SecuLution GmbH

SecuSurf | Consulting | Gutachten

answers

small logo

SecuSurf FAQ

Last Update: 2011.07.29

Allgemeine Informationen

Die Features von SecuSurf

Technische Details

Technische Hilfe im Betrieb

Updates

Allgemeine Informationen


Was ist SecuSurf?


Die IT-Security-Suite SecuSurf stellt technisch sicher, dass ausschließlich nur noch Software zur Ausführung kommen kann, die auf einer zentralen Positivliste als vertrauenswürdig eingestuft wurde. Das bedeutet: Jede Software, die NICHT auf der Positivliste erfasst ist, kann technisch nicht ausgeführt werden. Punkt.

Damit ist der Rechner endlich das, was er schon immer hätte sein sollen: Ein dediziertes Arbeitsgerät, mit dem man das machen kann, was man zur Arbeit benötigt. Aber auch alles andere nicht mehr. Keine Viren, Trojaner, Würmer, Schadsoftware irgendwelcher Art oder Spiele, die sich Mitarbeiter selbst besorgt haben! Nur noch das, was zur Arbeit benötigt wird!

Und das nicht nur im Bezug auf jegliche Software, sondern auch auf USB Geräte, CD-Rom oder Floppies, denn SecuSurf verwaltet USB Geräte und Wechseldatenträgergeräte auf die gleiche Weise wie Software auch: Was nicht bekannt und erlaubt ist, kann auch nicht verwendet werden.

Außerdem bietet SecuSurf die Option USB-Datenträger (z.B. Sticks) zu verschlüsseln, sodass darüber kein Datendiebstahl mehr möglich ist (DLP). Dies alles sogar völlig transparent und ohne Interaktion mit dem User.
Top

Klingt nach großem administrativen Aufwand!


Das wäre es auch, wenn in SecuSurf nicht clevere Mechanismen eingebaut wären, die den gesamten Mehraufwand unterm Strich auf Null reduzieren sollen wie z.B.:

  • automatischer Import von Musterrechnern, sodass eine vertrauenswürdige Erstkonfiguration mit 3 Mausklicks erledigt ist
  • verschiedene Lernmodi, die vollautomatisch erfassen und erlauben, was an Software beruflich benötigt wird
  • spezielle Benutzeraccounts, die automatisch Software hinzufügen können (Rechtsklick, „Ausführen als“ reicht!)
  • Integration von vollautomatischen Updates wie WSUS oder Virenscanner-Updates
  • u.s.w


    • Unterm Strich funktioniert SecuSurf ohne Mehraufwand. Wir wissen, dass das unglaublich klingt, Sie werden es aber verstehen, wenn Sie SecuSurf einmal gesehen haben!
    Top

    Wie soll eine Integration funktionieren?


    Die Integration des Systems kann leicht durch folgende einfache Schritte erfolgen:

  • Schritt 1: Import eines oder mehrerer Musterrechner
    In diesem Prozess, der mit 2 Mausklicks angestoßen wird, importiert SecuSurf alle Programme von einem oder mehreren Systemen, die der Administrator als vertrauenswürdig erachtet. Damit sind 95% der später im Produktivbetrieb benötigten Programme bereits in der Datenbank von SecuSurf erfasst.

  • Schritt 2: Lernmodus
    In diesem Modus lernt SecuSurf die Programme der einzelnen Hosts und trägt sie als erlaubt in seine Liste der erlaubten Programme ein. Dieser Schritt erfordert 3 Mausklicks. Lassen Sie den Learning-Mode für einige Zeit (z.B. einen Monat) laufen, während Sie und Ihre Kollegen die Systeme normal weiter benutzen. Nach Ablauf des Learning-Modes haben Sie in SecuSurf ein vollständiges Inventar jeglicher verwendet Software in Ihrem Unternehmen. Der Aufwand hierzu betrug deutlich weniger als eine Stunde.

  • Schritt 3: Audit der gelernten Programme
    Da die Musterrechner, die zum Import im ersten Schritt verwendet wurden, selbstverständlich nicht jegliche im Unternehmen verwendete Software beinhalten konnten, wurden die Programme, die im Unternehmen verwendet werden, aber nicht auf den Musterrechnern vorhanden waren, im 2. Schritt, dem Lernmodus, gelernt. Diese relativ kleine Liste von gelernten Programmen kann der Administrator sich nun anzeigen lassen und ggs. die unerwünschten Programme oder Geräte entfernen.

