STORMSHIELD IDENTIFICACIÓN DE LA HERRAMIENTA. CAPACIDADES. forma centralizada políticas de seguridad contextuales. (j) Soporta antivirus.

Transcripción

1 En el presente laboratorio se identifica, examina, analiza, valora y evalúa StormShield , de Arkoon + Netasq, una herramienta de seguridad de naturaleza software escalable, catalogada como sistema de protección distribuido, bajo el paradigma cliente-servidor, que cubre todos los endpoints (estaciones de trabajo, computadores laptops, desktops, etc.) de una organización. Esta protección abarca a usuario, sistema, datos y red. Se basa en políticas de seguridad y opera con agentes gestionados desde plataforma administrativa. Su arquitectura multi-capa integra diversos módulos de protección, que proporcionan múltiples niveles de protección en tiempo real a los endpoint, bloqueando proactivamente vulnerabilidades (como por ejemplo CVE ), APTs, TPAs, exploits 0-day, overflow de buffer de memoria, keyloggers; permite comprobar medios removibles, previene fuga de datos, controla aplicaciones y ficheros, bloquea ataques sofisticados a clientes de correo electrónico, software de mensajería instantánea, navegadores y flash, desactiva puentes entre conexiones inalámbricas y cableadas, etc. Utiliza interfaces de red Ethernet, opera bajo la pila de protocolos TCP/IP y la plataforma de sistema operativo Windows para endpoints y servidor con SQL Server como base de datos. Se gestiona de forma centralizada, facilita las tareas de comprobación de cumplimientos, soporta alta disponibilidad y posibilita el balanceo de carga y failover sobre varios servidores. IDENTIFICACIÓN DE LA HERRAMIENTA. CAPACIDADES La herramienta software de seguridad StormShield , de Arkoon + Netasq, puede catalogarse como un sistema de protección distribuido que abarca todos los endpoint (estaciones de trabajo, PCs, laptops itinerantes, etc.) de una organización. Combina diversos componentes de seguridad para prevenir intrusiones, usos indebidos, ataques sofisticados, robo de datos, lecturas clandestinas, infecciones, etc. Se han constatado como capacidades más relevantes las siguientes: (a) Bloqueo de ataques sofisticados: TPAs, estilo APT stuxnet, multi-0-day, etc. (b) Prevención de fuga de datos. (c) Ayuda a las tareas de comprobación de cumplimientos. (d) Control y auditoría del uso de dispositivos removibles. Los agentes instalados en las estaciones de trabajo solo permiten dispositivos removibles inscritos que cumplen con los controles definidos en las políticas de seguridad. (e) Aplica el cifrado en ficheros, discos duros, pen-drives USB, etc. (f) Protege clientes de correo electrónico, navegadores web y software de mensajería instantánea. (g) Desactiva puentes entre conexiones cableadas e inalámbricas. (h) Previene el uso indebido de dispositivos inalámbricos como WiFi, 3G, Bluetooth, etc. (i) Gestiona de StormShield , de Arkoon + Netasq, es una herramienta software de seguridad, escalable y con capacidades de alta disponibilidad, que se cataloga como sistema de protección distribuido para endpoints (estaciones de trabajo, laptops, desktops, etc.) bajo el paradigma cliente-servidor. Utiliza agentes en cada estación de trabajo y servidor con SQL como base de datos, e integra un extenso grupo de funcionalidades, entre otras HIPS/AIDS, cortafuegos, protección de dispositivos removibles y conexiones inalámbricas, monitorización y control de ficheros, servicios, SO y aplicaciones, cifrado y antivirus. forma centralizada políticas de seguridad contextuales. (j) Soporta antivirus. ARQUITECTURA DE COMPONENTES La arquitectura de la herramienta aquí evaluada integra cuatro componentes principales: 1) Agentes StormShield. Permiten aplicar e implantar políticas de seguridad definidas por el administrador. Los agentes se instalan en los endpoints (laptop, desktop, estaciones de trabajo, etc.); se utilizan también para enviar logs e información de estado al servidor de la herramienta aquí evaluada, StormShield. El agente se comunica con el servidor, cuyo rol es distribuir políticas de seguridad a cada agente y recoger datos relativos a la seguridad de las estaciones de trabajo. Algunas características presentes en los agentes son: visualizar logs de eventos, cifrar todo el disco, conceder acceso web temporal, autenticación, lanzar proceso de recuperación de datos y crear contraseña en