(Tento článek napsal Martin Pavlis pro časopis Connect!)
Když jsem naposledy usedal k recenzi GFI Montoru pro ISA Server, psal se říjen roku 2005. Nyní jsme skoro o tři roky dál a tak je jistě na místě se k tématu vrátit a podívat se na to, zdali se tento produkt nějak významněji změnil a zda stále sleduje aktuální trendy. Pokud náhodou stále nevíte, o čem bude v tomto článku řeč, tak tedy… GFI Monitor je softwarovou nadstavbou Microsoft ISA Server 2004/6, která přináší správci zajímavá rozšíření v oblasti monitorování okamžitého provozu, kontroly dat proti nechtěnému obsahu a mnohému dalšímu! Během několika let se z Microsoft ISA Serveru stal – a to hlavně sítích těch zákazníků, kteří využívají primárně produkty společnosti Microsoft – téměř standard. Nejprve pro proxy, později i pro firewalové služby. I když se ISA Server může chlubit tím, že pro verze 2004/6 neexistuje žádný úspěšný útok, kterým by bylo možné jej hacknout, či ovládnout (toto je poměrně unikát – ověřit si tuto informaci můžete např. na serveru Secunia – www.secunia.com), stále mu pár věcí k dokonalosti chybí. A to v době, kdy se další verze ISA Serveru odsouvá až kamsi do poloviny roku 2009, hraje do karet dodavatelům stavícím na těchto nedostatcích. Mezi ně patří hned několik věcí – absence antiviru, absence antispyware a další. No a přesně toho využívá GFI WebMonitor, který nabízí řešení, které tyto nedostatky napraví, k nim přibalí další drobnosti a hle, máme na světě šikovného pomocníka, který se pro někoho stane nezbytným doplňkem ISA Serveru, pro jiného vítaným pomocníkem. Myslím si ale, že jej opravdu ocení každý správce ISA Serveru!
GFI Monitor existuje ve třech edicích:
Tato edice nabízí možnost kontroly nad přístupem k internetovým stránkám na základě podmínek vydefinovaných v interní WebGrade databázi. Tato databáze potom obsahuje celou řadu elementů (uživatelské jméno, členství ve skupině, IP adresa, čas, či URL navštěvovaných stránek), ze kterých správce skládá pravidla/podmínky pro udělení/odmítnutí přístupu.
Tato edice vám umožní zajistit vysokou bezpečnost nad stahovanými daty. A to díky vícenásobné antivirové a antispyware kontrole.
Tato verze je kombinací obou předcházejících edicí.
Protože předcházející verze nabízela i zajímavou variantu verze zcela zdarma, je potřeba zmínit, že v aktuální verzi tomu již tak není. Po stažení produktu ze stránek GFI máte buď 10-ti, nebo 30-ti denní období určené pro vaše testování (30-ti denní klíč máte možnost získat jen po registraci). Po uplynutí této doby vám ze všech komponent WebMonitoru zůstanou funkční pouze následující – monitoring, reporting, karanténa a možnosti skenování obsahu – ale pozor, již bez možnosti aktualizace jednotlivých anti-vir-spyware-phising databází!
První část programu, které by vás měla zaujmout, je část monitorovací. V ní máte možnost online sledovat aktivitu, které se v daném okamžiku na ISA Serveru odehrává. ISA Server sám totiž nic podobného nenabízí! V konzole ISA Serveru je sice možné používat monitoring aktivních spojení, ale tato data jsou až zpětně interpretována z SQL databáze, kterou server využívá. Tím pádem jsou data lehce zpožděná a hlavně nenabízí to nejpodstatnější – sledovat konkrétní komunikaci, očištěnou od, v daný okamžik nepotřebných, dat. A tady vynikne námi testovaný program – nabízí celou škálu pohledů na aktuální spojení, včetně velmi zajímavé volby konkrétní komunikaci „odstřelit“ – to může hodit, pokud máte např. velmi zatíženou linku a najednou zjistíte, že si kolega začal stahovat instalační DVD ISO o velikosti pár gigabajtů. Tato spojení můžete samozřejmě prohlížet i do minulosti a vytvářet velmi profesionálně vypadající reporty. Kromě toho si tyto výstupy můžete libovolně setřídit podle např. nejnavštěvovanějších stránek a sledovat, kdo a jak dlouho na nich trávil svůj, jistě pracovní, čas :). Stejným způsobem se můžete podívat na aktivity konkrétního uživatele – a to kdykoli v čase, např. za určitě období.