  • Fertig!
    Im gesamten Netzwerk können nun nur noch Programme ausgeführt werden, denen Sie vertrauen und Sie haben zum ersten mal überhaupt einen 100% Überblick über all die Software, die in Ihrem Unternehmen verwendet wird!


    • Top

    Wir haben dauernd Änderungen!


    Selbstverständlich ist ein Netz eine sehr dynamische Sache. Es gibt ständig neue Software und Updates. Aus diesem Grunde haben wir mehrere Möglichkeiten in SecuSurf eingebaut, wie diese Veränderungen möglichst ohne Aufwand integriert werden können.

    Automatisierte Updates
    SecuSurf ermöglicht die vollautomatische Integration von Datenquellen, die Sie als vertrauenswürdig einstufen. Dies wird einmalig eingerichtet und bedeutet fortan keinen weiteren manuellen Aufwand, sogar bei täglich neuen Updates. Auf diese Weise werden auch Updates von Microsoft über ihren WSUS Server vollautomatisch eingebunden.

    Tauchen später unbekannte Programme auf, werden sie als unautorisiert erkannt, dadurch verboten und erzeugen einen Alarm. Möchten Sie das den Alarm auslösende Programm erlauben, so erfordert dies einen Mausklick in der zentralen Management-Konsole und der Benutzer in der Außenstelle, der das Programm nun benutzen können soll, kann es ohne jede Zeitverzögerung sofort verwenden. Mit Hilfe von SecuSurf erlangen Sie also nicht nur Sicherheit in Ihrem Netz, sondern rationalisieren auch die sicherheitstechnischen Überprüfungen auf Ihren Workstations.


    Top

    Aber das kann meine Firewall / Desktop Security System doch auch!


    Ihre zentrale Firewall ist unabhängig vom Hersteller oder der Ausführung maximal in der Lage, sich übermittelte Datenpakete genauer anzusehen. Welches Programm diese Datenpakete abgeschickt hat, und ob dies vom Anwender so gewünscht war, kann Ihre Firewall auf keinen Fall ermitteln. Somit besteht bei jeder Firewall das Risiko, dass vertrauliche Daten über erlaubte Verbindungen (z.B. http:// ) übermittelt werden.
    Personal Firewalls bieten keinen verlässlichen Schutz vor Angriffen. Experten vom CCC haben gezeigt, dass Personal Firewalls dem Benutzer das falsche Gefühl von Sicherheit vermitteln und in einigen Fällen sogar zusätzliche Sicherheitslücken aufreißen. Allgemeine Infos dazu finden Sie hier.

    Andere derzeit auf dem Markt befindliche Desktop Security Systeme, die versprechen, das Starten von unerlaubten Programmen zu unterbinden, unterbinden das Starten von Programmen durch Benutzer. Dadurch wird aber z.B. nicht das Starten von Programmen durch andere Programme oder Systemprozesse verhindert, die mit Administrativen- oder Systemrechten laufen. Aber genau das passiert, wenn ein Angreifer eine Sicherheitslücke in einem System ausnutzt und dadurch ein eigenes Programm (z.B. einen Wurm) einschleust, denn in diesen Fällen wird der Wurm nicht von Benutzern gestartet, sondern von Programmen, deren Sicherheitslücken durch den Angreifer ausgenutzt wurden. SecuSurf unterbindet technisch im System-Kernel das Starten von nicht explizit erlaubten Prozessen. Dabei ist es im Gegensatz zu herkömmlichen Desktop Security Systemen auch Programmen mit administrativen Berechtigungen nicht möglich, unerlaubte Prozesse zu starten. Ein mit SecuSurf abgesichertes System ist sicher vor jeglichen Angriffsformen geschützt – nicht nur vor solchen, die explizit von Anwendern durchgeführt werden.

    Top

    Wo ist der Unterschied zum Virenscanner?


    Ein Virenscanner erlaubt alles, mit Ausnahme der Software, die der Virenscanner anhand der Signaturliste des Herstellers als unerwünscht/bösartig eingestuft hat. Regel: Alles erlauben. Ausnahme: als bösartig vermutete Software verbieten.

    SecuSurf macht es genau anders herum: SecuSurf stellt technisch sicher, dass nur noch Software zur Ausführung kommen kann, deren „Fingerabdruck“ (Hash-Wert der gesamten Binärdatei) in der zentralen Datenbank als vertrauenswürdig eingestuft wurde. Regel: Alles verbieten. Ausnahme: Als vertrauenswürdig eingestufte Programme erlauben.
    Top

    Wo ist der Unterschied zu Active-Directory Gruppenrichtlinien? Benutzer mit eingeschränkten Rechten können doch auch keine Software installieren!


