INFORME DE LA HERRAMIENTA CheckPoint DLP

Transcripción

1 Estudio 52 Universidad de Alcalá Departamento de Ciencias de la Computación INFORME DE LA HERRAMIENTA CheckPoint DLP DESCRIPCIÓN GENERAL DLP es una potente herramienta de Data Loss Prevention creada por CheckPoint ( para organizaciones de aproximadamente personas que pretenden detectar y prevenir la transmisión no autorizada de información confidencial dentro de su organización de una forma eficaz y sin ralentizar las comunicaciones. DLP identifica, controla y protege la transmisión de datos a través de la inspección de contenidos y el análisis de los parámetros de operación (tales como origen, destino, objeto de datos y protocolo). CARACTERÍSTICAS PRINCIPALES Mayor visibilidad y herramientas de administración: Administración de estadísticas usando las herramientas SmartDashboard y SmartView Monitor. Los administradores pueden enviar o descartar el uso de correo electrónico con SmartView Tracker y SmartEvent. Mejoras en la aplicación de plantillas: Nueva opción para ignorar las plantillas vacías durante la exploración. Carga de forma dinámica muchas plantillas en un solo tipo de datos. Mejoras en correo electrónico y aplicaciones web: Fig. I Vision frontal de DLP Evita la pérdida de los datos de HTTP/S, de determinado tráfico como Gmail y Facebook. Inspecciona mensajes de correo electrónico entre los usuarios internos y grupos de una organización. Analiza TLS saliente (SMTPS) de correo electrónico cifrado. Inspección de los puertos HTTP/S no estándar. Mejora del rendimiento y disponibilidad: Mejoras de rendimiento (velocidad de conexión y conexiones simultáneas). DLP tiene modos tanto de autonomía como de plena disponibilidad. Posee distribución de carga. Se incluyen más de 500 tipos de datos definidos, ofreciendo la posibilidad de personalizar algunos de ellos según las necesidades del administrador. Notables mejoras en el lenguaje CPCode, el cual permite crear Scripts que definirán patrones de palabras a rastrear en las comunicaciones.

2 53 Estudio DATA TYPES Los DataTypes en DLP son la parte más importante de la política de seguridad, ya que nos permiten definir las restricciones que queremos realizar en las comunicaciones que ocurrirán en nuestra red. Algunas de estas palabras restringidas pueden ser números de teléfono, cuentas bancarias, DNI, etc. DLP divide los tipos de datos en 8 categorías distintas: Keywords: Define varias palabras prohibidas e indicar el número mínimo de repeticiones que se permiten para que se infrinja la política. Documents based on a corporate template: Compara un archivo enviado con la plantilla definida. Si supera un porcentaje de similitud, se detectara. (Ej.: modelo de facturas, currículum vitae etc.). File attributes: Define un tipo de archivo a rastrear. Regular Expressions: Generador de expresiones que detecta patrones de palabras o números como el DNI, número de teléfono, etc. Compound data types: Une dos o más tipos de datos en uno. Weighted Keywords: Asigna diferentes pesos de importancia a las palabras prohibidas. De esta forma, en cuanto llegamos a un límite numérico detectado en un mensaje, se registrará. Words from a dictionary: Importa un archivo con palabras prohibidas. CPcode : Lenguaje de programación de Checkpoint que nos permite programar nuestras propias reglas. De los tipos de datos citados anteriormente, los más innovadores que proporciona DLP son Regular Expressions y CPcode ya que nos permite definir tipos de datos adaptados a nuestras necesidades (por ejemplo, para crear un patrón que captase el DNI). CPcode es un lenguaje de programación capaz de crear multitud de funciones personalizables. La principal ventaja del lenguaje de programación CPcode es muy similar a otros lenguajes de programación que existe y por lo tanto facilita el aprendizaje. Una vez que codificado se guarda con extensión.cpc. MODULOS DE CHECK POINT DLP SmartViewMonitor SmartViewMonitor permite configurar y supervisar los distintos aspectos de las actividades de la red. Muestra un cuadro completo de la red y el rendimiento de la seguridad. SmartViewTracker SmartViewTracker recopila información detallada sobre la actividad en la red en forma de gráficos, pudiendo analizar patrones de tráfico, problemas de redes y de seguridad. Fig. III Lista de incidencias en SmartView Tracker El administrador suele utilizar SmartViewTracker para garantizar el buen funcionamiento de las máquinas dentro de su organización, pudiendo detectar problemas de seguridad en sus sistemas, recopilar información para propósitos legales o de auditorías, y generar informes. En casos de ataque o comportamiento sospechoso en la red, el administrador puede finalizar conexiones de manera temporal o definitiva para IP s específicas. SmartEvent SmartEvent es una herramienta que permite gestionar las incidencias en forma de gráficos o pequeñas tablas fácilmente configurables por el administrador en un entorno intuitivo y amigable. SmartDashBoard SmartDashBoard permite definir los Datatypes y con ellos la política del DLP (conjunto de reglas). Estas reglas son aplicables a navegación web, correo electrónico etc. Fig. IV Gráfico de políticas incumplidas durante dos semanas SmartReporter SmartReporter permite generar informes detallados o resumidos en formato HTML o MHT para todos los eventos registrados por Gateway Security Check Point, SecureClient e IPS. Fig. II Política

