產品端點安全測試報告
前言:本站為你精心整理了產品端點安全測試報告范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
端點安全是目前網絡界非常火爆的話題,思科,微軟分別推出了NAC、NAP,國內本土廠商華為3com也推出了EAD計劃,每家網絡廠商也都有類似的解決方案。各個解決方案雖然叫法不同,但是實現的目的、大體的網絡架構都是非常類似的。此次本報編輯選編的美國網絡世界一篇測試報告就是關于端點安全產品測試的,每家測試產品都可以完成上述端點安全功能。在編輯這篇文章的過程中,編輯也查閱了大量的相關資料,發現生產此類產品的小公司在美國非常多。在除了思科這樣的網絡大鱷之外,小廠商的產品往往也有他的獨到之處。
對于公司網絡的安全一致性審計要求來說,在端點上設置和強制執行安全策略,非常至關重要。在我們的端點安全產品測試中,這些產品可提供策略強制執行功能,每一款產品都可以識別出系統是否符合策略一致性要求并且可以采取行動來補救不符合策略的系統。
我們制定了一系列產品所應該提供的策略強制清單,這其中包括產品可以識別出未打補丁的操作系統、是否符合安全策略一致性、對不符合策略要求系統進行限制訪問、分析并得出客戶端的報告和對不符合安全策略要求的系統采取補救行動使之和整體安全策略相一致。
我們非常理解沒有一家產品可以全部滿足我們的安全策略要求,我們會盡可能地讓廠商展示他們所有的功能特性。
如果沒有在網絡中增加安全產品則會引起很大的安全災難,我們也檢查了端點安全產品自身的安全架構特性。
我們對此領域內的13家廠商發出了測試邀請函,最終CheckPoint、Cisco、Citadel、InfoExpress、Senforce、TrandMicro和Vernier/PatchLinkNetworks同意參加測試。ElementalSecurity,EndForce,McAfee,Sygate,SecureWave和StillSecure則拒絕參加了此次測試。Vernier/PatchLink因為在所有測試項目中有著不錯的表現,所以最終最終贏得了這次測試。例如此產品可阻止網絡訪問并且自動修補不符合安全策略的系統,它的安全檢測功能最富有彈性。
Senforce獲得了第二名,但是與第一名的測試分數非常相近。Senforce有著最為強大的主機坐鎮網絡中央,它們僅僅使用客戶端軟件,不用其他在線設備就可以實現端點安全功能。TrendMicro公司總體上表現也非常好,僅僅是在滿足我們的策略管理要求方面栽了一馬。
Citadel是一款強大的產品,但是在策略一致性功能方面需要投入更大的精力,這家公司說他們會在4.0版本中集成這項功能。從技術觀點上來看,Cisco也表現得非常不錯,但是需要在報告和總體可用性方面需要改善。CheckPoint是一款可靠的產品,但需要在報告和更詳細的自定義策略檢查功能上下足功夫。
和我們通常的安全測試一樣,我們仍然會關注于當端點遭受攻擊時,產品所應該采取的行為,我們感到InfoExpress的產品仍然在這一領域中有著深厚的技術背景,但產品的可用性和文檔說明仍然需要改善。
因為我們將注意力都投向了每款產品的測試要求上,所有我們不能測試每款產品的功能亮點。
VernierNetworks和PatchLink所提交的產品包含了VernierEdgeWall7000i——一款強制策略一致性的在線設備,PatchLink升級服務器和相應的端點軟件可以方便地對客戶端進行安全策略一致性檢查。
產品的安裝非常順利,特備是在兩家產品合作進行測試的情況下。測試過程中我們僅僅碰到了EdgeWall7000i的一個問題——在默認狀態下,NAT功能是打開的,然而我們并不需要這個功能,因為我們僅僅把這個產品當作了一個橋接設備。在非常輕易地關掉NAT功能后,以下工作就非常順利地進行下去了。
