Hacer cumplir el firewall personal para OS X

3

Actualmente estamos cumpliendo con las normas de PCI, y uno de los requisitos es que los dispositivos móviles que tienen acceso a los sistemas involucrados en el procesamiento de datos de la tarjeta tengan instalado un software de firewall personal que la persona que usa la computadora no puede desactivar. p>

Las únicas computadoras móviles que tenemos y que se aplican al requisito pertenecen a nuestros administradores de sistemas, y todas son Mac. (Esto es aparentemente trivial en Windows: casi todas las soluciones de protección de puntos finales lo implementan). Ya que son administradores de sistemas, tienen acceso de administrador a su Mac.

He tenido un par de proveedores de protección de puntos finales que me prometieron una solución que no cumpliría cuando lo probamos (en particular, Symantec), y ahora estoy atascado.

¿Alguien sabe de algo que cumpla con este requisito en OS X (software de firewall personal que no puede ser modificado por el usuario final, incluso cuando el usuario tiene acceso de administrador)?

    
pregunta Rich Lafferty 24.05.2013 - 20:58
fuente

5 respuestas

1

Hemos implementado las preferencias administradas usando el servidor MacOS y Open Directory para abordar este punto para los usuarios generales. El problema clave es que esto no puede bloquear a los usuarios con acceso de administrador local. Nada puede. La única respuesta real es que sus usuarios no deben tener privilegios de administrador local para su trabajo cotidiano, especialmente en un dispositivo móvil, si quieren vivir según la letra del estándar PCI-DSS.

Sí, un administrador de sistema es un administrador de sistema y debe tener los derechos de acceso para hacer su trabajo. El estándar implica que esto simplemente no debe hacerse desde un dispositivo móvil. Siempre desafiamos al desarrollador o usuario que dice "Necesito acceso de administrador para ejecutar el software X". Casi siempre, no lo hacen. El proveedor de software a menudo es perezoso y solo sugiere acceso a la raíz para que sea más fácil para ellos. Realmente no les importan tus prácticas de seguridad. Con un análisis adecuado de las privs menos necesarias, puede hacer que los usuarios no root hagan todo lo que necesitan sin acceso a sysadmin.

Esto se desvía un poco de su pregunta directa, pero estamos buscando la tokenización de la información de la tarjeta con nuestra pasarela de pago para que no tengamos el requisito de PCI. Otra opción es segregar el acceso a la red de su dispositivo móvil para que uno pueda ser un administrador en su local pero no tenga acceso a los sistemas de procesamiento de tarjetas. Finalmente, también hemos creado máquinas virtuales basadas en servidor o hosts de Terminal Services que proporcionan el acceso necesario y no tienen acceso de administrador de sistemas en el host local de los usuarios.

Espero que ayude.

    
respondido por el 8None1 24.05.2013 - 21:44
fuente
0

Puede intentar implementar NAC y un proxy que pueda superar cualquier cosa que establezca un administrador, ya que se establece en el punto de egreso (antes de que salgan). Existe una alternativa llamada " WaterRoof ", sin embargo, dado que otorgó privilegios de administrador a sus usuarios, no sirve para nada. Una solución alternativa sería escribir reglas específicas y verificarlas mediante las reglas cron que se limpian y reinician constantemente. No es óptimo en redes grandes.

Otro kludge, sería crear un conjunto de reglas de facto, utilizando cron, descargar esas máquinas y ejecutarlas. Esto evitaría tener que tocar cada máquina para implementarlas (las reglas), pero una vez más, dado que sus usuarios son administradores, podrían simplemente eliminar las reglas.

Si tuviera que hacer esto, los enviaría a través de NAC o un proxy para garantizar que, sin importar qué, estaban cumpliendo con las reglas que les había predefinido.

    
respondido por el munkeyoto 24.05.2013 - 21:40
fuente
0

Incluso si deshabilitas su cuenta para que no puedan deshabilitar su software antivirus, entonces ellos podrían volver a habilitarlo. A menos que su departamento sea lo suficientemente grande para una estructura de separación de tareas (por lo tanto, acceso limitado a su función de trabajo específica), entonces esto no podría hacerse tan bien. Debe poder completar el formulario explicando por qué esto es un riesgo aceptable.

    
respondido por el lbakerit 24.05.2013 - 21:44
fuente
0

Soy un completo ajeno a estas preguntas. No debo ver dónde está realmente el problema. La empresa debe poseer la Mac y tener la cuenta del propietario. El empleado debe tener permisos para hacer casi todo, excepto para interferir con el firewall y su configuración. (Mac OS X es básicamente Unix.)

Lamentablemente, los empleados podrían usar discos de sistemas para eliminar el sistema original con sus permisos y crear un nuevo sistema con ellos mismos como propietarios. Luego podrían instalar y configurar un firewall con sus propios ajustes.

Por lo tanto, al acceder al sistema de mainframe y los datos de su tarjeta desde afuera, el mainframe no solo debe exigir una contraseña, sino que también debe interrogar al firewall del usuario para determinar si está operando según lo previsto por su empresa. Solo hacer el cortafuegos teóricamente imposible de eliminar no es suficiente. El software del enrutador en realidad se programa accediendo a él como si fuera una computadora remota, por lo que la tecnología mediante la cual un interrogador basado en mainframe podría leer la configuración de un wirewall debería ser fácil de hacer. La pregunta es si alguno de los firewalls tiene esta característica.

Solo por curiosidad: ¿Qué disposiciones se han tomado para prevenir la pérdida de datos mediante el robo de las computadoras Mac? Me parece que los datos confidenciales solo deberían existir en la memoria RAM en las computadoras portátiles. Si está almacenado, debe almacenarse en el mainframe. El potencial de almacenamiento sin cifrar lejos de un sitio protegido está pidiendo problemas.

    
respondido por el Tim O'Tie 17.06.2013 - 21:16
fuente
0

Según una publicación de blog sobre 'Trusted BSD', un marco que implementa OSX, un acceso obligatorio El enfoque de control (MAC) podría funcionar. La publicación parece indicar que el sistema requerirá que los usuarios que intentan acceder al recurso (sin privilegios y administradores por igual) tengan ciertos atributos de seguridad asociados.

Con este marco, puede haber una manera de evitar el acceso de usuarios con administrador local, o al menos hacer que el acceso sea más difícil que sudo para agregar a su usuario a un grupo local . El marco proporciona un implementador:

  • Control sobre el inicio de los procesos y el cambio del proceso al modo de depuración
  • Filtrado de trabajo con sistema de archivos
  • Filtrado de la actividad de la red
  • y otros

Con solo las dos primeras de estas capacidades implementadas por el sistema operativo, puede hacer un gran esfuerzo para hacer cumplir la seguridad que necesita.

La publicación indica que la implementación de la interfaz TrustedBSD solo requiere que defina algunas funciones de devolución de llamada y proporciona algunos fragmentos para comenzar. Puede valer la pena jugar con la demostración del autor para saber qué puede hacer OSX (y qué vendedor ... si alguna vez encuentras uno ... incluso podría prometerlo).

[1]:
  

Entonces, en el caso de MAC, no importa si un usuario regular o un administrador intenta acceder al recurso, existe una buena opción para restringir dicho intento y terminarlo si es necesario.

En respuesta a los puntos de la respuesta de Tim O'Tie

    
respondido por el mcint 04.08.2015 - 05:25
fuente

Lea otras preguntas en las etiquetas