Bezpieczna otwartość

Technologie open source w coraz większym stopniu wpływają na działanie biznesu. Tymczasem rozwiązania z zakresu bezpieczeństwa oparte na open source wciąż traktowane są z nieufnością.

Technologie open source w coraz większym stopniu wpływają na działanie biznesu. Tymczasem rozwiązania z zakresu bezpieczeństwa oparte na open source wciąż traktowane są z nieufnością.

Za wykorzystaniem narzędzi zabezpieczających open source przemawiają cztery poważne argumenty. Po pierwsze, są one błyskawicznie dostosowywane do zmieniających się zagrożeń. Po drugie, dostęp do kodu źródłowego pozwala użytkownikowi kontrolować poziom własnego bezpieczeństwa. Po trzecie, pozwala mu to również na dowolne dostosowywanie technologii do specyficznych potrzeb organizacji. Wreszcie, zastosowanie rozwiązań open source pozwala ograniczać koszty. Mimo że - choć mało kto zastanawia się, czy uruchomić mały serwer pracujący pod kontrolą Linuxa i umieścić go w szafie obok maszyn z Unixem czy Windows - to wykorzystanie zapory ogniowej z powszechnie dostępnym kodem źródłowym wciąż nie jest wcale takie oczywiste. Tymczasem wybór rozwiązań open source jest całkiem spory.

Zabójca spamu

Bramka zabezpieczająca pocztę elektroniczną to doskonały przykład na szybkie dostosowywanie rozwiązań open source do zmieniającej się sytuacji i nowych rodzajów zagrożeń. Funkcja bramki pocztowej przesunęła się w tym przypadku z zapewniania współdziałania pomiędzy różnymi systemami poczty w kierunku bezpieczeństwa. Ma ona zabezpieczać przed wirusami, spamem, a od niedawna chronić także przed phishingiem i gwarantować pozostawanie w zgodzie z regulacjami prawnymi.

Rynek systemów tego typu podlega dynamicznym zmianom. Komercyjne produkty pojawiają się i błyskawicznie znikają. Równie szybko zmieniają się wymagania użytkowników.

Jeśli organizacja decyduje się na wykorzystanie rozwiązania open source, które tworzone jest z wielu komponentów, zyskuje tym samym, choć jest to z pewnością okupione wysiłkami związanymi z integracją - dużą elastycznością w zakresie modelowania ostatecznego kształtu systemu, a następnie wprowadzania modyfikacji.

Narzędzie antyspamowe SpamAssassin jest na tyle atrakcyjną technologią, że wykorzystywane jest przez wielu producentów oprogramowania do tworzenia własnych, komercyjnych rozwiązań. Przykładem może być popularny produkt oferowany przez firmę Barracuda Networks. Chwaląc SpamAssassin, należy przy tym dodać, że produkt nie jest jeszcze gotowy do zastosowania w centrum danych. Duże organizacje musiałyby bowiem tworzyć samodzielnie lub przynajmniej adaptować istniejącej aplikacje WWW do obsługi systemu, a także znaleźć sposób na skalowanie go do obsługi wielu systemów. SpamAssassin wymaga także interwencji użytkownika w przypadku podejrzanych wiadomości, zastosowania narzędzi do dostarczania poczty, raportowania czy powiadamiania o zdarzeniach. Konieczne jest również zastosowanie rozwiązania do transportu wiadomości, który będzie obsługiwał wysyłanie, kolejkowanie i odbieranie wiadomości.

Naśladowcy już są

Chociaż kilka projektów open source - takich jak MailWasher czy Maia Mailguard - posiada zintegrowane motory antyspamowe z narzędziami do zarządzania i mechanizmami kwarantanny, to wokół żadnego nie powstała tak energicznie działająca społeczność programistów jak wokół SpamAssassin. Rozwiązanie to nie jest już jednak najnowszym osiągnięciem w zakresie identyfikacji niechcianej poczty. Filtrowanie w oparciu o reputację nadawców bywa znacznie bardziej efektywne. Zwłaszcza, jeśli działa w połączeniu z dobrym filtrem treści. Z kolei nowe protokoły, takie jak Sender ID czy DomainKeys, znacznie ułatwiają zwalczanie phishingu.

Integrowanie dostępnych bezpłatnie usług oceny reputacji nadawców, takie jak SpamHaus czy SpamCop, z innymi narzędziami antyspamowymi nie jest niewykonalne, ale wymaga znajomości architektury rozwiązań tego typu oraz doświadczenia związanego z aplikacjami open source. Mechanizmy ochrony przed wirusami także wchodzą w skład bramek zabezpieczających pocztę. Spośród rozwiązań open source uwagę zwraca ClamAV. Warto jednak pamiętać, że decydując się na linuxową bramkę można także skorzystać z komercyjnych motorów, które mogą pracować na systemie Unix.

