuur op bedrijfs-pc’s moet aan banden gelegd.

De goedkoopste oplossing is natuurlijk het gebruik van usb-apparaten te verhinderen. Als de bedrijfs-pc’s geen usb-toestellen nodig hebben, kan men eenvoudigweg de usb-poorten afsluiten. Dat kan softwarematig: uitschakelen via het bios, maar dan moet men wel een wachtwoord instellen zodat gebruikers niet zelf in het bios de usb-poorten kunnen heractiveren, én een slot op de pc-kast zodat gebruikers het bios niet kunnen ‘resetten’ om zodoende het wachtwoord te vernietigen. Bij een pc met een insteekkaart voor de usb- of Firewire-aansluitingen kan men natuurlijk de kaart verwijderen, maar voor standaard ingebouwde en in het moederbord van de pc geïntegreerde poorten is dat niet mogelijk. Bij notebooks is er ook geen mogelijkheid om de aanwezige poorten fysiek te verwijderen. Men kan de usb-poorten ook fysiek blokkeren door ze dicht te gieten met bijvoorbeeld epoxyhars of een ander opvullend goedje, maar deze methode is onomkeerbaar. Daarnaast komt wellicht de garantie op de pc in het geding.

Regels

Een betere oplossing is het gebruik van usb-toestellen niet te blokkeren, maar hun gebruik aan regels of voorwaarden te onderwerpen. Dat kan met de installatie van clientsoftware op de gebruikers-pc’s om de toegang tot usb-toestellen te weigeren tenzij aan bepaalde voorwaarden voldaan is. Die voorwaarden worden vastgelegd in een beveiligingsreglement of ‘security policy’ en de genoemde clientsoftware kan die raadplegen via een gespecialiseerde server. Een dergelijke oplossing voor usb-opslagmedia is begin vorig jaar al in Computable besproken: Reflex Disknet Pro (Computable nr. 3/2005, pagina 18). Het betreffende artikel kan worden gevonden in het online-archief.

Centennial DeviceWall 3.2 kan echter ook andere soorten usb-toestellen dan opslagmedia aan banden leggen. DeviceWall geeft daarnaast een overzicht van de usb-apparatuur die in gebruik is in het netwerk en of die op een gegeven moment aangesloten is of niet.

Centennial Software maakt alleen maar beheersoftware voor het beheren van it-activa en het verzekeren van eindpuntbeveiligingen. DeviceWall past in dit laatste en moet dus voorkomen dat er zonder de nodige autorisatie data tussen bedrijfs-pc’s en usb-toestellen heen en weer getransporteerd kunnen worden. De software stelt de gebruiker in staat een beveiligingsreglement op te stellen waarmee deze vastlegt welke medewerkers in het bedrijf toegang hebben tot welke soorten toestellen. Elke toestelsoort die niet specifiek is toegestaan, wordt automatisch geblokkeerd voor een gebruiker. Naast usb-geheugensticks, algemene usb- en Firewire-opslagmedia voorkomt DeviceWall het ongeoorloofde gebruik van iPods en andere mediaspelers (inclusief willekeurige mp3-spelers), pda’s (zowel PalmOS- als Microsoft-gebaseerde), Blackberry-toestellen en Smartphones, maar ook cd’s, dvd’s en diskettes.

De bedoeling is dat een bedrijfsleider niet bang hoeft te zijn dat een medewerker de bedrijfspanden verlaat met een kopie van bedrijfsdata, -processen of documentatie op een of ander usb-apparaat. Overigens blokkeert DeviceWall alleen de toegang tot toestellen die werkelijk een beveiligingsrisico vertegenwoordigen. Een usb-toetsenbord of -muis vormt bijvoorbeeld geen beveiligingsrisico en die zal DeviceWall dus negeren. Bij de beveiliging van cd’s en dvd’s gaat het niet alleen om extern aangesloten lezers of schrijvers, maar ook om de ingebouwde. Zo kan men gebruikers toestaan te lezen van cd’s, maar bijvoorbeeld niet om bestanden vanaf het netwerk of hun pc te branden op een cd-r of cd-rw.

DeviceWall gaat nog een stap verder bij installatie op een notebook. Dan kan het ook draadloze toegang (zowel wlan als Bluetooth als irda) blokkeren, zodat bedrijfsactiva niet zomaar contact kunnen opnemen met onbekende toestellen of netwerken. Daartoe deelt DeviceWall alle toestellen in in vier toestelklassen: pda & smartphones, optische toestellen, opslagmedia en communicatiepoorten (draadloze).

Client/server

DeviceWall is een client/server-oplossing. Met het DeviceWall Control Center beheert en regelt de gebruiker alles. Op alle andere pc’s in het netwerk die men wil beveiligen draait dan een clientagent en die communiceert met het Control Center. Uiteraard moet de Control Center-dienst een beheerbevoegdheid hebben voor de te beveiligen pc’s.

