Bezpiecznie z open source
- Józef Muszyński,
-
- Joel Snyder,
- 05.11.2007
No spam today! firmy Byteplant wykorzystuje silnik SpamAssassin.
Jednak sam SpamAssassim nie jest już rozwiązaniem spełniającym obecne wymogi identyfikacji spamu. Bardziej efektywne okazuje się filtrowanie oparte na reputacji nadawców, połączone z dobrym filtrem zawartości, a nowe protokoły, takie jak Sender ID i DomainKeys, pomagają w walce z atakami phishingu. Zintegrowanie bezpłatnej usługi reputacji - SpamHaus czy SpamCop - z innymi narzędziami antyspamowymi jest możliwe, ale wymaga dużego doświadczenia w projektowaniu bram pocztowych i aplikacji open source.
Możliwości skanowania antywirusowego także są powszechną cechą bram ochronnych poczty elektronicznej. Jedyną wiarygodną opcją open source wydaje się ClamAV, chociaż firmy wybierające platformę Linuksa dla bramy pocztowej mają do wyboru także kilka komercyjnych silników AV pracujących na Uniksie.
Inne silniki antyspamowe, takie jak CRM114, DSPAM czy Bogofilter, nie są tak popularne w większych środowiskach sieciowych, ponieważ wymagają intensywnych szkoleń użytkowników w celu osiągnięcia wysokiego współczynnika przechwytywania spamu. Niemniej jednak, budując własne bramy, można eksperymentować z dowolnym narzędziem do filtrowania, patrząc jedynie, czy spełnia ono wymagania naszego środowiska.
Kontrola nad IDS
Projekt Sourceforgr.net - SAM (Snort Alert Monitor) - to działający w czasie rzeczywistym monitor wykorzystujący silnik Snort.
Aby spełniać różnorodne potrzeby, IDS musi umożliwiać zbieranie i przechowywanie zdarzeń odnotowywanych przez sensory, a także wyszukiwanie, zestawianie i analizowanie zdarzeń w momencie ich pojawiania się, archiwowanie i odzyskiwania zdarzeń związanych z wykrytymi wtargnięciami, generowanie natychmiastowych alarmów w oparciu o pewne zestawy zdarzeń, zarządzanie tymi wszystkimi komponentami i raportowanie długoterminowych trendów. W bardziej zaawansowanych wdrożeniach dane uzyskiwane przez IDS są wykorzystywane przez zaawansowane silniki korelacji do poszukiwania trendów wśród tych zdarzeń.
Oferta open source w czterech obszarach bezpieczeństwa
Administratorzy centrów danych, którzy mają zamiar zbudować IDS w 100% open source i w 100% przez siebie kontrolowany - mogą rozpocząć od sensorów IDS opartych na Snort, które zazwyczaj pracują na platformie Linux, a następnie wykorzystać wiele innych komponentów open source do zarządzania sensorami.
Zarządzanie sensorami może wymagać napisania pewnej liczby skryptów lub aplikacji, aczkolwiek istnieją specyficzne narzędzia, takie jak Oinkmaster czy IDS Policy Manager, pozwalające na utrzymywanie właściwie uaktualnionych zestawów reguł Snort. Do rejestrowania zdarzeń powszechnie używa się dodatku do Snort o nazwie Barnyard, wraz z bazą danych My SQL. Gdy zdarzenia zostaną zarejestrowane, narzędzia takie jak Analysis Console for Intrusion Databases (ACID) lub nowsze - Basic Analysis and Security Engine (BASE) - połączone z serwerem WWW i różnymi skryptami oraz narzędziami graficznymi, mogą być użyte do zadań wyznaczania trendów i prognoz.
BASE (Basic Analysis and Security Engine), połączone z serwerem WWW i różnymi skryptami oraz narzędziami graficznymi, może być użyte do analiz zdarzeń rejestrowanych przez Snort, wyznaczania trendów i prognoz.
Większość produktów zarządzania informacją bezpieczeństwa od takich dostawców, jak np. ArcSight, NetIQ, Network Intelligence czy Tenable Network Security, współpracuje doskonale z sensorami opartymi na Snort. Za dodatkową opłatę licencyjną Sourcefire 3D Defense Center może akceptować zdarzenia z open source Snort tak samo bezproblemowo, jak z pakietu komercyjnego Sourcefire.
Dostosowywanie kodu do analizy podatności
Wiedza o tym, co się dzieje w sieci i jakie usługi są w niej używane, jest istotnym elementem bezpieczeństwa. Niestety, twórcy aplikacji i operatorzy systemów nie zawsze odpowiednio współpracują z zespołem bezpieczeństwa w momencie włączania do eksploatacji, uaktualniania, łatania i rekonfigurowania systemów. Narzędzie do wykrywania luk bezpieczeństwa, czy inaczej analizy podatności, może być wartościowym uzupełnieniem, zapewniającym automatyczny sposób oceny bezpieczeństwa usług i serwerów.
Nessus firmy Tenable to popularne narzędzie wykrywania usług i zarządzania nieszczelnościami. Oryginalnie było to narzędzie w pełni open source, ale w ubiegłym roku jego pierwotni projektanci udostępnili w formie komercyjnej wersję numer 3 tego silnika. Nessus Version 2 jest nadal utrzymywany jako projekt open source.