Inne silniki antyspamowe, takie jak CRM114, DSPAM czy Bogofilter, nie są popularne, ponieważ wymagają sporego zaangażowania użytkownika w celu osiągnięcia wysokiego odsetka wyłapywanego spamu. Z pewnością jednak organizacje, które decydują się na budową rozwiązania open source, powinny przynajmniej spróbować, czy przypadkiem nie będą one dobrze pasowały do specyfiki organizacji.

Sensory i narzędzia

System wykrywania włamań (IDS) nie tylko umożliwia wykrywanie ataków, ale jest także użyteczny do tzw. informatyki śledczej (forensics), wykrywania nadużyć dokonywanych przez użytkowników, a nawet profilowania wydajności sieci. Jednym z najbardziej znanych motorów IDS jest Snort (na marginesie można dodać, że zespół pracujący nad jego rozwojem pracuje dla firmy Sourcefire, która oferuje komercyjne narzędzia do wykrywania włamań i ochrony przed intruzami bazujące na motorze Snort). Podobnie jak w przypadku SpamAssassin, sam Snort niewiele może zdziałać. Łatwo go jednak wykorzystać jako warstwę pracującą na systemie operacyjnym, takim jak Linux czy BSD. Pracuje wówczas jak sensor IDS, który wykrywa ruch i generuje zdarzenia.

Organizacje planujące stworzenie w pełni kontrolowanego rozwiązania IDS open source, mogą rozpocząć przedsięwzięcie od uruchomienia bazujących na Snort sensorów IDS, które zwykle pracują pod kontrolą Linuxa, a następnie wykorzystać kilkanaście kolejnych komponentów do zarządzania sensorami. Przykładowo istnieją specyficzne narzędzia, takie jak Oinkmaster czy IDS Policy Manager, pozwalające poprawnie aktualizować zestawy reguł Snort. Efektywne zarządzanie może jednak wymagać samodzielnego opracowania skryptów lub aplikacji. Natomiast do logowania zdarzeń najczęściej wykorzystywany jest dodatek do Snorta o nazwie Barnyard w połączeniu z bazą danych MySQL. Wreszcie do analizy logów używane są takie narzędzia, jak Analysis Console for Intrusion Databases czy Basic Analysis and Security Engine, działające w połączeniu z serwerem Web oraz narzędziami graficznymi i do tworzenia skryptów. Narzędzia te mogą być również wykorzystywane do wykrywania trendów i realizowania zadań z zakresu informatyki śledczej.

Jednak ze względu na fakt, że najtrudniejszym elementem stworzenia systemu IDS jest przekształcenie danych płynących z sensorów w użyteczne informacje, optymalnym rozwiązaniem może okazać się wykorzystanie sensorów open source i komercyjnej konsoli IDS, która umożliwi obsługę zdarzeń, alertów, archiwizację informacji i analizę. Takie podejście minimalizuje ryzyko sytuacji, w której użytkownik wykorzystuje w całej sieci sensory producenta systemu IDS, który akurat przestał istnieć. Wbrew pozorom ryzyko jest dosyć duże. Przeglądając przeprowadzone w latach 2002 i 2003 przez amerykański Network World testy systemów IDS, bardzo szybko można dostrzec, że połowy wymienionych w nich dostawców nie ma już na rynku.

Większość producentów oprogramowania do zarządzania bezpieczeństwem, m.in. ArcSight, NetIQ, Network Intelligence czy Tenable Network Security, będzie doskonale współdziałać z sensorami Snort. Natomiast za dodatkową opłatą można nabyć 3D Defense Center firmy Sourcefire, które obsłuży płynące z sensorów Snort zdarzenia w taki sam sposób jak własne rozwiązania.

Słabości programistów

Wiedza na temat sieci i działających w niech usług stanowi istotny aspekt zabezpieczania systemów. Z pewnością jednak nie wystarcza. Producenci oprogramowania rzadko wprowadzają na rynek produkty odporne na ataki. Dziury pojawiają się także na skutek aktualizacji czy łatania lub nawet rekonfiguracji oprogramowania. Dlatego bardzo przydatnym narzędziem stały się narzędzia do analizy podatności (vulnerability) systemów na ataki.

Popularne narzędzie do wykrywania usług i zarządzania podatnościami, Nessus firmy Tenable Network Security to kolejny przykład rozwiązania, które powinno przynajmniej zainteresować osoby odpowiedzialne za zabezpieczenie centrów danych. Początkowo Nessus stanowił oprogramowanie w pełni open source. W ubiegłym roku pierwsi twórcy Nessus uczynili najnowszą wersję motoru skanującego (Version 3) bezpłatną, ale już nie open source. Nie wpłynęło to na zmniejszenie zainteresowania ze strony użytkowników. Ponadto wersja 2 pozostaje nadal dostępna wraz z kodem źródłowym.