3 Estudio 54 UserCheck UserCheck es la aplicación que informa al usuario de las acciones que quedan monitorizadas o bloqueadas, dependiendo del tipo de regla definida, mediante pop-up en su propio PC. SmartUpdate SmartUpdate nos asegura que las implementaciones de seguridad están siempre al día, proporcionándonos un mayor control y eficiencia mientras se disminuye radicalmente los costes de mantenimiento de la gestión de instalaciones de seguridad global. DLP-1 permite analizar diversos protocolos de comunicación, como pueden ser HTTP, HTTPS, SMTP y FTP para evitar la pérdida de información en las comunicaciones realizadas entre PC s en la misma red. Con Smart- View Tracker (opción NetWork & EndPoint) podemos apreciar todas las incidencias ocurridas, las cuales son actualizadas automáticamente. Seleccionando una infracción podemos ver información acerca de quién ha cometido la infracción (ver Fig. V); hora, IP de la máquina desde la que se produce la infracción, IP de la máquina servidora, protocolo de transporte utilizado, regla infringida, prioridad, acción de la regla, palabras del texto que han infringido la regla, navegador utilizado, cookie y demás información acerca del mensaje y de la conexión. ANÁLISIS Y PRUEBAS EN PROTOCOLOS DE INSPECCIÓN Para analizar el funcionamiento de CheckPoint DLP se ha creado el siguiente escenario de operación, compuesto por 3 servidores (correo, ftp y web) y 2 clientes para realizar las pruebas y comprobar el buen funcionamiento de DLP. Usaremos una maquina virtual con el software SmartCenter para poder acceder a la administración de DLP, donde cualquier ordenador que se conecte a esa máquina pueda realizar funciones de administración en DLP. Fig. V Detalle de la infracción HTTP - HTTPS Ambos protocolos han sido probados de la misma forma, dado que el análisis de las comunicaciones y las alertas (pop up) que aparecen a los clientes cuando cometen una infracción son idénticos, pero dada la complejidad adicional de HTTPS respecto a HTTP, se citan a continuación las pruebas efectuadas sobre el primero. Para investigar cómo actúa DLP en la navegación Web mediante el protocolo HTTPS, (el cual utiliza certificados para una comunicación Web más segura), se ha usado una Web desarrollada en Joomla, alojada en un servidor Web Apache potenciada por XAMPP El modo de actuar que tiene el dispositivo DLP-1 en este protocolo esta basado en Man in the Middle, DLP-1 se encuentra entre el cliente y el servidor web, actuando como un cliente para el servidor web y como un proveedor para el cliente. DLP recibe los certificados provenientes del Servidor Web y los compara con las Trusted CA s y CRL (Black list) que tiene cargadas por defecto en su interior, procediendo a tomar una decisión respecto a qué para estos certificados. Para probar la configuración de certificados en HTTPS, en primer lugar configuramos DLP para que deniegue los certificados no conocidos (sin confianza), los que estén en la BlackList y los certificados expirados (caducados), con lo que observamos que al intentar acceder a la página Web desde el cliente, sin disponer del certificado, la conexión queda bloqueada.