    Zur Ausführung von Software braucht man keine speziellen Rechte. Vereinfacht kann man sagen, dass die eingeschränkten Benutzerrechte hilfreich sind, wenn man bestimmte, bereits auf dem Rechner vorhandene Software dergestalt einschränken möchte, dass nur bestimmte User diese Software verwenden dürfen. Im Bezug auf die Sicherheit des Systems ist dies aber keine wesentliche Verbesserung, denn um diese bereits auf dem Rechner vorhandene Software geht es ja im Falle eines Angriffs nicht. Es ist immer noch problemlos möglich, eine neue Software unter den Rechten des eingeschränkten Benutzers auf den Rechner zu bringen und auch dort laufen zu lassen. Diese Software kann dann z.B. die Tastaturanschläge mitlesen oder Daten, auf die der Benutzer Zugriff hat, manipulieren.

    Die Möglichkeit, per Gruppenrichtlinien Usern gewisse Rechte zu entziehen hat also vor allem etwas damit zu tun, dass man Usern gewisse Dinge verbieten kann. Der Zuwachs im Bereich Sicherheit ist damit aber eher gering.
    Top

    Wieso spare ich beim Einsatz von SecuSurf Zeit und Geld?


    Durch den Einsatz von SecuSurf sinkt der Aufwand im Bereich des 1rst und 2nd Level Usersupport beträchtlich, da die Benutzer ihre Systeme nicht mehr durch das Starten von unerwünschter Software schwächen können. Die Systeme werden langfristig stabiler, was sich sowohl bei den Kosten für die Administration als auch in einer höheren Produktivität der Belegschaft positiv auswirkt. Darüber hinaus sinken die Kosten für die sicherheitstechnische Administration erheblich. Es entfällt jegliche Suche nach erfolgreichen Angriffen, oder Virenbefall, es sind keine Audits des Netzwerkverkehrs oder Logfiles aus IDS-Protokollen notwendig. SecuSurf erzeugt keinen Wartungsaufwand, spart aber Wartungskosten ein.
    Top

    Verspricht SecuSurf 100%ige Sicherheit?


    Nein. Natürlich nicht. Weil es 100%ige Sicherheit prinzipiell nicht geben kann. Aber egal, wie viele Tausendstel zur 100%igen Sicherheit noch fehlen: nichts anderes bringt Sie diesen idealen 100% so nah, wie SecuSurf!
    Top

    Verlangsamt SecuSurf ein System?


    Grundsätzlich verlangsamt jede zusätzliche Software einen Rechner. Bei SecuSurf liegt die Verlangsamung jedoch in einem Maße, das nicht subjektiv verspürbar, wenn auch technisch messbar ist. Also Sie spüren SecuSurf nicht. Ob der Rechner beim Booten nun 60 oder 61 Sekunden braucht, werden Sie nicht merken. So lange Sie keine weitere Software starten wollen, macht SecuSurf nichts, verlangsamt daher auch nicht Ihr System. Die zusätzliche Verzögerung durch SecuSurf beim Start von Programmen beträgt jeweils einige Millisekunden.
    Top

    Die Features von SecuSurf


    Welche Software wird von SecuSurf erfasst?


    SecuSurf erfasst jegliche ausführbaren Programme, auch die Windows-internen Systemprogramme, die gestartet werden, bevor sich überhaupt ein Benutzer einloggt.

    Unabhängig von der Dateiendung, also .exe, .com, .scr usw. Es kommt SecuSurf nicht auf die Endung an, sondern darauf, dass Code ausgeführt werden soll.
    Top

    Werden auch DLLs oder Treiber mit erfasst?


    Ja. Dies ist optional einstellbar.
    Top

    Ermöglicht SecuSurf auch Device-Management?


    Ja, die Verwaltung von USB-Geräten und Wechseldatenträgergeräten ist in SecuSurf integriert.
    Top

    Ermöglicht SecuSurf auch die Verschlüsselung von Datenträgern?


