开源逞强 使用开源安全工具有四个理由

日期: 2008-01-28 作者:梁颂 来源:TechTarget中国

  支持使用开源安全工具有四个主要的理由:可以灵活应对不断变化的威胁;完全用源代码控制自己的命运;可根据自己的需求进行定制;降低成本。

  提高邮件安全的灵活性

  如今,开源电子邮件安全网关的功能已从注重不同邮件系统的兼容性变成注重安全,而防范垃圾邮件和病毒的功能成了最重要的方面。网关市场在迅速变化,需求也在同样迅速变化,如果用户选择使用开源解决方案,可以利用多个组件来自行构建网关,就能获得很高的灵活性,当然也要承担大量的集成工作。

  反垃圾邮件工具SpamAssassin也许是开源安全产品的典范,它功能非常强大,已成为几款商用产品的核心部分,包括流行的Barracuda邮件网关。不过,SpamAssassin还远远没有准备好应用于数据中心。使用它的用户恐怕需要构建前端Web应用程序(或者改动现有的开源代码),还要找到具有良好扩展性、适用于多个系统的框架。用户还要在SpamAssassin外面包上一个消息传输代理,譬如Postfix,从而发送、排队及接收电子邮件。虽然有些开源项目如MailWasher服务器和Maia Mailguard把反垃圾邮件引擎和管理工具及隔离功能集成在一起,但都没有像SpamAssassin那样活跃、庞大的开发社区和用户社区。

  SpamAssassin本身不再代表垃圾邮件识别领域的最新水平。事实证明,基于声誉的过滤(reputation-based filtering)如果结合优秀的内容过滤器,效果会非常好;而Sender ID和DomainKeys这些新协议有助于消除网络钓鱼攻击。可以免费获得的基于声誉的服务(如SpamHaus或者SpamCop)与其他反垃圾邮件工具集成在一起不是没有可能,但需要在邮件网关设计和开源应用程序方面具有专长。

  其他像CRM114、DSPAM和Bogofilter这些反垃圾邮件引擎在大规模环境下不是非常流行,因为它们需要对用户进行培训,才能获得较高的垃圾邮件捕获率。不过,那些自行构建定制网关的用户可以试用任何过滤工具,看看是否适合。

  充分利用入侵检测系统

  入侵检测系统(IDS)不仅可以发现检测攻击,还有助于取证分析、发现网络滥用及配置不当的情况,甚至有助于网络性能分析。为了满足如此众多的需求,IDS就需要有一种办法来收集及保存来自部署在整个网络上的传感器的事件。另外还要搜索、核对及分析收集来的事件,归档及检索IDS事件,利用几组事件生成即时报警,管理所有这些组件,报告长远趋势。在比较先进的部署环境下,IDS数据还使用关联引擎,通过所有事件来寻找趋势。

  Snort小组开发出了功能强大的IDS检测引擎,解决了前一半的功能。这个小组的大多数人供职于Sourcefire,该公司销售的商用IDS和入侵预防系统(IPS)基于开源Snort引擎。与SpamAssassin一样,单单Snort几乎毫无用处。不过它很容易添加到Linux或者伯克利软件版本或伯克利Unix(BSD)等操作系统上,从而构建能够检测流量、生成事件的IDS传感器。不过要是没有管理Snort和事件的基础设施,用户还是别操这份心为好。

  如果数据中心的管理人员想构建全部用开源代码的IDS,不妨考虑从基于Snort的IDS传感器开始着手——这种传感器通常运行在Linux上,然后使用另外十几个开源组件来管理传感器。管理传感器可能需要内部开发的脚本或者应用程序,不过有一些特定的工具譬如Oinkmaster和IDS策略管理器可以合理更新Snort规则集。把事件记入日志的常用方法就是使用Snort附件:Barnyard以及MySQL数据库。一旦事件记入日志,像入侵数据库分析控制台(ACID)或者比较新的基础分析和安全引擎(BASE)就可以用于趋势分析及取证分析。

  但因为构建企业IDS最困难的部分在于,把传感器的数据转变成有用信息,而不是从头构建IDS,所以比较好的解决方案就是,使用开源IDS传感器和商用IDS“超级控制台”来处理事件、报警、归档和取证分析。这种方案还可以尽量避免一直在使用的IDS传感器的生产厂商倒闭所带来的风险。

  定制代码用于漏洞分析

  知道网络上有什么、在使用哪些服务是安全工作的一个重要方面。遗憾的是,系统投入使用、更新、打补丁及重新配置时,程序员和系统管理员不会总是与安全小组通气,所以漏洞分析工具在自动了解服务和服务器方面可起到重要的辅助作用。

  Tenable的Nessus是一款流行的服务发现和漏洞管理工具。它原先是源代码完全开放的一个工具,去年,Nessus的主要开发人员在发布这个扫描引擎的版本3时,同时提供了免费版和商用版。

