Download: Spolecznosc_Projekty

SPOŁECZNOŚĆ
Projekty
Przegląd najciekawszych projektów Open Source
Projekty pod lupą
W tym miesiącu opiszemy dwa interesujące projekty związane z bezpieczeństwem sieci: kompletny firewall programowy, IPCop, oraz analogiczne rozwiązanie służące do monitorowania sieci i wykrywania włamań – OSSIM.
ARTUR SKURA
ustawienia dla przeciętnych, niewielkich
sieci lokalnych.
IPCop[1] stanowi bardzo dobry przykład
IPCop działa więc jako router i firewall,
projektu wykorzystującego wszystkie zalełącząc sieć lokalną z Internetem, równoczety modelu rozwoju oprogramowania oparśnie chroniąc ją przed częścią zagrożeń
tego o otwarte źródła. Jest to bowiem firez zewnętrz. IPCop zawiera również serwer
wall, którym można zarządzać za pomocą
proxy (Squid), który pozwala „przyśpieprzeglądarki WWW, zbudowany z wielu
szyć działanie Internetu”, jak skomentowapowszechnie dostępnych „klocków”: Apaliby to użytkownicy, przechowuje on boche, iptables, Squid, Snort, MRTG, lowiem lokalne kopie plików pobieranych
gwatch i innych, połączonych w jedną,
przez WWW. Na tym jednak nie koniec:
spójną całość.
dzięki Snort możemy logować nietypowe
Jak wygląda typowy scenariusz wykorzyzachowania i próby ataków na naszą sieć (i
stania IPCop? Chcemy podłączyć sieć loz niej...). Serwer DHCP zrzuca z nas część
kalną do Internetu, tworząc również sieć
pracy związanej z konfiguracją pojedyndla serwerów (DMZ) oraz umożliwić zaufaczych stacji roboczych, przydzielając stanym użytkownikom dostęp z zewnątrz
cjom klienckim numery IP z ustalonego
(przez VPN, VNC itp.). Zaimplementowazakresu i pozwalając skonfigurować inne
ne przez nas rozwiązanie ma służyć adminiopcje sieciowe.
stratorowi zarządzającemu siecią i w prosty
Jedną z ciekawszych funkcji jest jednak
sposób umożliwiać zmianę początkowych
możliwość stosunkowo prostej konfiguracji
ustawień. IPCop świetnie nadaje się do tepołączeń VPN, również za pomocą interfejgo celu, zwłaszcza jeśli weźmiemy pod uwagę niski koszt całości -- minimalne wymagania sprzętowe to
386 z 8MB RAM i 300-megabajtowy dysk twardy.
Na przeznaczonej do tego celu maszynie z dwoma (lub
w przypadku opcji z DMZ –
trzema) interfejsami sieciowymi
instalujemy IPCop z płyty instalacyjnej, której obraz można pobrać z sieci (można również posłużyć się instalacją z dyskietki
i sieci). Po wstępnej konfiguracji kierujemy przeglądarkę na
port 81 (lub 445 w przypadku
połączenia SSL) maszyny z IPCop i jesteśmy gotowi do dalszej
konfiguracji, głównie reguł filtra pakietów – choć domyślna
konfiguracja zawiera rozsądne
IPCop: ustawienia serwera proxy.
104
Lipiec 2004
www.linux-magazine.pl
Ronald Raefle, visipix.com
IPCop
su obsługiwanego z poziomu przeglądarki.
Bogata dokumentacja ułatwi przygotowanie tego typu połączeń z różnego rodzaju
urządzeniami i systemami. Oczywiście każdy podsystem – proxy, filtr pakietów, IDS -loguje swoja aktywność, zaś logi te można
w łatwy sposób przeglądać.
Kolejnym ułatwieniem wbudowanym
w IPCop jest łatwa możliwość aktualizacji
oprogramowania przez Internet, jak również wykonania kopii zapasowej konfiguracji (np. na dyskietce). Jest to
więc kompletne rozwiązanie,
pozwalające w łatwy sposób zarządzać siecią. I choć zaawansowani administratorzy zapewne
wybiorą dystrybucje ogólnego
zastosowania i będą woleli skonfigurować wszystkie usługi samemu, w wielu sytuacjach IPCop w zupełności wystarczy.
Oczywiście nie jest to projekt
bez wad. Modyfikacji, których
nie przewidziano w panelu administracyjnym, trzeba dokonywać ręcznie, po zalogowaniu się
na komputer, na którym zainstalowany jest IPCop. Brak jest
możliwości zarządzania pasmem. Sposób prezentacji logów
nie jest zbyt elastyczny, zaś cały
Projekty
SPOŁECZNOŚĆ
IPCop: Ustawienia opcji logowania.
interfejs sprawia wrażenie nieco ubogiego.
Biorąc jednak pod uwagę obszar zastosowań, jest to doskonałe rozwiązanie dla niejednej małej sieci.
