Enforcing personal firewall per OS X

Naviga le tue risposte
3

Al momento stiamo facendo la conformità PCI e uno dei requisiti è che i dispositivi mobili che hanno accesso ai sistemi coinvolti nell'elaborazione dei dati delle carte abbiano installato un software firewall personale che non può essere disabilitato dalla persona che utilizza il computer.

Gli unici computer portatili che abbiamo a disposizione di tale requisito appartengono ai nostri amministratori di sistema e sono tutti Mac. (Questo è apparentemente banale in Windows - praticamente tutte le soluzioni di protezione degli endpoint lo implementano.) Dal momento che sono amministratori di sistema, hanno accesso amministrativo al loro Mac.

Ho avuto un paio di fornitori di protezione degli endpoint che mi hanno promesso una soluzione solo quando l'abbiamo provata (in particolare, Symantec), e ora sono bloccato.

Qualcuno sa qualcosa che soddisferà questo requisito in OS X (software firewall personale che non può essere modificato dall'utente finale, anche se l'utente ha accesso come amministratore)?

    
posta Rich Lafferty 24.05.2013 - 20:58
fonte

5 risposte

1

Abbiamo implementato le Preferenze gestite utilizzando MacOS Server e Open Directory per indirizzare questo punto agli utenti generici. Il problema chiave è che questo non può bloccare gli utenti con accesso di amministratore locale. Niente può. L'unica vera risposta è che i tuoi utenti non dovrebbero avere privilegi di amministratore locale per il loro lavoro quotidiano, specialmente su un dispositivo mobile, se vogliono vivere secondo la lettera dello standard PCI-DSS.

Sì, un amministratore di sistema è un sysadmin e lei dovrebbe avere i diritti di accesso per svolgere il suo lavoro. Lo standard implica che questo non dovrebbe essere fatto da un dispositivo mobile. Sfidiamo sempre lo sviluppatore o l'utente che afferma "Ho bisogno di un accesso amministrativo per eseguire il software X." Quasi sempre, loro no. Il fornitore di software è spesso pigro e suggerisce semplicemente l'accesso come root per renderlo più semplice. Non si preoccupano veramente delle tue pratiche di sicurezza. Con un'analisi corretta dei privilegi minimi richiesti, è possibile fare in modo che gli utenti non root eseguano tutto ciò di cui hanno bisogno senza accedere a sysadmin.

Questo è un po 'fuori dalla tua domanda diretta, ma stiamo perseguendo la tokenizzazione delle informazioni sulle carte con il nostro gateway di pagamento, quindi non avremo il requisito PCI. Un'altra opzione è quella di separare l'accesso alla tua rete di dispositivi mobili in modo tale da poter essere un amministratore sul loro locale, ma semplicemente non avere accesso ai sistemi di elaborazione delle carte. Infine, abbiamo anche creato VM basate su server o host di Servizi terminal che forniscono l'accesso necessario e non hanno accesso sysadmin sull'host locale degli utenti.

Spero che questo aiuti.

    
risposta data 24.05.2013 - 21:44
fonte
0

Potresti provare a implementare NAC e un proxy che supererebbe qualsiasi cosa che un amministratore avrebbe impostato da quando è impostato sul punto di uscita (prima che escano). Esiste un'alternativa denominata " WaterRoof " tuttavia, dal momento che hai fornito i privilegi di amministratore ai tuoi utenti, ciò vanifica lo scopo. Una soluzione alternativa sarebbe scrivere regole specifiche, e controllarlo attraverso cron costantemente sciacquando e riavviando le regole. Non ottimale su reti di grandi dimensioni.

Un altro kludge, sarebbe quello di creare un set di regole de-facto, usando cron, far scaricare ed eseguire tali macchine. Questo allevierebbe il dover toccare ogni macchina per implementarle (le regole), ma ancora una volta, dal momento che i tuoi utenti sono amministratori, potrebbero semplicemente svuotare le regole.