dispositivos removibles. La herramienta aquí evaluada puede utilizarse para crear scripts que controlen la re-configuración autónoma y automática de los agentes. El empleo de scripts permite al administrador definir las condiciones para aplicar políticas y configuraciones basadas en: el estado de las estaciones de trabajo, la conexión utilizada y la identidad del usuario. La aplicación de políticas dinámicas posibilita modificar las políticas en tiempo real y aplicar la conformidad de la estación de trabajo (importante antes de permitir el acceso de una estación de trabajo a la red corporativa). Se han constatado tres tipos de scripts: de tipo test, de tipo acción y de tipo batch. 2) Consola de gestión. La consola de gestión SkyRecon se utiliza principalmente para: i. Definir diferentes categorías de políticas de seguridad. ii. Gestionar usuarios y entornos. iii. Monitorizar y supervisar logs. 3) Servidor StormShield. La herramienta aquí evaluada se basa en un servidor maestro utilizado para distribuir políticas de seguridad 118 A B R I L / N º / S i C

2 y recoger los logs. El agente necesita al menos que un servidor maestro se encuentre operativo. Debe existir uno en cada sitio geográfico; los servidores esclavo son opcionales, pueden utilizarse bien como mecanismo de respaldo o failover (mecanismo de alta disponibilidad), bien para distribución de carga. Los servidores esclavo pueden añadirse al servidor maestro según convenga. El servidor maestro comparte la descripción agent groups y las políticas de seguridad con los servidores esclavos. La consola de gestión se comunica con los servidores disponibles. Si un servidor deja de estar operativo y vuelve a estar en línea, actualizará su configuración desde los otros servidores. Se ha podido constatar que en el editor de configuración se puede definir una lista de servidores (maestro y esclavo) para compartir la carga. También se pueden priorizar los servidores. Se ha constatado que cada vez que se despliega una configuración, los agentes reciben las direcciones del servidor maestro y servidores esclavos a los que se les permite acceder y el orden en que acceder a ellos. Cuando un agente intenta conectarse a un servidor para determinar si está disponible una nueva configuración, se conecta por defecto al último servidor al que se conectó. Si este servidor estuviera sobrecargado, se envía un mensaje al agente pidiendo que se conecte a otro servidor. Se utiliza la lista de servidores para definir una prioridad basada en la localización del agente. Se ha constatado que si el servidor maestro deja de estar disponible, automáticamente el siguiente servidor esclavo disponible en la lista priorizada toma el papel del servidor maestro. Los agentes se comunican con el nuevo servidor maestro y se notifica al administrador este cambio de roles. Cuando finalmente el servidor original opera de nuevo, automáticamente asume su función de maestro y el servidor que temporalmente realizó esta función vuelve a su papel de esclavo. 4) Base de datos SQL. Se utiliza para guardar información valiosa como: logs, políticas de seguridad y datos de recuperación. LÍNEAS DE DEFENSA DE LOS MECANISMOS DE PROTECCIÓN La herramienta aquí evaluada se ha constatado que integra tres categorías de mecanismos de protección que se materializan sobre el interfaz gráfico de la consola de gestión: 1) Protección basada en reglas. Se utiliza para definir y asegurar la aplicación de la política de seguridad en puntos que son considerados sensibles por el cliente. Una política de seguridad contiene un conjunto de reglas formales que permiten o impiden acceso a: (i) Ejecución de aplicaciones. (ii) Reglas de red de firewall. (iii) Reglas de utilización de recursos (red, ficheros, base de registro) para cada aplicación. (iv) Utilización de derechos sobre tipos de ficheros (dependiendo de sus extensiones). (v) Derechos de utilización sobre dispositivos de almacenamiento masivo. (vi) Aplicaciones de confianza que pueden saltarse parte o todas las restricciones que impone la herramienta bajo evaluación. Se ha constatado asimismo que una política de seguridad explícita puede aplicarse a diferentes grupos de estaciones de trabajo. El administrador está a cargo de implantar este tipo de política explícitamente, estableciendo las acciones permitidas y prohibidas de acceso a los recursos de la estación de trabajo del cliente y Fig. 1.