前言:本站为你精心整理了产品端点安全测试报告范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。
端点安全是目前网络界非常火爆的话题,思科,微软分别推出了NAC、NAP,国内本土厂商华为3com也推出了EAD计划,每家网络厂商也都有类似的解决方案。各个解决方案虽然叫法不同,但是实现的目的、大体的网络架构都是非常类似的。此次本报编辑选编的美国网络世界一篇测试报告就是关于端点安全产品测试的,每家测试产品都可以完成上述端点安全功能。在编辑这篇文章的过程中,编辑也查阅了大量的相关资料,发现生产此类产品的小公司在美国非常多。在除了思科这样的网络大鳄之外,小厂商的产品往往也有他的独到之处。
对于公司网络的安全一致性审计要求来说,在端点上设置和强制执行安全策略,非常至关重要。在我们的端点安全产品测试中,这些产品可提供策略强制执行功能,每一款产品都可以识别出系统是否符合策略一致性要求并且可以采取行动来补救不符合策略的系统。
我们制定了一系列产品所应该提供的策略强制清单,这其中包括产品可以识别出未打补丁的操作系统、是否符合安全策略一致性、对不符合策略要求系统进行限制访问、分析并得出客户端的报告和对不符合安全策略要求的系统采取补救行动使之和整体安全策略相一致。
我们非常理解没有一家产品可以全部满足我们的安全策略要求,我们会尽可能地让厂商展示他们所有的功能特性。
如果没有在网络中增加安全产品则会引起很大的安全灾难,我们也检查了端点安全产品自身的安全架构特性。
我们对此领域内的13家厂商发出了测试邀请函,最终CheckPoint、Cisco、Citadel、InfoExpress、Senforce、TrandMicro和Vernier/PatchLinkNetworks同意参加测试。ElementalSecurity,EndForce,McAfee,Sygate,SecureWave和StillSecure则拒绝参加了此次测试。Vernier/PatchLink因为在所有测试项目中有着不错的表现,所以最终最终赢得了这次测试。例如此产品可阻止网络访问并且自动修补不符合安全策略的系统,它的安全检测功能最富有弹性。
Senforce获得了第二名,但是与第一名的测试分数非常相近。Senforce有着最为强大的主机坐镇网络中央,它们仅仅使用客户端软件,不用其他在线设备就可以实现端点安全功能。TrendMicro公司总体上表现也非常好,仅仅是在满足我们的策略管理要求方面栽了一马。
Citadel是一款强大的产品,但是在策略一致性功能方面需要投入更大的精力,这家公司说他们会在4.0版本中集成这项功能。从技术观点上来看,Cisco也表现得非常不错,但是需要在报告和总体可用性方面需要改善。CheckPoint是一款可靠的产品,但需要在报告和更详细的自定义策略检查功能上下足功夫。
和我们通常的安全测试一样,我们仍然会关注于当端点遭受攻击时,产品所应该采取的行为,我们感到InfoExpress的产品仍然在这一领域中有着深厚的技术背景,但产品的可用性和文档说明仍然需要改善。
因为我们将注意力都投向了每款产品的测试要求上,所有我们不能测试每款产品的功能亮点。
VernierNetworks和PatchLink所提交的产品包含了VernierEdgeWall7000i——一款强制策略一致性的在线设备,PatchLink升级服务器和相应的端点软件可以方便地对客户端进行安全策略一致性检查。
产品的安装非常顺利,特备是在两家产品合作进行测试的情况下。测试过程中我们仅仅碰到了EdgeWall7000i的一个问题——在默认状态下,NAT功能是打开的,然而我们并不需要这个功能,因为我们仅仅把这个产品当作了一个桥接设备。在非常轻易地关掉NAT功能后,以下工作就非常顺利地进行下去了。