Open Source Security
Information Management
Na pierwszy rzut oka OSSIM [2] zdaje się być
rozwiązaniem analogicznym do IPCop, jednak o innym przeznaczeniu: służy do monitorowania sieci i wykrywania włamań (IDS).
I faktycznie: w obu przypadkach głównym celem twórców nie jest budowanie projektu od
zera, lecz stworzenie kompletnego, zintegrowanego rozwiązania na bazie istniejących
komponentów, często wysokiej klasy. Oba
projekty wymagają dedykowanej maszyny,
zaś system obsługiwany jest przez przeglądarkę. Tu jednak podobieństwa się kończą: o ile
IPCop jest stosunkowo mało złożoną – choć
niewątpliwie bardzo użyteczną – nakładką na
kilka usług typowych dla zapory ogniowej,
OSSIM stanowi bardzo dobry przykład konsekwentnej realizacji zamierzonych celów, przy
czym wykorzystane komponenty są jedynie
pomocą w ich realizacji.
Co więc leży u podstaw filozofii OSSIM?
Co odróżnia ten projekt od zwykłego interfejsu do zarządzania Snortem i ntop? Otóż
jego twórcy wychodzą z bardzo prawdziwego
założenia. Mianowicie, przyczyną niskiej wykrywalności włamań są zarówno fałszywe
alarmy, jak i błędna interpretacja, czy też
niewłaściwe przedstawienie danych dotyczących właściwych włamań. Któż nie zna klasycznego scenariusza: po zainstalowaniu typowego systemu wykrywania włamań i skonfigurowaniu go zgodnie z dokumentacją,
otrzymujemy dziesiątki czy setki alarmów
faktycznie niegroźnych. Po dodaniu odpowiednich reguł ignorujących winowajców
fałszywych alarmów, prędzej czy później pojawiają się nowe. Problemem jest w zasadzie
OSSIM: Panel Sterowania.
ilość alarmów, przy której wyłowienie istotnego zagrożenia może okazać się bardzo
trudne. Paradoksalnie więc, mimo że dysponujemy bardzo dobrymi narzędziami, ataki
bardzo często nie są wykrywane.
Twórcy OSSIM mają ambicje zaradzić tej
sytuacji. Dane pozyskiwane z sieci na temat
poszczególnych hostów i ruchu sieciowego
między nimi zostają poddane trzem procesom: (1) wyznaczenia priorytetu danego zdarzenia w określonym kontekście, co zwiększa
wartość informacji dla dalszych procesów;
(2) oceny zagrożenia, z uwzględnieniem takich czynników jak wartość, jaką przedstawia dany zasób, prawdopodobieństwo wystąpienia zagrożenia itd.; (3) korelacji: każde
zdarzenie jest poddawane analizie pod kątem związku z innymi zdarzeniami.
Tak więc OSSIM to coś znacznie więcej
niż tylko kolekcja narzędzi. Jednak sama lista pakietów Open Source zintegrowanych
w projekcie wygląda imponująco: oprócz
Snorta i ntopa, OSSIM korzysta z takiego
oprogramowania jak Snortcenter, Acid,
Nessus, Riskmeter, Spade, RRD, Nmap,
p0f i wiele innych. Sposób, w jaki narzędzia
te zintegrowano, tworząc jednolity system
monitorowania sieci, zasługuje na uznanie.
Architektura systemu na pierwszy rzut
oka wygląda na dość złożoną, jednak można
ją w uproszczeniu przedstawić w trzech war-
stwach: (1) czujniki, (2) serwery i (3) konsola. Na czujniki składają się te elementy systemu, które są bezpośrednio wystawione na
ruch sieciowy i gromadzą oraz wstępnie analizują dane. Mamy tu więc zarówno systemy
wykrywania zagrożeń (włamań czy anomalii), jak i możliwość monitorowania sieci
w czasie rzeczywistym. Właściwa część projektu, czyli serwer, implementuje wspomniane wcześniej mechanizmy wyznaczania priorytetu, oceny zagrożenia i korelacji. Z kolei
konsola stanowi część systemu, z którą styka
się administrator: zawiera panel sterowania
oraz narzędzia do monitorowania zagrożenia
i analizy powłamaniowej.
Wymienienie wszystkich zalet tego niewątpliwe interesującego projektu znacznie przekroczyłoby ramy niniejszego artykułu, zainteresowanym Czytelnikom polecamy więc odwiedzenie witryny projektu i samodzielne zainstalowanie pakietu, co obecnie nie powinno
nastręczać trudności, ponieważ od niedawna
dostępne są również obrazy ISO zawierające
OSSIM. Miłego eksperymentowania!
■
INFO
[1] Strona domowa IPCop:
http://www.ipcop.org
[2] Strona domowa OSSIM:
http://www.ossim.net
OSSIM: Panel alarmowy.
www.linux-magazine.pl
Lipiec 2004
105