    Ja, USB Sticks oder andere Massenspeichermedien können für eine zwingende Verschlüsselung konfiguriert werden. Diese ist bei der Nutzung des Massenspeichers innerhalb des eigenen Unternehmens transparent. Das heißt, dass Benutzer nicht bemerken, dass die Daten verschlüsselt werden und auch bei der Entschlüsselung nichts beachten müssen. Dies funktioniert völlig unbemerkt durch den Benutzer, so lange er sich im durch SecuSurf abgesicherten Firmen-Netzwerk bewegt. Eine Nutzung des Massenspeichers an einem fremden Gerät erfordert die Eingabe des Entschlüsselungs-Passwortes.
    Top

    Ist feststellbar, wo SecuSurf läuft und wo nicht?


    Ja, SecuSurf erfasst auch alle Geräte im LAN (Netzwerk-Nodes im LAN Segment des SecuSurf Servers).

    Geräte, die durch SecuSurf gesichert sind, werden in einer „gesicherten“ Liste aufgeführt. Geräte, die nicht durch SecuSurf gesichert sind (z.B. weil sie nicht gesichert werden können (Netzwerkdrucker) oder noch keine Installation von SecuSurf erfolgt ist), tauchen in einer Alarmliste auf. Einträge dieser Alarmliste können kommentiert werden und auf eine „ignorieren“ Liste gesetzt werden, sodass sie zukünftig keine Alarme mehr erzeugen. Dadurch wacht SecuSurf auch darüber, wenn neue Geräte im LAN angeschlossen werden.
    Top

    Was ist der Lernmodus?


    Im Lernmodus wird der SecuSurf Server angewiesen, unbekannte Prozesse/Geräte, die von bestimmten Benutzern/Rechnern/Gruppenmitgliedern gestartet wurden, in die Positivliste mit aufzunehmen. So lernt das System vollautomatisch, welche Software verwendet wird. Ein manuelles Hinzufügen von Software entfällt.
    Top

    Gibt es Hilfe bei der Softwareverteilung?


    Ja im Bezug auf die Verteilung der SecuSurf Agent Software, die auf jeden abzusichernden Rechner ausgebracht werden muss. Wir haben dies durch eine integrierte Verwaltung der Agents gelöst. Die Administrationsoberfläche von SecuSurf beinhaltet ein RemoteClientManagement, die alle an das Active Directory angebundenen Systeme verwaltet (Installation, Update / Upgrade, Deinstallation des Agents). Sollte kein AD vorhanden sein, ist die Verteilung auch über Scripte oder andere Softwareverteilungstools möglich.
    Eine generische Softwareverteilung für Software Dritter ist Secusurf derzeit nicht.
    Top

    Ist eine Integration in Directory-Systeme vorhanden?


    Ja, SecuSurf synchronisiert die Informationen über Benutzer, Gruppen und Computer aus dem ActiveDirectory, dem Novell-eDirectory und OpenLDAP.
    Top

    Sind individuelle Berechtigungen vergebbar?


    Ja. Sowohl auf Basis von IP-Adressen, IP Subnetzmasken als auch auf Basis von Benutzern, Computern und Gruppen, die aus einem zentralen Directory (AD,eDirectory,LDAP) repliziert werden. Jegliche Konfiguration kann sich auf alle Rechner oder eines der o.g. Objekttypen beziehen.
    Top

    Für welche Betriebssysteme existieren SecuSurf Agents?


    Die SecuSurf Agents funktionieren auf allen Windows-Versionen ab Windows NT4. Wird der Agent auf Windows NT4 installiert, enthält er funktionale Einschränkungen.
    Top

    Sichert SecuSurf auch meine Server?


    Ja. SecuSurf basiert auf dem Prinzip, alle Prozesse zu authentifizieren, die gestartet werden sollen. Dabei ist es unerheblich, ob dieses Programm auf einer Workstation oder einem Server läuft. Somit sichert SecuSurf auch Serversysteme ab.
    Top

    Funktioniert SecuSurf auch offline? Also ohne Verbindung zum SecuSurf-Server?


    Ja, der SecuSurf-Agent erstellt sich eine lokale Cache-Datei mit den Informationen, die er aus dem Datenverkehr mit dem SecuSurf Server erhalten hat. Das bedeutet, offline funktioniert alles, was online auch schon mal funktioniert hat.
    Top

    Werden offline-Updates unterstützt?


    Ja, sollte ein bisher noch unbekanntes Programm erstmalig gestartet werden, während der betreffende Rechner offline ist, so kann (individuell konfigurierbar) entweder offline alles ohne Rückfrage erlaubt sein, die Eingabe eines speziellen Passwortes abgefragt werden, oder ein Challenge-Response-Verfahren verwendet werden.
    Top

    Gibt es Logs/Protokolle?


