Archive | June 2013

McAfee Encryption: отличия и преимущества

Информация – главный актив современного бизнеса.

«Первое правило бизнеса — защищайте свои инвестиции», — этикет банкира, 1775 г.

Криптография и криптоанализ появились задолго до того, как компьютер стал персональным. Но именно широкое распространение персональных вычислительных мощностей обеспечило активное развитие этих наук. Если отбросить в сторону экзотику вроде стеганографии (которая пока не предназначена для использования в корпоративной среде), можно прийти к выводу, что на сегодняшний день шифрование является достаточно действенным методом защиты информации как в случае передачи данных по открытым каналам (электронная почта, облачные сервисы и т.д.), так и в случае кражи/утери самого носителя информации (внешний HDD, “флешка”, ноутбук).

Беглое сравнение шифрования от McAfee с BitLocker и TrueCrypt 

Эта заметка является результатом сравнения, предпринятого по просьбе одного из заказчиков. Поскольку я сам не первый год пользовался TrueCrypt и имел возможность “поковырять” BitLocker – мне было с чем сравнивать. Информация, представленная ниже, носит сугубо технический характер и отражает личное мнение автора статьи. Если у читателя по мере прочтения материала возникнут разногласия, просьба связаться со мной. Я с удовольствием предоставлю триальные версии решений McAfee для проведения стороннего сравнения или продемонстрирую то, о чем написано ниже.

Итак, McAfee имеет в своем портфеле два отдельных программных продукта, которые по разному осуществляют защиту информации при помощи симметричного/асимметричного шифрования по алгоритму AES с длинной ключа 256 бит.

McAfee Drive Encryption (бывш. Endpoint Encryption for PC/Mac) – применяется для шифрование всего hdd или отдельных разделов. Обеспечивает предотвращение НСД в случае кражи/утери ноутбука либо в случае физического доступа к жесткому диску сервера/рабочей станции. Шифрование осуществляется на блочном уровне: при записи данных на диск специальный драйвер-фильтр осуществляет шифрование записываемой информации, при чтении (обращение ОС, или пользовательских приложений) осуществляется дешифрование. Таким образом защита “прозрачна” – ОС не знает о “прослойке” шифрования.  Доступ к ОС и пользовательским файлам предоставляется на основе pre-boot аутентификации на этапе включения системы. В качестве фактора аутентификации может применяться пароль, аппаратный токен (в т.ч с биометрией) или местоположение устройства (для систем с поддержкой Intel vPro).

drive encryption drive encryption2

McAfee File and Removable Media Protection (бывш. Endpoint Encryption for Files and Folders) – используется для выборочного шифрования каталогов и файлов, которые активно используются сотрудниками. Например, файлы, которые пользователи пересылают друг-другу по каналам связи, безопасность которых контролировать на 100% мы не можем (сетевые шары, почта, флешки и т.д.). Шифрование / дешифрование данных осуществляется при наличии ключа. Ключи создаются и раздаются пользователям централизованно из единой консоли ePolicy Orchestrator (которая обеспечивает развертывание и управление практически всеми решениями McAfee). Отдельный ключ может быть назначен отдельному пользователю либо группе пользователей (организационной единице, отдельному департаменту). Кроме того, в состав решения входит модуль EERM, который обеспечивает создание шифрованных контейнеров на внешних накопителях (“флешки”, жесткие диски).

