La rete Internet è una piazza frequentata da malware di ogni genere. In ambito aziendale, comportamenti pericolosi o comunque poco responsabili, messi in atto da una singola postazione di lavoro, possono mettere in crisi l’intera struttura. Mentre le grandi realtà aziendali possono ricorrere a soluzioni di protezione particolarmente sofisticate e costose, la piccola e media impresa si trova generalmente in difficoltà. Inoltre, spesso accade che ciò che si guadagna dal punto di vista del costo, si perda per quanto concerne caratteristiche e possibilità.
Websense Express ambisce a proporsi come una soluzione per il filtraggio dei contenuti presenti in Rete, facilmente applicabile anche all’interno di realtà aziendali di più ridotte dimensioni.
Si tratta di un prodotto che coniuga il filtraggio dei contenuti e la protezione Web in un’unica soluzione in grado di migliorare la produttività dei dipendenti e proteggere dalle minacce veicolate via Internet.
Tutte le attività del pacchetto di sicurezza Websense sono costantemente monitorabili attraverso un pannello di controllo centralizzato che offre una serie di strumenti per la generazione di report riassuntivi.
Il software di Websense si occupa di effettuare un’analisi in tempo reale di tutti i contenuti che vengono richiesti dai client collegati in rete locale. La tecnologia utilizzata si chiama Websense ThreatSeeker ed offre una protezione preventiva dalle minacce diffuse in Rete. L’azione si sviluppa su diversi fronti ed unisce abilità euristiche ad analisi comportamentale. Websense Express effettua un esame accurato del traffico in transito, a livello di singoli protocolli.
Websense Express può essere al momento installato solamente su sistemi Windows Server 2003 (anche R2; il produttore caldeggia, come CPU, un Intel Xeon Dual-Core). Il sistema scelto per l’installazione di Websense Express dovrebbe inoltre essere equipaggiato di due schede di rete: la prima viene utilizzata per le attività di “sniffing” del traffico in transito, l’altra per le funzionalità di blocco e notifica. La scheda di rete che effettua il blocco, utilizza la tecnica denominata “packet spoofing” per impedire ad un sistema client di accedere ad uno specifico sito oppure di impiegare una determinata applicazione.
Il programma è in grado di monitorare soltanto il traffico che “attraversa” lo switch, l’hub od il gateway al quale è connessa la macchina ove è il prodotto è stato installato. La scheda di rete che effettua il monitoraggio del traffico dati deve essere necessariamente collegata ad un “hub” collocato tra un router “esterno” e la rete locale oppure, in alternativa, ad un router (od uno switch) che sia dotato della porta span/mirror. Questa configurazione è indispensabile affinché Websense Express possa effettuare lo “sniffing” ossia “intercettare” ed esaminare “a basso livello” il contenuto dei pacchetti in transito (la scheda di rete che effettua il monitoraggio deve supportare la cosiddetta “modalità promiscua”).
Nel caso delle reti “non-switched” (presenza di hub), infatti, la scheda (NIC) che effettua il monitoraggio può essere collegata semplicemente ad una delle porte libere sul dispositivo. In queste situazioni, tutte le schede di rete dei computer che compongono la rete locale ricevono i pacchetti, anche quelli destinati ad altri, selezionando i propri a seconda dell’indirizzo MAC (indirizzo hardware univoco della scheda di rete). Websense Express può allora effettuare lo “sniffing”, quindi l’analisi dei pacchetti dati, semplicemente appoggiandosi alla modalità promiscua della scheda di rete che effettua il monitoraggio.
Diversamente, nel caso di reti che presentino “switch” di rete, è necessario invece servirsi della porta span/mirror proprio perché il traffico viene instradato solo sulle singole porte di destinazione, a ciascuna delle quali è connesso un client. La porta span/mirror riceve tutto il traffico in circolazione sulle altre porte dello switch e ne effettua “una copia” a beneficio, nella nostra configurazione, della macchina ove è installato Websense Express.
Per controllare che Websense Express sia potenzialmente in grado di bloccare tutto il traffico proveniente dai vari client, il software integra uno strumento – semplicissimo da utilizzare – che elenca tutti i sistemi collegati sulla subnet selezionata.
Il programma di Websense è parso molto versatile: consente infatti di creare un numero praticamente illimitato di policy ossia di regole che si occupano di bloccare certe tipologie di traffico da e verso i vari sistemi della rete locale. Ogni aggiornamento apportato ad una specifica policy, viene automaticamente applicato a tutte le regole che dipendano, a loro volta, da essa. Per impostazione predefinita, Websense Express impedisce l’utilizzo dei software di messaggistica istantanea, ritenuti pericolosi in ambito aziendale (vulnerabilità intrinseche, questioni relative alla privacy dei dati spesso veicolati attraverso connessioni non protette, strumenti che potrebbero essere impiegati per furti di dati o comunque per la trasmissione di informazioni sensibili).
Il software consente all’amministratore di bloccare la consultazione di specifici siti, gruppi di essi, estensioni di file, di effettuare un controllo sugli URL alla ricerca di parole corrispondenti ai criteri impostati.
Nessun client collegato in LAN può sottrarsi, per scelta dell’utente, all’azione di controllo, prevenzione e protezione esercitata da Websense Express: non si tratta di un meccanismo che può essere forzato o disabilitato dalla singola postazione di lavoro.
Dopo l’installazione del prodotto, una delle operazioni da compiere subito consiste nel richiedere l’aggiornamento del database contenente una folta lista di siti web considerati come pericolosi, suddivisi in decine di categorie differenti (il download potrebbe richiedere molto tempo dato che trattasi di una base dati di circa 390 MB).
Tra gli indubbi vantaggi derivanti dall’adozione di Websense Express vi sono quelli che riguardano l’aspetto legale. Riducendo le attività a rischio che potrebbero essere compiute dai client della LAN, l’azienda riuscirà ad azzerare i rischi legati a responsabilità di tipo legale correlate, ad esempio, ad attività di file sharing (condivisione di materiali coperati da copyright).
La parte reportistica è senza dubbio uno dei fiori all’occhiello di Websense Express: le informazioni restituite all’amministratore sono davvero notevoli e tutte accessibili collegandosi al server da una pratica interfaccia web.
I dati elaborati possono essere trasmessi, automaticamente, ad intervalli periodici, via e-mail oppure memorizzati su disco come file PDF o fogli di calcolo. I sommari sono così approfonditi che è possibile controllare anche, per esempio, i siti web visitati da ogni singolo client della LAN.
Come base dati per la memorizzazione delle informazioni registrate, Websense Express usa Microsoft SQL Server Desktop Engine (MSDE). Il produttore ricorda di non installare il prodotto su una macchina ove sia presente un software personal firewall in modo da evitare malfunzionamenti (non deve essere attivo nemmeno Windows Firewall).
Per un funzionamento ottimale di Websense Express è consigliata una macchina con almeno 2 GB di memoria RAM altrimenti Windows Server 2003 sarà costretto ad aumentare il file di paging sul disco fisso con conseguenti cali di performance e comportamenti inattesi. Anche lo spazio libero su disco gioca un ruolo fondamentale: suggeriamo, come minimo, almeno una ventina di GB liberi.
(sito ufficiale).