In de laatste versie van DeviceWall is de mogelijkheid toegevoegd om veiligheidsbeheerders in staat te stellen op afstand het aantal geblokkeerde of toegestane toestelverbindingen op het netwerk te volgen, ook als ze niet ingelogd zijn in het DeviceWall Control Center. Aan de clientzijde hebben de agents beveiligingen aan boord om te voorkomen dat gebruikers die diensten kunnen stoppen of verwijderen, zelfs al hebben ze lokale beheerderrechten.

Let wel: DeviceWall verlost de gebruiker niet van de noodzaak beveiligingen zoals antivirussoftware, een persoonlijke firewall en anti-parasietsoftware te installeren.

Bij installatie van het DeviceWall Control Center wordt allereerst het hoofdreglement of ‘master policy’ aangemaakt. Men kan daarbij kiezen voor een open of gesloten reglement. Bij een gesloten reglement is niets toegestaan, tenzij de beheerder het expliciet toestaat. Bij open is alle toesteltoegang mogelijk, tenzij de beheerder het in een regel expliciet verbiedt. Vanuit dat Control Center kan de beheerder ook agenten distribueren over het netwerk en uiteraard beveiligingsreglementen uploaden naar de agenten.

DeviceWall slaat alle reglementen op als XML-documenten en die worden gepubliceerd via de IIS-webserver, zodat ze gedownload kunnen worden door de clientagent. Zoals men al begrijpt, zorgt het gebruik van http ervoor dat de DeviceWall-beveiliging ook kan werken over firewalls en routers heen.

Het hoofdreglement bepaalt de toegangsrechten tot elke toestelklasse voor elke gebruiker op het netwerk. De gebruiker/beheerder kan ‘vertrouwelingen’ of ‘trustees’ definiëren (zowel individuele gebruikers als groepen) voor elke toestelklasse die lees- en/of schrijftoegang of -verbod hebben voor de toestellen in deze klasse. De met een toestelklasse geassocieerde lijst van vertrouwelingen noemen we een ACL of ‘Access Control List’ (toegangscontrolelijst). Elke gebruiker die niet in zo’n ACL voorkomt, kan geen enkel toestel uit de gedefinieerde toestelklassen gebruiken. De gebruikers en gebruikersgroepen die zichtbaar zijn in het Control Center, zijn uiteraard de Windows-gebruikers en -groepen (of die van Active Directory).

Als het beveiligingsreglement klaar en actief is, kan een gebruiker de beveiliging niet meer omzeilen. De beheerder kan gebruikers en groepen toevoegen of weghalen in de ACL van een toestelklasse op elk willekeurig moment. De gewijzigde policy staat onmiddellijk klaar op de webserver voor download. Als men echter niet wil wachten tot het volgende downloadtijdstip van de agenten, kan er worden geklikt op ‘Push Policy Update’ om de bijwerking ogenblikkelijk naar de clientagenten te laten sturen.

Het is mogelijk om gebruikers tijdelijke toegang tot een bepaald apparaat te geven. Dat werkt met een sleutelcode die gebruikers van de beheerder krijgen en kunnen invoeren in ‘Tijdelijk Toegangsgereedschap’ als ze een melding krijgen dat ze geen toegangsrechten hebben tot een bepaald toestel.

Praktijk

Op de clientsystemen worden de beveiligingsreglementen strikt toegepast. Een gebruiker die geen toegang heeft voor opslagmedia, krijgt meteen nul op het rekest bij het inpluggen van een usb-geheugenstick. DeviceWall maakt echter geen onderscheid tussen een toestel en verwisselbare media. Zo kan men geen beveilingsregel opstellen die een gebruiker wel toestaat bestaande, op voorhand geregistreerde media te gebruiken, maar geen nieuwe. Er zijn ook geen specifieke toegangsrechten voor bepaalde soorten data of bestanden. Zodra een gebruiker toegang heeft tot een bepaald toestel, mag deze daar ook effectief alles van lezen of naartoe schrijven (indien hij/zij schrijfrechten heeft). Dat zijn dus punten waarop DeviceWall nog verbeterd kan worden.

Heel positief is dat het beveiligingssysteem blijft werken, ongeacht waar een pc of notebook mee naartoe wordt genomen. Bij een gesloten reglement blijft de toegang tot alle risicovolle apparaten dus geblokkeerd totdat de clientagent contact kan opnemen met het DeviceWall Control Center. En het bedrijfsreglement blijft volledig van toepassing voor een gebruiker die een notebook mee naar huis neemt. Zodra de notebook een internetverbinding heeft, kan de gebruiker contact opnemen met het Control Center en kan hij/zij toegang krijgen tot alle toestellen waartoe het beveiligingsreglement hem rechten geeft.