虽然客户端依靠EdgeWall7000i本身就可以进行易受攻击性检查扫描,但我们的测试却非常依于PatchLink升级服务器。PatchLink升级检查包括检测反病毒软件包的数量和所有Windows安全升级。对于间谍软件检测,EdgeWall7000i可以识别出一些恶意流量,并且通过一种方法可以识别出我们在测试中所用的间谍软件。此外,PatchLink提供了一个间谍软件模块来识别间谍软件所运行的端点系统,但是我们并没有这个功能。
用Vernier/PatchLink可以禁止USB拇指驱动器(编者注:在这里指小型的U盘产品)访问。当我们利用EdgeWall7000i产品进行应用控制测试时,成功地阻止和控制了我们所指定的应用流量。
PatchLink开发工具允许你制定自定义策略和补丁包,提供了在我们所测试的产品中最富有弹性的自定义检查功能。
这些产品也可以在VPN连接上强制策略一致性,此功能的考虑是基于你假如有一个移动地工作站的话,就必须要保证移动接入的安全性。但此功能也有致命的缺陷:假如某个端点在线,而Vernier/PatchLink此时又发生故障,那么端点就不能连接到总部网络了。
Vernier要求你设置多个安全配置级别——你必须设置多个不同的安全文件、身份文件、连接文件和访问策略,从而你可以追踪这些配置文件。在管理GUI界面中,一个不同的设置过程布局可以让你更多的凭直觉来进行设置工作。
当一个系统将要访问网络时,这个系统就会立刻被进行扫描和置于一个统一的网络访问策略下。对于我们的测试来说,我们设置了三个访问策略——符合安全一致性策略的系统可以进行全部访问、对于不符合策略的系统限制访问并且把这个系统链接到Internet上进行打补丁工作、限制没有安装PatchLink软件的组系统访问,对于没有安装PatchLink软件的一组系统来说,利用EdgeWall7000i的URL重定向功能可提供这些系统一个链接来下载安装软件。
当EdgeWall7000i包含了网络强制组件时,PatchLink升级服务器可利用强制的基本默认配置提供及时的补救行为。当我们让一个没有安装PatchLink软件的系统连接到网络时,我们打开浏览器,浏览器被重定向到一个链接上,下载和安装PatchLink软件。
一旦软件被安装和运行时,通过PatchLink升级服务器中默认配置,没有打上补丁的系统和安全设置就会被自动部署在系统内。一旦系统满足了一致性要求,就会被允许访问全部测试环境——正如事先所期望的。
当不符合一致性要求的系统将要上线时,Venier/PatchLink并不能提供警报机制,但是它提供了许多的报告选项。通过PatchLink升级服务器,你可以得到一个系统完整的打补丁历史,EdgeWall7000i则提供了所有在线系统总体的一致性状态报告。
Senforce
Senforce端点安全套件有5个主要的部件。在Windows服务器上运行的分布式策略服务、和其通信的客户端、策略部署、策略收回(retrievepolicy)和从分布式客户端收集来的注册数据。管理服务功能控制了用户策略、策略存储和生成报告。策略编辑器的用户界面可以用来进行策略的生成和管理。用密码加密过的客户位置确信服务可以确保一个系统是否确实在网络上,此举可以使系统免受用户欺诈攻击。最后,全面的Senforce安全客户端包括一个以主机为基础的防火墙程序,这个防火墙程序在受监控的端点上运行,它用来强制策略实施和控制系统的补救过程。
对于安全测试过程,我们感觉非常艰难。我们第一次尝试进行分布式安装,但是所利用SSL的组件之间却不能进行适当的通信。然后我们运行了单个服务器安装,但是数据库却不能正常使用并且错过了产品运行所需要的关键数据安装。Senforce的技术支持对于这个问题并不能解释,但却很快帮助我们完成了工作,在第三次尝试以后,我们最终才得以继续测试。一旦安装完成,我们并没有遇到其他的服务器操作问题。文档非常充足,但是双列的文字布局,使得用户阅读起来非常麻烦。
策略的制定过程表明了系统如何检查反病毒特征库、打上错过的补丁和应用控制(例如允许或者禁止某些类型的应用流量)。在我们的测试中,Senforce安全套件成功地通过了所有支持的策略检查测试。
