Auditoplossing voor kwetsbaarheden

Kwetsbaarhedenscanners of 'vulnerability scanners' detecteren kwetsbaarheden. Daarvoor maken ze gewoonlijk gebruik van een database met bekende kwetsbaarheden en gaan ze na of de computers in het bedrijf daar gevoelig voor zijn.
Een auditoplossing gaat echter heel wat verder. Naast het scannen naar kwetsbaarheden, kijkt deze software ook nog naar configuratiewijzigingen, de status van lapmiddelen en opwaarderingen, de status van antivirus- en persoonlijke firewallsoftware, en maakt het een lijst aan van niet-toegestane hardware en software. Deze verzameling opdrachten heet dus een kwetsbaarhedenaudit.
AuditExpress, dat samen met grote broer SecurityExpressions overgenomen werd door Altiris van Pedestal Software, kan zulke audits uitvoeren voor zowel Windows als verschillende Unix-systemen, zowel notebooks als desktop-pc's en servers en op de geauditeerde systemen, eventueel met behulp van software-agenten.

Installatie

Het 'pakket' bestaat uit een console waarmee de beheerder communiceert met het product, en uit de eventuele agenten die op te auditeren systemen draaien. Voor de console wordt alleen Windows (vanaf NT4) ondersteund; de te auditeren systemen mogen daarnaast echter ook Solaris, Linux, AIX en HP/UX draaien. Er is helaas geen ondersteuning voor andere Unix-varianten, zoals de BSD-reeks.
De gebruiker installeert zelf alleen de AuditExpress-console. Die is duidelijk voor .NET geschreven en vereist Microsoft .NET Framework 1.1. Als dat niet op het systeem beschikbaar is, zorgt de installatieprocedure daarvoor. De console gebruikt een database om alle gegevens bij te houden en installeert daarvoor ook een eigen databaseserver. Het is mogelijk om daarvoor een SQL Server te gebruiken, maar dat vereist iets meer werk omdat de installatieprocedure daar geen rekening mee houdt.

Productinfo Product: AuditExpress 1.2 Producent: Altiris, USA; http://www.altiris.com Leverancier NL: Altiris B.V., Culemborg, tel. 0345-544679 http://www.altiris.com/sales/emea/emea.asp?region=Netherlands Adviesprijs (excl. btw): 15,80 euro/desktop en 82,50 euro/server Systeemvereisten: console (Windows NT4/2000/2003/XP Pro); geauditeerde systemen (Windows NT4/2000/2003/XP Pro & Solaris, HP/UX, Linux, AIX)

De installatie verloopt eenvoudig. Na het voor de eerste keer opstarten van de software verschijnt er een scherm om het product te registreren. Dat is nodig om naast het krijgen van ondersteuning ook updates en dergelijke te kunnen downloaden. De registratieprocedure werkt echter niet goed. Hij leidt namelijk naar een registratiepagina op de website van Altiris die slechts twee producten kent: SecurityExpressions en NTSec. Het registreren lukt dus niet. Daardoor is het downloaden van updates ook niet mogelijk. Men moet dus direct contact opnemen met de helpdesk van Altriris om dit probleem op te lossen. Slordi!, want dat probleem had al lang opgelost moeten worden. Te meer omdat SecurityExpressions ook uit de Pedestal-stal komt en dat wordt door de registratieprocedure wel correct ondersteund.

Werking

De gebruikersinterface van de AuditExpress-console bestaat uit twee panelen. Het linkerpaneel omvat de tabbladen 'audit', 'policies', 'schedules', 'browse' en 'reports'. Het rechterpaneel toont de resultaten van de door de gebruiker gekozen opdrachten.

De Kern * Altiris AuditExpress voert een beveiligingsaudit uit van de machines in uw netwerk. * Het zoekt niet alleen naar de bekende kwetsbaarheden, maar ook naar problemen met allerlei instellingen of het ontbreken van noodzakelijke updates en patches.

Het eerste tabblad 'Audit', dat ook standaard gekozen is, wordt het meest gebruikt. In het linkerpaneel staat dan een boomstructuur van uw netwerk, onderverdeeld in ip-adresbereiken, domeinen en zelf samengestelde lijsten. De gebruiker kan individuele of groepen machines laten auditeren en krijgt dan in het rechterpaneel het resultaat van die audit.
Het auditresultaat wordt als samenvatting getoond en men kan doorklikken voor meer details. Die details gaan erg ver door en als er een download mogelijk is om een bepaald beveiligingsprobleem op te lossen, wordt deze gevonden door die details op te volgen. Een audit bestaat naast het controleren van bekende kwetsbaarheden ook uit het opvolgen van de conformiteit met bepaalde beveiligingsreglementen of 'policies'. Standaard staan er twee voorgedefinieerd: Windows Basic en Windows Detailed.
Men kan zelf nieuwe policies aanmaken. In zo'n policy moet worden gedefinieerd welke zaken allemaal gecontroleerd moeten worden tijdens een audit. Er zijn tien categorieën voorgedefinieerd: inventaris van software en hardware, inventaris van wat geautoriseerd is, antivirussoftware (versies en updates), patches voor Windows, patches voor Sun OS, kwetsbaarheden voor Windows, Microsoft-applicaties, gebruikersgroepen (problemen met rechten, login-procedures, wachtwoorden enzovoort), firewallconfiguraties en minimale beveiligingsconfiguratie (toegestane draaiende diensten, auditeervereisten, gastgebruikersvoorzieningen, screensaververgrendel- en wachtwoordinstellingen).
In het tabblad 'schedules' kan men het uitvoeren van audits automatiseren. 'Browse' laat de gebruiker door de logbestanden van uitgevoerde audits bladeren. De rapportagefunctie gebruikt Crystal Reports om fraai vormgegeven en nuttige rapporten samen te stellen.

Conclusie

Altiris AuditExpress biedt aardig wat functionaliteit, al moet men er wel rekening mee houden dat een auditeersysteem slechts meldt wat er goed en fout is en hoewel het systeem bij de foutmeldingen ook zegt hoe het euvel kan worden hersteld, voert het die herstellingen niet zelf door. Weten wat er allemaal voor zwaktes bestaan in een netwerk is in elk geval de allerbelangrijkste eerste stap. Zonder die informatie kan men immers helemaal niets doen. Met die informatie weet de gebruiker wat er mis is en wat hij moet doen om het te herstellen en zoiets is vandaag de dag zijn spreekwoordelijke gewicht in goud waard.

 
Johan Zwiekhorst, Data TestLab