Download: Spolecznosc_Projekty
Transkrypt
Download: Spolecznosc_Projekty
SPOŁECZNOŚĆ Projekty Przegląd najciekawszych projektów Open Source Projekty pod lupą W tym miesiącu opiszemy dwa interesujące projekty związane z bezpieczeństwem sieci: kompletny firewall programowy, IPCop, oraz analogiczne rozwiązanie służące do monitorowania sieci i wykrywania włamań – OSSIM. ARTUR SKURA ustawienia dla przeciętnych, niewielkich sieci lokalnych. IPCop[1] stanowi bardzo dobry przykład IPCop działa więc jako router i firewall, projektu wykorzystującego wszystkie zalełącząc sieć lokalną z Internetem, równoczety modelu rozwoju oprogramowania oparśnie chroniąc ją przed częścią zagrożeń tego o otwarte źródła. Jest to bowiem firez zewnętrz. IPCop zawiera również serwer wall, którym można zarządzać za pomocą proxy (Squid), który pozwala „przyśpieprzeglądarki WWW, zbudowany z wielu szyć działanie Internetu”, jak skomentowapowszechnie dostępnych „klocków”: Apaliby to użytkownicy, przechowuje on boche, iptables, Squid, Snort, MRTG, lowiem lokalne kopie plików pobieranych gwatch i innych, połączonych w jedną, przez WWW. Na tym jednak nie koniec: spójną całość. dzięki Snort możemy logować nietypowe Jak wygląda typowy scenariusz wykorzyzachowania i próby ataków na naszą sieć (i stania IPCop? Chcemy podłączyć sieć loz niej...). Serwer DHCP zrzuca z nas część kalną do Internetu, tworząc również sieć pracy związanej z konfiguracją pojedyndla serwerów (DMZ) oraz umożliwić zaufaczych stacji roboczych, przydzielając stanym użytkownikom dostęp z zewnątrz cjom klienckim numery IP z ustalonego (przez VPN, VNC itp.). Zaimplementowazakresu i pozwalając skonfigurować inne ne przez nas rozwiązanie ma służyć adminiopcje sieciowe. stratorowi zarządzającemu siecią i w prosty Jedną z ciekawszych funkcji jest jednak sposób umożliwiać zmianę początkowych możliwość stosunkowo prostej konfiguracji ustawień. IPCop świetnie nadaje się do tepołączeń VPN, również za pomocą interfejgo celu, zwłaszcza jeśli weźmiemy pod uwagę niski koszt całości -- minimalne wymagania sprzętowe to 386 z 8MB RAM i 300-megabajtowy dysk twardy. Na przeznaczonej do tego celu maszynie z dwoma (lub w przypadku opcji z DMZ – trzema) interfejsami sieciowymi instalujemy IPCop z płyty instalacyjnej, której obraz można pobrać z sieci (można również posłużyć się instalacją z dyskietki i sieci). Po wstępnej konfiguracji kierujemy przeglądarkę na port 81 (lub 445 w przypadku połączenia SSL) maszyny z IPCop i jesteśmy gotowi do dalszej konfiguracji, głównie reguł filtra pakietów – choć domyślna konfiguracja zawiera rozsądne IPCop: ustawienia serwera proxy. 104 Lipiec 2004 www.linux-magazine.pl Ronald Raefle, visipix.com IPCop su obsługiwanego z poziomu przeglądarki. Bogata dokumentacja ułatwi przygotowanie tego typu połączeń z różnego rodzaju urządzeniami i systemami. Oczywiście każdy podsystem – proxy, filtr pakietów, IDS -loguje swoja aktywność, zaś logi te można w łatwy sposób przeglądać. Kolejnym ułatwieniem wbudowanym w IPCop jest łatwa możliwość aktualizacji oprogramowania przez Internet, jak również wykonania kopii zapasowej konfiguracji (np. na dyskietce). Jest to więc kompletne rozwiązanie, pozwalające w łatwy sposób zarządzać siecią. I choć zaawansowani administratorzy zapewne wybiorą dystrybucje ogólnego zastosowania i będą woleli skonfigurować wszystkie usługi samemu, w wielu sytuacjach IPCop w zupełności wystarczy. Oczywiście nie jest to projekt bez wad. Modyfikacji, których nie przewidziano w panelu administracyjnym, trzeba dokonywać ręcznie, po zalogowaniu się na komputer, na którym zainstalowany jest IPCop. Brak jest możliwości zarządzania pasmem. Sposób prezentacji logów nie jest zbyt elastyczny, zaś cały Projekty SPOŁECZNOŚĆ IPCop: Ustawienia opcji logowania. interfejs sprawia wrażenie nieco ubogiego. Biorąc jednak pod uwagę obszar zastosowań, jest to doskonałe rozwiązanie dla niejednej małej sieci. Open Source Security