Od SpamAssassin i Snorta odróżnia Nessusa architektura klient/serwer i dostępność kilku interfejsów graficznych. Dzięki temu oprogramowanie nie wymaga instalowania tak dużej liczby dodatkowych programów, żeby stało się funkcjonalnym pakietem. Inni dostawcy skanerów podatności i narzędzi do wykrywania usług oferują wprawdzie narzędzia do zarządzania rezultatami pracy skanera, integracji z systemami zarządzania poprawkami oraz obsługą podatności. Niemniej Nessus skoncentrował się głównie na konfigurowalnym w dużym stopniu motorze. Uzyskanie lepszej współpracy z komercyjnymi produktami, użytkownicy Nessus mogą zapewnić sobie kupując Security Center oferowane przez Tenable. To scentralizowane narzędzie do zarządzania danymi ze skanów wykonywanych przez Nessusa.

Nessus to aktywny skaner podatności, co oznacza, że bada systemy w celu wykrywania usług, systemów operacyjnych i podatności. W wielu organizacjach jednak takie skanowanie może być niedopuszczalne. Systemy tego typu mają bowiem złą reputację ze względu na obciążanie, a nawet zawieszanie systemów. Czasem decydują nawet kwestie polityczne. Spowodowało to popularyzację skanerów pasywnych. Także tego typu rozwiązania tworzone są przez społeczność open source. Niemniej powszechnie zalecana jest wobec nich ostrożność. W takim przypadku lepiej zdecydować się na produkt komercyjny oferowany np. przez Sourcefire (Realtime Network Awareness) czy Tenable (Passive Vulnerability Scanner).

Wirtualnie po SSL

Chociaż centralnie zarządzane urządzenia łączące funkcje zapory ogniowej i VPN nie są kosztowne, to jednak koszty związane z budową rozwiązania działającego na dużą skalę mogą być wysokie. Czasem problemem bywa konflikt wynikający z niemożności obsłużenia przez narzędzia do zarządzania produktów innych dostawców. W innych przypadkach problem dotyczy posiadania sprawnie działających zapór ogniowych w oddziałach, które jednak słabo radzą sobie z obsługą wirtualnych sieci prywatnych.

Najlepszą alternatywą open source w tym zakresie jest OpenVPN, bazujące na technologii SSL narzędzie, które w prosty i szybki sposób łączy zdalne lokalizacje posiadające łącza szerokopasmowe z centrum danych. Jako technologia OpenVPN posiada zalety, którymi nie mogą poszczycić się nawet komercyjne rozwiązania bazujące na bardziej efektywnym protokole IPSec. Ze względu na fakt, że większość dostawców Internetu szerokopasmowego wykorzystuje NAT, organizacjom korzystającym z wolnych łączy bez statycznie nadawanego adresu IP nie zawsze złożony protokół IPSec dobrze się kojarzył. Zamykanie ruchu w obrębie jednego połączenia TCP to dobry sposób na ominięcie problemu. Systemy VPN bazujące na SSL, takie jak OpenVPN, robiły to zawsze.

Z punktu widzenia kosztów OpenVPN wydaje się jeszcze bardziej atrakcyjny. Jeśli zdalny serwer pracuje pod kontrolą Windows, Unix czy Mac OS X, może on zostać wykorzystany jak bramka VPN do bezpiecznego połączenia z użyciem OpenVPN. W związku z tym, że oprogramowanie pracuje z systemami uruchomionymi już wcześniej w zdalnych lokalizacjach, może być wprowadzane do istniejących sieci bez konieczności inwestowania w nowy sprzęt. Oczywiście, OpenVPN nie stanowi odpowiedzi na dowolne problemy. Szybkie połączenia o wiele lepiej pracują z wykorzystaniem IPSec. Z kolei idea kierowania ruchu VPN poprzez serwer nie sprawdzi się w każdym środowisku. Wreszcie OpenVPN nie sprawdzi się w przypadku dużych sieci VPN, ponieważ nie dysponuje odpowiednim systemem zarządzania.

Podobnie jak wiele innych narzędzi open source, interfejs OpenVPN ogranicza się do linii poleceń. Niemniej popularność produktu oraz dobra dokumentacja API sprawiły, że powstało sporo graficznych narzędzi pomocnych w konfiguracji i monitorowaniu systemu.

Propozycje systemów zabezpieczających open source

Bramka zabezpieczająca pocztę

SpamAssassin

DSPAM

Bogofilter

MailWasher Server

Maia Mailguard

Clam AntiVirus

Wykrywanie włamań

Snort

IDS Policy Manager

Skanowanie podatności

ACID

BASE

SSL VPN

Nessus

OpenVPN

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200