По мірі того, як у комп’ютерній галузі з’являються все нові і нові засоби захисту систем і мереж, користувачі починають проявляти все більший інтерес до вільно распространяемому програмного забезпечення, прагнучи зрозуміти, що перевершують його потенційні переваги можливі недоліки.

Хоча вільно поширювані системи захисту існують вже давно, вони ніколи не використовувалися настільки широко, як операційна система Linux і Web-сервер Apache. Джон Пескаторе, директор з досліджень компанії Gartner, пов’язаних з безпекою в Internet, зазначив, що серед застосовуваних систем захисту на частку вільно розповсюджуваних коштів зараз припадає 3-5%, але до 2007 року цей показник може зрости до 10-15%.

Основною причиною такого потенціалу є якість численних вільно розповсюджуваних пакетів захисту. «Підтримка деяких загальновживаних засобів захисту здійснюється на досить високому рівні, і багато розробники пропонують для них новий інструментарій і шаблони. У певному сенсі такі рішення конкурують з комерційними інструментарієм», зауважив Юджин Спеффорд, директор Центру навчання і досліджень в області інформаційної безпеки університету Пурди.

До вільно розповсюджуваним програмним продуктам ставляться безкоштовні інструментальні засоби, які можна завантажити з Internet, пакети, для яких виробники пропонують комерційні послуги підтримки, а також додатковий інструментарій, що поставляється разом з комерційними продуктами.

До найбільш популярних інструментів належать Netfilter та iptables; системи виявлення вторгнень, наприклад, Snort, Snare і Tripwire; сканери вразливих місць в системах захисту, такі як Kerberos; міжмережеві екрани, зокрема, T. Rex.

Деякі підприємства навіть почали використовувати вільно поширювані системи захисту для забезпечення безпеки своєї критично важливої інфраструктури.

Зростаючий інтерес

ІТ-фахівці в тій чи іншій мірі використовують вільно розповсюджувані засоби захисту вже близько 15 років. Зараз все більший інтерес до таких інструментів виявляють великі компанії, консультанти з питань захисту і постачальники послуг, які можуть адаптувати подібне програмне забезпечення до потреб конкретних користувачів. Наприклад, EDS почала використовувати вільно поширюваний інструментарій захисту компанії Astaro для забезпечення безпеки компонента переднього плану Web-сайтів кількох кредитних спілок, пропонують можливості обробки транзакцій.

Інтегратори систем інформаційної безпеки визнають, що користувачів приваблює невисока ціна вільно розповсюджуваних коштів. Наприклад, Річард Майр, керуючий директор R2R Informations und Kommunikations, зазначив, що його компанія вже довгі роки пропонує свій комерційний міжмережевий екран. Проте зібрані дані показують, що 75% клієнтів компанії віддають перевагу вільно розповсюджуваним аналогам. Компанія Guardent пропонує підписку на послуги Internet-захисту вартістю 1,5 тис. дол. в місяць, основу якої становить її Defense Security Appliance. Це рішення поєднує в собі комерційні компоненти, такі як міжмережевий екран PIX компанії Cisco Systems, і вільно поширювані компоненти, в тому числі iptables, Nessus і Snort. Аналогічна послуга, яка спирається виключно на комерційні продукти, може коштувати близько 10 тис. дол.

У той же час, компанія C2Net Software, яку нещодавно придбала Red Hat, розробила свій комерційний сервер Stronghold Secure Web Server на базі Apache і OpenSSL вільно розповсюджуваного інструментарію, що реалізує протоколи захисту на рівні сокетів і на транспортному рівні, а також містить криптографічну бібліотеку загального призначення.

За словами консультанта з питань захисту Підлоги Робичаукса з компанії Robichaux & Associates, організації, які пред’являють особливі вимоги до захисту, що визначаються законодавством, наприклад, що працюють в області охорони здоров’я і фінансів, навряд чи стануть використовувати вільно поширюваний інструментарій. Замість цього, вони, швидше за все, будуть як і раніше залежатиме від виробників, на яких вони можуть покласти відповідальність за порушення захисту. Робичаукс вважає, що вільно поширювані системи захисту частіше будуть використовуватися консалтинговими та сервісними фірмами, які вже знають ці інструментальні засоби і довіряють їм, а також компаніями, чиї відділи ІТ вже випробували такі рішення.

Марк Кокс, директор по розробці групи OpenSSL компанії Red Hat додав: «Організації, що працюють на Unix-платформах, таких як Linux і Solaris, швидше за все, будуть вибирати інструменти типу Nessus, Snare і Snort, оскільки їх історія розробки та використання аналогічна Unix».