frmp frmp2

Оба решения могут внедряться вместе или порознь. Однако, следует обратить внимание, что комплекс из двух решений позволяет обеспечить защиту критически важных данных “внахлест”. Что это значит? Шифрование жесткого диска защищает данные от несанкционированного доступа при попытке “чужих” загрузить систему с Live CD или снять жесткий диск с целью копирования данных. Другими словами, эта защита не позволяет “чужим” людям загрузить ОС и войти в систему, т.е. работает до тех пор, пока сотрудник не предоставил правильный токен. Как только процедура pre-boot аутентификации пройдена, ОС получает прозрачный доступ к файлам на жестком диске. Если пользователь после успешной аутентификации покинет рабочее место забыв заблокировать рабочую станцию (частое явление среди обитателей openspace, с которым неустанно борются ИБники) любой может скопировать информацию с его машины. В этом случае, использование обоих решений в комплексе дает преимущество – после успешной pre-boot аутентификации, информация с грифом “коммерческая тайна” остается зашифрованной, т.к. для этих файлов будет применено выборочное шифрование, при котором файл всегда пребывает в зашифрованном состоянии, включая кэш, временный файлы и файл подкачки. Таким образом при случайном или умышленном копировании такой информации она будет недоступна на других системах.

Отличия McAfee Drive Encryption от BitLocker и TrueCrypt:

– решение McAfee позволяет защищать диски на системах не зависимо от наличия TPM модуля;

(я знаю про трюк в gpedit.msc благодаря которому можно заставить BitLocker работать без TPM, но все же)

– пользователь с правами локального/доменного Администратора не может отключить шифрование McAfee;

– решение McAfee поддерживает впечатляющий список токенов, в последней версии (7.0.1) появилась поддержка токенов с биометрической аутентификацией, включая встроенные считыватели отпечатков пальцев;

– решение McAfee поддерживает SSO (синхронизация пароля pre-boot с AD, т.е. пароль запрашивается лишь 1 раз и после этого пользователь попадает на Рабочий стол); BitLocker и TrueCrypt не поддерживают SSO.

– решение McAfee позволяет занести в pre-boot file system более 60 пользователей, т.е. на одной системе может обеспечиваться безопасная аутентификация большого кол-ва пользователей;

– решение McAfee поддерживает 5 сценариев восстановления доступа к данным в случае утери токена/пароля или сбоя файловой системы (self-recovery, admin recovery, Intel AMT remote recovery, EETech recovery, EETech autoboot);

– решение McAfee поддерживает больше редакций ОС чем BitLocker, McAfee может шифровать серверные ОС и кроме Windows поддерживается MacOS; BitLocker поддерживает только Enterprise/Ultimate редакции.

– решение McAfee поддерживает различные типы ввода, включая экранную клавиатуру и различные раскладки обычной (не только US) + звуковое сопровождение для людей с ограничен. способностями;

– решение McAfee устойчиво к атакам типа cold-boot, решение обладает защитой от попытки выгрузить ключи шифрования из памяти вроде этого;

– решение McAfee развертывается и сопровождается из единой консоли ePolicy Orchestrator, что позволяет упростить администрирование шифрования; Для управления BitLocker необходимо разворачивать несколько консолей (MBAM, SCCM, SCOM, GPO).

– решение McAfee позволяет проводить аутентификацию как для доменных пользователей так и для локальных (смотрите мою заметку про Offline activation);

– решение McAfee позволяет предотвратить использование системы в случае ее компрометации (возможность удаленного уничтожения ключей);

– решение McAfee разработано с учетом оптимизации процессов шифрования с помощью процессорных инструкций Intel® AES-NI;

– решение McAfee интегрируется с Intel vPro/ Intel AMT, что обеспечивает удаленный доступ и сопровождение зашифрованных систем;

– решение McAfee полностью поддерживает Windows 8 включая GPT разбивку, UEFI, Secure Boot, Hybrid Boot;

решение McAfee устойчиво к перебору пароля (политиками можно ограничить количество неправильных попыток ввода пароля, после которых токен перестает быть действительным);

drive encryption_policies2 drive encryption_policies

Политики McAfee Drive Encryption.

Обратите внимание на ограничение неправильных попыток ввода пароля и на параметры Single sign-on (SSO)

Выводы:

Таким образом решение надежно настолько, насколько персонал подкупо-устойчив и насколько консоль управления защищена от компрометации. Фактически, единственный способ получить доступ – это либо оказать давление на пользователя системы (выдача пароля), либо подкупить оператора консоли.

