Bezpiecznie z open source

Bezpiecznie z open source

No spam today! firmy Byteplant wykorzystuje silnik SpamAssassin.

Konieczne będzie również dołączenie do SpamAssassin agenta transferu wiadomości, takiego jak Postfix, zapewniającego wysyłanie, kolejkowanie i odbiór poczty. Chociaż niektóre projekty open source - serwer MailWasher i Maia Mailguard - mają zintegrowany silnik antyspamowy wraz z narzędziami zarządzania i mechanizmem kwarantanny, żadne z nich nie ma tak dużej społeczności projektantów i użytkowników jak SpamAssassim.

Jednak sam SpamAssassim nie jest już rozwiązaniem spełniającym obecne wymogi identyfikacji spamu. Bardziej efektywne okazuje się filtrowanie oparte na reputacji nadawców, połączone z dobrym filtrem zawartości, a nowe protokoły, takie jak Sender ID i DomainKeys, pomagają w walce z atakami phishingu. Zintegrowanie bezpłatnej usługi reputacji - SpamHaus czy SpamCop - z innymi narzędziami antyspamowymi jest możliwe, ale wymaga dużego doświadczenia w projektowaniu bram pocztowych i aplikacji open source.

Możliwości skanowania antywirusowego także są powszechną cechą bram ochronnych poczty elektronicznej. Jedyną wiarygodną opcją open source wydaje się ClamAV, chociaż firmy wybierające platformę Linuksa dla bramy pocztowej mają do wyboru także kilka komercyjnych silników AV pracujących na Uniksie.

Inne silniki antyspamowe, takie jak CRM114, DSPAM czy Bogofilter, nie są tak popularne w większych środowiskach sieciowych, ponieważ wymagają intensywnych szkoleń użytkowników w celu osiągnięcia wysokiego współczynnika przechwytywania spamu. Niemniej jednak, budując własne bramy, można eksperymentować z dowolnym narzędziem do filtrowania, patrząc jedynie, czy spełnia ono wymagania naszego środowiska.

Kontrola nad IDS

Bezpiecznie z open source

Projekt Sourceforgr.net - SAM (Snort Alert Monitor) - to działający w czasie rzeczywistym monitor wykorzystujący silnik Snort.

Systemy wykrywania włamań (IDS - Intrusion Detection Systems) nie tylko wykrywają próby wtargnięć do systemu - są także bardzo użyteczne w prowadzeniu działań śledczych w sieci, wykrywających niewłaściwe lub błędne konfiguracje. Pomagają również w profilowaniu wydajności sieci.

Aby spełniać różnorodne potrzeby, IDS musi umożliwiać zbieranie i przechowywanie zdarzeń odnotowywanych przez sensory, a także wyszukiwanie, zestawianie i analizowanie zdarzeń w momencie ich pojawiania się, archiwowanie i odzyskiwania zdarzeń związanych z wykrytymi wtargnięciami, generowanie natychmiastowych alarmów w oparciu o pewne zestawy zdarzeń, zarządzanie tymi wszystkimi komponentami i raportowanie długoterminowych trendów. W bardziej zaawansowanych wdrożeniach dane uzyskiwane przez IDS są wykorzystywane przez zaawansowane silniki korelacji do poszukiwania trendów wśród tych zdarzeń.

Bezpiecznie z open source

Oferta open source w czterech obszarach bezpieczeństwa

Wydajnym silnikiem open source wykrywania wtargnięć, jakim jest Snort, opiekuje się zespół, którego członkowie w większości pracują dla firmy Sourcefire, sprzedającej komercyjne systemy IDP (Intrusion Detection and Prevention) oparte na Snort. Tak jak SpamAssassim, sam Snort jest niemal bezużyteczny. Można go jednak łatwo wykorzystać do zbudowania sensora IDS, który wykrywa ruch i generuje zdarzenia na platformie operacyjnej Linux czy BSD (Berkeley Software Distribution). Nadal jednak bez infrastruktury do zarządzania sensorami i zdarzeniami można sobie Snortem nie zawracać głowy.

Administratorzy centrów danych, którzy mają zamiar zbudować IDS w 100% open source i w 100% przez siebie kontrolowany - mogą rozpocząć od sensorów IDS opartych na Snort, które zazwyczaj pracują na platformie Linux, a następnie wykorzystać wiele innych komponentów open source do zarządzania sensorami.

Zarządzanie sensorami może wymagać napisania pewnej liczby skryptów lub aplikacji, aczkolwiek istnieją specyficzne narzędzia, takie jak Oinkmaster czy IDS Policy Manager, pozwalające na utrzymywanie właściwie uaktualnionych zestawów reguł Snort. Do rejestrowania zdarzeń powszechnie używa się dodatku do Snort o nazwie Barnyard, wraz z bazą danych My SQL. Gdy zdarzenia zostaną zarejestrowane, narzędzia takie jak Analysis Console for Intrusion Databases (ACID) lub nowsze - Basic Analysis and Security Engine (BASE) - połączone z serwerem WWW i różnymi skryptami oraz narzędziami graficznymi, mogą być użyte do zadań wyznaczania trendów i prognoz.

Bezpiecznie z open source

BASE (Basic Analysis and Security Engine), połączone z serwerem WWW i różnymi skryptami oraz narzędziami graficznymi, może być użyte do analiz zdarzeń rejestrowanych przez Snort, wyznaczania trendów i prognoz.

Ponieważ jednak najtrudniejszym elementem w tworzeniu IDS klasy enterprise jest przekształcenie danych dostarczanych przez sensory w użyteczną informację, najlepszym być może rozwiązaniem jest zastosowanie sensorów open source do wykrywania zdarzeń, a do ich obsługi, alarmów, archiwizowania i działań śledczych - komercyjnych konsol IDS. Takie podejście - zamiast budowania wszystkiego od początku - minimalizuje ryzyko pozostania z komercyjnym sensorem IDS od dostawcy, który wypadł z biznesu, co jest zjawiskiem nie tak rzadkim na tym rynku (ok. 40% dostawców obecnych na rynku w 2003 r. opuściło lub przymierza się do opuszczenia rynku IDS/IPS).

Większość produktów zarządzania informacją bezpieczeństwa od takich dostawców, jak np. ArcSight, NetIQ, Network Intelligence czy Tenable Network Security, współpracuje doskonale z sensorami opartymi na Snort. Za dodatkową opłatę licencyjną Sourcefire 3D Defense Center może akceptować zdarzenia z open source Snort tak samo bezproblemowo, jak z pakietu komercyjnego Sourcefire.

Dostosowywanie kodu do analizy podatności

Wiedza o tym, co się dzieje w sieci i jakie usługi są w niej używane, jest istotnym elementem bezpieczeństwa. Niestety, twórcy aplikacji i operatorzy systemów nie zawsze odpowiednio współpracują z zespołem bezpieczeństwa w momencie włączania do eksploatacji, uaktualniania, łatania i rekonfigurowania systemów. Narzędzie do wykrywania luk bezpieczeństwa, czy inaczej analizy podatności, może być wartościowym uzupełnieniem, zapewniającym automatyczny sposób oceny bezpieczeństwa usług i serwerów.

Nessus firmy Tenable to popularne narzędzie wykrywania usług i zarządzania nieszczelnościami. Oryginalnie było to narzędzie w pełni open source, ale w ubiegłym roku jego pierwotni projektanci udostępnili w formie komercyjnej wersję numer 3 tego silnika. Nessus Version 2 jest nadal utrzymywany jako projekt open source.


TOP 200