Bezpiecznie z open source
- Józef Muszyński,
- Joel Snyder,
- 05.11.2007
Jednak sam SpamAssassim nie jest już rozwiązaniem spełniającym obecne wymogi identyfikacji spamu. Bardziej efektywne okazuje się filtrowanie oparte na reputacji nadawców, połączone z dobrym filtrem zawartości, a nowe protokoły, takie jak Sender ID i DomainKeys, pomagają w walce z atakami phishingu. Zintegrowanie bezpłatnej usługi reputacji - SpamHaus czy SpamCop - z innymi narzędziami antyspamowymi jest możliwe, ale wymaga dużego doświadczenia w projektowaniu bram pocztowych i aplikacji open source.
Możliwości skanowania antywirusowego także są powszechną cechą bram ochronnych poczty elektronicznej. Jedyną wiarygodną opcją open source wydaje się ClamAV, chociaż firmy wybierające platformę Linuksa dla bramy pocztowej mają do wyboru także kilka komercyjnych silników AV pracujących na Uniksie.
Inne silniki antyspamowe, takie jak CRM114, DSPAM czy Bogofilter, nie są tak popularne w większych środowiskach sieciowych, ponieważ wymagają intensywnych szkoleń użytkowników w celu osiągnięcia wysokiego współczynnika przechwytywania spamu. Niemniej jednak, budując własne bramy, można eksperymentować z dowolnym narzędziem do filtrowania, patrząc jedynie, czy spełnia ono wymagania naszego środowiska.
Kontrola nad IDS
Systemy wykrywania włamań (IDS - Intrusion Detection Systems) nie tylko wykrywają próby wtargnięć do systemu - są także bardzo użyteczne w prowadzeniu działań śledczych w sieci, wykrywających niewłaściwe lub błędne konfiguracje. Pomagają również w profilowaniu wydajności sieci.
Aby spełniać różnorodne potrzeby, IDS musi umożliwiać zbieranie i przechowywanie zdarzeń odnotowywanych przez sensory, a także wyszukiwanie, zestawianie i analizowanie zdarzeń w momencie ich pojawiania się, archiwowanie i odzyskiwania zdarzeń związanych z wykrytymi wtargnięciami, generowanie natychmiastowych alarmów w oparciu o pewne zestawy zdarzeń, zarządzanie tymi wszystkimi komponentami i raportowanie długoterminowych trendów. W bardziej zaawansowanych wdrożeniach dane uzyskiwane przez IDS są wykorzystywane przez zaawansowane silniki korelacji do poszukiwania trendów wśród tych zdarzeń.
Wydajnym silnikiem open source wykrywania wtargnięć, jakim jest Snort, opiekuje się zespół, którego członkowie w większości pracują dla firmy Sourcefire, sprzedającej komercyjne systemy IDP (Intrusion Detection and Prevention) oparte na Snort. Tak jak SpamAssassim, sam Snort jest niemal bezużyteczny. Można go jednak łatwo wykorzystać do zbudowania sensora IDS, który wykrywa ruch i generuje zdarzenia na platformie operacyjnej Linux czy BSD (Berkeley Software Distribution). Nadal jednak bez infrastruktury do zarządzania sensorami i zdarzeniami można sobie Snortem nie zawracać głowy.
Administratorzy centrów danych, którzy mają zamiar zbudować IDS w 100% open source i w 100% przez siebie kontrolowany - mogą rozpocząć od sensorów IDS opartych na Snort, które zazwyczaj pracują na platformie Linux, a następnie wykorzystać wiele innych komponentów open source do zarządzania sensorami.
Zarządzanie sensorami może wymagać napisania pewnej liczby skryptów lub aplikacji, aczkolwiek istnieją specyficzne narzędzia, takie jak Oinkmaster czy IDS Policy Manager, pozwalające na utrzymywanie właściwie uaktualnionych zestawów reguł Snort. Do rejestrowania zdarzeń powszechnie używa się dodatku do Snort o nazwie Barnyard, wraz z bazą danych My SQL. Gdy zdarzenia zostaną zarejestrowane, narzędzia takie jak Analysis Console for Intrusion Databases (ACID) lub nowsze - Basic Analysis and Security Engine (BASE) - połączone z serwerem WWW i różnymi skryptami oraz narzędziami graficznymi, mogą być użyte do zadań wyznaczania trendów i prognoz.
Większość produktów zarządzania informacją bezpieczeństwa od takich dostawców, jak np. ArcSight, NetIQ, Network Intelligence czy Tenable Network Security, współpracuje doskonale z sensorami opartymi na Snort. Za dodatkową opłatę licencyjną Sourcefire 3D Defense Center może akceptować zdarzenia z open source Snort tak samo bezproblemowo, jak z pakietu komercyjnego Sourcefire.
Dostosowywanie kodu do analizy podatności
Wiedza o tym, co się dzieje w sieci i jakie usługi są w niej używane, jest istotnym elementem bezpieczeństwa. Niestety, twórcy aplikacji i operatorzy systemów nie zawsze odpowiednio współpracują z zespołem bezpieczeństwa w momencie włączania do eksploatacji, uaktualniania, łatania i rekonfigurowania systemów. Narzędzie do wykrywania luk bezpieczeństwa, czy inaczej analizy podatności, może być wartościowym uzupełnieniem, zapewniającym automatyczny sposób oceny bezpieczeństwa usług i serwerów.
Nessus firmy Tenable to popularne narzędzie wykrywania usług i zarządzania nieszczelnościami. Oryginalnie było to narzędzie w pełni open source, ale w ubiegłym roku jego pierwotni projektanci udostępnili w formie komercyjnej wersję numer 3 tego silnika. Nessus Version 2 jest nadal utrzymywany jako projekt open source.