- Arquitectura general de StormShield a nivel de red (como acceso a ficheros, protocolos de red o bases de registro). La protección basada en reglas puede utilizarse bajo tres enfoques: i. Lista blanca. Consiste en denegar todo lo que no esté autorizado explícitamente. ii. Lista negra. Consiste en autorizar todo lo que no se encuentre denegado explícitamente. iii. Combinado. Permite adaptarse al entorno en el que se apliquen las reglas. Es posible utilizar lista blanca para todo lo relacionado con el acceso a red y una lista negra cuando se trate con aplicaciones que los usuarios pueden utilizar legítimamente. 2) Protecciones automáticas. Permiten detectar y bloquear anomalías y códigos maliciosos, tanto conocidos como desconocidos, utilizando identificación de patrones de ataque en vez de identificación de código. Las protecciones automáticas no necesitan configuración por parte del administrador; no obstante éste puede ajustar estos mecanismos para especificar el nivel de cómo la herramienta debería reaccionar ante diferentes eventos; por ejemplo, el administrador puede inhabilitar estas protecciones parcial o totalmente. Se han podido constatar dos categorías de mecanismos de protección automáticos: Fig. 2.- Asistente de instalación de StormShield EQUIPOS UTILIZADOS EN LA EVALUACIÓN Equipamiento para agentes, servidor y consola con Windows (XP con SP2/SP3 32 bits, 2003 SP2 y R2, Vista con SP1/SP2 32 bits, 7 32/64 bits, Windows Server 2003 con SP1/SP2 32/64 bits, Windows 2008 SP2 y R2), PCs con procesador Pentium IV, 3GHz., con 1Gb de memoria, disco duro de 250Gb, unidad DVD/CD-ROM, tarjeta gráfica WXGA, tarjeta NIC de red 10/100/1000 Base T compatible NE2000/NDIS. Navegadores Internet Explorer 7/8, Mozilla Firefox 3.x. Servidores de base de datos SQL (MS-SQL-2000/2005). Clientes de correo electrónico como Outlook. JRE (Java Runtime Environment). Active-Directory y GPO. Nueve redes locales, Ethernet 10/100/1000 BaseT con IEEE LLC, como soporte físico de las comunicaciones con Protocolo de Control de Acceso al Medio o MAC CSMA/CD. Acceso a Internet. Hubs/Switches de 16 puertos Ethernet 10/100/1000. Modems analógicos para RTB/ RTC V.90/ITU-TSS (a 56 Kbps) y tarjetas digitales RDSI-BE 2B+D/Acceso Básico-BRA como acceso conmutado al exterior y conexiones ADSL/ cable módem. Acceso GSM/ GPRS/UMTS/HSDPA. Routers. Firewalls. Puntos de acceso Wi-Fi, IEEE g/b/a/n. Impresoras. Sniffers/ keyloggers. Analizador de protocolos para monitorizar las comunicaciones intercambiadas en todos los niveles de la arquitectura. Módulos de valoración de protección ante intrusiones, fugas de información sensible, malware, ingeniería inversa, criptoanálisis, etc. Medidores de efectividad en protección de servicios, aplicaciones y ficheros. Módulo de valoración frente a protección contra vulnerabilidades 0-day, APTs, TPAs, etc. Módulos de valoración de criptoanálisis, antiforensía, interfaces y de mecanismos de gestión e informes estadísticos. Módulo de pruebas para medidas de protección endpoint. Generadores de ataques diversos, exploits, APTs, TPAs, fuga de datos sensibles, infección de aplicaciones, intrusiones de múltiples 0-day, etc. Baterías de valoración efectividad de bloqueos en saturación de memoria, keyloggers, ataques a aplicaciones, sistema operativo, protocolos, SSL, datos y ficheros, criptoanálisis en unidades de almacenamiento. Módulos de amenazas vía canales encubiertos y herramientas de ocultación esteganográficas/criptográficas y con técnicas antiforenses. S i C / N º / A B R I L

3 i. Para aplicación y actividades del sistema. Esto sirve para proteger las estaciones de trabajo contra intentos de corromper ficheros ejecutables y acceder a servicios o datos de sistemas sensibles. ii. Se utiliza un IDS para que las estaciones de trabajo puedan protegerse de los ataques de la red. Los mecanismos para detectar ataques al sistema o red están activos permanentemente. El administrador puede controlar el tratamiento de estos eventos por parte de la herramienta aquí evaluada, ignorando el evento, generando una alerta o bloqueando la acción en progreso. Se ha constatado que dependiendo del tipo de evento que suceda, el sistema enviará una alerta o aplicará las contramedidas automáticamente definidas por el administrador. 