Právě popsaná vlastnost GFI WebMonitoru je sice příjemná, ale v praxi ji podle mě využijete jen občas. Jako správce budete mít jistě mnoho zajímavějších věcí na práci. Proto by jistě bylo lepší případné filtrování navštěvovaných stránek nějak zautomatizovat. K tomu zde slouží WebGrade databáze, pravidelně aktualizovaná z internetu, která díky obrovskému seznamu internetových adres setříděných do více než 60 kategorií (násilí, sex, hry, atd.) umožňuje nastavit, jak se stránkou, které se v dané oblasti nachází, zacházet – zdali povolit, zakázat anebo poslat požadavek o přístup správci, který následně rozhodne o tom, zdali příště toto spojení povolit, či nikoli. Tato myšlenka řízeného přístupu je potom uplatněna i v dalších částech produktu – máte možnost konfigurovat pevný WhiteList, tedy seznam důvěryhodných serverů (a to nejen na konkrétní IP, či URL, ale také na adresy typu @pavlis.net), nebo dočasný WhiteList. Tento dočasný list funguje tak, že pokud byl uživateli odmítnut přístup na nějakou stránku, může se tato adresa umístit do karantény, odkud ji může správce zakázat, či povolit. No, a pokud ji povolí, může se tato adresa dostat buď na permanentní, nebo dočasný WhiteList. To, že tyto listy přebíjejí případná předem popsaná pravidla, že tedy mají vyšší prioritu, je asi jasné.
Nyní tedy máte zajištěno, že uživatelé nepřistupují na stránky, na které přistupovat nemají. Nicméně to ještě není všechno. V poslední době se velmi rozmáhá (a bohužel už i v české republice) technologie útoků na myšlení uživatelů, tzv. phishing. Uživatel v domnění, že komunikuje např. se svojí bankou (stránka má skoro stejné URL a vypadá stejně, jako stránky banky), odevzdává útočníkovi choulostivé údaje. V horším případě dokonce tak choulostivé, že je může útočník okamžitě zneužít k vlastnímu obohacení. GFI WebMonitor se proti tomuto snaží bránit – program si opět stahuje aktuální databázi phishing stránek a každé navštěvované URL potom kontroluje, zdali není v databázi uvedeno. Pokud ano, přístup odmítne. Osobně jsem zkoušel použít aktuální verzi databáze a proti ní navštívit stránky, které aktuálně byly zveřejněny na různých bezpečnostních portálech. Téměř pokaždé mě GFI WebMonitor zabránil v přístupu, což považuji za velmi příjemné zjištění.
V další části GFI WebMonitoru můžete konfigurovat antivirovou ochranu stahovaného obsahu. Kontrola probíhá pomocí tří nezávislých strojů, konkrétně BitDefender, Kaspersky a Norman. Zdali budete používat jeden, dva anebo všechny tři antiviry, je jen na nás (a na licenci, kterou vlastníte). Dále můžete také nastavit to, zdali se infikovaná data mohou dostat až k uživateli s tím, že mu bude zobrazeno pouhé varování před stahováním zavirovaných dat, či zdali chcete takto napadená data uložit do karantény, nebo je rovnou smazat. Velmi důležité je i to, že můžete konfigurovat, jak se má GFI WebMonitor chovat v okamžiku, kdy nedokáže získat přístup k souboru (zaheslovaný archiv, atd.). Zde se jedná o zcela běžnou funkcionalitu, která nijak nevybočuje z řady jiných produktů. Nicméně, jak jsem již napsal, ISA Server sám žádnou antivirovou a antispyware ochranu nenabízí, někteří jíní dodavatelé doplňky pro ISA Server vůbec nenabízí, takže se klidně může stát, že toto bude váš primární důvod k rozhodnutí o nákupu tohoto programu.
Tolik tedy k tomuto šikovnému pomocníkovi. Nechám na každém z vás, zdali vás zaujal, či nikoli – jedno je ale jisté. Antivirová a spyware ochrana je dnes nutností a bez této kontroly žádný síťový prvek neobstojí. A protože ISA Server sám takovou funkcionalitu nenabízí, je jasné, že budete vždy muset sáhnout po nějakém dalším doplňku. Tak proč ne třeba po GFI WebMonitoru. Produkt je to kvalitní, stabilní a dostatečně ověřený časem!
Martin Pavlis – KPCS CZ – Microsoft MVP