4 55 Estudio Fig. VI Bloqueo de certificados Al cambiar la configuración de certificados, para que acepte los certificados no conocidos, el navegador informa al cliente de que no dispone del certificado de la página Web, por lo que el cliente debe aceptarlo para poder navegar por esta Web. DLP-1 provee certificados firmados por CheckPoint al cliente, el cual los agrega a la lista de certificados de confianza de su navegador para poder realizar la navegación de confianza. Fig. VIII Pop up de una infracción Prevent HTTPS En la siguiente prueba, enviamos una solicitud de contacto a la página Web utilizando el navegador Internet Explorer 8. El texto de la solicitud incluirá palabras relacionadas con la información confidencial de la empresa (presupuesto, cuenta bancaria), las cuales deberán ser interceptadas por DLP. Al enviar la solicitud aparece un mensaje de aviso alertándonos de que se ha infringido una regla de la política DLP asociada a la Información Confidencial, con lo que aparece un mensaje de alerta informando al usuario de que está infringiendo una regla y dándole la posibilidad de continuar con el envío de la solicitud o denegando el envío. Fig. VII Esquema de funcionamiento de DLP-1 en HTTPS Para comprobar cómo DLP analiza la comunicación en un protocolo HTTPS se enviarán solicitudes de contacto a la página Web con una palabra restringida por la política DLP, utilizando los navegadores Mozilla Firefox e Internet Explorer 8. Para empezar, enviamos una solicitud de contacto a la página Web utilizando el navegador Mozilla Firefox El texto de la solicitud incluirá palabras malsonantes, las cuales deberán ser interceptadas por DLP. Al enviar la solicitud aparece un mensaje de aviso alertándonos de que se ha infringido una regla de la política DLP asociada a las palabras malsonantes y la pantalla del navegador cambia a un mensaje de alerta bloqueándonos la sesión, por lo tanto la solicitud de contacto no llega al servidor web. Fig. IX Pop up de una infracción Ask User HTTPS