3) Protección basada en perfil. Es adecuada para contrarrestar ataques dirigidos y gusanos de alta velocidad. Se basa en la capacidad de monitorizar las llamadas del sistema (como por ejemplo apertura de puertos, carga de librerías, acceso a memoria compartida y lectura de las claves de registro) hechas por cada aplicación. Durante la fase de aprendizaje, se monitoriza el comportamiento de la aplicación. La fase de aprendizaje se utiliza para recoger información sobre las acciones realizadas mientras se ejecutan las aplicaciones en una estación de trabajo. Las llamadas del sistema se guardan para formar un perfil de aplicación. Después de esta fase, las acciones realizadas por las aplicaciones mientras se ejecutan y se comparan con sus perfiles ya creados para detectar cualquier desviación que pueda ocurrir. De este modo se trata de bloquear los ataques basados en corromper aplicaciones o servicios del sistema operativo, incluso sin la existencia de firma de ataque. COMPONENTES Y TIPOS DE POLÍTICAS DE SEGURIDAD Se han constatado como principales componentes de las políticas de seguridad materializados en el editor de política de seguridad asociado a la consola de gestión, los siguientes: 1) Reglas. Las reglas representan la granularidad de las políticas de seguridad definidas por el administrador. Se organizan por categorías en el editor de política y son: firewall de red, reglas de aplicaciones, reglas de extensión, componentes del kernel, reglas de confianza, puntos de acceso WiFi y dispositivos removibles. 2) Grupos de reglas. Para facilitar la utilización de reglas por parte del administrador se pueden agrupar en grupos. Fig. 3.- Niveles de protección de StormShield Fig. 4.- Consola de gestión de StormShield Fig. 5.- Editor de política de seguridad con StormShield Algunos ejemplos de grupos son: default group, base system, base network, web browsers, clients, P2P, Instant Messaging y multimedia. 3) Categorías de reglas. Los grupos de reglas se estructuran en categorías. Algunos ejemplos son: general setting, network firewall, application rules, trusted rules, removible devices y wifi access points. Se han constatado asimismo como principales tipos de las políticas de seguridad desplegadas desde la consola de gestión, los siguientes: 1) Política vacía. Contiene el grupo de reglas por defecto que puede configurar el administrador. Por ejemplo, una política de seguridad que incluya un grupo de reglas antivirus en las reglas de confianza solo se incluye si el usuario tiene instalada la opción antivirus. 2) Política estándar. Además de tener los grupos de reglas por defecto, una política estándar contiene los siguientes grupos de reglas: (i) Base Network. Es un conjunto de reglas de firewall utilizadas para proporcionar servicios estándar en las estaciones de trabajo. (ii) Base System. Es un conjunto de reglas del sistema utilizadas para dar servicios estándar en las estaciones de trabajo. 3) Política avanzada. Cuando se crea una política avanzada, el administrador puede elegir añadir otro grupo de reglas a los grupos de reglas por defecto. El administrador puede elegir entre siete grupos de reglas: Base network (para controlar DNS, netbios, etc.), Web browsers (controlan o restringen el navegador web), Clients (controla acceso a SMTP, HTTP, POP3, etc.), Base System (servicios Windows y programas como Explorer), P2P (deniega acceso a aplicaciones P2P), IM (grupo de reglas restrictivas para clientes IM, restricciones de red a servidores y extensiones para compartir ficheros), Multimedia (grupo de reglas restrictivas para players multimedia y formatos de ficheros). PRINCIPALES FUNCIONALIDADES Se han constatado como módulos o funcionalidades principales, las siguientes: 1) Prevención y detección de intrusiones vía HIPS (Host Intrusión Prevention System), control de red por firewall de cliente y por AIDS (Application Intrusion Detection System). Permite bloquear ataques sofisticados y posibilita protección contra: (i) Creación de ficheros (exe, msi, dll, bat, etc.). (ii) Buffer-overflow/saturación de memoria. Incluye numerosas opciones de defensa como por ejemplo BKP para trazabilidad 120 A B R I L / N º / S i C