雖然客戶端依靠EdgeWall7000i本身就可以進行易受攻擊性檢查掃描,但我們的測試卻非常依于PatchLink升級服務器。PatchLink升級檢查包括檢測反病毒軟件包的數量和所有Windows安全升級。對于間諜軟件檢測,EdgeWall7000i可以識別出一些惡意流量,并且通過一種方法可以識別出我們在測試中所用的間諜軟件。此外,PatchLink提供了一個間諜軟件模塊來識別間諜軟件所運行的端點系統,但是我們并沒有這個功能。
用Vernier/PatchLink可以禁止USB拇指驅動器(編者注:在這里指小型的U盤產品)訪問。當我們利用EdgeWall7000i產品進行應用控制測試時,成功地阻止和控制了我們所指定的應用流量。
PatchLink開發工具允許你制定自定義策略和補丁包,提供了在我們所測試的產品中最富有彈性的自定義檢查功能。
這些產品也可以在VPN連接上強制策略一致性,此功能的考慮是基于你假如有一個移動地工作站的話,就必須要保證移動接入的安全性。但此功能也有致命的缺陷:假如某個端點在線,而Vernier/PatchLink此時又發生故障,那么端點就不能連接到總部網絡了。
Vernier要求你設置多個安全配置級別——你必須設置多個不同的安全文件、身份文件、連接文件和訪問策略,從而你可以追蹤這些配置文件。在管理GUI界面中,一個不同的設置過程布局可以讓你更多的憑直覺來進行設置工作。
當一個系統將要訪問網絡時,這個系統就會立刻被進行掃描和置于一個統一的網絡訪問策略下。對于我們的測試來說,我們設置了三個訪問策略——符合安全一致性策略的系統可以進行全部訪問、對于不符合策略的系統限制訪問并且把這個系統鏈接到Internet上進行打補丁工作、限制沒有安裝PatchLink軟件的組系統訪問,對于沒有安裝PatchLink軟件的一組系統來說,利用EdgeWall7000i的URL重定向功能可提供這些系統一個鏈接來下載安裝軟件。
當EdgeWall7000i包含了網絡強制組件時,PatchLink升級服務器可利用強制的基本默認配置提供及時的補救行為。當我們讓一個沒有安裝PatchLink軟件的系統連接到網絡時,我們打開瀏覽器,瀏覽器被重定向到一個鏈接上,下載和安裝PatchLink軟件。
一旦軟件被安裝和運行時,通過PatchLink升級服務器中默認配置,沒有打上補丁的系統和安全設置就會被自動部署在系統內。一旦系統滿足了一致性要求,就會被允許訪問全部測試環境——正如事先所期望的。
當不符合一致性要求的系統將要上線時,Venier/PatchLink并不能提供警報機制,但是它提供了許多的報告選項。通過PatchLink升級服務器,你可以得到一個系統完整的打補丁歷史,EdgeWall7000i則提供了所有在線系統總體的一致性狀態報告。
Senforce
Senforce端點安全套件有5個主要的部件。在Windows服務器上運行的分布式策略服務、和其通信的客戶端、策略部署、策略收回(retrievepolicy)和從分布式客戶端收集來的注冊數據。管理服務功能控制了用戶策略、策略存儲和生成報告。策略編輯器的用戶界面可以用來進行策略的生成和管理。用密碼加密過的客戶位置確信服務可以確保一個系統是否確實在網絡上,此舉可以使系統免受用戶欺詐攻擊。最后,全面的Senforce安全客戶端包括一個以主機為基礎的防火墻程序,這個防火墻程序在受監控的端點上運行,它用來強制策略實施和控制系統的補救過程。
對于安全測試過程,我們感覺非常艱難。我們第一次嘗試進行分布式安裝,但是所利用SSL的組件之間卻不能進行適當的通信。然后我們運行了單個服務器安裝,但是數據庫卻不能正常使用并且錯過了產品運行所需要的關鍵數據安裝。Senforce的技術支持對于這個問題并不能解釋,但卻很快幫助我們完成了工作,在第三次嘗試以后,我們最終才得以繼續測試。一旦安裝完成,我們并沒有遇到其他的服務器操作問題。文檔非常充足,但是雙列的文字布局,使得用戶閱讀起來非常麻煩。
策略的制定過程表明了系統如何檢查反病毒特征庫、打上錯過的補丁和應用控制(例如允許或者禁止某些類型的應用流量)。在我們的測試中,Senforce安全套件成功地通過了所有支持的策略檢查測試。
