Komercyjne oprogramowanie za darmo? Odpowiedz Cryptzone (część 1).
03.08.2012 | aktual.: 08.08.2012 11:26
Tak, dobrze widzicie i rozumiecie tytuł. Moja firma jest partnerem szwedzkiej firmy Cryptzone w Polsce. Cryptzone jest notowany na giełdach w Nowym Jorku i Sztokholmie. Firma tworzy oprogramowanie do profilaktycznego zabezpieczania firmy od wewnątrz (m.in. SEP - Simple Encryption Platform) jak i od zewnątrz: (Appgate Security Server).
Dziś napiszę o Appgate. Mozna go pobrać, po wcześniejszym zarejestrowaniu tutaj Otrzymuje się licencję na 10 użytkowników oraz link do pobrania w formie wirtualnej maszyny dla Vmware oraz Virtualbox. Cryptzone zezwala na komercyjne użycie aplikacji w swojej licencji, stąd taki tytuł.
Update 1:
Czytelnicy zasugerowli, że jest to bełkot marketingowy - trochę mają racji. Lecz ja specjalnie tak napisałem, gdyż wśród nas są osoby, które interesują zaawansowe funkcje. Teraz w skrócie - co to za aplikacja (jeśli ktoś będzie bardziej zainteresowany, proszę czytać niżej).
Oprogramowanie Appgate działa na podobnej zasadzie jak VPN. Z tym, że tuneluje ruch po porcie 22 (ssh) do serwera appgate, który na podstawie ról i zasad kieruje ruch klienta do odpowiedniego hosta na konkretny port. Klient nie ma tutaj dostepu do calej sieci, jak często bywa to w dużych sieciach korporacyjnych (problemy z ograniczaniem ruchu, który może być dla każdego klienta inny). Po zalogowaniu do serwera Appgate klient widzi okienko, w którym ma swoje ikonki odzwierciedlające aplikacje. Są dedykowani klienci na różne platformy, też mobilne, konsola do zarządzania pod windows i linux. Autentykacja jest przeprowadzana na różne możliwe sposoby: poprzez radiu, active directory czy inny ldap, wbudowania w appgate, tokeny, itp.
Koniec update 1.
Więcej o samej aplikacji - opis dotyczy komercyjnej wersji, ale nie różni sie ona od wersji darmowej.
Rozwiązanie
AppGate Security Server jest rozwiązaniem zapewniającym kontrolę dostępu do zasobów i usług IT, chroniąc je przed nieautoryzowanym dostępem. Kontrola ta opiera się na uprawnieniach użytkownika i przypisanej mu roli w organizacji. System AppGate charakteryzuje się zintegrowaniem wszystkich niezbędnych elementów bezpieczeństwa, takich jak: uwierzytelnienie, autoryzacja, szyfrowanie transmisji (VPN), kontrolę dostępu, kontrolę użytkowników i ich urządzeń, firewall, monitoring, raportowanie oraz alerty bezpieczeństwa. System koncentrując się na kontroli dostępu użytkowników a nie urządzeń, daje możliwość użytkownikowi korzystania z dowolnego urządzenia opartego o dowolny system operacyjny do łączenia się w dowolnym miejscu i czasie. W każdym z tych przypadków gwarantowany jest ten sam wysoki poziom bezpieczeństwa zasobów firmy. Reasumując, jest to rozwiązanie oferujące 4 funkcjonalności w 1 systemie, są to: VPN, Firewall, Network Admission Control, Internal Secure Domains.