4 de operaciones que conducen a la ejecución de código no seguro. (iii) Keyloggers (captura clandestina de datos por teclado). (iv) Escalado de privilegios. (v) Sobre uso de CPU y contra re-arranques espontáneos. (vi) Componentes del kernel (drivers y rootkits). (vii) Acceso a procesos. A nivel de firewall se pueden proteger las entradas y las salidas por dirección IP/L3, MAC/L2, puertos/ L4, servicios/l5 (URLs, direcciones , etc.), etc. Esta protección utiliza el modo stateful. A nivel AIDS protege contra: DoS-denegación de servicios, inundaciones, cabeceras fragmentadas, escaneo de puertos, etc. Posibilita protección proactiva a nivel de kernel contra vulnerabilidades, acceso a claves de registro, detecta y bloquea intentos de escaneo de puertos, envenenamiento ARP, etc. 2) Control de dispositivos periféricos externos. Permite limitar y/o denegar acceso a dispositivos como: modems, puertos LPT, COM, conexiones Bluetooth y 3G, CD, DVD, escritores de Blu-Ray, cifra datos almacenados en dispositivos removibles, audita las operaciones realizadas sobre dispositivos periféricos, comprueba los derechos de lectura y escritura por tipo de fichero, etc. 3) Control de aplicaciones. Permite monitorizar y controlar la instalación y ejecución de aplicaciones. Soporta la creación de listas blancas y negras, y posibilita proteger el acceso a los ficheros. 4) Seguridad inalámbrica. Verifica conexiones inalámbricas como IrDa, WiFi, etc. Requiere que se utilice VPN en puntos de acceso públicos. Soporta listas blancas de puntos de acceso WiFi autorizados. 5) Cumplimiento. Permite realizar tareas de comprobación de cumplimientos reglamentarios. 6) Cifrado. Permite cifra por extensión de fichero, posibilita el cifrado completo del disco duro y facilita el borrado seguro de ficheros por múltiples sobre-escrituras y limpieza del swap. 7) Antivirus. Permite detectar y limpiar posibles virus. Como opciones de escaneo: cualquier driver de la estación de trabajo, control acceso Internet para bloquear descargas no autorizadas, control de entradas y salidas de correos electrónicos y posibles infecciones de ficheros de la estación de trabajo o red. INFORMES. TIPOS. GESTIÓN Fig. 6.- Generación de informes en tiempo real con StormShield La herramienta aquí evaluada gestiona los informes a dos niveles desde el panel management and monitoring tools de la consola de gestión: (i) Nivel reporting. El administrador puede Fig. 7.- Editor de política de cifrado con StormShield Fig. 8.- Interfaz para el cifrado con StormShield Fig. 9.- Editor de política AV con StormShield generar y ver informes desde la consola de gestión. (ii) Nivel role manager. Para generar y visualizar informes el usuario de la consola debe tener los permisos apropiados. Dichos permisos los da el administrador al usuario de consola. Se han constatado en la herramienta aquí valorada cinco categorías de informes: (i) Servidor y agentes. (ii) Integridad de la estación de trabajo. (iii) Seguridad del sistema. (iv) Dispositivos removibles. (v) Antivirus. Estas categorías se clasifican en dos grandes tipos de informes: (a) Informes en tiempo real. Proporcionan la información última. Esta información se actualiza automáticamente dependiendo del número de segundos configurado en la consola. Posibilita generar un amplio surtido de informes, como por ejemplo el número de agentes conectados por servidor, número de agentes por configuración, números de agentes por política, bloqueos y warnings, etc. (b) Informes históricos. Proporcionan información durante un período de tiempo seleccionado, por ejemplo transferencia de datos por usuario, violaciones de políticas por usuario o agente, número de ficheros bloqueados, etc. en un intervalo de tiempo seleccionado. PROTECCIÓN POR CIFRADO El cifrado de datos proporciona un nivel extra de protección de datos utilizando contraseña. Los datos cifrados pueden guardarse en disco o enviarse a usuarios de dentro y fuera de la red corporativa utilizando Internet. Se han constatado dos tipos-opciones de cifrado que pueden habilitarse simultáneamente: (1) Cifrado de ficheros. Solo se cifra el contenido del fichero. La lista de ficheros la define el administrador y el sistema y programas permanecen sin cifrar. Cada fichero normalmente se cifra con una clave de cifrado separada; se permite una gestión individual de los ficheros cifrados y el administrador puede modificar qué ficheros cifrar. Cuando una estación de trabajo se encuentra en modo multiusuario, cada usuario dispone de una única contraseña para autenticación. La herramienta aquí evaluada utiliza dos tipos de claves de cifrado: clave de computador y clave de usuario. Cada computador solo tiene una clave de computador pero múltiples claves de usuario; esto posibilita que los usuarios compartan los computadores y mantengan privacidad y confidencialidad de sus datos. Las carpetas y ficheros cifrados con la clave de cifrado de computador los puede abrir cualquier usuario. Se han constatado dos opciones de cifrado de fichero: por extensión o por carpetas de cifrado. S i C / N º / A B R I L