5 Estudio 56 SMTP Para el uso de DLP utilizando SMTP, utilizamos ArgoSoft MailServer, que utiliza los protocolos POP3 y SMTP para el envío y recepción de mensajes, respectivamente. Para probar como analiza DLP el tráfico de este protocolo, el cliente A enviará un mensaje al cliente B utilizando el cliente de correo Foxmail 6.5, incluyendo un fichero adjunto con un número de cuenta corriente. El DLP debe interceptar este mensaje, ya que viola la política DLP refiriéndose a la regla Cuenta Bancaria, la cual registra en el mensaje números de cuenta bancaria. FTP Respecto al funcionamiento de DLP con FTP, se ha configurado un servidor FTP equipado con el software FileZilla Server y dos clientes que se conectarán al servidor mediante el cliente FTP que provee Windows. Para probar cómo analiza DLP el tráfico sobre FTP, se han realizado las dos siguientes pruebas: En primer lugar hemos probado a enviar al servidor FTP un archivo.zip protegido con contraseña desde un cliente (ver Fig. XII). DLP intercepta la subida del archivo, ya que este viola la política que prohíbe el envío de archivos protegidos con contraseña. Fig. XII Intercepción de un archivo en el protocolo FTP Fig. X Infracción de la regla Cuenta Bancaria En la siguiente prueba, el cliente A enviará un mensaje al cliente B, incluyendo una imagen como fichero adjunto. El DLP intercepta este mensaje, ya que viola la política DLP, la cual impide el envío de imágenes. La regla asociada a esta infracción es de tipo Ask User, por tanto, la persona que envía el mensaje interceptado puede argumentar el motivo del envío para justificar la infracción (ver fig XI). En la segunda de las pruebas hemos enviado al servidor FTP imagen.png desde un cliente. DLP intercepta el envío, ya que esta acción viola la política que prohíbe el envío de imágenes. USER ACTIONS User Action se encarga de decidir cómo actuar cuando se produce una violación de una regla. La versión R75.20 cuenta con 4 tipos de acciones de usuario: Detect, Inform User, Ask User y Prevent. Para cada política definida se seleccionará un tipo de User Action según convenga al control de situación o necesidades del administrador de DLP-1 R75.20 y además, cabe la opción de editar el mensaje de advertencia el cual alerta al cliente cuando infrinja una violación de una política ya definida y/o algún dato esté en riesgo. Todas y cada una de estas acciones se podrán aplicar para controlar el tráfico de información dentro de una empresa de multitud de protocolos, entre los más importantes se encuentran: - Correos por SMTP - Correos por SMTP sobre TLS - Envíos a servidores FTP - Envíos a servidores web mediante HTTP - Envíos a servidores web mediante HTTPS DETECT Fig. XI Pop up de una infracción Ask User en SMTP Esta User Action, registra la violación de política por parte del cliente sin que éste tenga notificación de ello, aunque se permite que el envío llegue al destinatario.

6 57 Estudio Cabe destacar que al infringir una política se dotará de la información de tal violación al administrador del DLP-1 R75.20 (emisor, receptor, protocolo de comunicación, asunto, mensaje, hora, regla infringida, palabras conflictivas). INFORM USER Las diferencias entre ambas notificaciones es la posibilidad de revisar el contenido del envío en los casos de SMTP y SMTP/TLS. Si el usuario desea continuar con el envío del mensaje, pese a violar la política DLP, podrá justificar el envío. Esta nueva acción, Inform User, presenta la característica de informar al cliente cuando ha infringido una política mediante una ventana pop-up con los detalles del incidente a través de UserCheck. Fig. XVI Pantalla de confirmación para enviar el interceptado Dicha justificación le aparecerá monitorizada, junto con el contenido del envió, al administrador. Fig. XIII Notificación Inform User Esta ventana de alerta aparecerá en cualquier tipo de protocolo (SMTP, SMTP/TLS, FTP, HTTP, HTTPS ) y presentará características comunes: En HTTP, HTTPS y FTP, si se produce una violación de política, no habrá que justificar el envío, simplemente con pulsar Send se enviara bajo su responsabilidad. En cambio si el usuario decide descartar el envío, el comportamiento en los distintos protocolos será el siguiente: - La comunicación es interceptada. - El emisor recibe una notificación alertándole que acaba de infringir una regla. - El receptor recibe el mensaje. - Se recopila toda la información del incidente al administrador de DLP-1 R75.20 ASK USER Retiene el envío del usuario e informa ha dicho usuario de la violación de la política, dándole la posibilidad de enviarlo de todas formas o descartarlo. Esta notificación le llega al usuario a través de los dos siguientes tipos de pop up: Fig. XVII Mensaje de fuga de información en HTTP y HTTPS PREVENT Esta acción, es la más restrictiva en DLP, cuya principal característica es que bloquea el envío del mensaje para que no llegue al receptor. El cliente quedará avisado de esta acción mediante una ventana pop-up a través de UserCheck. Fig. XVIII Notificación Prevent En este caso, se seguirán los siguientes pasos: - La comunicación es interceptada. - El emisor recibe una notificación alertándole que acaba de infringir una regla y que el mensaje a enviar ha quedado bloqueado. - El receptor no recibe el mensaje. - Se recopila toda la información del incidente al administrador de DLP-1 R75.20