如果产品被直接置于终端点之后,在和VPN的连接过程上可以进行策略检查,但如果客户端不能直接连接到网络上时,策略的强制执行也是可以工作的。通过产品强有力的脚本引擎你也可以创造自定义的策略检查。
网络管理员可以在策略编辑器里新建策略,策略编辑器有着非常不错的界面并且可以凭直觉操作。当我们碰到问题时,文档可以迅速帮助我们解决。
在通过网络共享方式安装客户端软件时,我们碰到了问题。在安装过程中,网络连接被中断了,因为程序要求安装网络驱动程序接口规范(NDIS)驱动。其他的产品会有配置警报,告诉你不要在网络上安装软件。Senforce也应该包含类似地警报。
我们更喜欢以主机为中心的解决方案,因为系统会识别出不符合策略的电脑,然后会由机上自己的防火墙来进行控制(CheckPoint和Citadel功能与时下流行的方法类似)。在我们的测试中,以主机为中心的工作方法工作得非常好。然而,假如主机受到攻击或者Senforce的客户端程序被关掉、删除,这些情况会带来很大的问题。在我们的测试中,一些客户端程序很容易被关掉。没有客户端程序,策略检查就不再工作。对于网络设备厂商来说,攻击者仍然会有一些方法绕过安全保护。
客户自己编写的策略脚本可以让产品具有更大的使用弹性。这些脚本甚至可以让用户下载和执行必要的程序来弥补客户端电脑的缺陷。一个不符合策略的系统,我们可以对其做出如下动作:设置为阻塞其所有数据流、运行某个客户端隔离规则、仅仅让其访问定义好的资源、访问Internet或者是只能访问内部网络。
安全套件不包括警报功能。报告是以Web方式进行浏览的,但是你却不能输出这些报告或者另存为Web形式。默认的报告包括图形和汇报,但是我们更喜欢自由的客户订制能力。报告提供了很多的信息但是却不包括全局系统的打补丁历史和状态。
TrendMicro
我们测试了TrendMicroNetwork的VirusWall2500和OfficeScan7企业版防病毒软件。VirusWall2500是一款在线设备,它可根据在TrendMicro设备上预先定义好的策略来阻止或者允许网络访问。当一个系统尝试访问网络时,它会被扫描,看其是否易受攻击(例如没有打包或者是易受攻击)。
当端点没有直接连接到网络中时,你就不能新建自定义的策略或者进行策略一致性保护了。TrendMicro的系统可以在VPN上工作并且能和主要的几家VPN网关集成来进行防病毒检查。
这款产品易于设置并且可以凭直觉使用,在我们进行的所有测试中,这款产品给了我们愉快的使用经历。
假如一个不符合策略的系统上线,终端用户可以看见一个错误提示,打开浏览器被重定向到一个网络管理员预先定义好的URL上。我们非常喜欢这样一个功能——终端用户会看见一个弹出式消息框被告知:“打开浏览器获得更多信息”。
因为VirusWall2500和它的策略强制能力与OfficeScan集成得很紧,所以一旦没有安装防病毒软件很容易的就被指向安装链接。另外,探测到的病毒会被自动删除。另外一些易受攻击的系统,例如没有及时打补丁也会利用其他方式来完成。
TrendMicro的报告和警报能力是我们所测试产品中表现最好的。我们可以简单的设置系统发送管理员E-mail或者SNMP警报,当不符合安全策略的系统上线时。我们可以一次生成或者预定系统打补丁的报告,也可以将这些报告以PDF格式或者其他一些文件格式进行输出。我们也可以生成一份关于离线或在线电脑错过升级软件的报告。
Cisco
Cisco这次提交了两款产品,一款是CiscoCleanAccess(CCA)服务器,这是一款在线设备,它与安装在客户端电脑上的CisoTrustAgent软件配合使用可实现端点安全策略一致性功能。
另外一款产品是CiscoSecureAgent(CSA),CSA包含了管理服务器软件和客户一侧的代码,以主机为中心的技术可以监视系统的恶意活动。
安装CCA非常复杂。我们让在线设备以桥接模式运行——仅仅是通过流量而不做任何NAT。相关产品设置的文档内容令人感觉非常含糊不清,设置要求管理服务器处于不同的子网。我们叫来了技术支持帮助解决这些架构方面的问题。
