Check Point kjøpte i november i fjor en database som inneholder opplysninger om over mengder av Internett-applikasjoner og programsnutter («widgets»). Det sistnevnte kan sees på som delfunksjonalitet i en mer omfattende applikasjon. Check Point databasen av Facetime Communications.
I løpet av fjerde kvartal kommer Check Point til å lansere et produkt utnytter databaseopplysningene til å gi bedrifter mulighet til kontrollere de ansattes rettigheter til å aksessere ulike nettbaserte tjenester på en langt mer fininndelt måte enn med en vanlig brannmur. Informasjon om innholdet i databasen er allerede tilgjengelig her.
Det kommende produktet kalles Application Control Software Blade og skal kunne tas i bruk i alle de ulike gateway-produktene som Check Point tilbyr. Rettighetsstyringen er knyttet opp mot bedriftens Active Directory, slik at filtreringen kan konfigureres på bruker- eller brukergruppenivå.
Port 80
Jan Johannsen, nordisk sjefingeniør i Check Point, forteller til digi.no at noe av utfordringen med moderne Internett-baserte applikasjoner er at de i økende grad benytter port 80, den samme porten som benyttes når en bruker laster ned en vanlig webside med nettleseren.
Dette gjør det vanskeligere hindre bruk av mange tjenester som bedriften ikke ønsker at de ansatte skal benytte, samtidig som at deler av funksjonaliteten tjenestene tilbyr har blitt en del av behovet til mange bedrifter.
Blant disse tjenestene er Twitter, Facebook, Gmail, LinkedIn, Skype og YouTube, som mange bedrifter bruker i forbindelse med blant annet markedsføring, rekruttering og annen kommunikasjon.
Johannsen nevner flere problemer som er knyttet til Internett-applikasjoner. Blant annet blir Internett-baserte applikasjoner ofte brukt til å spre skadevare. Produktiviteten i bedriften kan bli redusert dersom brukerne ikke er disiplinerte i forhold til bruk av sosiale nettverkstjenester som Facebook. I tillegg kan høy bruk av videotjenester som YouTube og liveoverføringer av for eksempel sportsarrangementer føre til at båndbredden i bedriftens nettverk oppleves som utilstrekkelig.
– Det er likevel ikke alltid hensiktsmessig å begrense hele tilgangen, sier Johannsen. Han nevner som eksempel muligheten for å blokkere filoverføring via lynmeldingstjenester, noe som ofte benyttes som kanal for spredning av ondsinnet programvare.
Inspeksjon av pakker
I Application Control Software Blade benyttes dyp pakkeinspeksjon for å identifisere applikasjonen eller tjenesten, samt en regeldatabase hvor kilden (source) er en brukerID eller maskinID i stedet for en IP-adresse. Dette gjør det blant annet mulig å kontrollere tilgangen en bruker har til ulike Internett-applikasjoner, uavhengig av hvilken maskin vedkommende logger seg inn på.
Disse ID-ene er knyttet til tilsvarende identifikatorer i Active Directory. Loggingen av disse ID-ene kan dessuten skje uten at man må gå om DHCP-loggen for å finne ut hvilken maskin som har hvilken adresse på det aktuelle tidspunktet.
I tillegg til verdien for kilde, består reglene av verdier for destinasjon, applikasjon og handling. Pakkeinspeksjonen avslører hvilken applikasjon eller deltjeneste brukeren forsøker å benytte.
Ifølge Johannsen vil er ikke de mulige handlingene begrenset til å åpne eller blokkere tilgangen til den aktuelle tjenesten. Man kan også velge at tjenesten i utgangspunktet er blokkert i henhold til bedriftens regler, men at tilgang kan gis dersom brukeren begrunner behovet i en dialogboks.
– Tankegangen er at brukerne skal ha fornuftig forhold til applikasjonene, sier Johannsen.
Det vil også være mulig å sperre tilgangen til for eksempel bare Facebook-spill innenfor visse tidsrom, men tillate de ansatte å benytte dette i lunsjpausen.
Logging
En annen mulighet er å definere regler hvor brukere av tjenester som ikke er helt frie å bruke, får beskjed om at bruken vil bli logget. Ifølge Johannsen vil dette være en mulig løsning i bedrifter med ansatte som tilhører den såkalte generasjon y, som ikke egentlig skiller mellom jobb og fritid.
En mulig tilnærming for en bedrift som skal ta i bruk løsningen, er fra starten av å tillate alt, men å logge hvilke nettsteder brukerne er mest innom og å lage regler ut fra dette. Det vil også være mulig å se de mest aktive brukerne av hver applikasjon eller tjeneste.
Applikasjonene og programsnuttene i Check Points database er inndelt i 150 ulike kategorier, blant annet P2P-basert fildeling, nettleserplugins, VoIP og spill. Hver av oppføringene er dessuten gitt en verdi mellom 1 og 5, hvor applikasjonene med verdien 5 anses for å være de mest skadelige.
– Databasen vedlikeholdes i dag av 20 personer, forteller Johannsen.
Kundene kan be om å få lagt til nye ting i databasen, men skal i en kommende versjon få et eget brukergrensesnitt for å gjøre dette selv.
Application Control-modulen blir ifølge Johannsen tilgjengelig i R75-utgaven av programvaren i Check Points IP Appliance-produkter. Den kan aktiveres i dialogen for egenskaper på enheten, men krever en egen lisens.
SSL
En utfordring som denne første versjonen Application Control ikke tar hensyn til, er at mange Internett-applikasjoner benytter SSL-kryptering. Dette vil bli løst i en kommende versjon, som ifølge Johannsen kan ventes i første kvartal av 2011.
Utfordringen løses ved at sertifikatet til brukeren flyttes til brannmuren. Forbindelsen vil da være kryptert mellom de eksterne serverne og brannmuren, samt mellom brannmuren og brukerens pc. Det er nødvendig at dataene er tilgjengelige i klartekst i brannmuren for at Application Control-modulen skal kunne analysere dataene.
Johannsen sier at alle seriøse brannmurleverandører vil komme med lignende produkter, og at dette Application Control-produktet har blitt utviklet på rekordtid fordi kundene har etterlyst et slikt produkt.