如果產品被直接置于終端點之后,在和VPN的連接過程上可以進行策略檢查,但如果客戶端不能直接連接到網絡上時,策略的強制執行也是可以工作的。通過產品強有力的腳本引擎你也可以創造自定義的策略檢查。
網絡管理員可以在策略編輯器里新建策略,策略編輯器有著非常不錯的界面并且可以憑直覺操作。當我們碰到問題時,文檔可以迅速幫助我們解決。
在通過網絡共享方式安裝客戶端軟件時,我們碰到了問題。在安裝過程中,網絡連接被中斷了,因為程序要求安裝網絡驅動程序接口規范(NDIS)驅動。其他的產品會有配置警報,告訴你不要在網絡上安裝軟件。Senforce也應該包含類似地警報。
我們更喜歡以主機為中心的解決方案,因為系統會識別出不符合策略的電腦,然后會由機上自己的防火墻來進行控制(CheckPoint和Citadel功能與時下流行的方法類似)。在我們的測試中,以主機為中心的工作方法工作得非常好。然而,假如主機受到攻擊或者Senforce的客戶端程序被關掉、刪除,這些情況會帶來很大的問題。在我們的測試中,一些客戶端程序很容易被關掉。沒有客戶端程序,策略檢查就不再工作。對于網絡設備廠商來說,攻擊者仍然會有一些方法繞過安全保護。
客戶自己編寫的策略腳本可以讓產品具有更大的使用彈性。這些腳本甚至可以讓用戶下載和執行必要的程序來彌補客戶端電腦的缺陷。一個不符合策略的系統,我們可以對其做出如下動作:設置為阻塞其所有數據流、運行某個客戶端隔離規則、僅僅讓其訪問定義好的資源、訪問Internet或者是只能訪問內部網絡。
安全套件不包括警報功能。報告是以Web方式進行瀏覽的,但是你卻不能輸出這些報告或者另存為Web形式。默認的報告包括圖形和匯報,但是我們更喜歡自由的客戶訂制能力。報告提供了很多的信息但是卻不包括全局系統的打補丁歷史和狀態。
TrendMicro
我們測試了TrendMicroNetwork的VirusWall2500和OfficeScan7企業版防病毒軟件。VirusWall2500是一款在線設備,它可根據在TrendMicro設備上預先定義好的策略來阻止或者允許網絡訪問。當一個系統嘗試訪問網絡時,它會被掃描,看其是否易受攻擊(例如沒有打包或者是易受攻擊)。
當端點沒有直接連接到網絡中時,你就不能新建自定義的策略或者進行策略一致性保護了。TrendMicro的系統可以在VPN上工作并且能和主要的幾家VPN網關集成來進行防病毒檢查。
這款產品易于設置并且可以憑直覺使用,在我們進行的所有測試中,這款產品給了我們愉快的使用經歷。
假如一個不符合策略的系統上線,終端用戶可以看見一個錯誤提示,打開瀏覽器被重定向到一個網絡管理員預先定義好的URL上。我們非常喜歡這樣一個功能——終端用戶會看見一個彈出式消息框被告知:“打開瀏覽器獲得更多信息”。
因為VirusWall2500和它的策略強制能力與OfficeScan集成得很緊,所以一旦沒有安裝防病毒軟件很容易的就被指向安裝鏈接。另外,探測到的病毒會被自動刪除。另外一些易受攻擊的系統,例如沒有及時打補丁也會利用其他方式來完成。
TrendMicro的報告和警報能力是我們所測試產品中表現最好的。我們可以簡單的設置系統發送管理員E-mail或者SNMP警報,當不符合安全策略的系統上線時。我們可以一次生成或者預定系統打補丁的報告,也可以將這些報告以PDF格式或者其他一些文件格式進行輸出。我們也可以生成一份關于離線或在線電腦錯過升級軟件的報告。
Cisco
Cisco這次提交了兩款產品,一款是CiscoCleanAccess(CCA)服務器,這是一款在線設備,它與安裝在客戶端電腦上的CisoTrustAgent軟件配合使用可實現端點安全策略一致性功能。
另外一款產品是CiscoSecureAgent(CSA),CSA包含了管理服務器軟件和客戶一側的代碼,以主機為中心的技術可以監視系統的惡意活動。
安裝CCA非常復雜。我們讓在線設備以橋接模式運行——僅僅是通過流量而不做任何NAT。相關產品設置的文檔內容令人感覺非常含糊不清,設置要求管理服務器處于不同的子網。我們叫來了技術支持幫助解決這些架構方面的問題。