5 (2) Cifrado del disco duro. Se utiliza para cifrar todo lo existente en un disco o partición de disco específica, incluso la configuración del computador. Una vez que el administrador configura las opciones de cifrado, el computador empieza el proceso de sincronización (o cifrado). Automáticamente los datos del computador del agente se cifran por fichero o por disco (dependiendo de la política de cifrado aplicada). CONSIDERACIONES FINALES Fig Asistente de despliegue de agentes con StormShield Se ha sometido a StormShield , de Arkoon + Netasq, durante veinte días a un continuado y exhaustivo conjunto de pruebas y diferentes baterías de test. Se ha evaluado la herramienta software con resultados globales en efectividad, capacidades de protección, funcionalidades, gestión, escalabilidad, tolerancia a fallos y facilidad de uso en torno al 93,6%. Los resultados de las pruebas relativas a la efectividad de las políticas en situaciones adversas han sido satisfactorios, del 92,7%; y son de destacar los niveles de granularidad que aporta. Los resultados de las baterías de test para la valoración de la efectividad y protección a nivel de intrusiones IPS/IDS han sido del 92,2%, incluso ante ataques persistentes de nueva generación con múltiples 0-day. La valoración en relación al antivirus ha sido satisfactoria. La valoración en torno a la precisión, fiabilidad y calidad de la información obtenida para la generación de informes en situaciones normales y con elevado grado de anomalías ha sido del 98,4% y 91%, respectivamente. Por su parte, los resultados de las baterías de test para la valoración de los mecanismos de protección contra servicios y aplicaciones L5/TCP/IP han sido satisfactorios del 92,3%, destacando la efectividad de los tres niveles de defensa. Los resultados de las baterías de test para la valoración de la efectividad a nivel de control de dispositivos removibles han sido del 92,4% en el peor de los casos. Los resultados de las baterías de test para la valoración de la generación de informes han sido del 96,4%, destacando las capacidades de tiempo real implantadas. Los resultados de la valoración en torno a la fuga-robo de datos han sido muy satisfactorios, del 92,5%. La valoración en relación con las capacidades para las tareas de comprobación de cumplimientos ha sido satisfactoria; los de la valoración en torno al cifrado se han situado en el 92,3%. La valoración a nivel de protección de conexiones inalámbricas ha sido del 93%, y los de la valoración a nivel de gestión, interfaces y consola de administración, en el peor de los casos del 94%. La valoración de los test sometidos a las funcionalidades ha sido del 93%, en tanto que los resultados en torno a la escalabilidad han sido muy satisfactorios. La valoración de los test sobre tolerancia a fallos/failover ha sido del 93,4% en los peores escenarios prácticos. En relación con la facilidad de uso, la evaluación obtenida con un grupo numeroso de colectivos de diferente nivel ha sido muy satisfactoria. CONCLUSIONES Objetivo: Herramienta software de seguridad catalogada como sistema de protección distribuido para endpoints (estaciones de trabajo, laptops, desktops, etc.) bajo el paradigma cliente-servidor. Utiliza agentes en cada estación de trabajo y servidor con SQL como Base de Datos. Integra un extenso grupo de funcionalidades, entre otras: HIPS/AIDS, firewall, protección de dispositivos removibles y conexiones inalámbricas, monitorización y control de ficheros, servicios, SO y aplicaciones, cifrado, antivirus, etc. Soporta múltiples mecanismos autenticaciones y tolerancia a fallos. Puntualizaciones/limitaciones: El ciclo de vida de los agentes puede pasar por uno de los siguientes estados: todo activado, todo desactivado o stand-by (solo algunas características están habilitadas). El servidor y el agente no pueden instalarse en una misma máquina de computación. La base