Bezpečné IT pod Linuxem

S rostoucí popularitou Linuxu a zejména s jeho stále častějším nasazením ve firemním prostředí se stává zcela př...


S rostoucí popularitou Linuxu a zejména s jeho stále častějším nasazením ve
firemním prostředí se stává zcela přirozeným, že se rychle rozšiřuje i nabídka
linuxových nástrojů pro zajištění bezpečnosti.
Administrátoři mají možnost nasadit do provozu libovolný počet nástrojů systémy
pro detekci napadení (síťové nebo hostitelské), tzv. honey pots (hrnce medu),
nástroje pro detekci bezdrátového přístupového bodu, pro ohodnocení
spolehlivosti či generování paketů atd.
A právě v tom často tkví hlavní problém: Počet řešení dostupných na trhu je už
skutečně velký, a to i pro mnohé "linuxové veterány". Navíc ačkoliv většina
linuxových distribucí nabízí slušný výběr kvalitních bezpečnostních nástrojů,
ne všem z nich je snadné porozumět nebo je patřičně nakonfigurovat.

Příklady nástrojů
Populární nástroje, jako je např. SNORT (systém detekce napadení), Nmap (síťový
skener) či Free S/WAN (IPsec VPN klient/server), které v podstatě nasadily
standard pro vysoký výkon a nízkou cenu, jsou pro administrátorskou práci s
bezpečnostním softwarem dobrým začátkem.
Další přírůstkem do nabídky linuxových nástrojů je SNARE (System iNtrusion
Analysis and Reporting Environment), první linuxový IDS (intrusion detection
system) pro detekci napadení hostitele, který může být snadno zapojen do
podnikového prostředí. Připoměňme, že dosud byly k dispozici pouze síťové
systémy IDS (tj. pro detekci napadení sítě), jako např. zmíněný SNORT.
Informace týkající se projektu SNARE najdete na adrese
http://www.intersectalliance.com/projects/Snare/index.html. Dalším příkladem je
vyvíjené řešení Saint Jude (http://sourceforge.net/projects/stjude), které
pracuje taktéž na úrovni jádra, avšak namísto monitorování systémových volání
sleduje povolené změny a upozorní správce ve chvíli, kdy dojde k nějaké
abnormální události.
Aplikace LaBrea (http://www.hackbusters.net/LaBrea/) nabízí ještě aktivnější
způsob obrany proti zákeřným útokům. Byla vytvořena jako odpověď na útoky viru
Code Red a pracuje na principu známém jako "honey pot" (hrnec medu), kterým si
firma udržuje útočníky od těla tím, že daný server slouží jako návnada, která
odvrací pozornost hackerů od firemních systémů. Přitom vytváří dojem, že útok
probíhá úspěšně.
Za inovativní nástroj lze považovat Bastille Linux
(http://www.bastille-linux.org/), jenž pomáhá administrátorům, kteří potřebují
zabezpečit své linuxové servery, automatizovat celý proces na bázi nastavení a
konfigurace dané uživatelem. Toto řešení v současnosti podporuje linuxové
distribuce Red Hat a Mandrake.
Pro mnohé organizace může mít vysoké priority i bezpečnost bezdrátové sítě LAN
(WLAN, wireless LAN). Řešení SLAN (Secure LAN, http://slan.sourceforge.net/)
může v této situaci pomoci tím, že umožňuje serverovou a klientskou
autentizaci, zajišťuje soukromí dat i jejich integritu použitím klíčů s
krátkodobou životností pro každého uživatele a každou session. Tím doplňuje
funkcionalitu chybějící v dnes používaném standardu 802.11b. V podstatě se dá
říci, že SLAN pracuje podobně jako sítě VPN, navíc bez zbytečné komplikovanosti
a nákladnosti.
Některé firmy potřebují najít problémové přístupové body, které byly
instalovány v jejich WLAN a narušují jejich bezpečnostní politiku. Balík
802.11b Network Discovery Tools (http://freshmeat.net/projects/wavelan-tools/)
je linuxový skener, který používá bezdrátové karty WaveLAN/Orinoco (např. od
Lucentu) a identifikuje bezdrátové přístupové body. Když je zkombinován s GPS,
může dokonce určit fyzickou polohu přístupového bodu.
A konečně podniky, které se potýkají s problémem nepřehlednosti záplavy
nejrůznějších nástrojů, mohou svoji pozornost zaměřit na Trinux
(http://trinux.sourceforge.net/) jde o celou linuxovou distribuci, která se
bootuje z diskety nebo CD-ROMu, přičemž lze stáhnout veškeré potřebné balíky z
HTTP nebo FTP serveru. Trinux se může pochlubit balíkem, v jehož seznamu
nástrojů nechybějí poslední verze mnoha síťových bezpečnostních nástrojů včetně
těch pro skenování portů, paketový sniffing nebo čtení otisků prstu. Ve
firmách, kde s Linuxem jako takovým nemají dostatek zkušeností, může být právě
Trinux zajímavým řešením: Proč se namáhat se stahováním a instalací
jednotlivých balíků, když je možné najít vše na jednom místě?

Nabídka se rozšiřuje
Obliba Linuxu a jeho podíl na trhu mají stále rostoucí tendence, lze tedy
očekávat, že i paleta nástrojů pro zajištění bezpečnosti se bude nadále
rozšiřovat. Je nutné počítat s tím, že většina dostupných řešení postrádá
centralizovanou podporu (zajištěnou nějakou firmou či organizací) i formální
vývojový proces zaručující pravidelné vydávání nových verzí. Obzvláště pro
dlouholeté uživatele Linuxu však tyto nevýhody nejsou ničím novým ti jsou na
takovou situaci zvyklí a nezaskočí je občasné potíže či těžkosti s nasazením a
provozováním linuxových systémů. Co je možná poměrně překvapivým faktem mnohé z
dostupných nástrojů na současném trhu jsou nezřídka prakticky stejně efektivní
jako jejich komerční protějšky. Open source řešení, velmi často dostupná k
volnému downloadu, tak za zlomek nákladů nabízejí velmi podobnou funkcionalitu
zajišťující nezbytnou bezpečnost podnikové infrastruktury.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.