對于我們的策略強制檢查,CCA可以正確識別防病毒特征碼,其中包括可以識別主要3種病毒的默認屬性
、沒有打補丁的操作系統。通過我們定義好的策略可以控制網絡流量。當一個端點設備上線時,從CCA應用服務啟動的Nessus可以掃描操作系統的安全設置。
自定義的檢查設置,允許你監測注冊碼、文件和進程,自定義檢查可以通過CCA管理控制太設置。總體來看,自定義檢查非常易于設置。
策略檢查測試的其中一項是:確定端點是否運行了定義好的個人防火墻程序。在大部分產品中,這項功能實現的原理通常是確定某項應用是否在系統上運行。對于CSA程序來說,Cisco支持策略檢查和不確定某些參數值策略的編寫。在CCA中也可利用自定義檢查把其他的個人防火墻加到策略強制中。然而,Cisco的策略檢查還是需要改善的,它需要更加詳細的腳本引擎。
Cisco的端點安全系統也可以識別出間諜軟件、控制USB驅動接入、強迫執行更多的應用、注冊碼和進程安全,當端點進入或者離開網絡時,Cisco都可以提供保護。
CCA也可以非常便利的當作VPN終端點來使用。未來的版本將會和CiscoVPN集中器整合得更加緊密。
一致性是由定義好的策略強制實行的,定義的策略在CCA中駐留。利用CCA管理界面,基于網絡狀態你可以設置很多數量的補救行為或者強制策略。例如你可以基于認證的用戶、未通過認證的用戶、在掃描結果中易受攻擊的用戶和沒有通過一致性檢查的用戶進行設置。
假如一個用戶將要訪問網絡而沒有通過CCA的認證,你就可以限制他僅僅只能訪問一個特別的區域。通過認證的用戶則可以經受更多的檢查,通過檢查后,則會授予用戶更廣泛的網絡訪問資源權限。CTA軟件位于每臺端點系統上,并且提供對于主機訪問的權限。假如CCA識別出了問題,不符合策略的系統會有一個安裝文件上傳至CCA,然后會收到消息或者一個URL。
終端用戶必須手工安裝初始化軟件,安裝的軟件可以保證端點用戶的安全策略保持一致。當端點電腦在等待被驗證安全策略一致性的時刻,除了一些指定的Windows升級連接外,服務器會阻塞所有的網絡流量。
在CCA和CSA中,報告功能還應該有所改善。就CCA來說,你可以觀看服務器上關鍵事件的系統日志,但是卻不能對整個系統生成報告。你可以觀看每個端點系統的掃描結果和一致性檢查結果。掃描失敗的事件會被發送到CCA事件日志中,但是你卻不能對所有在線電腦、歷史的當前狀態生成報告來顯示。
Citadel
Citadel提交了軟件產品來參加我們的測試,Citadel會把Hercules軟件安裝在端點電腦上,利用ConnectGuard模塊探測端點是否是易受攻擊的,ConnectGuard模塊包含有客戶和服務器端組件來強迫端點進行補救行為。Hercules程序在每一個端點系統上運行,基于自己收集來的掃描結果來分析端點是否易受攻擊。策略檢查包括識別端點是否安裝了防病毒軟件、間諜軟件、錯過打補丁和檢查操作系統的安全設置。
Hercules安裝非常順利,沒有碰到任何問題。文檔撰寫也不錯,管理界面易于使用并可憑直覺使用。
我們所測試產品的版本,Citadel可以探測千余種知名網絡病毒的攻擊,當然你也可以自定義病毒攻擊檢查和在管理界面中自定義補救所采取的行為。
對于不符合策略一致性的系統,ConnectGuard模塊提供了強制機制,利用運行在端點的Citadel客戶端可以阻塞不符合策略一致性系統的向外流量,直到符合策略一致性要求為止。在我們所測試的版本中,補救系統行為在策略一致性檢查時就會發生。在Hercules4.0版本中,管理員可以有選擇的接收到系統策略一致性報告和補救系統的任務計劃。
對于報告來說,Hercules利用了以Web界面為基礎的報告引擎,所以你可以輸出為很多的文件格式。產品包含了相當強大的報告模塊,包括了全部的補救行為歷史和不符合策略一致性要求系統的狀態。額外地報告功能已經被包含進了4.0版本中。Hercules不提供警報機制。
CheckPoint
CheckPoint的Integrity6.0以軟件完成了功能實現,它提供了個人防火墻、策略檢查和強制實施的機制。