对于我们的策略强制检查,CCA可以正确识别防病毒特征码,其中包括可以识别主要3种病毒的默认属性
、没有打补丁的操作系统。通过我们定义好的策略可以控制网络流量。当一个端点设备上线时,从CCA应用服务启动的Nessus可以扫描操作系统的安全设置。
自定义的检查设置,允许你监测注册码、文件和进程,自定义检查可以通过CCA管理控制太设置。总体来看,自定义检查非常易于设置。
策略检查测试的其中一项是:确定端点是否运行了定义好的个人防火墙程序。在大部分产品中,这项功能实现的原理通常是确定某项应用是否在系统上运行。对于CSA程序来说,Cisco支持策略检查和不确定某些参数值策略的编写。在CCA中也可利用自定义检查把其他的个人防火墙加到策略强制中。然而,Cisco的策略检查还是需要改善的,它需要更加详细的脚本引擎。
Cisco的端点安全系统也可以识别出间谍软件、控制USB驱动接入、强迫执行更多的应用、注册码和进程安全,当端点进入或者离开网络时,Cisco都可以提供保护。
CCA也可以非常便利的当作VPN终端点来使用。未来的版本将会和CiscoVPN集中器整合得更加紧密。
一致性是由定义好的策略强制实行的,定义的策略在CCA中驻留。利用CCA管理界面,基于网络状态你可以设置很多数量的补救行为或者强制策略。例如你可以基于认证的用户、未通过认证的用户、在扫描结果中易受攻击的用户和没有通过一致性检查的用户进行设置。
假如一个用户将要访问网络而没有通过CCA的认证,你就可以限制他仅仅只能访问一个特别的区域。通过认证的用户则可以经受更多的检查,通过检查后,则会授予用户更广泛的网络访问资源权限。CTA软件位于每台端点系统上,并且提供对于主机访问的权限。假如CCA识别出了问题,不符合策略的系统会有一个安装文件上传至CCA,然后会收到消息或者一个URL。
终端用户必须手工安装初始化软件,安装的软件可以保证端点用户的安全策略保持一致。当端点电脑在等待被验证安全策略一致性的时刻,除了一些指定的Windows升级连接外,服务器会阻塞所有的网络流量。
在CCA和CSA中,报告功能还应该有所改善。就CCA来说,你可以观看服务器上关键事件的系统日志,但是却不能对整个系统生成报告。你可以观看每个端点系统的扫描结果和一致性检查结果。扫描失败的事件会被发送到CCA事件日志中,但是你却不能对所有在线电脑、历史的当前状态生成报告来显示。
Citadel
Citadel提交了软件产品来参加我们的测试,Citadel会把Hercules软件安装在端点电脑上,利用ConnectGuard模块探测端点是否是易受攻击的,ConnectGuard模块包含有客户和服务器端组件来强迫端点进行补救行为。Hercules程序在每一个端点系统上运行,基于自己收集来的扫描结果来分析端点是否易受攻击。策略检查包括识别端点是否安装了防病毒软件、间谍软件、错过打补丁和检查操作系统的安全设置。
Hercules安装非常顺利,没有碰到任何问题。文档撰写也不错,管理界面易于使用并可凭直觉使用。
我们所测试产品的版本,Citadel可以探测千余种知名网络病毒的攻击,当然你也可以自定义病毒攻击检查和在管理界面中自定义补救所采取的行为。
对于不符合策略一致性的系统,ConnectGuard模块提供了强制机制,利用运行在端点的Citadel客户端可以阻塞不符合策略一致性系统的向外流量,直到符合策略一致性要求为止。在我们所测试的版本中,补救系统行为在策略一致性检查时就会发生。在Hercules4.0版本中,管理员可以有选择的接收到系统策略一致性报告和补救系统的任务计划。
对于报告来说,Hercules利用了以Web界面为基础的报告引擎,所以你可以输出为很多的文件格式。产品包含了相当强大的报告模块,包括了全部的补救行为历史和不符合策略一致性要求系统的状态。额外地报告功能已经被包含进了4.0版本中。Hercules不提供警报机制。
CheckPoint
CheckPoint的Integrity6.0以软件完成了功能实现,它提供了个人防火墙、策略检查和强制实施的机制。