Information Management Na pierwszy rzut oka OSSIM [2] zdaje się być rozwiązaniem analogicznym do IPCop, jednak o innym przeznaczeniu: służy do monitorowania sieci i wykrywania włamań (IDS). I faktycznie: w obu przypadkach głównym celem twórców nie jest budowanie projektu od zera, lecz stworzenie kompletnego, zintegrowanego rozwiązania na bazie istniejących komponentów, często wysokiej klasy. Oba projekty wymagają dedykowanej maszyny, zaś system obsługiwany jest przez przeglądarkę. Tu jednak podobieństwa się kończą: o ile IPCop jest stosunkowo mało złożoną – choć niewątpliwie bardzo użyteczną – nakładką na kilka usług typowych dla zapory ogniowej, OSSIM stanowi bardzo dobry przykład konsekwentnej realizacji zamierzonych celów, przy czym wykorzystane komponenty są jedynie pomocą w ich realizacji. Co więc leży u podstaw filozofii OSSIM? Co odróżnia ten projekt od zwykłego interfejsu do zarządzania Snortem i ntop? Otóż jego twórcy wychodzą z bardzo prawdziwego założenia. Mianowicie, przyczyną niskiej wykrywalności włamań są zarówno fałszywe alarmy, jak i błędna interpretacja, czy też niewłaściwe przedstawienie danych dotyczących właściwych włamań. Któż nie zna klasycznego scenariusza: po zainstalowaniu typowego systemu wykrywania włamań i skonfigurowaniu go zgodnie z dokumentacją, otrzymujemy dziesiątki czy setki alarmów faktycznie niegroźnych. Po dodaniu odpowiednich reguł ignorujących winowajców fałszywych alarmów, prędzej czy później pojawiają się nowe. Problemem jest w zasadzie OSSIM: Panel Sterowania. ilość alarmów, przy której wyłowienie istotnego zagrożenia może okazać się bardzo trudne. Paradoksalnie więc, mimo że dysponujemy bardzo dobrymi narzędziami, ataki bardzo często nie są wykrywane. Twórcy OSSIM mają ambicje zaradzić tej sytuacji. Dane pozyskiwane z sieci na temat poszczególnych hostów i ruchu sieciowego między nimi zostają poddane trzem procesom: (1) wyznaczenia priorytetu danego zdarzenia w określonym kontekście, co zwiększa wartość informacji dla dalszych procesów; (2) oceny zagrożenia, z uwzględnieniem takich czynników jak wartość, jaką przedstawia dany zasób, prawdopodobieństwo wystąpienia zagrożenia itd.; (3) korelacji: każde zdarzenie jest poddawane analizie pod kątem związku z innymi zdarzeniami. Tak więc OSSIM to coś znacznie więcej niż tylko kolekcja narzędzi. Jednak sama lista pakietów Open Source zintegrowanych w projekcie wygląda imponująco: oprócz Snorta i ntopa, OSSIM korzysta z takiego oprogramowania jak Snortcenter, Acid, Nessus, Riskmeter, Spade, RRD, Nmap, p0f i wiele innych. Sposób, w jaki narzędzia te zintegrowano, tworząc jednolity system monitorowania sieci, zasługuje na uznanie. Architektura systemu na pierwszy rzut oka wygląda na dość złożoną, jednak można ją w uproszczeniu przedstawić w trzech war- stwach: (1) czujniki, (2) serwery i (3) konsola. Na czujniki składają się te elementy systemu, które są bezpośrednio wystawione na ruch sieciowy i gromadzą oraz wstępnie analizują dane. Mamy tu więc zarówno systemy wykrywania zagrożeń (włamań czy anomalii), jak i możliwość monitorowania sieci w czasie rzeczywistym. Właściwa część projektu, czyli serwer, implementuje wspomniane wcześniej mechanizmy wyznaczania priorytetu, oceny zagrożenia i korelacji. Z kolei konsola stanowi część systemu, z którą styka się administrator: zawiera panel sterowania oraz narzędzia do monitorowania zagrożenia i analizy powłamaniowej. Wymienienie wszystkich zalet tego niewątpliwe interesującego projektu znacznie przekroczyłoby ramy niniejszego artykułu, zainteresowanym Czytelnikom polecamy więc odwiedzenie witryny projektu i samodzielne zainstalowanie pakietu, co obecnie nie powinno nastręczać trudności, ponieważ od niedawna dostępne są również obrazy ISO zawierające OSSIM. Miłego eksperymentowania! ■ INFO [1] Strona domowa IPCop: http://www.ipcop.org [2] Strona domowa OSSIM: http://www.ossim.net OSSIM: Panel alarmowy. www.linux-magazine.pl Lipiec 2004 105