Wiedza jest, wniosków brak

Komercyjne systemy zabezpieczeń czerpią całymi garściami z dorobku open source. Z drugiej strony niektóre rozwiązania open source upodabniają się do rozwiązań komercyjnych. Czy w związku z tym darmowe jest lepsze? Jednoznacznej odpowiedzi brak.

Komercyjne systemy zabezpieczeń czerpią całymi garściami z dorobku open source. Z drugiej strony niektóre rozwiązania open source upodabniają się do rozwiązań komercyjnych. Czy w związku z tym darmowe jest lepsze? Jednoznacznej odpowiedzi brak.

Bogate funkcjonalnie i wydajne zapory sieciowe i inne systemy zabezpieczeń są dziś dostępne nie tylko dla wielkich koncernów, ale także dla małych i średnich firm. Czy jednak firmy tworzące takie bezpieczne systemy i rozwiązania naprawdę oferują nam innowację, czy też może darmowe oprogramowanie z własną naklejką? Przyglądając się rozwiązaniom opartym na systemach Linux, niejeden specjalista może stwierdzić, że "zrobiłby to samo, tylko za mniej". Nie można wykluczyć, że przynajmniej w części przypadków tak właśnie jest. Co więcej, istnieją poważne poszlaki na to właśnie wskazujące. Jeśli rzeczywiście jest to prawda, być może coś z tego wynika. Być może jednak... nie.

Malowane "produkty"

Check Point FireWall-1, Stonesoft StoneGate, Endian Firewall, Anaconda, Smoothwall Firewall to tylko niektóre spośród firm, które oferują komercyjne systemy zabezpieczeń działające na platformie Linux. Wybór platformy systemowej nie jest zaskoczeniem, Linux ułatwia dostarczenie produktu, który będzie łatwo zaimplementować na różnych platformach sprzętowych. Poza tym istnieje bardzo dużo darmowego oprogramowania, którego działanie w środowisku Linux można obserwować i wyciągać wnioski - czy to odnośnie do pomysłów na funkcjonalność, czy to podejścia do rozwiązywania pewnych problemów. Co więcej, istnieje możliwość analizowania kodu źródłowego takich rozwiązań.

Producenci chętnie z tej możliwości korzystają. Bez dostępu do takiej kopalni wiedzy i doświadczenia, jakim jest światowy zasób projektów open source, trudno zresztą sobie wyobrazić to, by w krótkim czasie niektórzy z nich byli w stanie nadrobić poważne zaległości w portfolio produktowym. Trudno też wyobrazić sobie, by różne rozwiązania można było ze sobą zintegrować bez oglądania się na doświadczenia innych w tym zakresie. Niektórzy dostawcy poszli na skróty - nie tylko uczą się, ale również najzwyczajniej kopiują kod dostępny na zasadach open source i umieszczają go w rozwiązaniach komercyjnych. Jeśli licencja na to pozwala, nie można mieć pretensji.

Ale czy warto płacić za coś, co w nieco mniej upiększonej formie dostępne jest za darmo? Tym bardziej, że zmiany wprowadzane przez producentów do oryginalnych rozwiązań open source, oprócz ułatwień w dziedzinie typowych funkcji, wnoszą także wiele ograniczeń i komplikacji, które na bezpieczeństwo ostatecznego rozwiązania wcale się nie przekładają. Bardzo często zresztą zmiany te polegają na blokowaniu określonej funkcjonalności po to, by stwarzać okazję do zaoferowania tzw. usług profesjonalnych.

Właściwe akcenty

Kiedy na rozwiązania takich firm jak Stonesoft lub Check Point spojrzeć okiem specjalisty używającego na co dzień aplikacji open source, nie można nie zauważyć podobieństw. Wiele usług i funkcji, którymi chwalą się dostawcy porównując się do konkurencji, jest tak naprawdę standardowo dostępnych w pierwszej z brzegu dystrybucji Linuxa, jak choćby zapory netfilter lub iptables albo sonda IDS snort. Ich aktywacja sprowadza się do wpisania jednej komendy z linii poleceń - to żadna filozofia. Koszt pozyskania takiej funkcjonalności to kilka minut pracy poświęconej na czytanie dokumentacji i konfigurację. Jeśli chodzi o stopę zwrotu z inwestycji, jest to jeden z najbardziej zyskownych sposobów spędzenia czasu.

Co zyskuje firma, kupując opakowane oprogramowanie? Przede wszystkim możliwość łatwego zarządzania wieloma systemami, co przekłada się na niższe koszty operacyjne. Czyżby? Owszem, można w ten sposób stworzyć spójną politykę bezpieczeństwa, np. zablokować wszystkim komputerom we wszystkich oddziałach dostęp do stron pornograficznych. Ale czy na tym polega bezpieczeństwo? Gdyby centralne konsole, zwykle oparte na przeglądarkach WWW, były panaceum na problemy z bezpieczeństwem, o problemach tych dawno już zapomnielibyśmy. Kłopot w tym, że konsole rozwiązują tyleż problemów, co same tworzą.

Lista problemów z ponoć bezproblemowymi konsolami jest długa. Przede wszystkim ich jedynym zabezpieczeniem bywa login i hasło, a do szyfrowania komunikacji wykorzystywany jest SSL. Każdy wie, że to mało, ale większość łudzi się, że jakoś się uda. Do tego dochodzą typowe błędy wynikające z pośpiesznego testowania, niedopracowanie i zawodność. Co by nie mówić o bogatej funkcjonalności rozwiązania Check Point Firewall-1, jego producent często wypuszcza poprawki dla... no właśnie: głównie systemu zarządzania, dotyczące zwłaszcza replikacji polityk do systemów oddziałowych.

Trzeba też zwrócić uwagę na pewne założenia, czynione zarówno przez dostawców, jak i przez klientów, które splatają się w niekorzystny sposób. Poważne uaktualnienia systemów korporacyjnych zdarzają się relatywnie rzadko, co wynika nie tylko z cyklu rozwoju oprogramowania, ale i z przekonania, że systemy chroniące sieci same nie są zbytnio zagrożone, ponieważ są chronione listami dostępowymi, a ponadto, że działają w bezpiecznym środowisku. Błąd! Częste aktualizowanie jedynie sygnatur ataków nie oznacza, że system jest bezpieczny i odporny. Producentom (i klientom) wydaje się także, że zmodyfikowane wersje Linuxa nie są narażone na ataki, ponieważ biblioteki, ścieżki i inne wartości zostały zmienione. Takie systemy na pewno są trudniejsze do złamania - raczej nie ma tu zagrożenia rootkitami czy massrootami, ale nie jest to niemożliwe.