– – – – – – – – – – – – – – – – – – – –

Ключевые преимущества McAfee File and Removable Media Protection:

– perUser и perSystem политики, т.е. ключ можно назначить выборочно пользователям для выборочных систем (к примеру, можно делегировать ключ только для определенной комбинации пользователь:система);

– политики позволяют при необходимости полностью скрыть факт шифрования от пользователей, которые работают с файлами/каталогами в прозрачном режиме. Возможен вариант когда администратор зашифровал документы/каталог одним ключом и распространил это ключ на целый отдел. Все у кого есть ключ редактируют документы как и раньше, но как только файл случайно или умышленно окажется на машине, на которой не делегируется ключ или не установлено решение (например домашняя система пользователя) – доступ к информации будет невозможен;

– операции шифрования/дешифрования жестко контролируются политиками, к примеру, есть возможность одной группе пользователей дать право на оба действия, а второй – только на шифрование (т.е. даже обладая ключом пользователь не сможет случайно или умышленно расшифровать файлы);

– выборочное шифрование интегрируется с McAfee DLP Endpoint, что позволяет кроме мониторинга/блокирования действий пользователя принудительно шифровать файлы;

– в модуль выборочного шифрования входит ПО для формирования крипто-контейнера на USB накопителях, т.е. имея на системах развернутый McAfee File and Removable Media Protection, можно из любой флешки, не зависимо от объема и цены девайса создать шифрованный контейнер для безопасной транспортировки данных;

– не беря DLP, говоря только о функционале EEFF, можно политиками принудительно ввести такой режим работы с USB Mass Storage Device, при котором в случае подключения внешнего накопителя пользователю дается выбор: или создать крипто-контейнер (и тогда он сможет писать информацию на накопитель), или продолжить работу в режиме Read Only. Т.е. мы можем разрешить сотрудникам записывать данные только на те носители, на которых предварительно был создан шифрованный контейнер.

frmp_policies frmp_key_assignment

Политики McAfee File and Removable Media Proteсtion

Обратите внимание на конструктор условий назначения ключа.

Спасибо всем, кто дочитал до конца!

Надеюсь, информация будет для Вас полезной.

Владислав Радецкий

vr@bakotech.com

– – – – – – – – – – – – – – – – – – – –

Список использованной литературы:

DOC-4474 McAfee Community

KB72685 – FAQs for Endpoint Encryption Files and Folders 4.x

KB76591 – FAQs for Endpoint Encryption for PC 7.x

[Coursera] Stanford Cryptography I

McAfee Mobile Security [доклад на семинаре в ISSP]

emm

Вчера, 20 июня в учебном центре нашего партнера компании ISSP, состоялся практический семинар на тему “MDM от McAfee или аспирин для BYOD“.

Поскольку всякие смартфоны и планшеты прочно заняли свою нишу в инструментарии современного бизнеса, вопросы контроля этих устройств, обеспечения соответствия корпоративным нормам (политикам), а особенно – вопрос защиты обрабатываемых данных, рано или поздно становятся одной из приоритетных задач многих ИТ/ИБ руководителей.

Как говориться – хочешь-не хочешь, а тренд бизнесу понравился, значит нужно обеспечивать compliance.

По горячим следам мероприятия делюсь презентацией своего доклада (PDF 3 Мб).

Доклад был сугубо техническим, а потому слайды будут в первую очередь интересны специалистам ИТ/ИБ департаментов и их руководителям.

Релиз на новую версию McAfe EMM11 в моем исполнении можно прочесть по ссылке.

Внимание!

Для тех, кто по каким-либо причинам пропустил семинар а также для тех, кому было мало предлагаю загрузить видео-демонстрацию* (mp4, 48 Мб), подготовленную моим московским коллегой Михаилом Чернышевым.

В демке Михаила можно посмотреть на работу EMM с iOS устройством. Это важно, поскольку я в докладе акцентировал внимание и показывал управление Android`ом (за неимением продукции Apple). Также, в видео показан интерфейс новой версии ePolicy Orchestrator. Для тех, кто не знаком с мат. частью поясню – это единая консоль, через которую развертывается и управляется практически весь софт McAfee.

