Обзор Wallix AdminBastion 4.1

1. Введение

2. Системные требования и поддерживаемые технологии

3. Функциональные возможности

4. Работа продукта

5. Выводы

Введение

По данным различных аналитических отчетов, проблема утечки информации с использованием привилегированных учетных записей продолжает расти. По информации аналитиков Verizon доля утечек со стороны системных администраторов за последний год поднялась до 6%. Эта цифра кажется небольшой, но основная опасность состоит в том, что системные администраторы имеют полный доступ ко всем данным информационной системы – базы данных сотрудников, клиентов, финансовая и техническая документация, все эти системы управляются системными администраторами и в любой момент они могут скомпрометировать всю информацию.

Другая угроза кроится в неправильно настроенных привилегиях – в большинстве организаций все администраторы имеют одинаковые полные права доступа к любым серверам и, по данным аналитического отчета, неправильное разграничение доступа является причиной 88% инцидентов, связанных с предумышленной утечкой информации.

Перед специалистами по информационной безопасности встает важная задача – обеспечить автоматизированное управление учетными записями и постоянный контроль действий привилегированных пользователей. Также угрозы возможны со стороны компаний, оказывающих аутсорсинговые услуги. Многие специалисты по информационной безопасности сталкиваются с необходимости предоставления аутсорсерам повышенных привилегий в информационной системе и остро встает вопрос с контролем выполняемых аутсорсерами действий под привилегированной учетной записью.

Wallix AdminBastion позволяет решить все описанные выше задачи, а также выполняет ряд других не менее важный функций – возможность проведения аудита и проверка соответствия требованиям регуляторов и нормативных документов, построение подробных отчетов, управление паролями и реализация единой точки входа в информационную систему.

Системные требования и поддерживаемые технологии

Wallix AdminBastion поставляется как программно-аппаратный комплекс или виртуальный образ (appliance). В новой версии был расширен список поддерживаемых сред виртуализации, наряду с VMware vSphere поддерживает развертывание в среде Microsoft Hyper-V и KVM.

Особых системных требований Wallix AdminBastion не предъявляет, виртуальный образ настроен на автоматическое развертывание с требуемыми параметрами. Для управления Wallix AdminBastion достаточно любого современного веб-браузера (Firefox 3.6+, Chrome 22+, Internet Explorer 8+).

Wallix AdminBastion 4.1.1 построен на принципе перенаправления (проксирования) сетевого трафика по административным протоколам и не требует развертывание агентов защиты. Привилегированные пользователи подключаются к веб-консоли Wallix AdminBastion и получают доступ к конечному серверу или приложению через специально сформированные файлы для подключения или настройки. По сравнению с прошлой версией разработчики Wallix AdminBastion актуализовали список поддерживаемых протоколов, продуктов и операционных систем.

Поддерживаемые продукты для контроля (проксирования)

• SSH-сервера (включая протоколы SCP, SFTP и X11 через SSH), реализованные на библиотекеOpenSSH 5.1, 5.5, 6.1 (в среде Windows и Linux);
• SSH-клиенты (включая протоколы SCP, SFTP и X11 через SSH) - PuTTY, FileZilla, WinSCP, Xming;
• RDP-сервера и RDP-клиенты: MSTSC 6.x (Windows XP, 7, 2003, 2008, 2008 R2, 2012), rdesktop, freerdp;
• VNC-сервера и VNC-клиенты: RealVNC, xtightvnc;
• HTTPS в браузерах Firefox 3.6.28, 26, Chrome 27, 31, Internet Explorer 8 с любыми HTTPS-серверами;
• Telnet, Rlogin.

В рамках поддерживаемых протоколов разработчик не отрицает, но и не гарантирует работу с другими продуктами.

Поддерживаемые операционные системы для управления парольной информацией

• GNU/Linux;
• OpenBSD 5.1;
• FreeBSD 9;
• NetBSD 5.1.2;
• Solaris 10, 11;
• Windows Server 2003, 2008, 2008R2, 2012;
• Cisco ASA 5510, 800 series, C2960 series.

Wallix AdminBastion 4.1.1 поддерживает интеграцию с LDAP/Active Directory и авторизацию администраторов с помощью сертификатов X509. Дополнительно Wallix AdminBastion поддерживает объединение в кластеры высокой доступности (High-Availability) на уровне своего ПО.