de datos dedicada almacena datos del servidor y es accedida por la consola de gestión. Se recomienda realizar un scandisk profundo y reparar los sectores defectuosos antes de aplicar el cifrado del disco completo. Utiliza para cifrar AES con longitud de clave simétrica 128/192/256 bits, obteniendo la certificación FIPS 140-2, ofrece dos modos CBC. El servidor de la herramienta aquí valorada se comunica con los agentes y con la consola utilizando SSLv3 con certificados X.509v3. Una única base de datos SQL puede asignarse a varias consolas de gestión. El interfaz de usuario administrativo es algo denso. La base de datos de la herramienta se comunica con la consola y el servidor utilizando SQL. El cifrado a nivel de fichero presenta menor rendimiento que el de disco duro; los usuarios pueden guardar datos sensibles en carpetas no cifradas y el administrador puede olvidar seleccionar datos sensibles que necesitan cifrarse. Impacto de su utilización: La protección en cada estación de trabajo se gestiona a través de un módulo software denominado agente. Después de instalar el agente, se establece una conexión con el servidor antivirus para descargar la última actualización de firmas de la base de datos. Para prevenir la visualización de los indicadores de cifrado, el administrador puede habilitar el modo stealth. Se muestra una barra de proceso de cifrado, tanto al cambiar de política, como al transferir un fichero de una zona no cifrada a una cifrada como en la recuperación. El administrador puede cifrar ficheros por su extensión o utilizando wildcard. Utilización sencilla. Prestaciones/ventajas específicas: Incorpora reglas predefinidas para facilitar que el administrador pueda aplicar de forma inmediata las políticas. Estas reglas por defecto pueden modificarse y personalizarse para adaptar las políticas a las particularidades de cada organización. Incluye tres categorías de mecanismos de protección: protección basada en reglas, protección automática y protección basada en perfil. La comunicación entre todos los componentes se autentica y cifra utilizando SSLv3 y certificados digitales X.509v3-ITU-T; asimismo se emplea la autenticación mutua entre componentes. El receptor de un objeto cifrado no necesita tener instalada la herramienta aquí evaluada. La definición de políticas posibilita el despliegue a gran escala. Fácil despliegue a nivel de clientes y servidor. Extenso grupo de funcionalidades interrelacionadas. Sencilla configuración. Soporte a tres niveles: teléfono 24/7, correo electrónico y vía web. Documentación: Adecuada. Utilización de ficheros.pdf o desde consola. Estructuración de la herramienta: Arquitectura de cuatro componentes principales: agentes en cada endpoint, servidor (maestro y esclavos), consola de gestión y base de datos SQL. Soporta servidor antivirus con base de datos de actualizaciones. Calificación final: Herramienta software de seguridad escalable, con capacidades de alta disponibilidad, del tipo sistema de protección distribuido que abarca a todos las estaciones de trabajo o endpoints de una organización. Permite controlar, monitorizar y registrar la actividad de las estaciones de trabajo utilizando: monitorización de agentes, monitorización de logs, log-manager y visualizador de eventos. Soporta diversos tipos de autenticación: Windows, secundaria (usa una contraseña secundaria) y con smart-card. Opera utilizando agentes y se basa en políticas de seguridad diversificadas. Integra una batería de líneas de defensa basadas en reglas, perfiles y de tipo automático. Se puede destacar la efectividad de un colectivo numeroso de funcionalidades, como por ejemplo control de accesos vía firewall, contra intrusiones a nivel host/aplicaciones, ataques y vulnerabilidades vía HIPS/AIDS, control de dispositivos periféricos y removibles, control de servicios, sistema operativo y aplicaciones, cifrados, antivirus; facilita las tareas de comprobación de cumplimientos y permite el control de conexiones inalámbricas. Soporta LDAP/AD, incorpora una gestión centralizada muy cuidada. Las capacidades de generación de informes que aporta son adecuadas para diferentes niveles de profundización. EQUIPO DE EVALUACIÓN Prof. Dr. Javier Areitio Bertolín Catedrático de la Facultad de Ingeniería UNIVERSIDAD DE DEUSTO Director del Grupo de Investigación Redes y Sistemas 122 A B R I L / N º / S i C