安裝還是非常順利的。對于客戶端我們新建了一個默認安裝包并且生成了自己的安全策略和強制檢查。在默認設置下,Integrity就包括了主要的防病毒軟件檢查。
你也可以在管理界面中新建策略強制檢查,檢查包括注冊碼、破壞文件或者是不允許的進程。沒打補丁和操作系統升級在默認狀態下是不受檢查的,但是你可以定義檢查這些選項。
通過標準的防火墻規則和應用控制機制你可以控制應用訪問。利用CheckPoint的SmartDefense程序的Adivisor服務可以警告間諜軟件的使用。不支持USB驅動器接入檢查。
所有支持的策略測試都非常成功。
當沒有連接到總部網絡時,完整性檢查提供了系統保護。
不符合策略一致性的系統可以被發現、警告或者是限制連接。管理員可以提供到關鍵文件的鏈接或者是上傳文件到系統上以便用戶下載進行補救行為。在這些功能特點的測試中,我們可以被重定向到策略中事先定義好的站點中。例如,當系統探測到Windows沒有打升級補丁時,我們被重定向到Windows升級站點中。
完整性報告功能還需要改善。基礎報告通過Wen界面進行觀看,但是報告卻不能被輸出。你可以得到不符合安全策略一致性系統的報告,但卻沒有系統總體的報告。完整性檢查沒有提供警報功能。
InfoExpress
InfoExpressCyberGatekeeper服務器坐鎮網絡中央,它提供策略到端點系統上的CyberGatekeeper程序上并且可以通過Web界面生成報告。通過產品所支持的某一類型模塊,服務器可以處理策略強制,產品支持局域網(可以使交換機的某個端口處于一個補救VLAN中)網橋(根據定義好的策略阻止/允許流量)、RADIUS協議。
為了新建和修改策略,管理員要使用策略管理器,策略管理器運行在一臺電腦上并和服務器分離。管理員策略到中央服務器上并分發到客戶端上。對于我們的測試,我們利用局域網上的某臺服務器和網橋一致性模式。我們根據匹配這個產品的升級文檔進行設置,設置工作非常簡單易行,但是在文檔中仍然有一些重大問題。
CyberGatekeeper的主要關注點是審計和策略一致性檢查,不像我們測試的其他產品,它的軟件沒有一個內置的防火墻,雖然沒有防火墻,但是它的設計卻富有彈性并可以適應測試,所以你可以在環境中運行任何你想要的防病毒軟件或者以主機為基礎的安全保護。
強制策略也可以在VPN連接中進行設置工作。當沒有連接到網絡時,策略強制是不能工作的。策略管理者提供了很多地彈性,但是設置卻比較復雜,尤其是許多設置屏幕需要上載新的策略到服務器上。
一旦不符合策略一致性的系統被識別出來,在終端用戶上就會顯示出一條消息,終端用戶可以被重新定向到一個URL上,或者系統可以被置于不同的VLAN中,而所被劃到的VLAN依賴于你運行的強制策略模塊。用戶被重定向的URL地址可以下載沒安裝的軟件,但是安裝過程卻是手工的。
報告功能也需要改善。一些基礎的報告是以Web形式輸出的,但是也可以輸出為CSV文件格式進行離線觀看。補救歷史報告并不實用。你可以得到系統狀態報告,在狀態報告中可看到一個系統為什么處于策略拒絕狀態,但是閱讀起來有些困難。
結論
我們測試的端點策略強制產品,大部分都包含了基本的功能。但是要成為一家企業網絡安全基礎架構的核心組件,這些產品仍然需要很長的路要走。我們高興的看到,這些產品可以解決擴展的策略一致性需求,功能可以滿足當前的安全和網絡基礎需求。
應該指出的共同一點是,產品缺乏警報能力和經常存在的需要改善報告技術要求。這些組件在策略一致性產品中非常關鍵,順便提一句,審計追蹤能力也非常關鍵。
此外,一些產品也應該包括依據文件或者進程名來進行策略一致性檢查的能力。我們看到有些產品應該包含一些種類的校驗和檢測。我們也看到當終端用戶不符合策略一致性時,系統使終端用戶意識到是哪些方面出現了問題的能力所有改善。大部分產品都在Web瀏覽器中提供了重定向功能,但是假如用戶是通過其他不同應用訪問網絡時,Web重定向功能就有點不合時宜了。
除了基本功能之外......