安装还是非常顺利的。对于客户端我们新建了一个默认安装包并且生成了自己的安全策略和强制检查。在默认设置下,Integrity就包括了主要的防病毒软件检查。
你也可以在管理界面中新建策略强制检查,检查包括注册码、破坏文件或者是不允许的进程。没打补丁和操作系统升级在默认状态下是不受检查的,但是你可以定义检查这些选项。
通过标准的防火墙规则和应用控制机制你可以控制应用访问。利用CheckPoint的SmartDefense程序的Adivisor服务可以警告间谍软件的使用。不支持USB驱动器接入检查。
所有支持的策略测试都非常成功。
当没有连接到总部网络时,完整性检查提供了系统保护。
不符合策略一致性的系统可以被发现、警告或者是限制连接。管理员可以提供到关键文件的链接或者是上传文件到系统上以便用户下载进行补救行为。在这些功能特点的测试中,我们可以被重定向到策略中事先定义好的站点中。例如,当系统探测到Windows没有打升级补丁时,我们被重定向到Windows升级站点中。
完整性报告功能还需要改善。基础报告通过Wen界面进行观看,但是报告却不能被输出。你可以得到不符合安全策略一致性系统的报告,但却没有系统总体的报告。完整性检查没有提供警报功能。
InfoExpress
InfoExpressCyberGatekeeper服务器坐镇网络中央,它提供策略到端点系统上的CyberGatekeeper程序上并且可以通过Web界面生成报告。通过产品所支持的某一类型模块,服务器可以处理策略强制,产品支持局域网(可以使交换机的某个端口处于一个补救VLAN中)网桥(根据定义好的策略阻止/允许流量)、RADIUS协议。
为了新建和修改策略,管理员要使用策略管理器,策略管理器运行在一台电脑上并和服务器分离。管理员策略到中央服务器上并分发到客户端上。对于我们的测试,我们利用局域网上的某台服务器和网桥一致性模式。我们根据匹配这个产品的升级文档进行设置,设置工作非常简单易行,但是在文档中仍然有一些重大问题。
CyberGatekeeper的主要关注点是审计和策略一致性检查,不像我们测试的其他产品,它的软件没有一个内置的防火墙,虽然没有防火墙,但是它的设计却富有弹性并可以适应测试,所以你可以在环境中运行任何你想要的防病毒软件或者以主机为基础的安全保护。
强制策略也可以在VPN连接中进行设置工作。当没有连接到网络时,策略强制是不能工作的。策略管理者提供了很多地弹性,但是设置却比较复杂,尤其是许多设置屏幕需要上载新的策略到服务器上。
一旦不符合策略一致性的系统被识别出来,在终端用户上就会显示出一条消息,终端用户可以被重新定向到一个URL上,或者系统可以被置于不同的VLAN中,而所被划到的VLAN依赖于你运行的强制策略模块。用户被重定向的URL地址可以下载没安装的软件,但是安装过程却是手工的。
报告功能也需要改善。一些基础的报告是以Web形式输出的,但是也可以输出为CSV文件格式进行离线观看。补救历史报告并不实用。你可以得到系统状态报告,在状态报告中可看到一个系统为什么处于策略拒绝状态,但是阅读起来有些困难。
结论
我们测试的端点策略强制产品,大部分都包含了基本的功能。但是要成为一家企业网络安全基础架构的核心组件,这些产品仍然需要很长的路要走。我们高兴的看到,这些产品可以解决扩展的策略一致性需求,功能可以满足当前的安全和网络基础需求。
应该指出的共同一点是,产品缺乏警报能力和经常存在的需要改善报告技术要求。这些组件在策略一致性产品中非常关键,顺便提一句,审计追踪能力也非常关键。
此外,一些产品也应该包括依据文件或者进程名来进行策略一致性检查的能力。我们看到有些产品应该包含一些种类的校验和检测。我们也看到当终端用户不符合策略一致性时,系统使终端用户意识到是哪些方面出现了问题的能力所有改善。大部分产品都在Web浏览器中提供了重定向功能,但是假如用户是通过其他不同应用访问网络时,Web重定向功能就有点不合时宜了。
除了基本功能之外......
