大企業はますます、ビジネスに不可欠なサーバーへのアクセスを制御および監視することを考えています。 誰が入って来て、何をしたの？ 組み込みのロギングは常に便利で「読みやすい」とは限らず、「特権ユーザーコントロール」向けの製品が徐々にロシア市場に参入し始めました。 このシリーズの2つの「主要な」製品、つまりBalabit Shell Control BoxとWallix Admin Bastionを比較するのは興味深いように思えました。



注：記事の量を減らすために、比較はrdpプロトコルと全体としての機能のコンテキストでのみ行われます。その結果、比較的一般的です。 sshプロトコルもこれらの製品でサポートされていますが、この記事では、「1つのヒープ内」のすべてに干渉しないように考慮されていません。

管理制御システムが必要なのは誰ですか？

私たちのコンピューター化された時代のシステム管理者は、ほとんど会社のitスペースの「王と神」になりました。 この結果、管理者は特に競合しないことを好み、可能であれば譲歩します。「悪い方法で」放置すると、元の管理者がビジネスに大きな損害を与える可能性があるためです。 したがって、多くの上位5人の従業員にとって、「管理者コントロール」というフレーズは、デリケートな問題と優れた解決策を取り除くように見えるかもしれませんが、それは単純ですか？ もちろん違います。 したがって、まず最初に、 本当に似たような製品が何らかの肯定的な消耗をもたらすことができる企業を簡単に概説したいと思います。 このリストは私たち自身の経験に基づいて作成されたものであり、究極の真実であると主張するものではありません。 最初は主観的です。



そのため、「コントロール管理者」が役立ちます。

• システム管理者数が7〜10人を超える企業。
• ITサポートが外部組織によって提供されている会社（アウトソーシング）。
• ベンダー/ディストリビューターのスペシャリストをターゲットサーバーに送信する必要がある特定のソフトウェアを持つ企業。
• 規制当局に苦しめられ、さまざまな基準に準拠することを要求する企業（遭遇していないが、除外していない）。

他の場合では、管理制御のためのソフトウェアの使用は通常お勧めできません。



以下で説明するシステムは両方とも、いくつかの変更されたUNIXシステムに基づいたハードウェアまたは仮想アプライアンスです。WallixはDebian、Balabit-ZorpOSに基づいてデプロイされます。 必要なハードウェア容量は、アクティブなユーザーの数と保護されているサーバーの数によって異なります。

仕組み-Wallix Admin Bastion

Wallixは、OSIモデルのアプリケーションレベルの「要塞」モードでのみ機能します。 管理者フォームに表示される明示的なネットワークブレークに配置されます。 Wallixサーバーでルールが構成されます（詳細は以下を参照）。これに基づいて、管理者の接続をスキップ/ブロックします。 管理者は、rdpプロトコル（標準ポート）を使用してwallixサーバーに接続し、作成されたローカルアカウント（またはADからインポートされた）を使用してログインします。 その後、サーバー+最終アカウンティングペアのアクセス可能なリストが提供され、目的のサーバーを選択します。 Wallixは最終的なアカウントパスワード自体を設定できますが、管理者にこのパスワードを要求することもできます。 明確にするために、接続図を以下に示します。



Wallixを介して管理者を保護されたサーバーに接続する論理図



Wallixの設定は、Walix自体のアカウントのグループ（ADからインポートされたアカウントに置き換えることができます）とサーバーのグループと最終的なアカウントのペアの2種類のグループ間のバイナリ（true-false \ possible-impossible）マッピングです。





保護されたサーバーと最終的なアカウンティングを追加/編集するためのフォーム



このような比較の数、およびグループ自体は制限されておらず、それらに基づいて、誰がどこで接続できるかについてアクセスマトリックスが構築されます。



Wallixはrdpレコードをビデオクリップの形式で（ファイル形式で）格納します。これは、組み込みのテキスト認識（ocr）を介して実行でき、タイトルで検索します（次のバージョンの1つのビデオだけでなく、フレームワーク内でタイトルの検索を高速化することが約束されました）。





RDPセッションの保存されたビデオ録画のリスト



管理者をwallix経由で必要なサーバーに「強制」移動させるにはどうすればよいですか？

• 組織的手段を備えたコンパートメント内のネットワークレベルでのルートの閉鎖。
• 特別に作成されたドメインアカウントの下でのみ保護されたサーバーへのアクセスを許可します。Wallixが1時間\日\週\月に変更するパスワード（パスワードは指定されたメールボックスに暗号化形式で送信されます。GPG証明書とパスワードが必要です）。

製品の利点

• シンプルで簡単なセットアップ。
• 安定した動作モード「要塞」、二重認証の可能性、およびそれに基づく適切なアクセスマトリックスの編集。
• 複数のADと統合する機能。

製品の短所

• 安定した 「透過」モードはありません。 宣言されているものは、タンバリンおよび切り株デッキで動作するか、まったく動作しません。
• 松葉杖と実行中にカバーする必要がある生産上の微妙な違い（バージョン4.2）があります。