Se avessi dovuto farlo, li avrei mandati tramite NAC o un proxy per assicurarmi a prescindere da cosa, stavano passando attraverso le regole che avevo pre-definito per loro.

    
risposta data 24.05.2013 - 21:40
fonte
0

Anche se disattivi il loro account dalla possibilità di disabilitare il loro software antivirus, sarebbero in grado di riattivarlo. A meno che il tuo dipartimento non sia abbastanza grande per una struttura di separazione delle funzioni (quindi un accesso limitato alla loro funzione specifica di lavoro), allora questo non sarebbe possibile farlo bene. Dovresti essere in grado di compilare il modulo spiegando perché questo è un rischio accettabile.

    
risposta data 24.05.2013 - 21:44
fonte
0

Sono un outsider totale di queste domande. Non devo vedere dove sia veramente il problema. La società dovrebbe possedere il Mac e avere l'account del proprietario. Il dipendente dovrebbe avere le autorizzazioni per fare quasi tutto tranne che interferire con il firewall e le sue impostazioni. (Mac OS X è fondamentalmente Unix.)

Purtroppo i dipendenti potevano usare i dischi di sistema per cancellare il sistema originale con le sue autorizzazioni e creare un nuovo sistema con se stessi come proprietario. Potrebbero quindi installare e configurare un firewall con le proprie impostazioni.

Pertanto, quando si accede al sistema mainframe e ai dati della sua carta dall'esterno, il mainframe non dovrebbe solo richiedere una password, ma dovrebbe anche interrogare il firewall dell'utente per determinare che funzioni come previsto dalla società. Il solo fatto che il firewall sia teoricamente impossibile da rimuovere non è abbastanza. Il software del router è in realtà programmato accedendo come se fosse un computer remoto, quindi la tecnologia con cui un interrogatore basato su mainframe potrebbe leggere le impostazioni di un wirewall dovrebbe essere facile da fare. La domanda è se uno qualsiasi dei firewall abbia questa funzione.

Semplicemente curioso: quali misure sono state prese per prevenire la perdita di dati per furto dei computer Mac? Mi sembra che i dati sensibili dovrebbero esistere solo nella RAM su computer portatili. Se è memorizzato, dovrebbe essere memorizzato sul mainframe. Il potenziale di archiviazione non criptata in qualsiasi luogo lontano da un sito protetto richiede problemi.

    
risposta data 17.06.2013 - 21:16
fonte
0

Secondo un post sul blog su "Trusted BSD", un framework che OSX implementa, un accesso obbligatorio L'approccio di controllo (MAC) potrebbe funzionare. Il post sembra indicare che il sistema richiederà agli utenti che tentano di accedere alla risorsa (non privilegiati e amministratori allo stesso modo), di avere determinati attributi di sicurezza associati.

Con questo framework, potrebbe esserci un modo per impedire l'accesso da parte degli utenti con l'amministratore locale, o almeno rendere l'accesso più difficile di sudo per aggiungere l'utente a un gruppo locale . Il framework fornisce un implementatore:

  • Controllo dell'avvio dei processi e commutazione del processo in modalità di debug
  • Filtraggio del lavoro con il file system
  • Filtraggio delle attività di rete
  • e altri

Con solo le prime due di queste funzionalità applicate al sistema operativo, puoi fare molto per rafforzare la sicurezza richiesta.

Il post indica che l'implementazione dell'interfaccia TrustedBSD richiede solo la definizione di alcune funzioni di callback e fornisce alcuni frammenti per iniziare. Può valere la pena di giocare con la demo dell'autore per sapere cosa OSX può applicare (e che venditore ... se mai ne trovassi uno ... potrebbe persino prometterlo).

[1]:

So in case of MAC, no matter whether a regular user or an administrator attempts to access the resource, there is a fine option to restrict such attempt and terminate it if necessary.

In risposta ai punti della risposta

di Tim O'Tie     
risposta data 04.08.2015 - 05:25
fonte

Leggi altre domande sui tag

I file di ibernazione di Windows 7 possono essere ripristinati? Come mostrare popup XSS senza usare parole chiave di avviso e script?