Спасибо за внимание. Всем хороших выходных!

McAfee ePO: SQL Troubleshooting

Коротко опишу шаги диагностирования и решения проблем связи единой консоли McAfee ePolicy Orchestrator с БД MS SQL Server.

И так, если в один не самый прекрасный день при попытке войти в консоль ePO вы видите перед собой безобразие, похожее на картинку ниже – похоже, что Ваш ePO по каким-то причинам утратил связь с SQL.

epo_sql0

Напомню возможные “точки отказа”, чтобы облегчить этап диагностики:

  • Была проведена смена пароля учетной записи, под которой ePO работал с БД;
  • Была заблокирована учетна запись пользователя которую использует ePO;
  • Был изменен IP адрес сервера, на котором запущена БД;
  • Был изменен порт, на который SQL принимает запросы;
  • Произошел сбой SQL сервера, в результате чего экземпляр базы стал недоступен;
  • Произошел сбой файловой системы, в результате чего были повреждены файлы БД или конфиги ePO..

Я перечислил только те моменты, с которыми сталкивался на практике. В каждом конкретном случае может быть что-то еще.

 

1. Диагностика

Первым делом стоит детально изучить один из основных лог-файлов консоли ePO – orion.log, который расположен в

C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\Logs\orion.log

Последние 10-20 строк с конца лога помогут пролить свет на причну сбоя.

Если дело в нарушении связи с БД, то там будут строки следующего содержания:

Network error IOException: Connection refused:” или “An error occurred connecting to the database“либо “You have provided invalid credentials” и т.д.

epo-sql-t1-2

Вторым шагом диагностики буде попытка зайти на веб-страницу конфигурации доступа к SQL по адресу: https://_имя_вашего_epo_сервера:8443/core/config-auth

epo-sql-t1

Стоит обратить пристальное внимание на параметры, которые отображены на странице и убедиться в их корректности.

Если же дела обстоят хуже, и ePO отказывается отображать вам страницу с настройками – значит проблема в соединении с самой базой. Не стоит отчаиваться – эти параметры можно посмотреть (и при необходимости откорректировать) в файле

C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\orion\db.properties

epo-sql-t2

В данном файле хранятся параметры соединения с БД MS SQL. Особое внимание нужно уделить имени пользователя (Windows/SQL аутентификация) и номеру порта.

Теперь мы знаем параметры – приступаем к “траблшутингу”

 

2. Траблшутинг или устранение проблем

Запускаем оснастку SQL Server Configuration Manager (Win+R -> C:\Windows\SysWOW64\SQLServerManager.msc [Enter])

Переходим к разделу Network Configuration, открываем свойства протокола TCP/IP и внимательнейшим образом изучаем вкладку IP Addresses

(!) Обратите внимание: Если экземпляров БД несколько, необходимо среди них выбрать тот, который использует консоль ePO (как правило это будет EPOSERVER – имя, заданное по-умолчанию)

epo-sql-t3

Наша задача – убедиться, что указанные IP адрес(а) являются актуальными и корректными.

(!) Обратите внимание: Очень часто, в процессе миграции виртуальных машин или реорганизации локальной сети, серверам назначаются другие (новые) адреса. Если IP адрес(а) указанный в свойствах SQL сервера  отличается от текущих настроек сетевого интерфейса – необходимо внести изменения.

Если адреса сетевых интерфейсов указанны корректно, переходим к проверке порта, который “слушает” SQL. Номер порта может быть указан как непосредственно рядом с адресом сетевого интерфейса, так и внизу списка:

epo-sql-t4

Если используемый порт отличается от того, который пытается использовать ePO,  номер порта нужно изменить*

* При условии, что SQL сервер не используется каким-либо еще приложением кроме ePO. В случае, если ePO не единственный “потребитель” SQL, правильней будет изменить номер порта в настройках ePO (страница config-auth или файл db.properties)

Кроме IP адреса и номера порта, необходимо удостовериться, что протокол TCP/IP не находиться в выключенном состоянии:

epo-sql-t5

(!) Обратите внимание: Новые настройки вступят в силу только после перезагрузки служб SQL Server .

epo-sql-t6

После всех манипуляций осталось только перезапустить службы ePolicy Orchestrator и убедиться в их работоспособности. Этот шаг можно выполнить воспользовавшись оснасткой “Службы”.

epo-sql-t7

Выше, на снимке экрана выделены 3 службы, от доступности которых зависит работа консоли ePO.