我們所測試的每款產品除了基線測試之外,有些產品其他的一些亮點功能也值得我們考慮。
例如,思科的CCA(CiscoCleanAccess)應用可和Nessus軟件配合使用來掃描系統的漏洞,你可以根據自身的網絡環境自定義新建檢查策略,而不用依賴于標準的簽名特征。
CCA也提供了優先級策略檢查能力,假如在你的網絡環境中,一條策略比另外一條策略更重要的話,你可以將較重要的策略附加在次重要策略之上。此外,CCA也支持移動用戶在CCA服務器之間進行漫游而不用再次認證。
InfoExpress也支持許多的策略強制模塊——大部分我們不能測試——例如RADIUSEAP(802.1X)和Airespace無線局域網,這些策略強制模塊可以在你的網絡中提供額外的方法來進行認證和授權。
對于策略強制,TrendMicro的NetworkVirusWall2500可以監視你的網絡流量。此外,它也可以監控網絡病毒感染。這家產品的網絡病毒爆發監視器可以識別出一個攻擊要開始的征兆,例如它根據已知的病毒攻擊連接端口或者是某個網絡進程的突然提升。當產品觀察到一個網絡病毒將要爆發時,監視器會觸發一個警報。
CheckPoint提供了第二種類型的軟件,稱作IntegrityFlexagent,這個軟件提供給終端用戶功能全面的管理界面,可以創建自己的策略,這個產品理念對于家庭電腦連接到公司網絡非常合適。此軟件目前版本是Integrity6.0,它包括了CheckPoint惡意代碼保護,一個內置的主機入侵保護引擎,主機入侵保護引擎可以識別出已知的惡意程序和進程,這些不錯的性能特點可以使管理員不需要檢測所有程序并且可以創建自己的策略。
在我們測試完成以后,Citadel公司了Hercules4.0版本。這個版本提供了很多數量的強制策略用以改善一致性審計、策略強制任務和引進Hercules應用。一個新引用的策略一致性檢查模式允許管理員接收端點的狀態報告而不用強迫終端用戶立刻采取補救行為。補救行為可以計劃在一定的時間段后執行。一個儀表板加進了管理界面中從而可以圖形方式快速觀察所有被監視設備的策略一致性狀態。額外的報告功能也被添加到管理界面中以加強報告引擎。
Veriner公司的EdgeWall對于注冊登錄、訪客登錄、掃描過程和停止掃描Web頁面過程有許多的自定義選項。當一些終端用戶不符合安全策略時,管理員可以自定義終端用戶所看到Web頁面上不符合策略的原因的描述。EdgeWall也可以在用戶退出登錄時彈出菜單。PatchLink可以列出所有運行PatchLink軟件系統的詳細清單,清單包括硬件、軟件和服務信息。
Senforced提供了不少獨一無二的功能特點。一個是允許管理員通過Senforce策略控制無線連接選項,例如是可以允許/關閉無線連接、管理WEP的密鑰、指令網卡是否可以和AP進行通信和一個系統應該怎樣響應信號強度級別。
端點安全產品自身網絡漏洞
按推理來看,在你的網絡中加入端點安全系統,網絡就不應該再遭受到攻擊了。在測試的最后,我們試圖利用黑客軟件、服務器組件和利用所生成的網絡流量把網絡安全撕開一個大口子,從而利用此手段評估每家產品的總體安全性。
在此測試項目的重磅轟炸下,沒有一家產品完全幸免于難,得分較高的產品是Vernier/PatchLink和Senforce。通過刪除客戶端軟件或者其他一些手段,我們都不能繞過策略強制機制。
為了強制客戶端執行安全策略,客戶端軟件包含了本地系統的詳細信息,例如信息包括注冊碼、文件名稱/內容/哈希校驗值等。網絡攻擊者深知這個漏洞。
我們測試了終端用戶在客戶端被感染病毒或者試圖刪除客戶端軟件的情況下,所有產品的表現。這個測試項目非常復雜,因為每家產品的實現方式非常不同,一些廠商提供了在線(in-line)策略強制設備(Cisco、TrendMicro和Vernier/PatchLink),一些是僅僅具有客戶端(CheckPoint、Citadel和Senforce),還有一些集成進了網絡基礎設施中(InfoExpress)。
