Wallix gegen Balabit. Vergleich der Admin-Steuerungssoftware [rdp]

    Zunehmend denken große Unternehmen darüber nach, den Zugriff auf geschäftskritische Server zu kontrollieren und zu überwachen. Wer ist reingekommen, was hat wann? Eingebaute Protokollierung ist nicht immer bequem und "lesbar", und jetzt begannen Produkte für "privilegierte Benutzerkontrolle" nach und nach auf dem russischen Markt Fuß zu fassen. Es erschien mir interessant, zwei „Hauptprodukte“ dieser Linie zu vergleichen, nämlich Balabit Shell Control Box und Wallix Admin Bastion.

    Hinweis: Um das Volumen des Artikels zu verringern, erfolgt der Vergleich nur im Kontext des RDP-Protokolls und der Funktion als Ganzes, weshalb es relativ allgemein ist. Das ssh-Protokoll wird auch von diesen Produkten unterstützt, in diesem Artikel wird es jedoch NICHT berücksichtigt, um nicht alles auf einmal zu stören.


    Wer braucht Admin-Kontrollsysteme?


    Der Systemadministrator in unserer computerisierten Zeit ist beinahe der „König und Gott“ des IT-Bereichs des Unternehmens geworden. Infolgedessen zieht es das Management vor, nicht besonders in Konflikt mit ihnen zu geraten und, wenn möglich, Zugeständnisse zu machen, da der frühere Administrator bei einem „schlechten Weg“ erhebliche Geschäftsschäden verursachen kann. Daher scheint es vielen Top-5-Mitarbeitern so, als würde der Ausdruck „Admin-Kontrolle“ ein heikles Problem und eine hervorragende Lösung beseitigen, aber ... ist das so einfach? Natürlich nicht. Daher möchte ich zunächst kurz die Unternehmen skizzieren, in denen wirklich ähnliche Produkte eine Art positiven Auspuff bringen können. Die Liste wurde auf der Grundlage unserer eigenen Erfahrung erstellt und erhebt keinen Anspruch auf die endgültige Wahrheit, d.h. ist zunächst subjektiver Natur.

    Die "Kontrolladministratoren" sind also nützlich:

    • Unternehmen, deren Systemadministratorenzahl mehr als ~ 7-10 Personen beträgt;
    • Unternehmen, deren IT-Unterstützung von einer externen Organisation erbracht wird (Outsourcing);
    • Unternehmen mit spezifischer Software, die Anbieter- / Vertriebsspezialisten an Zielserver senden müssen;
    • Unternehmen, die von den Aufsichtsbehörden gequält werden und von ihnen verlangen, dass sie verschiedene Standards einhalten (sind nicht angetroffen, schließen dies jedoch nicht aus).

    In anderen Fällen ist der Einsatz von Software zur Admin-Kontrolle in der Regel nicht ratsam.

    Beide nachfolgend beschriebenen Systeme sind entweder Hardware- oder virtuelle Appliances, die auf mehreren modifizierten Unix-Systemen basieren: Wallix wird auf der Basis von Debian, Balabit-ZorpOS bereitgestellt. Die erforderliche Hardwarekapazität hängt von der Anzahl der aktiven Benutzer und der Anzahl der geschützten Server ab.

    Wie es funktioniert - Wallix Admin Bastion


    Wallix kann nur im Bastion-Modus auf Anwendungsebene des OSI-Modells arbeiten, d. H. Wird in einer Netzwerkunterbrechung in eine explizite, für den Administrator sichtbare Form gebracht. Auf dem Wallix-Server werden Regeln konfiguriert (mehr dazu weiter unten), auf deren Grundlage Administratorenverbindungen übersprungen / blockiert werden. Der Administrator stellt über das RDP-Protokoll (Standard-Port) eine Verbindung zum Wallix-Server her und meldet sich mit dem erstellten lokalen Konto an (oder importiert aus AD). Danach erhält er eine Liste der Server + endgültigen Abrechnungspaare, auf die zugegriffen werden kann, und wählt den gewünschten Server aus. Wallix kann das endgültige Kontokennwort selbst festlegen. Sie können dieses Kennwort jedoch auch vom Administrator anfordern. Der Übersichtlichkeit halber ist das folgende logische Verbindungsdiagramm dargestellt:

    Logisches Diagramm zum Verbinden von Administratoren mit geschützten Servern über Wallix

    Wallix-Einstellungen sind binäre Zuordnungen (Wahr-Falsch \ Möglich-Unmöglich) zwischen zwei Arten von Gruppen: Gruppen von Konten in Wallix selbst (können durch aus AD importierte Konten ersetzt werden) und Gruppen von Server + endgültigen Kontenpaaren.