На этом “траблшутинг” завершен – пытаемся войти в консоль ePO:

epo-sql-t8

3. Итоги

Поскольку ePO является приложением, использующим БД MS SQL, то шаги решения проблемы, указанной в заголовке этой заметки, практически не отличаются от траблшутинга любого другого SQL – приложения. Внимательно смотрите логи и контролируйте состояние Вашего ePO.

– – – – – – – – – –

Список использованной литературы:

KB51670 – Unable to log on to the ePO 4.x console (Troubleshooting – Master Article)

 

Всем дочитавшим до конца – удачных выходных и долгих аптаймов серверов!

По следам конференции [доклады McAfee и DataCore]

Data center_logo11-го июня состоялась конференция, посвященная новым технологиям для защиты, оптимизации и реорганизации ЦОД и облачных вычислений.

Мероприятие прошло насыщено и было с интересом воспринято публикой.

Спасибо всем, кто принял участие.

Фото с мероприятия доступны на странице БАКОТЕК.

Делюсь презентациями (формат pdf):

Презентация доклада по McAfee:

  • высокое качество (52 Мб)
  • среднее качество (7,3 Мб)

Презентация доклада по DataCore (4,7 Мб).

Обратите внимание – на последних страницах презентаций указана контактная информация.

Вышел McAfee DLP Endpoint 9.3

dlp-endpoint6 июня стал доступен для загрузки McAfee DLP Endpoint 9.3

pdf-файл с описанием основных изменений (~ 491 KB)

Поверхностный обзор нововведений:

В первую очередь стоит упомянуть поддержку серверных ОС MS Windows. Новая версия DLP Endpoint обеспечивает полноценный функционал, как при развертывании на «десктопные» редакции (XP, Vista, 7, 8) так и для Windows Server 2003, 2008, 2012. Таким образом, обеспечивается не только контроль действий пользователей на рабочих станциях, но и контроль действий сотрудников ИТ-департамента на серверах.

Однако на этом разработчики не остановились и оснастили DLP Endpoint поддержкой служб терминалов (RDS) и виртуализированных рабочих сред (VDI), таких как Citrix и VMware (список поддерживаемых VDI платформ доступен по ссылке). Данная возможность позволяет распространить защиту от утечек на тонкие клиенты и терминальные сервера, которые современный бизнес широко использует в ИТ-инфраструктуре.

dlp9.3_citrix

Если говорить о технической части перехвата и анализа информации, то среди нововведений следует выделить улучшения функций «Защита снимков экрана» и «Защита буфера обмена». Теперь DLP агент контролирует состояние не только обработчика системной функции Print Screen, но и стороннее ПО, которое пользователи могут использовать для создания снимков экрана. Функция «Защита буфера обмена» теперь позволяет не только блокировать или отслеживать попытку скопировать часть информации из приложения, но и отслеживает попытку вставить информацию в определенное приложение. Это нововведение позволяет точнее регулировать работу буфера обмена, позволяя администратору DLP системы отталкиваться как от «белого» списка приложений (для которых использование буфера обмена не блокируется) так и от «черного».

Кроме того, была улучшена работа подсистемы защиты съемных носителей. В новой версии механизм проверки анализирует функции Windows API такие как MoveFile и CopyFile и приостанавливает передачу контента до тех пор, пока передаваемые данные не пройдут проверку. Благодаря этому, копируемая информация будет записана на носитель только после завершения проверки и применении политики.