對于CheckPoint、Citadel和InfoExpress產品,我們利用開發的代碼可以修改客戶端軟件所存放的目錄的名稱。一個系統重新啟動之后并沒有顯示客戶端軟件被刪除了。Senforce解決了這個問題,他們不斷地使數據和程序文件處于打開狀態,探測任何企圖刪除客戶端或其中組件的行為。
在另一個測試項目中,我們觀察了這些產品所生成的網絡流量是否會引起一個安全風險,我們發現至少有兩種類型流量可以引起安全風險。一個是在客戶端和服務器之間的網絡流量。另外一個是管理服務器接口所生成和接收的網絡流量,管理服務器接口是一個非常有價值的目標,因為它可以控制策略強制機制。
一些廠商(InfoExpress、Senforce和Vernies/PatchLink)利用未加密的HTTP流量來進行管理員和管理服務器或者其他的一些組件之間的通信。這種行為非常不安全。InfoExpress也用Telnet或者SNMPv2訪問網絡的基礎設施,然而這會暴露密碼和其他一些信息。
所有產品之中,就是TrendMicro對客戶端和服務器之間的通信流量進行了加密。假如不進行加密,這些信息對于一個網絡攻擊者將會是可見的并且可能泄露信息,例如你所強制的策略、網絡的配置信息、或者是可能的用戶名和密碼。
我們必須從安全觀點來看服務器,因為這個小小的“盒子”(運行著各種應用或者客戶所支持的平臺)已經成為關鍵網絡基礎設施的一部分并且很可能成為攻擊目標。這些服務器廠商受到探測成為潛在的受攻擊目標。一些廠商(CheckPoint、Cisco、InfoExpress、TrendMicro和Vernier/PatchLink)使用TransportLayerSecurity(TLS)/SSL對管理界面或者客戶端到服務器的流量進行加密。SSLv2本不應該在產品中使用,因為SSLv2非常易于受到攻擊。僅僅只有SSLv3和TLS才被認為是足夠安全的。我們一般使用的Windows平臺通常可以關掉SSLv2支持,但是對于端點安全應用來說,你卻不能這樣做。
大部分廠商用自己簽名的證書,這是非常危險的。假如通過手工確認的16字節MD5哈希密鑰使用得非常不小心的話,一個黑客就可以利用此漏洞。一些產品應該允許在服務器中置換自定義的簽名。
我們所測試的最后一項是產品可否利用現有最新的軟件對管理服務器進行操作,這些現成的軟件包括Apache、OpenSS和PHP。我們的這項測試是非常有道理的,廠商對客戶端的軟件進行升級監視,他們也應該對本身所使用到的工具有一個升級機制。我們非常失望的看到,一些產品用著非常老版本的軟件。例如Cisco的CCA使用的OpenSSH版本非常老,Vernier也在使用老版本的PHP。所有運行在基礎設施上的軟件應該有一個適合的升級機制,因為太古老的軟件也有可能成為易受攻擊的漏洞。
測試方法
因為端點安全廠商在具體實現的方法上有很大的不同,所以針對每家產品的測試方法也必須不同,這樣的測試結果才更有意義。
我們一開始估計了當電腦接入網絡時,可能會遇到的強制策略執行方面的麻煩。然后我們定義了電腦在訪問網絡被允許前,產品所應采取的行動。
我們計劃了對于每家產品要求的最小任務清單。在最基本的層面上,每家產品必須能夠識別出不符合策略的系統并且能夠采取補救行動。我們也要求必須有中央化的管理和報告能力。
為了制定出更為詳細的測試要求,我們和安全管理者們談話并且基于自己的安全經驗對產品所應該具有的安全策略強制做出了一份測試需求清單。從測試開始,我們就知道產品應該滿足我們所有的要求,但是我們卻對所有公司提交的產品都持著非常開放的態度。
我們把測試需求分成了5個方面:策略管理、設置/部署、補救行動、產品彈性和報告/警報功能。
我們的策略管理評估將焦點集中于產品完成定義策略的能力。我們感到看了文檔以后,設置工作應該是相當簡單的。軟件部署的過程也應該是一個簡單的過程,產品的使用也應該非常簡易。
補救測試將焦點集中于產品應該如何處理不符合策略的系統。是不是隔離了所有網絡訪問?我們可以指示終端用戶去下載相關沒有安裝的軟件或忘打得補丁嗎?補救行為是自動發生的嗎?