我们所测试的每款产品除了基线测试之外,有些产品其他的一些亮点功能也值得我们考虑。
例如,思科的CCA(CiscoCleanAccess)应用可和Nessus软件配合使用来扫描系统的漏洞,你可以根据自身的网络环境自定义新建检查策略,而不用依赖于标准的签名特征。
CCA也提供了优先级策略检查能力,假如在你的网络环境中,一条策略比另外一条策略更重要的话,你可以将较重要的策略附加在次重要策略之上。此外,CCA也支持移动用户在CCA服务器之间进行漫游而不用再次认证。
InfoExpress也支持许多的策略强制模块——大部分我们不能测试——例如RADIUSEAP(802.1X)和Airespace无线局域网,这些策略强制模块可以在你的网络中提供额外的方法来进行认证和授权。
对于策略强制,TrendMicro的NetworkVirusWall2500可以监视你的网络流量。此外,它也可以监控网络病毒感染。这家产品的网络病毒爆发监视器可以识别出一个攻击要开始的征兆,例如它根据已知的病毒攻击连接端口或者是某个网络进程的突然提升。当产品观察到一个网络病毒将要爆发时,监视器会触发一个警报。
CheckPoint提供了第二种类型的软件,称作IntegrityFlexagent,这个软件提供给终端用户功能全面的管理界面,可以创建自己的策略,这个产品理念对于家庭电脑连接到公司网络非常合适。此软件目前版本是Integrity6.0,它包括了CheckPoint恶意代码保护,一个内置的主机入侵保护引擎,主机入侵保护引擎可以识别出已知的恶意程序和进程,这些不错的性能特点可以使管理员不需要检测所有程序并且可以创建自己的策略。
在我们测试完成以后,Citadel公司了Hercules4.0版本。这个版本提供了很多数量的强制策略用以改善一致性审计、策略强制任务和引进Hercules应用。一个新引用的策略一致性检查模式允许管理员接收端点的状态报告而不用强迫终端用户立刻采取补救行为。补救行为可以计划在一定的时间段后执行。一个仪表板加进了管理界面中从而可以图形方式快速观察所有被监视设备的策略一致性状态。额外的报告功能也被添加到管理界面中以加强报告引擎。
Veriner公司的EdgeWall对于注册登录、访客登录、扫描过程和停止扫描Web页面过程有许多的自定义选项。当一些终端用户不符合安全策略时,管理员可以自定义终端用户所看到Web页面上不符合策略的原因的描述。EdgeWall也可以在用户退出登录时弹出菜单。PatchLink可以列出所有运行PatchLink软件系统的详细清单,清单包括硬件、软件和服务信息。
Senforced提供了不少独一无二的功能特点。一个是允许管理员通过Senforce策略控制无线连接选项,例如是可以允许/关闭无线连接、管理WEP的密钥、指令网卡是否可以和AP进行通信和一个系统应该怎样响应信号强度级别。
端点安全产品自身网络漏洞
按推理来看,在你的网络中加入端点安全系统,网络就不应该再遭受到攻击了。在测试的最后,我们试图利用黑客软件、服务器组件和利用所生成的网络流量把网络安全撕开一个大口子,从而利用此手段评估每家产品的总体安全性。
在此测试项目的重磅轰炸下,没有一家产品完全幸免于难,得分较高的产品是Vernier/PatchLink和Senforce。通过删除客户端软件或者其他一些手段,我们都不能绕过策略强制机制。
为了强制客户端执行安全策略,客户端软件包含了本地系统的详细信息,例如信息包括注册码、文件名称/内容/哈希校验值等。网络攻击者深知这个漏洞。
我们测试了终端用户在客户端被感染病毒或者试图删除客户端软件的情况下,所有产品的表现。这个测试项目非常复杂,因为每家产品的实现方式非常不同,一些厂商提供了在线(in-line)策略强制设备(Cisco、TrendMicro和Vernier/PatchLink),一些是仅仅具有客户端(CheckPoint、Citadel和Senforce),还有一些集成进了网络基础设施中(InfoExpress)。