Разработчики также добавили несколько новых правил защиты для несистемных жестких дисков и для томов TrueCypt. Новые правила позволяют блокировать, отслеживать или переводить подключенные к системе (несъемные 2,5 и 3,5) жесткие диски/тома TrueCrypt в режим «только чтение». Эта функция позволяет контролировать и по необходимости запрещать персоналу сохранять корпоративную информацию на недоверенных жестких дисках или криптоконтейнерах.

dlp9.3_truecrypt

Правило защиты публикации информации в Web было усиленно, благодаря переработанному обработчику браузеров. Теперь McAfee DLP Endpoint совместим с последними актуальными браузерами и не зависит от выхода обновлений, т.е. защита остается при обновлении ПО.

dlp9.3_web

Функции генерации кода для отключения блокировки (обход агента)  и удаления агента были перемещены в отдельный пункт меню Служба поддержки (Help Desk). Благодаря чему теперь использование этих функций может быть делегировано отдельному сотруднику департамента ИБ. Доступ к функциям по работе с инцидентами (назначение ответственных и контроль) также может быть организован на основе ролей. Назначение рецензентов и задач может происходить как в автоматическом, так и в ручном режиме.

dlp9.3_helpdesk

Система работы с инцидентами была переработана. Для повышения безопасности было решено отказаться от использования службы Windows Communication Foundation (WCF). Консоль McAfee DLP Monitor была заменена на Диспетчер событий DLP, интерфейс которого позволяет гибко структурировать и фильтровать поступающие инциденты.

dlp9.3_incident

Интерфейс клиентского модуля также был изменен. Теперь в нем отображается история сработанных блокировок и статус задач Discovery. Также выводиться информация о версии политик и конфигурации агента с временным штампом, что позволяет администраторам системы контролировать распространение и обновление политик на конечных точках.

dlp9.3_history

Ключевые изменения по работе с контентом можно описать так:

dlp9.3_total

Программное обеспечение McAfee DLP Endpoint 9.3 совместимо с McAfee Agent 4.8.0 и единой консолью управления ePolicy Orchestrator v4.6.6 – 5.0.

Заметки к релизу доступны по ссылке.

Update pdf-файл с описанием основных изменений (~ 491 KB)

Личное впечатление по релизу:

Эволюция функционала позволила существенно расширить спектр применения DLP Endpoint – от рабочих станций сотрудников до серверов и виртуализированных рабочих мест (VDI).  

Нововведения позволяют продукту лучше блокировать неявные каналы утечки без остановки бизнес-процессов предприятия. Переработанный интерфейс позволяет оператору DLP комплекса комфортно и оперативно отрабатывать возникшие инциденты.

В целом, новая версия оказалась «крепким орешком» и будет востребована современным бизнесом.

McAfee, Intel, DataCore и другие…

BKT_data_center_banner_2 copy

Всех, кому близка и интересна тематика ЦОДов, а также тех, кто желает получить информацию о последних разработках от топовых вендоров “из первых рук”, приглашаю на конференцию, которая состоится 11 июня.

На конференции я и мои коллеги будем выступать с докладами технической тематики по таким направлениям:

  • McAfee – обеспечение безопасности ЦОДов и “облачных” сервисов;
  • DataCore – виртуализация СХД как инструмент оптимизации и масштабирования;
  • Intel – аппаратное обеспечение высокопроизводительных вычислений;
  • Dell – мониторинг компонентов ЦОД;
  • Riverbed,  Barracuda – оптимизация ИТ инфраструктуры при построении ЦОД и переходе в “облако”.

Информация прежде всего будет полезной и актуальной для специалистов ИТ/ИБ департаментов и их руководителей, архитекторов ИТ инфраструктур и специалистов, занимающихся построением/сопровождением ЦОДов и “облаков”.

Приходите. Будем искренне Вам рады и с удовольствием ответим на Ваши вопросы.

Для посещения необходимо зарегестрироваться по ссылке ниже:

Подробности, программа мероприятия, регистрация по ссылке.