Функциональные возможности

Для начала будут рассмотрены общие функциональные возможности Wallix AdminBastion, а отличия новой версии будут рассмотрены непосредственно на стенде. Доступ к веб-интерфейсу и к удаленным компьютерам осуществлялся из операционной системы Windows 8.1 с русской локализацией.

Wallix AdminBastion решает следующие задачи офицеров по безопасности:

• Мониторинг действий привилегированных пользователей – основной технологией для достижения данной цели является проксирование административных сеансов удаленного доступа. Wallix AdminBastion выполняет роль промежуточного сервера-передатчика трафика между администраторами и целевой контролируемой системой. Wallix AdminBastion выступает как сервер, к которому подключаются привилегированные пользователи с помощью специально создаваемых настроек для подключения, Wallix AdminBastion перенаправляет трафик к целевым серверам и параллельно осуществляет контроль данного трафика.
• Контроль утечек и расследование инцидентов – подключения через графические системы удаленного доступа (RDP и VNC) записываются как видеоролики в режиме реального времени. При этом встроенная система оптического распознавания символов позволяет упросить поиск нужных видеозаписей и времени действия в них. Дополнительно для протокола RDP осуществляется определение команд, в том числе переданных из буфера обмена. Для текстовых протоколов (SSH, Telnet) ведется журналирование передаваемой на сервер информации и получаемых ответов. Также поддерживается контроль доступа к различным веб-формам (HTTP, HTTPS) администрирования устройств и служб. В Wallix AdminBastion возможно задание правил реагирования на угрозы в режиме реального времени, которые активируются при обнаружении заданных команд или открытии окон с определенными заголовками (для RDP). Таким образом можно моментально запрещать доступ привилегированным пользователям, на основании действий, которые они выполняют на защищаемом устройстве.
• Разграничение доступа администраторов к защищаемым серверам – возможность гибко настроить права доступа администраторов к контролируемым компьютерам. Данным способом решается задача разграничения доступа в компаниях с большим числом системных администраторов, которые отвечают за различные службы и сегменты сети.

Дополнительные задачи, которые можно решить с помощью Wallix AdminBastion:

• Упрощение доступа привилегированных пользователей – с помощью Wallix AdminBastion создается единая точка входа, администраторам достаточно один раз войти в Wallix и дальнейший доступ к защищаемым компьютерам производится автоматически без необходимости повторной авторизации. Для усиления защиты могут применяться сертификаты X509 и решения по генерации одноразовых паролей (One-Time Password, OTP).
• Контроль эффективности работы системных администраторов – с помощью гибкой системы отчетов руководитель IT-службы может следить за временем работы своих подчиненных.
• Изучение ошибок системных администраторов – очень часто ошибки IT-инженеров не приводят к утечкам информации и другим инцидентам из области ИБ, но могут нарушить работу сети или привести к другим негативным последствиям. Wallix AdminBastion позволит быстро найти причину и устранить ошибку, а также определить виновного сотрудника.

Работа продукта

Для обзора продукта использовался демо-стенд, развернутый непосредственно в WALLIX. Такой формат испытаний продукт доступен для всех потенциальных заказчиков, достаточно правильно оформить заявку на сайте производителя.

Wallix AdminBastion в версии 4.1 претерпел следующие изменения, относительно версии 3.1:

• Добавлена возможность разделения прав доступа к административной консоли Wallix AdminBastion в зависимости от сетевого интерфейса, к которому подключился администратор.
• Добавлено управление режимами работы RDP-прокси, технологии, позволяющий отслеживать действия администраторов.
• В интерфейсе привилегированных пользователей добавлены иконки для подключения к защищаемым серверам по SSH/Rlogin/Telnet.
• Реализована интеграция с LDAP/Active Directory и интерактивная авторизация на RADIUS RSA серверах.
• Поддержано сжатие и технологии кеширования в протоколе RDP 6.1, что позволило ускорить работу через этот протокол и снизить сетевой трафик.
• Добавлена поддержка прозрачного режима работы с IP.
• Полностью обновлен механизм SSH-проксирования, работа оптимизирована и ускорена.
• Добавлена поддержка Kerberos-авторизации и шифрования RSA c ключом 4096-бит для SSH-соединений.
• Возможность шифрования записей сеансов.
• Расширена возможность разграничения доступа привилегированных пользователей к различным интерфейсам и портам защищаемых компьютеров.
• Улучшена работа системы кластеризации Wallix AdminBastion.
• Добавлена возможность настройки разрешения для окна RDP сессии.
• Разделение трафика, в частности производственного и административного (поддерживается одновременная работа с 4 сетевыми интерфейсами).
• Прозрачный прокси SSH и RDP.
• Интеграция с платформой ERPM от Liebsoft.
• Улучшенный веб - портал для пользователей ( добавились возможности фильтрации, сортировки, доступа к конкретным приложениям).
• Поддержка SOAP Web Services.

