Bescherming tegen USB-sticks

Check Point Pointsec Protector

Usb-sticks, geheugenkaartjes en andere opslagmedia kunnen in elke pc gestopt worden en werken dan vaak zonder extra stuurbestanden of beheerdersrechten. Dit zijn daarom ernstige beveiligingslekken. Pointsec Protector beschermt daartegen.

Pointsec Mobile Technologies is een dochter van het Zweedse Protect Data. Dat bedrijf nam op 2 november 2006 het Engelse Reflex Magnetics over, de producent van het usb-beveiligingsproduct Disknet Pro. Pointsec Protector is de nieuwe naam en opvolger van Disknet Pro. Inmiddels is Protect Data zelf overgenomen en wel in januari dit jaar door Check Point (bekend van hun firewalls).

Op zich is dat natuurlijk erg gebruiksvriendelijk: wat voor opslagmedium je ook hebt, als je hem in een pc met Windows plugt kan die er probleemloos mee werken, en wel zonder dat er nog extra stuurbestanden geladen hoeven te worden. Er is niet eens een inlog als beheerder voor nodig. Of het nu een usb-geheugenstick is, een MMC-geheugenkaartje of nog iets anders dat via usb aangesloten wordt, wie het kan inpluggen kan het meteen gebruiken onder Windows. Omdat Windows het net herkende opslagmedium meestal meteen opent zodat de gebruiker er meteen bij kan, en er een ‘auto play’ voorzien is die een aanwezige configuratie- of installatieprocedure meteen start, praten we hier over een duidelijk en hoog beveiligingsrisico. Stel dat de inhoud van zo’n opslagmedium besmet is met een of meer virussen, dan komen die meteen op de bedrijfs-pc en zo in het bedrijfsnetwerk terecht. Een medewerker kan zo’n opslagmedium ook gebruiken om er kopieën van bedrijfsdocumenten op op te slaan. Op die manier kan gevoelige informatie het bedrijf verlaten zonder dat je er weet van hebt. Het is dus duidelijk: het gebruik van externe opslagmedia moet dus verhinderd of in ieder geval aan banden gelegd worden.

Beheer alle apparaten

Pointsec Protector is een client/server-beveiligingsoplossing die uitgaat van een centraal systeem met enerzijds een databaseserver waarop je een beveiligingsreglement vastlegt, gebruikers en hun toegangsrechten definieert en anderzijds software op de gebruikers-pc’s die de toegang tot alle opslagmedia kan regelen. Dit zou uiteraard niet gewerkt hebben als Pointsec Protector niet letterlijk alle in-/uitvoerapparaten kan beheren. Dat gebeurt met RMM (‘Removable Media Manager’ of verwijderbare-mediabeheerder) en ‘Port Guard’. Dat zijn systeemstuurprogramma’s die ervoor zorgen dat de toegang tot alle opslagmedia en aansluitpoorten (usb, FireWire, parallel, serieel, geheugenkaartpoorten en wat een pc nog meer kan hebben) toegelaten of geweigerd wordt.

Je kunt de toegang als volgt regelen: alle toegang weigeren; alleen lezen toestaan; volledige geautoriseerde toegang toestaan; alleen versleutelde toegang toestaan. Het client/serversysteem van Pointsec Protector biedt een gecentraliseerd beheer met auditing en alerts, definitie van regels voor toegang tot software en bestanden op alle soorten media of via welke soort toegangspoort dan ook, inclusief encryptie van data en de verplichting daartoe met EPM (Encryption Policy Manager). Daarnaast kunt u ook regels definiëren voor het gebruik van printers, scanners en modems.

Hoewel het eigenlijk niets met opslagmedia te maken heeft, wordt er aan de clientkant ook een beveiligingsagent ‘Program Security Guard’ geïnstalleerd en kun je regels definiëren voor e-mail en netwerktransmissies via andere protocols alsof het om een extern opslagmedium gaat. Zo kun je bepaalde bestandstypes in de e-mailbijlagen weren, de installatie van illegale software blokkeren en allerlei bestandenoperaties blokkeren (ook als ze via een webbrowser of een ftp-client gebeuren). Let wel: dit pakket verlost je niet van de noodzaak beveiligingen zoals antivirussoftware te installeren en liefst ook nog een persoonlijke firewall en spamfilter.

MMC

Het centrale beheer is gebaseerd op MMC (Microsoft Management Console). Je definieert er gebruikers die je kunt overnemen uit het Windows-domein, maar het is niet mogelijk gebruikers toe te voegen die de Windows-server onbekend zijn. Je kunt ze wel zelf in groepen indelen en die groepen vrij aanmaken. Er is ook een lijst van beheerde computers, maar die wordt automatisch aangevuld naarmate Pointsec Protector clients zich aanmelden: dat gebeurt dus volledig zonder menselijke tussenkomst. Je kunt zoveel beveiligingsreglementen aanmaken als je zelf noodzakelijk acht. In zo’n reglement definieer je op welke gebruikers en op welke hardware het slaat, wat toegelaten is en wat niet. Als je meerdere gebruikersgroepen definieert, kun je het best per groep een reglement aanmaken. De definitie van een reglement verloopt via een dialoogscherm met tabbladen. Een wizard zou misschien nog iets gemakkelijker geweest zijn, maar in essentie komt het aflopen van alle tabbladen op hetzelfde neer.

Praktijk

Op de clientsystemen worden de beveiligingsreglementen strikt toegepast. Een gebruiker die geen toestemming had om opslagmedia aan zijn systeem toe te voegen, kreeg meteen nul op het rekest bij het inpluggen van zo’n toestelletje. Een andere gebruiker die het toestel wel mocht toevoegen, maar geen vreemde media mocht inbrengen, kon alleen werken met op voorhand geregistreerde media. Zo kon dus perfect voorkomen worden dat er gevaarlijke bestanden op het netwerk terechtkwamen via externe opslagmedia. Media worden geïdentificeerd met een unieke digitale signatuur. Het is overigens mogelijk in het beveiligingsreglement op te geven dat alle of zelf bepaalde verwisselbare media standaard versleuteld horen te zijn. De versleuteling gebeurt dan volledig automatisch op de achtergrond, zonder dat de gebruiker zich daarvan bewust is.