  有了客户机/服务器架构和几个GUI界面后,Nessus成为功能齐全的软件包所需的额外软件少于SpamAssassin或者Snort,具体取决于Nessus提供的信息如何得到使用。其他漏洞分析扫描器和网络发现工具厂商提供更多工具,可用于管理扫描结果、连接到补丁管理系统,以及处理漏洞生命周期,但Nessus小组更加侧重于开发具有高度可配置性的引擎。

  Nessus是一款主动的漏洞扫描器,这意味着它会探测系统来发现服务、操作系统和漏洞。

  控制VPN成本

  最好的开源VPN方案就是OpenVPN,这个基于SSL的VPN工具可以轻松、快速地把与宽带连接的远程站点连接到中央数据服务器。OpenVPN这项技术具有诸多优势,甚至与一些基于IPSec协议的商用VPN产品相比也具有优势。因为大多数宽带ISP使用网络地址转换(NAT),所以公司要是使用的低成本连接没有静态分配的IP地址,就会发现,复杂的IPSec协议并不总是能可靠地通过NAT设备进行工作。将流量封装到单一TCP连接里面是避免这个问题的好办法,像OpenVPN这些基于SSL的VPN始终具有这功能。

  从成本的角度来看,OpenVPN更有吸引力。如果有一个远程服务器在运行Windows、几乎任何版本的Unix或者Mac OS X,服务器就可以用做VPN网关,通过安全地使用OpenVPN,连接到远程站点。因为软件可与已经部署在远程站点的服务器协同工作,所以它很容易进行改动,以适应现有网络,而不需要新硬件。

  但OpenVPN不能解决所有问题。高速连接使用IPSec效果更好,而通过服务器传送VPN流量的想法在许多环境下不会成功。另外,OpenVPN不适合大型的网状网VPN,因为它缺少大规模管理系统。与许多开源工具一样,OpenVPN管理界面也是一种命令行。但因为这款产品很流行,加上OpenVPN里面的API文档齐全,所以可以使用许多基于GUI的开源工具,帮助配置及监控系统。

  链接:其实你早就在使用开源安全工具

  在安全领域,许多组件都基于开源软件。

  开源安全工具的身影已经出现在数据中心,一个常见的例子就是OpenSSL,这个开源库实现了SSL加密标准,另外还附带一批工具和实用程序。任何商用产品只要使用SSL实现基于Web的管理或者客户机/服务器控制通道这些特性,几乎无一例外地在使用OpenSSL。由于没有理由认为自己能够编写质量更高、或者错误更少的代码,商用软件开发人员自然被可重复使用的开源组件所吸引。

  在安全领域,开源在组件层面取得的成功最大,而不是作为成熟的独立产品。经过完备测试、得到广泛接受的这些安全组件被越来越多的安全产品厂商集成到产品里面。经常可以在最新的安全产品里面看到Nmap和Nessus网络和漏洞扫描器、Snort入侵检测系统(IDS)以及iptables防火墙——它们有时被精心隐藏,有时公开宣传。另外,有些开源安全产品已被自己的开发小组实现了商业化:Sourcefire的Snort IDS和Tenable的Nessus漏洞管理扫描器就是著名例子。

  安全产品领域的一股趋势就是组建安全设备,即把熟悉的开源基础如Linux、Apache和MySQL打包成代码库,然后添加开源安全工具和增值管理软件,形成一个完整产品。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

梁颂
梁颂

相关推荐

  • Snort OpenAppID:开源应用控制

    OpenAppID听起来很不错,但它仍然是一个新产品,所以不可避免地会遇到与其他新软件一样的问题。在本文中,我们将介绍OpenAppID及其特性,了解一些适合企业的使用案例。

  • Linux系统中最实用的十大开源防火墙

    Iptables/Netfilter是基于防火墙的最流行的命令行。它是Linux服务器安全的头道防线。许多系统管理员用它来微调服务器。

  • Nmap应用指南

    Nmap是一个著名的开源工具,它是在20世纪90后期出现的。2003年,在电影《黑客帝国2》中Tritnity曾用Nmap 2.54BETA25版攻击SSH 服务器, 破坏发电厂的安全,Nmap因此受到了普遍关注。在现实生活中,Nmap主要用于确定网络上的主机,主机提供的服务,以及扫描网络的开放端口等等。Nmap是安全专家用以映射他们的网络和测试安全漏洞的有价值的工具,有人担心黑客帝国中的情况的出现,因为Nmap也是恶意黑客的利用的工具,被用来查找可以攻击的开放端口。本专题将给安全专家提供一些指南,包括在企业环境中,如何在windows和Linux平台上安装Nmap,以及Nmap的设置,运行和评估。 

  • 开源安全技术的四大好处

    为使IT架构正常运作,企业往往要将信息安全作为一个关键因素引入到技术和管理体系中。在某些特定领域,与商业安全产品相比,开源安全技术有相当大的优势。