Вход в Wallix AdminBastion стандартный – приглашение для ввода имени пользователя или выбора X509-сертификата.

Рисунок 1. Окно авторизации Wallix AdminBastion

После авторизации в зависимости от прав доступа и роли пользователя отображаются различные пункты меню и основная информация о подключении. Сразу бросается в глаза первое отличие от старой версии – интерфейс стал проще и приятнее для глаз, а в верхнем-правом углу отображается не только имя пользователя, но и название интерфейса, к которому подключился пользователь (первый пункт в обзоре изменений выше).

Рисунок 2. Новый интерфейс Wallix AdminBastion в версии 4.1.1

Экран общих настроек профиля администратора практически не изменился, в списке языков всё также присутствует только английский и французский. Русскоязычная локализация, отсутствие которой было отмечено в прошлом обзоре, не появилось. Немного изменились тексты полей и кнопки, но данные изменения носят исключительно косметический характер.

Рисунок 3. Общие настройки профиля администратора в Wallix AdminBastion 4.1.1

Раздел «My Authorizations» содержит список защищаемых компьютеров к которым предоставлен доступ для учетной записи. В таблице указан адрес компьютера, имя пользователя на целевой машине, протокол и порт, разрешенное время доступа (в Wallix AdminBastion можно разграничить время суток и дни недели в которые разрешен доступ), дата/время последнего подключения и прямые ссылки для установки подключения. По ссылке открывается .rdp-файл или профиль для программы WABPutty, которую можно скачать на этой же странице. В прошлой версии программы администраторам для подключения через SSH WABPutty не предлагался.

Этот экран является основным рабочим инструментов привилегированных пользователей, не являющихся администраторами Wallix AdminBastion. Отсюда пользователи совершают подключения к администрируемым серверам и сетевому оборудованию. При этом администраторы не знают учетные данные для станций, куда они подключаются. С помощью специально генерируемых профилей для подключения Wallix AdminBastion предоставляет администраторам необходимый доступ и одновременно с этим записывает все их действия.

Рисунок 4. Перечень защищаемых станций, к которым возможно осуществить доступ через Wallix AdminBastion 4.1.1

В разделе «WAB audit» инженер по безопасности может отслеживать текущие подключения администраторов к защищаемым станциям в режиме реального времени. Доступна опция автоматического обновления списка, таким образом данный экран может стать основной рабочей областью сотрудника службы ИБ.

Рисунок 5. Перечень текущих подключений привилегированных пользователей в Wallix AdminBastion 4.1.1

Чуть ниже располагается раздел в котором доступна для просмотра история всех прошлых подключений к защищаемым компьютерам. Отличий от предыдущей версии в этом интерфейсе нет.

Рисунок 6. История подключений привилегированных пользователей в Wallix AdminBastion 4.1.1

Отдельный раздел посвящен истории авторизации привилегированных пользователей в интерфейсе авторизации Wallix AdminBastion. Как и в остальных разделах, тут поддерживается фильтрация и быстрый поиск работающий по любым полям – как по имени пользователя, так и по IP и полю с текстом диагностики.

Рисунок 7. История авторизации привилегированных пользователей в Wallix AdminBastion 4.1.1

В подразделе «Connection Statistics» можно построить графики статистики по подключениям за определенный период времени.

