Check Point Abra: kancelář v kapse
16.11.2010, Jakub Doležal, recenze
V každé větší firmě jsou dnes externí pracovníci, kteří potřebují přístup k lokálním datům. Administrátoři tak musí otevírat porty firewallů a vystavují svou síť rizikům. Novinka od společnosti Check Point by mohla tyto starosti ušetřit.
Kapitoly článku:
- Check Point Abra: kancelář v kapse
- Jak to funguje?
- Abra v praxi
- Závěrem
Společnost Check Point se vydala také svou cestou a zkombinovala několik současných technologií dohromady. Její řešení spočívá v malé flash paměti, kterou můžete nosit v kapse a připojit se tak můžete skoro pomocí každého počítači v okolí. Z hlediska bezpečnosti se jedná o velmi zajímavý pokus, jak vyřešit případné problémy s napadením firemní sítě.
Základním kamenem celé technologie je USB flash paměť, která vzešla ze spolupráce se společností SanDisk. Veškerý obsah je totiž neustále šifrován a obyčejná „flashka“ by tuto činnost nemusela zvládnout, či spíše by jí enkryptování a dekryptování trvalo příliš dlouho. Z tohoto důvodu byly použity rychlejší čipy a vlastní hardwarová podpora pro šifrování AES 256bit. Pro využití ve státní sféře je tento produkt certifikován dle FIPS 140-2.
Dalším bezpečnostním prvkem tohoto produktu je virtualizovaná pracovní plocha, která nahradí tu současnou. Jakmile uživatel vloží flash disk Abra do PC, spustí se program, který přistoupí k samotnému flashdisku a načte základní informace. Uživateli se zobrazí přihlašovací obrazovka, kam musí zadat své ověřovací údaje. Teprve po zadání správného hesla se začnou načítat privátní data a v systému je spuštěna nová instance explorer.exe ve virtuálním pracovním prostředí Abra. Všechny následné procesy (programy) jsou poté spouštěny jako podřízené procesy tohoto nového exploreru.
Na rozhraní mezi uživatelským prostředím a systémovým jádrem se využívá knihovna DLL (dynamic-link library) Microsoft Windows (NTDLL). S její pomocí provádí Abra "odchycení" prováděného kódu bezpečné aplikace předtím, než dosáhne knihovnu NTDLL. Díky to pak může správce nasazovat specifickou bezpečnostní politiku, jako například zákaz kopírování souborů z prostředí Abra na hostitelský PC nebo naopak.
Všechna vstupní a výstupní volání souborů a registrů u bezpečných aplikací spuštěných uvnitř prostředí Abra jsou přesměrována na flash disk. To platí i pro přístup do registru, který je zde taktéž virtualizován. Tato skutečnost řeší další poměrně častý problém domácích pracovníků se zavirovanými počítači. Skrze virtualizaci by totiž k nakažení dat tak snadno dojít nemělo. Hlavně musím znovu připomenout okamžité šifrování všech souborů, které tak "neleží" v žádné nechráněné cache paměti, kde by samozřejmě hrozilo jejich napadení útočníkem, či virem.
Podpora operačních systému na straně klienta zahrnuje současně používané produkty od společnosti Microsoft. Kromě dosluhujících, avšak stále majoritních Windows XP, můžeme toto prostředí spustit na Windows Vista či nejnovějších Windows 7. Nepotěším majitele Linuxu, či OS X, kteří v seznamu podporovaných systémů zatím nejsou.
Na straně serveru je již situace mnohem lepší. Jako první jsou samozřejmě zmíněny serverové edice Microsoftu (2000/2003), dále následují Solaris (8/9/10) a Red Hat Linux Enterprise 3.0. Další hojně používanou možností je virtualizace v prostředí WMware ESX. Pro budoucí správce je připravena centrální obsluha klientů včetně všemožných nastavení zabezpečení či sdílení disků.
Nyní konečně nastal čas zapojit Abru do notebooku a vyzkoušet, zdali proklamované vlastnosti opravdu fungují. Rád bych hned z úvodu upozornil, že jsem především testoval uživatelskou přívětivost a na různé „nabourávání“ systému zvenčí tentokrát nebyl čas.
absence češtiny může být pro některé uživatele problém
Velmi mile mne překvapila samostatnost softwaru, který se bez problémů ihned „virtualizoval“ a nabídl základní nastavení. Bohužel následovalo menší zklamání v podobě absence češtiny, která prý bude doplněna později. Nicméně základní znalostí anglického jazyka dnes disponuje snad většina z nás. Máme tedy nastaveno a systém spouští virtualizovanou plochu.
hned z úvodu je nutné zadat přístupové heslo, bez něj jsou data nepřístupná
ABRA automaticky přebere z předchozího operačního systému kompatibilní aplikace, které je možné virtualizovaně spouštět. Seznam podporovaných programů není nikterak rozsáhlý, ale pro běžné kancelářské práce by měl stačit.