对于CheckPoint、Citadel和InfoExpress产品,我们利用开发的代码可以修改客户端软件所存放的目录的名称。一个系统重新启动之后并没有显示客户端软件被删除了。Senforce解决了这个问题,他们不断地使数据和程序文件处于打开状态,探测任何企图删除客户端或其中组件的行为。
在另一个测试项目中,我们观察了这些产品所生成的网络流量是否会引起一个安全风险,我们发现至少有两种类型流量可以引起安全风险。一个是在客户端和服务器之间的网络流量。另外一个是管理服务器接口所生成和接收的网络流量,管理服务器接口是一个非常有价值的目标,因为它可以控制策略强制机制。
一些厂商(InfoExpress、Senforce和Vernies/PatchLink)利用未加密的HTTP流量来进行管理员和管理服务器或者其他的一些组件之间的通信。这种行为非常不安全。InfoExpress也用Telnet或者SNMPv2访问网络的基础设施,然而这会暴露密码和其他一些信息。
所有产品之中,就是TrendMicro对客户端和服务器之间的通信流量进行了加密。假如不进行加密,这些信息对于一个网络攻击者将会是可见的并且可能泄露信息,例如你所强制的策略、网络的配置信息、或者是可能的用户名和密码。
我们必须从安全观点来看服务器,因为这个小小的“盒子”(运行着各种应用或者客户所支持的平台)已经成为关键网络基础设施的一部分并且很可能成为攻击目标。这些服务器厂商受到探测成为潜在的受攻击目标。一些厂商(CheckPoint、Cisco、InfoExpress、TrendMicro和Vernier/PatchLink)使用TransportLayerSecurity(TLS)/SSL对管理界面或者客户端到服务器的流量进行加密。SSLv2本不应该在产品中使用,因为SSLv2非常易于受到攻击。仅仅只有SSLv3和TLS才被认为是足够安全的。我们一般使用的Windows平台通常可以关掉SSLv2支持,但是对于端点安全应用来说,你却不能这样做。
大部分厂商用自己签名的证书,这是非常危险的。假如通过手工确认的16字节MD5哈希密钥使用得非常不小心的话,一个黑客就可以利用此漏洞。一些产品应该允许在服务器中置换自定义的签名。
我们所测试的最后一项是产品可否利用现有最新的软件对管理服务器进行操作,这些现成的软件包括Apache、OpenSS和PHP。我们的这项测试是非常有道理的,厂商对客户端的软件进行升级监视,他们也应该对本身所使用到的工具有一个升级机制。我们非常失望的看到,一些产品用着非常老版本的软件。例如Cisco的CCA使用的OpenSSH版本非常老,Vernier也在使用老版本的PHP。所有运行在基础设施上的软件应该有一个适合的升级机制,因为太古老的软件也有可能成为易受攻击的漏洞。
测试方法
因为端点安全厂商在具体实现的方法上有很大的不同,所以针对每家产品的测试方法也必须不同,这样的测试结果才更有意义。
我们一开始估计了当电脑接入网络时,可能会遇到的强制策略执行方面的麻烦。然后我们定义了电脑在访问网络被允许前,产品所应采取的行动。
我们计划了对于每家产品要求的最小任务清单。在最基本的层面上,每家产品必须能够识别出不符合策略的系统并且能够采取补救行动。我们也要求必须有中央化的管理和报告能力。
为了制定出更为详细的测试要求,我们和安全管理者们谈话并且基于自己的安全经验对产品所应该具有的安全策略强制做出了一份测试需求清单。从测试开始,我们就知道产品应该满足我们所有的要求,但是我们却对所有公司提交的产品都持着非常开放的态度。
我们把测试需求分成了5个方面:策略管理、设置/部署、补救行动、产品弹性和报告/警报功能。
我们的策略管理评估将焦点集中于产品完成定义策略的能力。我们感到看了文档以后,设置工作应该是相当简单的。软件部署的过程也应该是一个简单的过程,产品的使用也应该非常简易。
补救测试将焦点集中于产品应该如何处理不符合策略的系统。是不是隔离了所有网络访问?我们可以指示终端用户去下载相关没有安装的软件或忘打得补丁吗?补救行为是自动发生的吗?