    Ja, SecuSurf ermöglicht das Schreiben von Logs in ein externes Syslog (natives Unix-Syslog auf Unix Systemen und Import in das Windows Eventlog bei Windows). Dieses kann dann mit herkömmlichen Methoden in bestehende Netzwerkmanagement-Systeme eingebunden werden. Auf diese Weise lässt sich SecuSurf hervorragend in bestehende Prozesse integrieren.
    Top

    Technische Details


    Ersetzt SecuSurf meine Firewall?


    SecuSurf ersetzt keine Firewalls. SecuSurf setzt zwar keine Firewalls oder Paketfilter voraus, um ein Netz wirklich abzusichern, halten wir diese aber dennoch für unverzichtbar. SecuSurf ist daher als Ergänzung zu konventionellen Setups zu verstehen.
    Top

    Ersetzt SecuSurf meine Virenscanner?


    Das bleibt Ihnen überlassen. Der Virenscanner leistet jedenfalls nichts mehr, was nicht schon durch SecuSurf abgedeckt ist. Insofern ist der Virenscanner auf den Arbeitsplätzen tatsächlich verzichtbar. Auf den zentralen Diensten wie z.B. Mail-Server würden wir aber weiterhin den Einsatz des Virenscanners empfehlen, allein schon weil damit die Müll-Menge reduziert wird.
    Top

    Kann der lokale Agent nicht umgangen oder ausgeschaltet werden?


    SecuSurf sichert einen Host mehrstufig ab. Jeder Versuch, SecuSurf zu umgehen oder auszuschalten müsste von einem Programm ausgehen. Damit das Programm, welches also versuchen soll, SecuSurf zu umgehen, gestartet werden kann, muss es aber erst explizit in SecuSurf erlaubt sein, denn unerlaubte Programme können schlichtweg nicht starten. Damit können Programme von Angreifern SecuSurf und Ihren Host also gar nicht angreifen, so lange der Administrator das Programm des Angreifers nicht explizit freigibt. Dennoch kann man niemals gänzlich ausschließen, dass ein Angriff auf den SecuSurf Dienst Erfolg haben könnte und unser Dienst damit beendet wird. Sollte das passieren, kann der Windows Kernel beim Start von jeglichen Prozessen nicht mehr mit dem SecuSurf Dienst kommunizieren um sich die Erlaubnis zu holen, das Programm zu starten. Damit ist also der größtmögliche Schaden der, dass auf einem erfolgreich angegriffenen Rechner einfach gar keine neuen Programme mehr starten können, weder die erlaubten, noch die verbotenen Programme.
    Top

    Ich habe gehört, MD5 sei geknackt. Ist SecuSurf jetzt nicht unsicher?


    In der Tat gibt es einen erfolgreichen Kollisionsangriff auf MD5. Dies bedeutet, dass es heute möglich ist, 2 binär verschiedene Dateien zu erzeugen, die die gleiche MD5-Prüfsumme haben (Kollisionsangriff).

    Voraussetzung ist aber, dass beide Dateien aus der gleichen Quelle stammen. Beide Dateien müssen hierbei neu erzeugt werden und die MD5-Prüfsumme verändert sich durch das Anwenden dieses Kollisionsangriff auch in der Ursprungsdatei. Daher ist es nach wie vor nicht möglich, eine neue Datei zu erstellen, die eine vorgegebene MD5-Prüfsumme hat (Preimage-Angriff). Somit ist die bei MD5 gefundene Möglichkeit, Kollisionen zu erzeugen, keine Gefahr beim Einsatz von SecuSurf, denn Sie müssten in jedem Falle eine Software, die von einem Angreifer stammt, als vertrauenswürdig zulassen.
    Top

    Was passiert bei einem „Buffer Overflow“ einer erlaubten Anwendung?