seznam podporovaných aplikací, další se objeví v budoucnu
Pracovat v offline režimu by však zcela degradovalo funkce této „flashky“, a proto jsem se ihned vrhl na připojení ke vzdálenému serveru. V testovací verzi byl účet silně omezen, takže nešel spustit ani příkazový řádek s funkcí tracert. Tuto skutečnost však beru spíše kladně, neboť jsem mohl řádně vyzkoušet, kam až sahají „prsty“ administrátora.
přehledný a rychlý průvodce pro připojení k firemnímu serveru
Základním kamenem celé technologie je USB flash paměť, která vzešla ze spolupráce se společností SanDisk. Veškerý obsah je totiž neustále šifrován a obyčejná „flashka“ by tuto činnost nemusela zvládnout, či spíše by jí enkryptování a dekryptování trvalo příliš dlouho. Z tohoto důvodu byly použity rychlejší čipy a vlastní hardwarová podpora pro šifrování AES 256bit. Pro využití ve státní sféře je tento produkt certifikován dle FIPS 140-2.
Dalším bezpečnostním prvkem tohoto produktu je virtualizovaná pracovní plocha, která nahradí tu současnou. Jakmile uživatel vloží flash disk Abra do PC, spustí se program, který přistoupí k samotnému flashdisku a načte základní informace. Uživateli se zobrazí přihlašovací obrazovka, kam musí zadat své ověřovací údaje. Teprve po zadání správného hesla se začnou načítat privátní data a v systému je spuštěna nová instance explorer.exe ve virtuálním pracovním prostředí Abra. Všechny následné procesy (programy) jsou poté spouštěny jako podřízené procesy tohoto nového exploreru.
Na rozhraní mezi uživatelským prostředím a systémovým jádrem se využívá knihovna DLL (dynamic-link library) Microsoft Windows (NTDLL). S její pomocí provádí Abra "odchycení" prováděného kódu bezpečné aplikace předtím, než dosáhne knihovnu NTDLL. Díky to pak může správce nasazovat specifickou bezpečnostní politiku, jako například zákaz kopírování souborů z prostředí Abra na hostitelský PC nebo naopak.
Všechna vstupní a výstupní volání souborů a registrů u bezpečných aplikací spuštěných uvnitř prostředí Abra jsou přesměrována na flash disk. To platí i pro přístup do registru, který je zde taktéž virtualizován. Tato skutečnost řeší další poměrně častý problém domácích pracovníků se zavirovanými počítači. Skrze virtualizaci by totiž k nakažení dat tak snadno dojít nemělo. Hlavně musím znovu připomenout okamžité šifrování všech souborů, které tak "neleží" v žádné nechráněné cache paměti, kde by samozřejmě hrozilo jejich napadení útočníkem, či virem.
Podpora operačních systému na straně klienta zahrnuje současně používané produkty od společnosti Microsoft. Kromě dosluhujících, avšak stále majoritních Windows XP, můžeme toto prostředí spustit na Windows Vista či nejnovějších Windows 7. Nepotěším majitele Linuxu, či OS X, kteří v seznamu podporovaných systémů zatím nejsou.
Na straně serveru je již situace mnohem lepší. Jako první jsou samozřejmě zmíněny serverové edice Microsoftu (2000/2003), dále následují Solaris (8/9/10) a Red Hat Linux Enterprise 3.0. Další hojně používanou možností je virtualizace v prostředí WMware ESX. Pro budoucí správce je připravena centrální obsluha klientů včetně všemožných nastavení zabezpečení či sdílení disků.
Instalujeme a šifrujeme
Nyní konečně nastal čas zapojit Abru do notebooku a vyzkoušet, zdali proklamované vlastnosti opravdu fungují. Rád bych hned z úvodu upozornil, že jsem především testoval uživatelskou přívětivost a na různé „nabourávání“ systému zvenčí tentokrát nebyl čas.
absence češtiny může být pro některé uživatele problém
Velmi mile mne překvapila samostatnost softwaru, který se bez problémů ihned „virtualizoval“ a nabídl základní nastavení. Bohužel následovalo menší zklamání v podobě absence češtiny, která prý bude doplněna později. Nicméně základní znalostí anglického jazyka dnes disponuje snad většina z nás. Máme tedy nastaveno a systém spouští virtualizovanou plochu.
hned z úvodu je nutné zadat přístupové heslo, bez něj jsou data nepřístupná
ABRA automaticky přebere z předchozího operačního systému kompatibilní aplikace, které je možné virtualizovaně spouštět. Seznam podporovaných programů není nikterak rozsáhlý, ale pro běžné kancelářské práce by měl stačit.
seznam podporovaných aplikací, další se objeví v budoucnu
Pracovat v offline režimu by však zcela degradovalo funkce této „flashky“, a proto jsem se ihned vrhl na připojení ke vzdálenému serveru. V testovací verzi byl účet silně omezen, takže nešel spustit ani příkazový řádek s funkcí tracert. Tuto skutečnost však beru spíše kladně, neboť jsem mohl řádně vyzkoušet, kam až sahají „prsty“ administrátora.
přehledný a rychlý průvodce pro připojení k firemnímu serveru