    Das Formular zum Hinzufügen / Bearbeiten eines geschützten Servers und zur endgültigen Abrechnung

    Die Anzahl solcher Vergleiche sowie die Gruppen selbst sind nicht begrenzt, und auf der Grundlage dieser Vergleiche wird eine Zugriffsmatrix erstellt, für wen und wo Sie eine Verbindung herstellen können.

    Wallix speichert RDP-Datensätze in Form von Videoclips (in Dateiform), die über die integrierte Texterkennung (ocr) wiedergegeben und anschließend nach Titeln durchsucht werden können (in den nächsten Versionen sollte die Suche nach Titeln nicht nur für ein Video beschleunigt werden).


    Liste der gespeicherten Videoaufnahmen von RDP-Sitzungen

    Wie kann ich den Administrator "zwingen", über wallix auf die erforderlichen Server zuzugreifen?

    • Schließen von Routen auf Netzwerkebene in einem Kompartiment mit organisatorischen Maßnahmen "entweder auf diese Weise oder nicht, sonst werden schwerwiegende Maßnahmen folgen ...";
    • Erlauben Sie den Zugriff auf geschützte Server nur unter speziell erstellten Domänenkonten. Das Kennwort wird von Wallix einmal pro Stunde \ Tag \ Woche \ Monat geändert. (Kennwörter werden verschlüsselt an das angegebene Postfach gesendet. Sie benötigen ein GPG-Zertifikat und ein Kennwort dafür.)

    Produktvorteile
    • Einfache und unkomplizierte Einrichtung;
    • Stabile Betriebsart "Bastion", die Möglichkeit der doppelten Berechtigung und die Erstellung einer darauf basierenden entsprechenden Zugriffsmatrix;
    • Möglichkeit zur Integration in mehrere ADs.

    Produkt Nachteile
    • Es gibt keinen stabilen „transparenten“ Modus. Derjenige, der deklariert ist, arbeitet mit einem Tamburin und durch ein Stumpfdeck oder funktioniert überhaupt nicht;
    • Es gibt unerklärliche Produktionsnuancen (Version 4.2), die mit Krücken und auf der Flucht abgedeckt werden müssen.

    Wie es funktioniert - Balabit Shell Control Box


    Balabit ist ebenfalls eine Lücke, kann aber in verschiedenen Modi auf verschiedenen OSI-Modellen arbeiten. Gleichzeitig erfolgt die Einstellung des Modus "transparent" \ "undurchsichtig" direkt in der Verbindung selbst, was aus Sicht der "Fein" -Einstellung einer Verbindung sehr praktisch ist.

    Transparenter Modus


    Der Hauptvorteil von Balabit ist, dass es in einem "transparenten" Modus betrieben werden kann und sich im Netzwerk in einer Form befindet, die für Administratoren verborgen ist. IP-Spoofing ermöglicht es Ihnen, es auch für FW und Router "unsichtbar" zu machen, indem Sie die IP-Adresse des PC-Administrators als "ip-src" ersetzen. Daher müssen Sie auf Netzwerkgeräten keine separaten Berechtigungen dafür konfigurieren.

    Damit Balabit im transparenten Modus funktioniert, sind die entsprechenden Routen auf dem Router registriert (dh wir senden den gesamten Datenverkehr vom Subnetz N an die Balabit-IP-Adresse). Gleichzeitig wird der Datenverkehr, den Balabit nicht erkennen kann (kontrollierte Protokolle darin erkennen), unverändert weitergeleitet (an das angegebene Gateway).

    Hinweis: Im transparenten Modus wird auf dem Balabit-Server keine Autorisierung durchgeführt. Das System zeichnet jedoch auf, unter welchem ​​Konto sich der Administrator beim geschützten Server angemeldet hat. Auf diese Weise können Sie die erforderlichen Filter festlegen und den gewünschten Videoclip suchen.

    Die Balabit-Einstellungen werden auf die geschützten Server aufgeteilt. Jeder Server verfügt über eigene Soforteinstellungen und Zugriffsrechte (für den transparenten Modus: Über welches Netzwerk können Sie eine Verbindung zum geschützten Server herstellen?). Die Einstellungsoption wird im Folgenden dargestellt:


    Einstellungen für den Zugriff auf den geschützten Server über Balabit

    Im transparenten Modus liegt die Haupteinstellungsebene im Routing des Datenverkehrs und in der Konfiguration der Netzwerkgeräte. Die Einstellungen für balabit selbst sind minimal und arbeiten mit IP-Adressen, von denen aus sie auf geschützte Server zugreifen, und nicht mit Benutzern und deren Rechten, wie dies in Wallix implementiert ist.