    Ein „Buffer Overflow“ kann prinzipbedingt nicht durch zusätzliche Software unterbunden werden, da die Voraussetzungen für Buffer Overflows im Betriebssystem verankert sind. Daher verhindert auch SecuSurf keine Buffer Overflows. Jedoch verhindert SecuSurf den permanenten Befall mit einem Virus oder anderer Malware, auch, wenn diese durch Ausnutzung eines Buffer Overflows in das System eingeschleust wurde, da die Ausführung der (möglicherweise durch einen Buffer Overflow) eingeschleusten Malware von SecuSurf erkannt und unterbunden wird. Theoretisch ist es dem im Buffer befindlichen Code unter gewissen Umständen möglich, SecuSurf zu beenden zu versuchen. Wir haben allerdings Maßnahmen ergriffen, dies zu verhindern. So kann SecuSurf zunächst einmal nicht auf „normalem“ Wege beendet werden. Selbst wenn es dem Code des Angreifers im Buffer gelingen würde, SecuSurf „abzuschießen“, so verhindern zusätzliche nicht deinstallierbare Module im Kernel sofort die Ausführung von jeglichem Code. Der Rechner würde in diesem Fall hängen. Es ist einem Angreifer daher nicht möglich, die Kontrolle über einen durch SecuSurf gesicherten Rechner zu bekommen, auch nicht durch Ausnutzung eines Buffer Overflows.
    Top

    Technische Hilfe im Betrieb


    Meldung: "Install failed: something was denied (server not in lerning mode?)" beim Setup des Agents


    Sie erhalten folgende Meldung:
    Install failed:something was denied(server not in learning mode?)

    Ursache dieser Meldung ist, dass der Agent beim Setup alle derzeit laufenden Programme auf Freigabe auf der SecuSurf Datenbank überprüft. Ist eines der Programme nicht erlaubt, so beendet sich die Setup-Routine des Agents absichtlich, da nicht sichergestellt sein kann, dass gerade das Programm, das derzeit auf dem Rechner läuft aber offenbar nicht in der Liste der erlaubten Programme enthalten ist, möglicherweise beim Booten des Rechners benötigt wird! Würde genau dieses Programm zum Booten des Rechners benötigt und SecuSurf würde das Programm dann blockieren, hätten wir damit den Rechner „abgeschossen“, der Rechner würde möglicherweise einen Bluescreen ausgeben. Um das zu verhindern beendet sich das Setup, wenn ein laufendes Programm vom Server verboten wurde. Und genau das teilt Ihnen diese Meldung mit.

    Die Lösung ist also einfach: Schauen Sie in den Logs nach und stellen Sie fest, welches Programm während des Setups verboten wurde. Achten Sie dabei darauf, dass Sie den Filter für die Log-Einstellungen (Server-Konfiguration/Log-Level) auf maximal 3 gestellt haben.

    Sollten Sie dieses Verhalten des Agents ausschalten wollen, sodass der Agent sich auch installiert, wenn Programme vom Server verweigert wurden, können Sie in der Setup.ini des Secusurf Agents die folgende Zeile einfügen:
    [SecuSurf]
    DontAbortSetupOnDeny=1

    Wir weisen nochmals ausdrücklich darauf hin, dass dies nicht die von uns empfohlene Einstellung ist!
    Top

    Hinweise zur Prüfung von DLLs


    Seit der Version 14 von SecuSurf ist es möglich, die Prüfung von DLLs und anderen Bibliotheken (z.B. Treiber) einzuschalten. Dies ermöglicht eine ganz erhebliche Erweiterung der Kontrollmöglichkeiten. Der Administrator kann nun wählen, ob er mehr Kontrollmöglichkeiten (=DLL checking an) oder die einfache Administration (=DLL checking aus) verwenden möchte. Es sei darauf hingewiesen, dass die Prüfung von DLLs die Zahl der Regeln ca. um das 8 bis 15-fache erhöht, was sich möglicherweise in der Administration niederschlagen wird. Der Zugewinn an Sicherheit hingegen ist im Vergleich zum Betrieb von SecuSurf mit ausgeschaltetem DLL checking eher klein. Das liegt daran, dass das Sicherheitsniveau von SecuSurf auch mit ausgeschaltetem DLL-checking schon immer so hoch war, dass es schwerlich möglich war, dies mit klassischen Absicherungsmethoden zu vergleichen. Wir haben durch die Möglichkeit, praktisch jeglichen Code zu prüfen, die Messlatte zwar noch einmal erhöht, aber dies eigentlich nur von vielleicht „99,995% auf 99,9995%“, wenn man davon ausgeht, dass die 100%ige Sicherheit nie erreichbar sein kann. Dennoch macht die DLL Prüfung in Hochsicherheitsbereichen oder besonders exponierten Rechnern durchaus Sinn. Mit ausgeschaltetem DLL checking prüft SecuSurf jegliche Prozesse (.exe, .com, .pif, Screensaver, u.s.w.), also alles, was Sie im Taskmanager finden können. Bei eingeschalteten DLL checking zusätzlich auch DLLs, Treiber und jeglichen anderen dynamischen Code.