Jak działa
Rozwiązanie AppGate dostarczane jest, jako appliance oparty na serwerach firmy Dell. System pracuje na minimum dwu‑serwerowych klastrach, co gwarantuje użytkownikom ciągłość działania i dostępu do zasobów firmy. AppGate Security Server umieszczany jest pomiędzy urządzeniami użytkowników a serwerami firmy. Komunikacja między użytkownikami i systemem AppGate jest w całości szyfrowana (VPN). Szyfrowanie to odbywa się zarówno przy połączeniach z zewnątrz firmy oraz wewnątrz, niezależnie od sposobu połączenia i wykorzystywanego urządzenia. Każdy użytkownik musi mieć przyznane uprawnienia, aby mógł korzystać z zasobów niezbędnych do wykonania swojej pracy. Uprawnienia te mogą być przyznawane indywidualnie lub jako role dla grup użytkowników. W momencie zalogowania użytkownik widzi jedynie te aplikacje, do których ma przyznany dostęp. Wszystkie inne aplikacje i zasoby, do których nie zostały przyznane uprawnienia są dla niego niewidoczne.
Zarządzanie AppGate Security Server jest łatwe i wykonywane z jednego centralnego punktu, daje przy tym możliwość ścisłej kontroli nad użytkownikami i zasobami firmy i nie wymaga zaangażowania dużego zespołu administratorów i służb IT. Ponadto daje możliwość weryfikacji działań użytkowników.
[youtube=http://www.youtube.com/watch?v=CDpSs5QrQaQ]Logowanie klientów PC do serwera [youtube=http://www.youtube.com/watch?v=GPIG3XOkARQ]Logowanie klientów mobilnych
Specyfika funkcjonalności
Zarządzanie rolami i uprawnieniami – dostęp do zasobów jest precyzyjnie granulowany i oparty na przydzielonych rolach, co umożliwia nadawanie bardzo szczegółowych uprawnień dla poszczególnych użytkowników lub dowolnej grupy. Uprawnienia są przydzielane w oparciu o rolę użytkownika, metodę uwierzytelnienia, rodzaj wykorzystywanego urządzenia, miejsca, z którego użytkownik się loguje (łącznie z podziałem geograficznym), pory dnia jak i innych parametrów zdefiniowanych w polityce bezpieczeństwa firmy. Zarządzanie uprawnieniami, rolami, politykami dostępu wykonywane jest centralnie.
Mechanizmy kryptograficzne (VPN)- Cała komunikacja pomiędzy serwerem AppGate a użytkownikami jest szyfrowana, zarówno w połączeniach wewnątrz firmy jak i spoza niej. Appgate wykorzystuje następujące metody szyfrowania: AES (128, 192 and 256 bit keys), Arcfour/RC4 (128 bits), Blowfish (128 bits), 3‑DES-CBC (168 bits). System ma możliwość pracy w tzw. FIPS mode (FIPS 140‑2 poziom 1).
Network Admission Control - weryfikacja urządzenia klienta – w momencie uwierzytelniania użytkownika, system AppGate wysyła do PC zestawy reguł dla upewnienia, że urządzenie umożliwi bezpieczne szyfrowane połączenie podczas sesji i uruchamia moduł kontroli, który przydziela lub blokuje dostęp do zasobów. Komputer może zostać sprawdzony pod różnymi kątami, np.: ostatnie wersje oprogramowania, wersje baz danych programów antywirusowych, pliki z certyfikatami itd. Zależnie od otrzymanego rezultatu badania użytkownik otrzymuje zdefiniowany poziom dostępu lub dostęp zostaje zablokowany. Istnieje możliwość automatycznego przesłania aktualizacji wymaganych baz i oprogramowania.
Firewall – rozwiązanie posiada dwa rodzaje firewall: - Osobisty Firewall - gwarantujący, iż urządzenie użytkownika podczas połączenia z zasobami firmy jest w pełni zabezpieczone i nie może służyć, jako back-door dla osób i programów nieuprawnionych. Dodatkowym zabezpieczeniem dla organizacji jest fakt, iż użytkownik nie ma możliwości ingerowania w pracę „device firewall” i jego reguły działania ustalane są centralnie przez administratora. - Firewall – serwery Appgate występują jako firewall przed serwerami aplikacyjnymi (certyfikat: Common Criteria Level 2+)
Uwierzytelnianie - W przypadku konieczności zastosowania wyższego poziomu bezpieczeństwa istnieje możliwość zastosowania dwupoziomowego uwierzytelnienia, np. używając wbudowanej technologii haseł jednorazowych - OTP (One Time Password) lub rozwiązań firm trzecich. Pozostałe metody uwierzytelniania użytkowników: hasła, LDAP, Radius, Token cards, RSA SecurID, Certificates/PKI od VeriSign, Entrust, itd.
