15 Eylül 2012 Cumartesi

Websense Mobile DLP

Mobilite artık gelecekle ilgili bir kavram değil;bugün ve burada yaşadığımız bir şey. Mobilite (bulut ve sosyal medya ile birlikte) yeni üretkenlik fırsatları yaratan üç yeni teknolojiden biri – ve bu yeni teknoloji kendi güvenlik risklerini de yanında getiriyor. Bilgi teknolojilerinin (BT) tüketiciye uyarlanması, kurumsal ve kişisel mobil araçlardaki hızlı artış ve basit mobil güvenlik çözümlerinin mevcut olmadığı gerçeği ile birlikte düşünüldüğünde, 2012 yılının en önemli BT güvenlik stratejisi zorluklarından biriyle karşı karşıyayız.Asıl zorluk; üretkenliği arttırıp,tehditleri sistem açıklarını ve riskleri azaltırken en iyi dengeyi ve en düşük maliyeti koruyabilmek.

Hızla gelişen mobil ortam karşısında biz bilgi güvenliği uzmanlarının kayıtsız kalması mümkün değildir. Mobile DLP deki büyük sıkıntılardan biri Merkezi olarak yönetim problemi.  Dağıtık ve internet ortamındaki cihazları güvenli bir yoldan Merkezi bir yönetim arabirimine bağlayıp gerekli politikaları uygulamak ciddi bir sıkıntı oluşturmaktadır.


Diğer bir sıkıntıda mobil  cihazlardaki işletim sistemlerinin çok çeşitli olması ve Data Loss Prevention işinin bir agent ile sağlanabilmesini pek mümkün kılmamaktadır. Her işletim sistemi için agent yazmak ve yazılan bu agentların mobil cihazlara dağıtılması gibi sıkıntılar söz konusu olacaktır. Bir çok işletim sistemi ve bunların yeni sürümleri çıktığında yazılan dlp agentlarının uyumsuzluğu söz konusu olduğunda yeni bir agent yazılması ve bunun tekrar cihazlara dağıtılması inanılmaz bir iş yükü ve zaman kaybı olacaktır.
Peki bu tarz sorunları öngördüğümüze göre Mobile DLP çözümünü nasıl oluşturabiliriz¿

Burda karşımıza Websense Mobile DLP çözümü çıkmaktadır. Bu yazımızda Websense Mobile DLP kurulumu ve konfigürasyonu anlatılacaktır.

Websense Mobile DLP Kurulumu
Mobile DLP bir sanal makina olabilir. Burada yapılacak olan işlem; genellikle mail server olarak Exchange kullanıldığı için ActiveSync ile Exchange sunucudan veri alan yada gönderen mobil cihazlarda trafikte araya girerek bu işlemi merkezi noktada yapmaktır.

Sunucumuza Websense Protector 7.6.3 kurulum CD sini takıyoruz ve sistemi açıyoruz.


Boot ekranında yazdığı gibi kvm yazıp enter a basarak kuruluma başlıyoruz.


Adımlar otomatik ilerlerken dosya sistemi formatlanmaktadır.


Kurulum tamamlandığında root ile sisteme giriş yapıyoruz.


Data Security Appliance konfigürasyonu olarak Protector mü yoksa Mobile agent mı kurmak istediğimizi sormaktadır. Bu ekran sadece en son versiyon olan 7.6.3 kurulum dosyasında gelmektedir. Daha önceki versiyonlarda gelmemektedir.


Biz M yazıp entera basıyoruz.


SSH için root yetkisinin iptal edildiği bilgisini verip devam edecekmisiniz sorusuna  Y yazıp ilerliyoruz.


q ya tıklayıp lisans sayfasının son kısmına gelip Lisansı Kabul etmek için y yazıyoruz.


Administrator parolasını oluşturuyoruz.


Root parolasını oluşturuyoruz.


Network Configuration kısmında c yazıp eth0 için gerekli olan ip bilgilerimizi giriyoruz.


e yazıp eth0 daki ip adresi bilgisini editliyoruz.


Routing Configuration kısmında 0  yazıp route bilgisini değiştiriyoruz.


Network servisleri bu işlemlerden sonra yeniden başlatılacak olup devam edecekmisiniz sorusuna Y yazıp enter a basarak ilerliyoruz.


Management interface olacak eth0 ı seçeceğimiz için 0 yazıp devam ediyoruz.


FQDN adını yazıp devam ediyoruz.


DNS ip adresimizi girip devam ediyoruz.


Timezone ayarını giriyoruz.


Triton Data Security Server IP adresini giriyoruz. Sonrasında bize Triton da yetkili bir kullanıcı adı ve şifre bilgisini sormaktadır. Bu bilgileri de girip mobile protector sunucumuzu Triton a kayıt ediyoruz.


Başarılı şekilde kayıt işlemi gerçekleşti. Enter a basıp konfigürasyon wizardından çıkıyoruz.

Triton System Module alanından baktığımızda Mobile Airsync Agent on mobile olarak yeni bir protector sunucusun eklendiğini görebilmekteyiz.


Eklenen obje üzerine tıkladığımızda bize ayarlar kısmı gelecektir. General kısmında agent tipi adı ve FQDN bilgileri bulunmaktadır. Enabled kutucuğu işaretliyse aktif olacaktır. İşareti kaldırırsak disable olacaktır.


Connection kısmında Use secure connection (SSL) işaretlenmelidir. Port otomatik 443 olacaktır. IP adres yada hostname kısmına OWA nın yayınlandığı linki yazmalıyız. Örneğin owa.xyz.com\owa gibi.

Domain kısmı boş bırakılabilir.



Mobile Devices Connection kısmında da Use secure connection (SSL) seçilir. Böylece clientlar bağlanırken 443 SSL portundan bağlanmaları sağlanacaktır.

Bu ayarlardan sonra Mobile DLP sistemimiz hazır durumdadır. Firewall dan dışarıya owayı yayınlamak yerine mobile dlp sunucusunun https(443) den aynı domain adıyla yayınlanması yeterli olacaktır.

Localden sistemi test etmek için host dosyanıza owa.xyz.com\owa  nın ip adresi olarak mobile dlp sunucumuzun ip adresini yazıp explorer üzerinden bu linke istek gönderirsek direkt olarak OWA ekranı gelmektedir. OWA üzerinden bir mail göndermek yada almak istediğimizde yazdığımız DLP politikalarıyla çakıştığında blocklama yada monitor etme şansına sahip oluruz.

Hiç yorum yok:

Yorum Gönder