    Bei der Dimensionierung ist zu beachten, dass die DLL Prüfung etwa das 8-15-Fache an Datenverkehr zum SecuSurf Server erzeugt. Ist derzeit ein SecuSurf Server für 5.500 Client-Verbindungen ausgelegt, so sollten zukünftig nur noch ca. 1.000- 2.000 Clients pro Server angebunden werden. Obwohl die 8-15 fache Menge an Prüfungen stattfinden können, wird aber die Auslegung der Server „nur“ halbiert, weil die Anzahl der gleichzeitigen Verbindungen gleich bleibt. Es treten nur pro Verbindung mehr Prüfungen auf, was den Server nicht so sehr belastet.
    Top

    NT4 Unterstützung


    Die Unterstützung von NT4 mit neuen Features findet nicht mehr statt. Die Version 1.12.21 unterstützt NT4 immer noch, jedoch ohne dynamische Agent-Konfiguration (individuelle Konfigurations-Regel im AdminWizard für z.B. Disable Passwort) und ohne DLL- oder Geräteprüfung. Die Version 1.12.21 wird ausschließlich auf NT4 weiter supportet. Ab Version 1.14.x ist der Agent nicht mehr auf NT4 lauffähig.
    Top

    Updates


    Ich habe ein neues Update für den SecuSurf Admin-Wizard erhalten. Wie installiere ich es?


    Schließen Sie zunächst den Admin-Wizard. Starten Sie danach die Updater-Datei ""Admin-Wizard-Update-Vxx.xx.xx.exe"". Achten Sie darauf, dass Sie das Update in den gleichen Pfad installieren, in dem Sie auch die erste Version des Admin-Wizards installiert haben.

    Das Update wird automatisch installiert.

    Sollten Sie auf dem Rechner, auf dem Sie den Admin-Wizard laufen lassen, auch den SecuSurf Agent installiert haben, dann sollten Sie den Server vor dem Update in den Lernmodus versetzen, da Sie sonst die neue Version wegen der veränderten Checksumme nicht starten können. (Das würden Sie aber merken, da Sie ja schon das Updateprogramm nicht starten könnten...)

    In dem Update sind wichtige Dateien wie z.B. Ihr Zertifikat nicht enthalten. Sie können daher das Update immer nur über das ursprüngliche Setup installieren. Auf einem Rechner, auf dem der Admin-Wizard noch nie installiert war, reicht der Start des Updates nicht aus, um den Admin-Wizard vollständig zu installieren. Vielmehr müssen Sie in diesem Falle zunächst das Setup für den Admin-Wizard von der SecuSurf-Install-CD ausführen. Ist das Setup fertig, installieren Sie das aktuellste Update.
    Top

    Ich habe ein Update für den SecuSurf Agenten erhalten. Wie installiere ich es?


    In der Regel erhalten Sie beim Update des Agents lediglich eine neue autosetup.exe. Weitere notwendige Dateien (z.B. setup.ini und Ihr Zertifikat) sind ausschließlich auf der SecuSurf-Install-CD vorhanden. Kopieren Sie also die Dateien aus dem Verzeichnis „Client-Installer“ von der SecuSurf Install-CD in ein neues Verzeichnis und überschreiben Sie dann die dort befindliche autosetup.exe mit der neuen Datei, die Sie erhalten haben.

    Manche Updates bringen neue Features und damit neue Einträge in der setup.ini mit sich. Sollte das autosetup.exe des SecuSurf Agents wegen fehlender Einträge in der setup.ini nicht erfolgreich sein, so überprüfen Sie Ihre setup.ini anhand der Vorgaben für die aktuelle Version.

    Verwenden Sie das RCM, so müssen Sie die aktuelle autosetup.exe in das Verzeichnis „SecuSurf\install“ in Ihrem RCM-Share kopieren, von dem aus Sie die Softwareverteilung durchführen.

    Das Update des Agents verlangt zwingend eine vorherige Deinstallation des Agents mittels autouninstall.exe. Danach kann eine Neuinstallation des Agents erfolgen.
    Top

    Ich habe per E-Mail ein Update für den SecuSurf Server erhalten. Wie installiere ich es?


    Das Einspielen eines Updates für den SecuSurf Server funktioniert über das Patch System. Sie erhalten einen Patch zum Update des Servers in Form einer verschlüsselten E-Mail.