Раздел «System Audit» предназначен для проверки статуса самого комплекса Wallix AdminBastion, в подразделах доступна информация по текущему состоянию компьютера, на котором работает продукт, содержимое системного журнала (syslog), журнала локальной авторизации и сообщений загрузчика операционной системы (Wallix AdminBastion функционирует на базе ОС из семейства GNU/Linux).

Рисунок 8. Системный статус в Wallix AdminBastion 4.1.1

Раздел учетных записей «Users» не претерпел изменений – как и раньше в нем доступно управление пользователями, группами и импорт учетных записей из CSV-файла или c LDAP/Active Directory сервера.

В общей таблице пользователей доступны групповые операции и контекстный поиск. Для каждого пользователя может быть настроен следующий набор данных:

• Имя пользователя (идентификатор);
• Отображаемое имя;
• Адрес электронной почты;
• Предпочитаемый язык интерфейса (английский или французский);
• IP-адрес (необязательный параметр, можно связать учетную запись с IP-адресом или не использовать данную возможность);
• Роль (профиль) пользователя – профили настраиваются в отдельном разделе о котором будет рассказано ниже;
• Группы, в которые входит пользователь;
• Выбор сервера аутентификации (можно выбрать встроенную аутентификации Wallix AdminBastion или внешний LDAP/Active Directory сервер);
• DN-путь к сертификату;
• Флаг обязательной смены пароля при первом входе;
• Пароль;
• Публичный SSH-ключ.

Рисунок 9. Перечень учетных записей пользователей Wallix AdminBastion 4.1.1

В разделе «Groups» производится управление группами пользователей. В новой версии Wallix AdminBastion позволяет не только использовать внутренние группы, но и проводить сопоставление своих групп с группами в LDAP/Active Directory. Дополнительно для групп можно настроить правила для контекстного поиска подстроки в протоколах SSH/Rlogin/Telnet и применения особых действия при срабатывании правил.

Рисунок 10. Добавление групп пользователей в Wallix AdminBastion 4.1.1

Раздел «Resources» содержит подразделы, содержащие настройки для различных объектов доступа – перечень защищаемых серверов и приложений, учетные записи к защищаемым объектам, работу с механизмами аутентификации и настройки кластеров.

Подраздел управления защищаемыми серверами выполнен в общем стиле – в таблице содержится название устройства (сервера), IP-адрес, текстовое описание, перечень протоколов и портов, по которым может осуществляться доступ и дата последнего подключения. Для экспорта таблицы, как и в остальных разделах, поддерживает вывод данных в формате Excel.

Рисунок 11. Списки защищаемых устройств в Wallix AdminBastion 4.1.1

Подраздел доступа к приложениям появился только в данной версии, в предыдущих версиях Wallix AdminBastion не поддерживался доступ к отдельным приложениям, а разграничение делалось только в рамках целых серверов и их протоколов управления. Поддерживаются только приложения, доступ к которым осуществляется через RDP. В настройках защищаемых приложений указывается только учетная запись для подключения, путь к приложению и стартовая директория. Изучение данного раздела затруднено отсутствием во встроенной справке веб-консоли раздела по настройке приложений, а дальнейшее изучение справки показало, что она относится к предыдущей версии и не была обновлена. К счастью, руководство администратора (administration guide) содержит актуальную информацию и описывает текущий интерфейс.

Рисунок 12. Списки защищаемых приложений в Wallix AdminBastion 4.1.1

В подразделах «Account» и «Device Admin Credentials» реализовано управление учетными записями, используемыми для доступа к приложениям и защищаемым устройствам соответственно. Рядовые привилегированные пользователи не должны иметь доступа в этот раздел, как уже упоминалось ранее, доступ им предоставляет сам Wallix AdminBastion и авторизация проходит прозрачно для пользователей.

Рисунок 13. Настройки доступа к защищаемым устройствам в Wallix AdminBastion 4.1.1

Настройка прав доступа привилегированных пользователей к учетными записям устройств осуществляется в разделе «Manage Authorizations». С помощью данного раздела задается соответствие пользовательских групп и групп авторизационных данных, а также настраиваются два флага – флаг важности для фильтрации в журнале доступа особо важных прав доступа, и флаг записи – включение или отключение механизмов записи всех действий привилегированных пользователей (видео для RDP/VNC, текст для SSH/Telnet).