弹性测试我们看到了系统如何回应网络攻击。所制定的策略会被易于绕过吗?会非常容易地获得全部网络访问权限吗?我们可以非常简单地卸载客户端软件从而不执行策略强制吗?
最后,我们评估了管理员会不会得到不符合策略系统的报告和警报,同时,我们测试了产品记录和追踪符合策略系统的状态和补救过程的历史的能力。此外,我们还看了产品能否生成管理报告从而易于理解当前的安全状态。
我们安装了所有Windows2003的服务器部件,打上全部的补丁。假如Windows2003Server不支持的某些软件(例如Cisco的CSA管理服务器和TrendMicro的OfficeScan管理服务器),我们就利用打上全部补丁Windows2000Server进行测试。这些服务器全部安装在VMware虚拟软件上,这个虚拟服务器的配置是1G字节的RAM,Pentium3Shuttle服务器上。
客户端程序被安装在了Windows2000SP4Professional和WindowsXPSP2Professional电脑上。这些客户端所安装的电脑上并没有打上全部的补丁,除非客户端软件要求安装。这些客户端也都安装了VMware虚拟服务器,它的配置是500M的RAM,运行在Pentium3,3GHzShuttle服务器上。
对于策略一致性测试,我们要求所有客户端都配置Sophos防病毒软件和eEye的Blink个人防火墙。
网络的核心运行着Cisco3500交换机,配置了两个VLAN。第一个VLAN测试产品所处的VLAN,第二个VLAN是不受信任网络,是我们所要求的补救行为所在的VLAN。
在产品设置和客户端部署的过程中,我们遇到了一些困难,例如,我们学习产品过程中的文档质量,支持分布式客户端软件的方法。我们也通过所有的测试阶段看了产品的易用性。
测试策略管理时,我们在每款产品上都设置了策略,以验证产品是否识别出了Blink防火墙和Sophos防病毒软件是否运行在客户端上,同时还验证了产品能否识别出防病毒软件的病毒库是否过期。我们还安装了DloaderTrojan/间谍程序,看看产品能不能识别出并且做出停止/隔离行为。我们配置了一条策略来识别MS05-014(IE的安全补丁)是否安装在系统上,看看产品支持的补救行为,例如发送一个链接,下载补丁文件是手工安装或者自动安装补丁。
对于应用控制,我们不允许BT访问,这通过应用访问或者网络端口来限制,限制BT访问所采取的行为依赖于产品所支持的类型。我们尝试了阻塞通过USB拇指驱动器访问网络的流量。有的产品可以关掉端口或者阻止文件写。我们然后测试了对于操作系统安全检查的默认支持,密码策略、注册码和控制空会话的能力。
我们还测试了在远程VPN连接上下发强制策略的能力,这个测试项目利用了CiscoVPNConcentrator作为网关。
最后,测试了用户新建自定义策略检查的能力,创建一些默认设置中没有的策略。
在补救区,测试了对于不符合策略系统的全部阻塞网络访问或者访问策略的能力,同时,我们还测试了限制访问内部服务器的能力。此外,我们还测试了浏览器重定向。
对于报告和警报能力,我们第一个测试了生成警报的能力,假如一个不符合策略的系统上线时,例如通过E-mail或者SNMP通知的能力。随后我们看了报告能力,从基础的系统日志开始看起。我们然后看了生成和输出报告的能力,同时还察看了两个方面输出报告的能力:补救历史(系统或者组)和展示不符合策略一致性系统的细节报告。
为了测试弹性,我们用了交换机的镜像端口、hub和Linux下的ethereal软件来检查和监视网络流量。我们使用了OpenSSL来手工检查一些我们发现的任何SSL连接。我们还用NMAP和NESSUS来扫描服务器从而发现易受攻击的潜在部分。我们用基本的Windows文件维护工具来删除客户端软件。