  • Erstellen Sie eine Datensicherung des aktuellen Regelsatzes (für Notfälle).
  • Speichern Sie den Anhang der Mail auf dem Rechner, auf dem Sie den Admin-Wizard installiert haben.
  • Öffnen Sie die Datei mit einem Texteditor (z.B. Notepad) und kopieren Sie den gesamten Inhalt (incl. der ""---- BEGIN"" und ""END PGP MESSAGE ---"" Zeilen) in die Zwischenablage (Strg-a, Strg-c).
  • Starten Sie den Admin-Wizard und loggen Sie sich ein.
  • Wählen Sie das Menü ""Extra/Patch aktivieren"".
  • Fügen Sie den Inhalt der Zwischenablage in das Textfeld ein (Strg-v) und bestätigen Sie dann mit ""OK"".
  • Der Admin-Wizard wird Ihnen mitteilen, dass der Patch erfolgreich aktiviert wurde und ob es notwendig ist, den Server neu zu starten (z.B. beim Update des Server Codes, aber nicht bei Konfigurationsänderungen wie z.B. zusätzlichen Lizenzen). Sollten Sie mehrere Server haben, so ist der Patch immer für alle Server gleichzeitig bestimmt und wird unter den Servern automatisch repliziert. Es ist daher nicht notwendig den Patch auf jedem Server anzuwenden.
  • Sollte ein Neustart des Servers notwendig sein, wählen Sie im Menü Extra den Punkt „Server neu starten“. Den besten Zeitpunkt für diesen Neustart des Servers können Sie selbst bestimmen. So lange kein dringender Grund vorliegt, dass der Patch sofort agewandt wird, kann der Neustart auch bis zum nächsten Wartungsfenster warten.
  • Der Server sollte innerhlab von ca. 4 Minuten nach dem Neustart wieder online sein.

    • Top

    Ich habe per Post ein Update für den SecuSurf Server erhalten. Wie installiere ich es?


    Updates, die größere Änderungen im Server mit sich bringen, werden als CompactFlash (CF) Karte ausgeliefert. Stellen Sie vor dem Update zunächst sicher, dass alle SecuSurf Agents und der SecuSurf Admin-Wizard in neuester Version installiert sind. Erstellen Sie eine Datensicherung des SecuSurf Regelsatzes(„Datei/Speichern als“).

    Sie haben mehr als einen SecuSurf-Server:
  • Sichern Sie die aktuelle Konfiguration.
  • Schalten Sie einen Ihrer Server ab, ersetzen Sie das CF (achten Sie auf die IP-Adressen!) und starten Sie diesen Server dann wieder.
  • Nach dem Bootvorgang wird dieser Server sich mit den anderen (noch mit der alten Version laufenden) SecuSurf-Servern synchronisieren.
  • Sobald dieser Server vollständig im Betrieb ist (Meldung auf der Console: „SecuSurf Server up and running“) können Sie den oder die verbliebenen SecuSurf-Server auf die gleiche Weise updaten. Diese werden sich nun ebenso mit dem vorher neu gebooteten SecuSurf-Server synchronisieren.



    • Sie haben nur einen SecuSurf-Server:
    Haben Sie nur einen SecuSurf-Server, hat dieser beim Neustart nach einem Update mit einem neuen CF keine Konfiguration (keinen Regelsatz) mehr. Dies wird vom Server bemerkt, sodass dieser im Lernmodus startet. Dadurch wird in diesem Zeitraum den Benutzern nichts verboten und die Benutzer können ungehindert weiterarbeiten. Allerdings stellt SecuSurf in diesem Zeitraum auch keine Sicherheit zur Verfügung. Daher ist es sinnvoll nun möglichst zügig die zuvor erstellte Datensicherung zurückzuspielen. Warten Sie nach dem Start des Servers einige Minuten (z.B. 10), damit die Agents Zeit hatten, sich wieder mit dem Server zu verbinden. Schalten Sie dann den Lernmodus ab und importieren die Datensicherung. Aktivieren Sie dann diesen importierten Regelsatz zügig auf dem Server.
    Top

    Welche anderen Updates gibt es (neben dem AdminWizard, dem Agent und dem Server) noch?


    Neben den vorgenannten Programmodulen (Server, AdminWizard und Client/Agent) gibt es nur noch die Tools, die für das RCM benötigt werden. Bei einem Update eines der Tools reicht es, wenn Sie das vorhandene Programm mit dem Programm aus dem Update überschreiben.
    Top
    Über uns | Site Map | Privacy Policy | Kontakt | ©2004 SecuLution GmbH