В предыдущих версиях доступ настраивался внутри других разделов интерфейса, выделение данных настроек в Wallix AdminBastion 4.1 в отдельный интерфейс значительно упрощает администрирование.

Рисунок 14. Ассоциации пользовательских учетных записей и защищаемых устройств в Wallix AdminBastion 4.1.1

Как уже упоминалось при описании пользовательских аккаунтов, к учетной записи привязывается профиль (роль), который разграничивает доступ пользователей к интерфейсу управления Wallix AdminBastion. В разделе «User profiles» происходит управление данными профилями.

Для каждого профиля можно выбрать доступ к просмотру или модификации каждого раздела Wallix AdminBastion по отдельности. Отдельное право доступа настраивается для запуска процедуры резервного копирования и восстановления настроек. Дополнительно для профилей можно ограничить доступ по IP-адресам (в дополнении к возможности ограничения доступа по IP-адресам для отдельных пользователей).

Рисунок 15. Управление доступом пользователей к функциям Wallix AdminBastion 4.1.1

Новый раздел, который отсутствовал в предыдущей версии и уже упоминался в начале обзора при перечислении отличий от предыдущей версии – настройки прокси Wallix AdminBastion. Пока данный раздел содержит только несколько настроек для протокола RDP, но в будущем явно планируется расширение списка доступных опций.

Рисунок 16. Настройки RDP-прокси Wallix AdminBastion 4.1.1

Раздел «WAB Settings» содержит различные настройки продукта Wallix AdminBastion. Краткое содержимое внутренних подразделов:

• Timeframes – настройка временных промежутков, которые используются для разграничения доступа по времени суток и дням недели.

Рисунок 17. Добавление нового временного промежутка, для ограничения доступа пользователей по времени суток и дням недели в Wallix AdminBastion 4.1.1

• External authentications – настройка внешних серверов авторизации (как для авторизации пользователей в Wallix AdminBastion, так и для авторизации на защищаемых серверов). В списке настраиваемых типов серверов – LDAP, Active Directory, Kerberos, RADIUS.
• LDAP/AD Domain – настройка доменов LDAP и Active Directory, используемых для авторизации пользователей в Wallix AdminBastion.
• Notifications – настройка уведомлений по электронной почте. Поддерживается создание различных уведомлений, отправка писем на несколько почтовых ящиков и выбор событий для отправки письма.

Рисунок 18. Добавление подписки по электронной почте на события, происходящие в Wallix AdminBastion 4.1.1

• Local password policy – политика сложности паролей, используемых для авторизации в Wallix AdminBastion. Стандартные опции – минимальная длина, требования к словарю, частота смены пароля, максимальное количество ошибок аутентификации до блокировки учетной записи, словарь запрещенных в пароле слов (311 паролей во встроенном списке).
• Account Password Policy – настройки автоматической смены паролей на защищаемых устройствах и серверах и настройки GPG-ключей.
• Connection Parameters – настройка сообщения, предупреждающего пользователя о ведущейся записи сеансов администрирования (поддерживается кириллица, отключить вывод сообщения нельзя).
• X509 Parameters – параметры X509 сертификатов.
• Recording options – содержит только один параметр – возможность включения шифрования всех записей действий привилегированных пользователей.

Раздел «System settings» содержит различные системные настройки. Краткое содержимое внутренних подразделов:

• Network – управление сетевыми интерфейсами.
• Time Service – настройки синхронизации времени.
• Remote Storage – настройки удаленного файлового хранилища для хранения записей сеансов и журналов. Поддерживаются файловые системы CIFS и NFS.
• SNMP – настройки передачи данных о состоянии системы по протоколу SNMP.
• SMTP – настройка сервера для отправки электронной почты.
• License – управление лицензией Wallix AdminBastion.
• Encryption – установка и изменения начальной последовательности для всех криптографических механизмов.
• Service Control – настройки кластера высокой доступности из нескольких Wallix AdminBastion.

В разделе «Backup/Restore» доступна возможность сохранения всех настроек и восстановления из ранее сохраненного архива. Резервные копии шифруются секретным ключом.

Рисунок 19. Управление резервными копиями конфигураций Wallix AdminBastion 4.1.1

Если войти в интерфейс управления Wallix AdminBastion под учетной записью простого пользователя доступны будут только два разделе – «My Preferences» для управления своей учетной записью и «My Authorizations» для доступа к защищаемым серверам.

