Laptop - mobilne zagrożenie

Tylko na samych lotniskach w USA co tydzień ginie 12 tys. laptopów, a Europa dzielnie dotrzymuje kroku - na londyńskim Heathrow co tydzień wyparowuje ich 1000. Narzędzie mobilnego pracownika staje się dla działu bezpieczeństwa firmy jednym z najbardziej ryzykownych elementów w całym systemie, za który odpowiadają. Poszukując metod ochrony przed kradzieżą, znaleźliśmy kilka interesujących rozwiązań. Mieliśmy też okazję przetestować OmniAccess Non-Stop Laptop Guardian - zabezpieczenie oferowane przez Alcatel-Lucent.

NLG może zostać niemal z pudełka zintegrowane z rozwiązaniem FDE firmy McAfee (czyli popularnym SafeBootem), choć producent jest otwarty na integrację z innymi narzędziami, np. Check Point Pointsec czy Utimaco, jeżeli zajdzie taka potrzeba. Mając do dyspozycji rozwiązanie FDE, wyposażone w tryb uwierzytelniania w fazie pre-boot możemy wykorzystać MiFi jako token kryptograficzny. To, rzecz jasna, wymaga wygenerowania odpowiednich certyfikatów. NLG oferuje własne CA (Certificate Authority), ale jeżeli jesteśmy szczęśliwymi użytkownikami np. Microsoft CA, to nic nie stoi na przeszkodzie, żeby z niego skorzystać. Jeśli do tego chcemy logować się w domenie wykorzystując ten sposób uwierzytelniania, wymagane jest wykorzystanie MS CA i odpowiednie skonfigurowanie reguł polityki GPO. Gdy nie potrzebujemy ochrony FDE, a wystarczy nam szyfrowanie na poziomie kontenerów, w których zapisujemy dane wrażliwe lub dokumenty, to NLG może wykorzystać popularne narzędzie szyfrujące TrueCrypt. Jeżeli zostało one zainstalowane na stacji, to dalszą obsługę możemy realizować z poziomu konsoli zarządzania. Jesteśmy więc w stanie zdalnie utworzyć zaszyfrowany wolumin o dowolnym rozmiarze (ograniczonym wolną przestrzenią na dysku), wyłączyć go lub zupełnie usunąć. Bez względu na wybór sposobu szyfrowania klucze szyfrujące są przechowywane na urządzeniu MiFi. Gdy administrator otrzyma informację o kradzieży laptopa, może wysłać polecenie "Remote Kill". To powoduje usunięcie woluminu z zaszyfrowanymi danymi i blokadę komputera.

Blokada komputera - np. po odłączeniu karty NLG Klient NLG instalowany na laptopie ma także wbudowany moduł pełnostanowej zapory ogniowej z możliwością kontroli ruchu na poziomie aplikacji. Za jego sprawą jesteśmy w stanie skonfigurować różne zasady polityki bezpieczeństwa w zależności od tego, czy laptop znajduje się w biurze, czy podróżuje wraz z użytkownikiem. Wszystkie połączenia nawiązywane przez użytkownika są "przepychane" przez tunel VPN i kontrolowane przez firewalla. Nie ma więc możliwości, żeby użytkownik łączył się z internetem bez kontrolowania przesyłanych treści przez systemy firmowe. W ten sposób ograniczamy prawdopodobieństwo złapania infekcji, pochodzącej z niekontrolowanego źródła. Z zaporą związana jest także funkcja DNA (Direct Network Access), która pozwala na przepuszczenie pewnego ruchu poza kanałem VPN. Za jej pomocą możemy umożliwić użytkownikowi skorzystanie z drukarki sieciowej. W czasie, kiedy DNA jest aktywna, ruch do wnętrza kanału VPN zostaje zablokowany.

Warto jeszcze wspomnieć o jednej funkcji, która wkrótce ma zostać uruchomiona w NLG - wykorzystanie karty jako punktu dostępowego 3G. Będziemy mogli więc skorzystać z tego urządzenia w małym biurze i używać go jako rozwiązania femtocell.

Administracja do poprawki

Zarządzanie NLG odbywa się z poziomu dość niewygodnej konsoli webowej. Jest to element, w którym można by wprowadzić sporo poprawek. Wyszukiwanie informacji wymaga niekiedy powtarzania tych samych czynności, a odnalezienie właściwego użytkownika nie zawsze jest intuicyjne. Szczególnie uciążliwa jest sytuacja, kiedy zostaniemy wylogowani z powodu time-outu, bo pomimo ponownego zalogowania nie wracamy do ostatnio odwiedzanej przez nas zakładki, ale do głównego menu. Na plus konsoli przemawia szybkość jej działania. Z poziomu konsoli administrator może na bieżąco śledzić stan stacji (informacje o systemie operacyjnym, uruchomionych programach, aktywnych usługach itp.). Dostajemy też szczegółowe informacje o użytkowniku (czy jest zalogowany, czy karta NLG jest podłączona do laptopa, stan połączenia VPN itp.)

Konsola zarządzania NLG - status użytkownika I wreszcie funkcja monitoringu: możemy śledzić aktualną lokalizację użytkownika, a w zasadzie położenie karty NLG. Jeżeli nie jesteśmy w stanie wyświetlić aktualnej pozycji urządzenia (brak sygnału), przedstawiona zostanie ostatnio przekazana lokalizacja. Podczas próby podglądu lokalizacji jesteśmy proszeni o ponowne uwierzytelnienie i wyświetlane jest ostrzeżenie, że możemy naruszać dobra użytkownika - przydatna z prawnego punktu widzenia.

Podsumowanie

NLG jest bardzo ciekawą propozycją dla firm, które dużą wagę przywiązują do swoich urządzeń mobilnych. Dzięki możliwości integracji z produktami do szyfrowania dysków, może stanowić element koncepcji bezpiecznej stacji. Karta USB to krok w dobrym kierunku. Choć największym minusem rozwiązania jest sposób zarządzania i nieatrakcyjna konsola, to w porównaniu z poprzednio oferowaną i toporną kartą PCMCIA, urządzenie USB jest bardzo wygodne i funkcjonalne.

Komputery wykorzystane podczas testów: ICom Prestige Book 6335 oraz Fujitsu Siemens LifeBook E z systemem Microsoft Widnows XP SP3 i zainstalowanym oprogramowaniem TrueCrypt 6.3a. Dziękujemy firmie ICom sp. z o.o. za wypożyczenie komputera do testów.