彈性測試我們看到了系統如何回應網絡攻擊。所制定的策略會被易于繞過嗎?會非常容易地獲得全部網絡訪問權限嗎?我們可以非常簡單地卸載客戶端軟件從而不執行策略強制嗎?
最后,我們評估了管理員會不會得到不符合策略系統的報告和警報,同時,我們測試了產品記錄和追蹤符合策略系統的狀態和補救過程的歷史的能力。此外,我們還看了產品能否生成管理報告從而易于理解當前的安全狀態。
我們安裝了所有Windows2003的服務器部件,打上全部的補丁。假如Windows2003Server不支持的某些軟件(例如Cisco的CSA管理服務器和TrendMicro的OfficeScan管理服務器),我們就利用打上全部補丁Windows2000Server進行測試。這些服務器全部安裝在VMware虛擬軟件上,這個虛擬服務器的配置是1G字節的RAM,Pentium3Shuttle服務器上。
客戶端程序被安裝在了Windows2000SP4Professional和WindowsXPSP2Professional電腦上。這些客戶端所安裝的電腦上并沒有打上全部的補丁,除非客戶端軟件要求安裝。這些客戶端也都安裝了VMware虛擬服務器,它的配置是500M的RAM,運行在Pentium3,3GHzShuttle服務器上。
對于策略一致性測試,我們要求所有客戶端都配置Sophos防病毒軟件和eEye的Blink個人防火墻。
網絡的核心運行著Cisco3500交換機,配置了兩個VLAN。第一個VLAN測試產品所處的VLAN,第二個VLAN是不受信任網絡,是我們所要求的補救行為所在的VLAN。
在產品設置和客戶端部署的過程中,我們遇到了一些困難,例如,我們學習產品過程中的文檔質量,支持分布式客戶端軟件的方法。我們也通過所有的測試階段看了產品的易用性。
測試策略管理時,我們在每款產品上都設置了策略,以驗證產品是否識別出了Blink防火墻和Sophos防病毒軟件是否運行在客戶端上,同時還驗證了產品能否識別出防病毒軟件的病毒庫是否過期。我們還安裝了DloaderTrojan/間諜程序,看看產品能不能識別出并且做出停止/隔離行為。我們配置了一條策略來識別MS05-014(IE的安全補丁)是否安裝在系統上,看看產品支持的補救行為,例如發送一個鏈接,下載補丁文件是手工安裝或者自動安裝補丁。
對于應用控制,我們不允許BT訪問,這通過應用訪問或者網絡端口來限制,限制BT訪問所采取的行為依賴于產品所支持的類型。我們嘗試了阻塞通過USB拇指驅動器訪問網絡的流量。有的產品可以關掉端口或者阻止文件寫。我們然后測試了對于操作系統安全檢查的默認支持,密碼策略、注冊碼和控制空會話的能力。
我們還測試了在遠程VPN連接上下發強制策略的能力,這個測試項目利用了CiscoVPNConcentrator作為網關。
最后,測試了用戶新建自定義策略檢查的能力,創建一些默認設置中沒有的策略。
在補救區,測試了對于不符合策略系統的全部阻塞網絡訪問或者訪問策略的能力,同時,我們還測試了限制訪問內部服務器的能力。此外,我們還測試了瀏覽器重定向。
對于報告和警報能力,我們第一個測試了生成警報的能力,假如一個不符合策略的系統上線時,例如通過E-mail或者SNMP通知的能力。隨后我們看了報告能力,從基礎的系統日志開始看起。我們然后看了生成和輸出報告的能力,同時還察看了兩個方面輸出報告的能力:補救歷史(系統或者組)和展示不符合策略一致性系統的細節報告。
為了測試彈性,我們用了交換機的鏡像端口、hub和Linux下的ethereal軟件來檢查和監視網絡流量。我們使用了OpenSSL來手工檢查一些我們發現的任何SSL連接。我們還用NMAP和NESSUS來掃描服務器從而發現易受攻擊的潛在部分。我們用基本的Windows文件維護工具來刪除客戶端軟件。
相關期刊