Рисунок 20. Перечень доступных для подключения защищаемых устройств и приложений в Wallix AdminBastion 4.1.1

При подключении к удаленному серверу по RDP отображается окно авторизации и выбора сеанса для подключения. После этого отображается предупреждение, которые настроено администратором, после ознакомления с предупреждением начинается запись.

Рисунок 21. Выбор сеанса для подключения в Wallix AdminBastion 4.1.1

Рисунок 22. Предупреждение Wallix AdminBastion о записи RDP-сеанса 4.1.1

В отличие от предыдущей версии Wallix AdminBastion переключение раскладки работает в удаленной операционной системы, и язык локального и удаленного компьютера больше не играет никакой роли. Единственный недостаток, который был обнаружен – невозможность переключить язык во встроенном окне RDP-авторизации, если был выбран вариант доступа «RDP file», который не использует единую точку входа, но доступен без авторизации в веб-интерфейсе Wallix AdminBastion. При этом язык в этом окне будет таким, какой был выбран до открытия окна, кириллические символы можно использовать и вводить, но включить нужный язык требуется заранее, а смешанные пароли на русском и английском языках недопустимы.

Рисунок 23. Проверка переключения языковой раскладки в RDP-сеансе, установленном через Wallix AdminBastion 4.1.1

Администратор в дальнейшем сможет просмотреть запись сеанса в разделе «WAB audit – Connection history». Доступно три основных блока – полная видеозапись изображения RDP-сессии (для проигрывания используется Flash Player или ролик можно загрузить локально), снимки экрана, которые создаются в момент изменения данных на экране, и список текстовой информации, полученной с помощью технологии оптического распознавания (OCR).

Рисунок 24. Просмотр записи RDP-сеанса в Wallix AdminBastion 4.1.1

Выводы

Wallix AdminBastion – развивающийся продукт для разграничения доступа и контроля за действиями привилегированных пользователей – как собственных сотрудников, так и аутсорсеров, который решает множество задач как ИБ-отдела, так и IT-отдела. Внешний вид Wallix AdminBastion 4.1.1 приятно улучшился, упрощение дизайна и небольшое перераспределение информации по разделам позволило упростить задачи по администрированию продукта и улучшить пользовательский опыт работы с продуктом.

Последовательное добавление новых технологий и поддержка актуальных версий программного обеспечения показывает серьезность и планомерность подхода компании WALLIX к работе с заказчиками. Процедура обновления для текущих заказчиков описана в документе Release Notes и не составляет труда как для виртуального решения, так и для аппаратного. Обновление происходит без потери настроек и с минимальным временем простоя.

Список исправленных недостатков, которые мы отмечали в предыдущем обзоре, показывает серьезность намерений производителя прочно закрепиться на российском рынке. Некоторые особенности, связанные с поддержкой кириллицы, еще сохранились, и, к сожалению, так и не был локализован интерфейс продукта, но основные шаги в данном направлении уже сделаны и мы надеемся, что следующие версии будут полностью адаптированы под отечественный рынок.

Достоинства

• Адаптация продукта под операционные системы с русской локализацией;
• Логичность и простота доработанного интерфейса;
• Удобный просмотр действий администраторов и разные представления данной информации (видео, снимки экрана, распознавание текста);
• Решение типовых задач службы ИБ и руководителей службы IT в одном продукте;
• Поддержка кластеризации решения;
• Единая точка входа для привилегированных пользователей, без необходимости авторизации на каждом защищаемом устройстве;
• Поддержка разграничения доступа по времени суток и дням недели;
• Снижение рисков утечек информации и выхода привилегированных пользователей за рамки дозволенных полномочий.
• Возможность просмотра сессий в режиме реального времени.
• Поддержка правил для автоматического реагирования в зависимости от вводимых команд и имен окон в привилегированных сессиях.

Недостатки

• Отсутствие локализации интерфейса;
• Устаревшая встроенная система справки, оставшаяся от предыдущей версии;
• Отсутствие поддержки протокола iSCSI для удаленных хранилищ;
• Невозможность поменять язык ввода в окне RDP-авторизации.