仕組み-Balabit Shell Control Box

Balabitも「ギャップ」に置かれますが、異なるOSIモデルのいくつかのモードで動作できます。 同時に、「透明」\「不透明」モードの設定は接続自体で直接行われます。これは、接続の「細かい」設定の観点から非常に便利です。

透過モード

Balabitの主な利点は、管理者には見えない形でネットワーク上に配置されている「透過」モードで動作できることです。 IPスプーフィングを使用すると、FWおよびルーターに対しても「見えない」ようになり、PC管理者のIPアドレスをip-srcに置き換えることができるため、ネットワーク機器に個別のアクセス許可を設定する必要がありません。



balabitが透過モードで動作するために、対応するルートがルーターに登録されます（サブネットNからすべてのトラフィックをBalabit IPアドレスに送信します）。 同時に、balabitが認識できない（制御されたプロトコルを検出する）トラフィックは、変更なしで（指定されたゲートウェイに）渡されます。



注：透過モードでは、許可はbalabitサーバーで実行されませんが、システムは管理者が保護されたサーバーにログオンしたアカウントを記録します。これにより、必要なフィルターを設定し、目的のビデオクリップを見つけることができます。



Balabitの設定は、保護されたサーバー間で切断されます-各サーバーには、独自のインスタント設定とアクセス権があります（透過モードの場合：保護されたサーバーに接続できるネットワークから）。 設定オプションは次のとおりです。





balabitを介した保護されたサーバーへのアクセスの設定



透過モードでは、設定のメインレイヤーは、トラフィックのルーティングとネットワーク機器の構成に依存します。 balabit自体の設定は最小限であり、Wallixで実装されているように、ユーザーとその権限ではなく、保護されたサーバーにアクセスするIPアドレスで動作します。

要塞モード

要塞モードにはいくつかの実装があります。

1. TSゲートウェイモード。 このモードでは、balabitサーバーのDNS名は、リモートデスクトップゲートウェイサーバーとしてrdpクライアントに登録されます。 このモードでは証明書を使用し、TS GWまでのトラフィック（balabitサーバー証明書）とbalabitaから保護されたサーバーへのトラフィック（その場で生成された証明書またはbalabitにアップロードされた証明書）を暗号化します。 このような接続では、バラビットサーバーに事前に設定された最終アカウントのパスワードを置き換えることができるため、管理者は保護されたサーバーに接続するための資格情報を知ることができません。 ただし、balabit自体はパスワードの変更方法を自動的に認識せず、何らかの方法でパスワードを「管理」しません。 別のThycotic Secret Server SSOシステムと統合します。
   
   
   
   注：このスキームはパフォーマンスが非常に気まぐれです。 それには、かなり適切な量の微調整と、構成されているものとその理由の理解が必要です。 予測できない「ギャグ」が発生する場合があります（たとえば、ブラウザのプロパティでプロキシが指定されている場合、rdpクライアントはサーバーのバラビットDNS名の解決を拒否しました）。
   
   
   
   
2. GWモードでの承認。 このモードでは、管理者に2つのモニターが必要です。接続を初期化した後、保護されたサーバーへの接続を開始し、Balabit Webインターフェイスにログインして、接続を「許可」する必要があります。 この接続オプションでは、ネットワークトラフィックのルーティングとルーターの対応する設定も必要です。
3. 4目モード。 動作の原理はパラグラフ2と同じですが、ここでは別の人がすでに「許可」する必要があります。

各モードには独自の設定がありますが、ここでは詳しく説明しません。 時には目がフィールドの数から散乱するということで十分です:)）



また、システムはすべてのセッションをビデオクリップの形式で保存します。 OCRは1回実行されます。 すべてのビデオで認識されたテキストの検索はすでに存在しています。 セッションを表示するには、クライアントソフトウェア（Audit Player）が必要です。これは、配布キットに付属しており、MS OSが搭載された「オペレーター」のPCにインストールされています。





RDPセッションの保存されたビデオ録画のリスト



製品の利点

• トランスペアレントMiTMモードで安定して専門的に作業できます;
• ほとんどすべての好みに応じた微妙な設定が多数あります。

製品の短所

• 1つのADとのみ統合します（ADへの入力が必要です）。
• 「要塞」モードでは、タンバリンと一緒に踊り、マヌルネコを長時間喫煙する必要がある場合があります。
• パスワードを管理できません。
• 二重認証には、やや混乱した性格と性質があります。

まとめると

上記のテキストからわかるように、各製品には独自の長所と短所があります。すべては、割り当てられたタスクのプールに依存します。 システムのすべての機能は比較に参加しませんでした。



Wallixのように、Cyber​​Arkシステムが市場にあり、「要塞」モードで同様の、しかしより高度な機能を持っていることも別に注意したいと思います。 その作業の基礎は、サポートされるプロトコルと接続の数を増やすことができるMSリモートアプリケーションメカニズムによって行われます。 残念ながら、著者はそれを比較に追加するのに十分な能力を持っていませんが、彼はそれについて沈黙を保つことは犯罪であると考えています。