    Bastion-Modus


    Der Bastion-Modus hat mehrere Implementierungen:
    1. TS-Gateway-Modus. In diesem Modus wird der DNS-Name des Balabit-Servers im RDP-Client als Remote Desktop Gateway-Server registriert. In diesem Modus werden Zertifikate verwendet, die den Datenverkehr bis zu TS GW (Balabit-Serverzertifikat) und von Balabita an den geschützten Server verschlüsseln (entweder ein Zertifikat, das im laufenden Betrieb generiert oder auf Balabit hochgeladen wird). Bei einer solchen Verbindung ist es möglich, das Kennwort des endgültigen Kontos zu ersetzen, das im Voraus auf dem Balabit-Server eingerichtet wurde, sodass der Administrator möglicherweise die Anmeldeinformationen für die Verbindung mit dem geschützten Server nicht kennt. Balabit selbst weiß jedoch nicht automatisch, wie Kennwörter geändert und auf irgendeine Weise „verwaltet“ werden. Kann in ein separates SSO-System von Thycotic Secret Server integriert werden.

      Hinweis: Dieses Schema ist in seiner Leistung sehr launisch, weil Es erfordert einiges an Feineinstellung und Verständnis, was konfiguriert wird und warum. Manchmal kann es zu unvorhersehbaren "Gags" kommen (wenn beispielsweise in den Browsereigenschaften ein Proxy angegeben ist, hat sich der RDP-Client geweigert, den Balabit-DNS-Namen des Servers aufzulösen).

    2. Autorisierung im GW-Modus. In diesem Modus muss der Administrator über zwei Monitore verfügen. Nach dem Initialisieren der Verbindung müssen Sie eine Verbindung zum geschützten Server herstellen, sich bei der Balabit-Webschnittstelle anmelden und Ihre Verbindung "zulassen". Diese Verbindungsoption erfordert auch das Weiterleiten des Netzwerkverkehrs und die entsprechenden Einstellungen an den Routern.
    3. 4 Augen Modus. Das Funktionsprinzip ist das gleiche wie in Absatz 2, aber hier muss bereits eine andere Person „zulassen“.


    Jeder Modus hat seine eigenen Einstellungen, auf die ich jetzt nicht näher eingehen möchte. Es genügt zu sagen, dass manchmal die Augen von der Anzahl der Felder aufsteigen :))

    Das System speichert auch alle Sitzungen in Form von Videoclips. OCR wird einmal ausgeführt. Die Suche nach erkanntem Text in allen Videos ist bereits vorhanden. Zum Anzeigen der Sitzung benötigen Sie eine Client-Software (Audit Player), die im Lieferumfang des Distributionskits enthalten ist und auf dem PC des „Bedieners“ mit dem an Bord befindlichen MS-Betriebssystem installiert ist.


    Liste der gespeicherten Videoaufnahmen von RDP-Sitzungen

    Produktvorteile
    • Im transparenten MiTM-Modus stabil und professionell arbeiten können;
    • Es hat viele subtile Einstellungen für fast jeden Geschmack;

    Produkt Nachteile
    • Kann mit nur einem AD integriert werden (Eingabe in AD erforderlich);
    • Der "Bastion" -Modus erfordert manchmal das Tanzen mit einem Tamburin und längeres Rauchen von Manulen;
    • Kann keine Passwörter verwalten;
    • Die doppelte Autorisierung hat einen eher verwirrenden Charakter und eine eher verwirrende Disposition.

    Um es zusammenzufassen


    Wie Sie dem obigen Text entnehmen können, hat jedes Produkt seine eigenen Stärken und Schwächen - alles hängt von dem ihm zugewiesenen Aufgabenpool ab. Alle Funktionen der Systeme haben nicht am Vergleich teilgenommen.

    Ich möchte auch gesondert darauf hinweisen, dass es wie bei Wallix ein CyberArk-System auf dem Markt gibt, das eine ähnliche, aber erweiterte Funktionalität im "Bastion" -Modus aufweist. Die Grundlage seiner Arbeit bildet der MS Remote Application-Mechanismus, mit dem die Anzahl der unterstützten Protokolle und die Konnektivität erhöht werden konnten. Leider verfügt der Autor nicht über die nötige Kompetenz, um ihn in den Vergleich aufzunehmen, er hält es jedoch für strafbar, darüber zu schweigen.

    Jetzt auch beliebt: