Šiandien teko sudalyvauti “Hermitage solutions” seminare apie “Astato Security Gateway” (oficialiai seminaras vadinosi „Tinklo perimetro ir IT infrastruktūros saugumo efektyvumo didinimas optimizuojant kaštus“, bet iš esmės buvo pristatomas šis kompiuterinio saugumo sprendimas).
“Hermitage solutions” man iki šiol buvo negirdėta įmonė, tik po to kai pradėjo pasakoti prisiminiau, kad vis tik šį pavadinimą jau buvau girdėjęs – jie organizuoja ir “Ethical Hacking” kursus ir buvau gavęs jų pakvietimą. Ir nenuostabu, kad pavadinimas negirdėtas – vis tik įmonė orientuota į gana siaurą sritį – kompiuterinio saugumo dalykus (t.y. platina saugumo dalykus, daro mokymus ir pan.) Dabar jau tikiuosi šis pavadinimas įsimins ilgesniam laikui.
Pats seminaras labai patiko, pranešėjas pasakojo tikrai įdomiai ir nenukrypdamas į smulkmenas. Vienas iš labiausiai šokiravusių dalykų buvo kai parodė, kad visi nelegalūs forumai su kreditinių kortelių numerių pardavimais, email duomenų bazių pardavimais vyksta ir Lietuvoje. Kažkaip iki šiol maniau, kad visa tai yra “kažkur ten” – kam gi įdomūs mūsų palyginus smulkučiai bankeliai? Pasirodo klydau, ir tokia informacija preikiaujama netgi Lietuvoje (arba ten jie tik parodė lietuviškų kortelių numerius
). Aplamai šiek tiek stebina, kad visas “nelegalaus turinio” platinimas organizuotas pagal legalių programų platinimo principus, t.y. tuose nelegaliuose forumuose pirkdamas kokį nors “trojan toolkit” gauni ir palaikyma (support) kažkokiam laikui, ir atnaujinimus. Pasibaigus terminui atnaujinimus reikia pirkti papildomai ir t.t., trumpiau sakant viskas veikia kaip normali programinės įrangos industrija.
Pats “Astaro Security Gateway” įrenginys suteikia “viskas viename” galymbę – t.y. tai yra ir “web proxy”, ir “smtp proxy” su antivirusiniu skanavimu ir ugniasienė. Visus šiuos komponentus galima įsigyti atskirai (t.y. galima įsigyti tik “Astaro Web Gateway” arba “Astaro Mail Gateway” arba “Astaro Security Gateway”), o galima ir kartu.
Įdomiausios savybės – tai kad šis įrenginys gali filtruoti ir SSL srautą, blokuoti Skype (ko nepvyksta kitiems saugumo gamintojams) ir elektroninių laiškų kodavimas su PGP be vartotojo įsikišimo.
Dar man pasirodė įdomus dalykas kad Astaro filtravimui naudoja du antivirusus – atviro kodo Clam Antivirus ir komercinį Avira Antivirus
Iki šiol nebuvo tekę girdėti apie elektroninių laiškų kodavimo pašto serveryje (arba šiuo atveju smtp proxy serveryje) galimybę, nors pats principas paprastas – įrenginyje užduodame, kad visi nurodytus prarametrus atitinkantys elektroniniai laiškai (pvz., su antrašte “slapta”) turi būti koduojami ir Astaro prieš išsiųsdamas juos į pasaulį užkoduoja. Visi raktai laikomi ir kodavimo veiksmai atliekami “Astaro Mail Gateway” įrenginyje, klientui nieko nereikia daryti keisti ar konfigūruoti. Pats įrenginys užduotais protokolais keičiasi raktais ir tikrina jų patikimumą.
Dar viena įdomi savybė – naudojant “Astaro Mail Gateway” galimybė kiekvienam vartotojui kasdieną gauti ataskaitą apie jam skirtus ir nufiltruotus laiškus (t.y. kažkuri dalis laiškų sunaikinama iš karto, kita dalis išsaugoma karantine). Kiekvienas vartotojas turi galimybę pats prisijungti prie savo puslapio ir pasiimti norimą laišką iš karantino. Na, čia iš asmeninės patirties galiu pasakyti, kad eiliniam vartotojui dažniausiai net toks atrodo paprastas dalykas yra per daug sudėtinga – mes pas save turėjome tokį sprendimą (ne Astaro, o kitos įmonės) ir paprastos buhalterės vis tiek nesugebėdavo susigaudyti kur prapuola laiškai ir kaip juos pasiimti iš karantino.
SSL srauto tikrinimas iš pradžių man skambėjo kaip visiška nesąmonė (kaip įmanoma tikrinti koduotą srautą?), o po to geriau pagalvojus supratau kad įmonėje tai visai įmanomas sprendimas. Tiesiog panaudojama savotiška “man in a middle” atakos atmaina, tik šiuo atveju tuo “man in a middle” asmeniu pasitikima, nes toks ir yra tikslas. Tai yra, kiekviename kliento kompiuteryje į “Trusted certificate authorities” yra įdiegtas mūsų naudojamo Astaro įrenginio “Certified Authority”, arba CA sertifikatas. Įmonėse tai padaryti visiškai nesudėtinga. O pats principas tampa visiškai paprastas – iš kliento SSL užklausa eina iki Astaro, o Astaro gateway savo ruožtu kreipiasi į tikrąją svetainę, o gavęs atsakymą ir patikrinęs nuo virusų užkoduoja jau su savo raktu. Kadangi kliento kompiuteryje Astaro sertifikatu pasitikima, klientas praktiškai nemato jokių anomalijų (tik įgudęs vartotojas galbūt pasiknistų ir pamatytų, kad kokios nors svetainės saugumo sertifikatas neatitinka to į kurį kreipiamasi).
Tokiu būdų vienu šūviu Astaro nušauna iš karto keletą zuikių:
- Klientas negali jungtis prie nepatikimų ssl svetainių (Astaro praleidžia tik tuos saitus kurių sertifikatai patikimi). Tokiu būtų išvengiama to, kad klientas praignoravęs keletą saugumo pranešimų prisijungs prie pvz., netikros banko svetainės
- Užblokuojami visi SSL “proxiai”, kuriais pasinaudodamas klientas galėtų išeiti į nepageidaujamas svetaines. Juk šiais laikais tereikia atsinešti USB raktelį kuriame įrašyta programa veikia kaip proxy, kuris leidžia SSL protokolu jungtis prie kokio nori puslapio
- Atsiranda galimybė iš tiesų blokuoti skype ir kitas nepageidaujamas programas, kurios išnaudodavo SSL protokolą ugniasienių apėjimui (pvz., visokius P2P tinklus kaip skype, TOR ir kt.)
- administratoriai turi galimybę kontroliuoti kad SSL protkolu vartotojai neparsisiųstų nepageidaujamų duomenų (pvz., exe failų, arba nevaikščiotų po tuos puslapius kur jiems negalima vaikščioti)
Man iš karto iškilo klausimas, kaip yra su pvz., Skaitmeninio Sertifikavimo Centro išduodamais sertifikatais – jus kai kurios naršyklės jų nepripažįsta iki šiol. Pasirodo problema išsprendžiama administratoriui ranka įkeliant norimus CA raktus į Astaro gateway – toliau jie tampa patikimi ir klientams leidžiama jungtis.
Vienas trūkumas, kad tokiu atveju kliento atorizacija kokiame nors puslapyje naudojant SSL sertifikatus tampa nebeįmanomas.
Kai kuriuos klausimus pamiršau pateikti, pvz., kokios operacinės sistemos pagrindu padaryti šie įrenginiai – ar tai koks nors BSD, ar Linux.
Apie web filtravimą iš viso galima būtų kalbėti valandų valandas – nes šis įrenginys gali filtruoti srautą pagal daugybę įvairiausių parametrų (pagal adresą, turinį, pagal kategorijas kurias įrenginys pasiima iš kažkurio “surf control” tiekėjo, galima filtruoti cookies, Javascript, VBscript, ActiveX ir t.t. ir t.t.).
O šiaip susidarė įspūdis kad šis įrenginys turi viską, ko tik gali prireikti saugant įmonės kompiuterinio tinklo perimetrą. Įdomiausia, kad “Hermitage Solutions” duoda šiuos įrenginius pasibandyti. I like it