Analiza działań użytkowników - wykonywana jest w formie tekstowej i graficznej w czasie rzeczywistym. Informacja ta może być eksportowana w dowolnym formacie jak np. CSV. Elastyczność raportowania w systemie AppGate pozwala również na generowanie własnych zdefiniowanych raportów. Graficzna prezentacja ułatwiająca kontrolę obciążenia serwerów, aktywnych sesji i wielu innych czynników serwera i klastrów. Historia działań klientów przechowywana jest prze dowolnie długi okres czasu.
Segmentacja – umożliwiająca oddzielenie sieci i podsieci oraz szczególnie krytycznych systemów i serwerów. Serwer posiada od 4 do 12 interfejsów sieciowych.
Korzyści
- w pełni szyfrowana komunikacja między serwerami a urządzeniami użytkowników – co eliminuje możliwość „podsłuchania” transmisji oraz ingerencji w strumień przesyłanych danych; - cala komunikacja jest kompresowana co obniża obciążenie sieci; - gwarancja bezpiecznego dostępu do zasobów zarówno z wewnątrz jak i z zewnątrz firmy; - bezpieczny dostęp dla konsultantów zewnętrznych i firm partnerskich – dzięki możliwości precyzyjnej granulacji zasobów IT oraz nieujawniania zasobów do których dostęp nie został przydzielony oraz opcjonalnie poprzez udostępnienie im urządzeń USB Clinet; - możliwość wprowadzenia dwupoziomowego uwierzytelniania za pomocą wbudowanych haseł jednorazowych wysyłanych na telefony GSM co daje możliwość rezygnacji z kosztownych i uciążliwych w zarządzaniu urządzeń typu „token” szczególnie w przypadku udostępniania ich pracownikom nie zatrudnionym bezpośrednio u Użytkownika; - możliwość prostej ale bardzo precyzyjnej segmentacji sieci dzięki wielu interfejsom wbudowanym w serwery; - możliwość ograniczenia lub całkowitej rezygnacji z kosztownego wykorzystywania i zarządzania dodatkowymi urządzeniami VPN gdyż Appgate Serwer działa m.in. w roli VPN. - bardzo precyzyjna kontrola użytkowników i ich działań w sieci wraz z możliwością odtworzenia logów historycznych; - zabezpieczenie zasobów firmy przed zagrożeniami mogącymi napłynąć z urządzenia użytkownika dzięki zastosowaniu weryfikacji urządzenia (Network Admission Control) oraz „Distributed Device Firewall”; - Zwiększenie mobilności użytkowników - gwarantowany bezpieczny dostęp do zasobów IT firmy z dowolnego miejsca z wykorzystaniem urządzeń mobilnych typu smartphone i inne nowoczesne telefony GSM; - duża elastyczność - system niezależny od posiadanych zasobów firmy oraz od systemów wykorzystywanych na urządzeniach użytkownika – działa zarówno z Windows, Mac, Linux, na systemach mobilnych takich jak: Windows Mobile, Pocket PC 2003, Android, Iphone, Symbian UIQ 3, S60 3rd, Java; - polska wersja językowa oprogramowania dla użytkowników końcowych; - dzięki prostej i intuicyjnej obsłudze z jednego panelu administratorskiego – duże oszczędności związane z utrzymaniem i szkoleniem zespołu IT.
P.S. Jeśli macie pytania, komentujcie blog, ewentualnie piszcie do mnie: isteam@isteam.pl