| Artículos | 01 JUL 2009

DeviceLock 6.4 vs Safend Protector 3.3

Tags: Histórico
Cómo controlar la fuga de datos en una red
Alfonso Casas.
Enfrentamos dos soluciones de seguridad basadas en arquitectura cliente/servidor encargadas de controlar los puestos de red y los dispositivos de almacenamiento que son conectados a los equipos para supervisar la información que es manejada por cada usuario.

Los dispositivos de almacenamiento portátil, como puedan ser llaves USB de tipo PenDrive o reproductores de música, están popularizándose a un ritmo muy significativo y más ahora que el precio por megabyte es especialmente bajo, con lo que la posibilidad de trasladar información de un lugar a otro se vuelve sencillo. En base a esto, las empresas cada vez encuentran una mayor preocupación en lo que podría ser la fuga de datos, un peligro que debe ser controlado mediante medidas de seguridad bien desplegadas.
Las herramientas que aquí analizamos ofrecen la funcionalidad de poder controlar el uso de cualquier tipo de dispositivo. Se trata de soluciones basadas en software que permiten a los administradores de red asignar permisos y controlar el uso de puertos de los equipos, ya sean USB, firewire, o infrarrojos, o incluso manejar el control de las comunicaciones inalámbricas, como pueda ser a través de Bluetooth.
Tampoco conviene olvidar cualquier unidad de almacenamiento en disco como los CD-ROM, cintas de backup u otros medios extraíbles ya más en desuso. De esta forma, es posible garantizar la seguridad sin tener que añadir dispositivos de bloqueo físicos. Y lo más importante, poder desplegar políticas de seguridad a grupos, aprovechando incluso el servicio de Active Directory de Windows o cualquier otro sistema operativo de servidor, lo que reduce el tiempo de despliegue y puesta en marcha de cualquiera de las soluciones.
Tanto DeviceLock como Safend Protector han evolucionado a lo largo de sus sucesivas versiones, y más allá de la posibilidad de bloquear puertos de ordenadores, o negar el acceso a determinados dispositivos en función de marcas o números de serie, permiten llevar un seguimiento de cada uno de los EndPoint que se encuentran supervisados. De mejor o peor forma, ambos permiten adivinar en todo momento el tipo de información que pretenden volcar los usuarios, de modo que ante cualquier incidente o posible fuga de datos, el administrador tendrá constancia del evento, mediante informes que son capaces de recoger estadísticas del uso llevado a cabo por cada usuario. A un nivel ya avanzado, la información que circula por la red puede ser catalogada, con el fin de poder fijar listas blancas tipo, y descartar así los datos que no queremos que sean volcados a los dispositivos externos.
Como veremos en cada análisis individual, también se ha trabajado a fondo en aspectos de encriptación de datos, de forma que cuando un trabajador utiliza determinada información para transportarla de un lugar a otro, ésta puede ser encriptada mediante diferentes algoritmos y métodos avanzados de seguridad que impiden el acceso en caso de pérdida o robo de dispositivos o portátiles.
Las versiones evaluadas de ambos productos basan su funcionamiento en una arquitectura cliente/servidor, de modo que desde una consola de administración central es posible controlar las diferentes cuentas de los usuarios. Hemos tenemos en cuenta este tipo de aspectos relacionados con el proceso de instalación, el despliegue de cada una y lo intrusivas que resultan a los sistemas, algo que puede resultar determinante para la elección de un administrador de sistemas. Ambas, pueden proporcionar una solución simple a un problema serio de seguridad, a precios bastante razonables.


DeviceLock 6.4
A pesar de que la similitud de ambos programas pueda resultar muy similar, a efectos de impedir o controlar el acceso a los puertos de los equipos y controlar la información manejada dentro de una infraestructura de red, una vez que comenzamos a manejarlos, comprobamos las virtudes y carencias de cada una.
DeviceLock es un producto con una gran solera, como demuestra su versión actual 6.4. Desarrollan actualizaciones de forma constante y durante nuestras pruebas, aunque utilizamos la versión 6.4, ya se encontraba disponible en fase beta la 6.4.1 con implementaciones.
Si por algo destaca DeviceLock es por lo amigable que resulta su interfaz. Aunque algo menos vistosa que la de Safend (basada en pestañas para diversificar su funcionalidad), mantiene la estructura de árbol de versiones previas, lo que resulta muy afín al manejo de cualquier herramienta del sistema de Windows. No obstante, la gestión de sus funciones queda reservada a administradores de sistemas o personal cualificado encargado de la supervisión, sin intervención alguna por parte del usuario de cada puesto.
Gracias a DeviceLock Service, la implementación del servicio es posible realizarla de diferentes modos, desde la clásica instalación en cada puesto cliente mediante su correspondiente archivo, hasta otras desatendidas basadas en el modo cliente/servidor mucho más silenciosas para los usuarios. El agente Microsoft Systems Management Server (SMS) utiliza las definiciones de paquetes, mientras que la instalación remota ahorra la intervención en cada puesto cliente. Una tercera se realiza a través de DeviceLock Enterprise Manager, para desplegarla tan sólo sobre los puestos de red deseados. Finalmente se encuentra la permitida por Active Directory, integrándose con políticas de grupo ya fijadas en cada uno de los dominios, dado que DeviceLock Enterprise Server utiliza SQL Server para gestionar la base de datos. La comunicación entre el agente y la consola de administración se realiza mediante RPC (Remote Procedure Call) y los puertos TCP. Para el puesto de red, todo resulta transparente y sin que se tenga conocimiento de la existencia de la aplicación. De esta forma, la auditoría y control de los puertos es mucho más efectiva.
Al igual que la elección de Safend, DeviceLock 6.4 controla todos y cada uno de los puertos de cada equipo, además de cualquier dispositivo de almacenamiento que pueda interconectarse. Así, dentro de DeviceLock Service, el administrador tiene la posibilidad de desplegar la seguridad sobre los diferentes dispositivos o puertos que pueden ser controlados por la aplicación, desde los típicos medios de almacenamiento, ya sea disquetera, CD-ROM o DVD, hasta los puertos USB, FireWire, paralelo e infrarrojos. Incluso los de comunicaciones inalámbricas basados en Bluetooth o Wireless están contemplados, con controles de uso en base a un horario o jornada de trabajo, o bien, segmentar la información para permitir las copias tan sólo en los casos permitidos. En este apartado, cabe destacar la referencia que DeviceLock hace con respecto a los dispositivos Palm OS y Windows Mobile, algo que en la solución de Safend pasa más desapercibido, controlando los dispositivos como simples unidades de almacenamiento. De esta forma, los usuarios disponen de los códigos de acceso especiales a través del teléfono que permite desbloquearlos o tener acceso. Es de suponer que en futuras revisiones llegará el soporte para el iPhone o dispositivos Android. Al pulsar sobre cada uno de ellos, es posible habilitar los permisos en base a un calendario de días y horas, con posibilidad de permitir la lectura, la escritura, o incluso la ejecución de archivos ejecutables.
Resulta también destacable el control que realiza el programa sobre dispositivos que puedan montarse como unidades virtuales, con el fin de evitar suspicacias de los usuarios más avanzados. Esto es aplicable a equipos con sistemas operativos posteriores a Windows 2000. <

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información