Вільно розповсюджувані засоби захисту: за і проти

Порівняємо вільно поширювані і комерційні інструментальні засоби за витратами, якістю та технічної підтримки.

Витрати. Одне з основних переваг вільно розповсюджуваних інструментальних засобів їх менша порівняно з комерційними продуктами вартість. Такі системи поширюються безплатно або за дуже низькими цінами, а, крім того, вони або взагалі не передбачають ліцензійних виплат, або виплати ці значно менше, ніж для комерційних продуктів. Проте деякі користувачі на власному досвіді переконалися, що твердження «ви отримуєте те, за що заплатили» повною мірою застосовно до вільно распространяемому інструментарію.

Однак Бадді Бакстер, технічний менеджер EDS за інфраструктурних рішень для кредитних спілок, вважає, що якщо продукт коштує дорожче, це зовсім не означає, що він буде більшою мірою захищений. За його словами, EDS може встановити систему захисту на основі програмного інструментарію Astaro, яка буде коштувати вчетверо дешевше комерційного продукту компанії Check Point Software Technologies.

Якість. Директор з технологій компанії Guardent Джеррі Бреді підтвердив, що деякі вільно поширювані інструментальні засоби захисту не гірше (а то і краще) їх комерційних аналогів. Наприклад, за його словами, сканер вразливих місць захисту Nessus забезпечує кращі можливості розподіленої обробки, віддаленого запуску і планування, ніж багато комерційні продукти. «Завдяки використанню вільно поширюваної методології ви можете більшою мірою зосереджуватися на тих речах, які дійсно важливі. Для Nessus питання розповсюдження набагато менш пріоритетними, ніж питання якості коду», підкреслив він.

Однак йому заперечує Маркус Ранум, експерт з питань захисту і глава компанії NFR Security: «Не думаю, що програми мають високу якість вже тому, що поширюються вільно. Насправді, якісним продукт робить саме його цілеспрямована розробка. А відкритість цього ніяк не гарантує».

З ним згоден і Спеффорд: «Надійність продукту визначається в першу чергу його якістю і підтримкою. Був він добре спроектований? Дотримувалися його розробники чіткої дисципліни і не додали до нього надто багато функцій? Багато вільно поширюване програмне забезпечення створюється людьми, які не мають належного досвіду, інструментальних засобів, часу або ресурсів для того, щоб зробити це настільки ретельно, як того вимагає дійсно високо надійна середовище».

Прихильники вільно розповсюджуваних рішень стверджують, що відкритий код вивчає дуже багато фахівців, тому вони здатні виявити проблеми набагато швидше, ніж обмежене коло розробників, що створюють комерційний продукт тієї чи іншої компанії. «Пошуками та виправленням помилок у відкритому програмному забезпеченні можуть займатися набагато більше людей», сказав Майк Куртіс, директор з досліджень компанії Redsiren Technologies, що надає послуги із забезпечення інформаційної безпеки.

Крім того, як зауважив Куртіс, розробники вільно розповсюджуваних програм можуть швидше реагувати на виявлені недоліки в захисті, ніж комерційні компанії просто в силу меншої завантаженості і відсутності бюрократичних перепон. «Розробники вільно розповсюджуваних рішень більшою мірою зацікавлені в тому, щоб виправити виявлені помилки, ніж додати нові можливості для наступної версії», вважає він.

Однак з ним не згоден Ранум: «Виходячи з власного досвіду, можу підтвердити, що дуже небагато фахівці дійсно ретельно вивчають код. Вони, як правило, просто переглядають файли з описом. Створений мною перший відкритий пакет інструментальних засобів для міжмережевого екрану в тій чи іншій мірі використовували близько 2 тис. сайтів, але лише десять осіб повідомили про нього свою думку або надіслали латки, виправляють помилки. Так що я б не став сподіватися на відкритість програмного забезпечення», сказав він.

Багато прихильники закритих вихідних текстів вважають, що для пошуку помилок у програмі важливіше якість, а не кількість вивчають її людей. Вони стверджують, що експерти з програмного забезпечення компанії-виробника, що працюють над своїми продуктами, виконують роботу більш якісно, ніж ті, хто вивчає вільно поширювані пакети.

До його думки приєднується і Спаффорд. «У багатьох компонентах вільно розповсюджуваного програмного забезпечення були знайдені помилки після того, як їх довгі роки використовували і вивчали сотні тисяч разів. Помилки не були виявлені просто тому, що ті, хто переглядав цей код, не мали необхідних навичок, що дозволяють це зробити. У багатьох випадках користувачі вивчають код, щоб адаптувати його до своїх потреб, а не для того, щоб детально проаналізувати», – зауважив він.

Підтримка. Прихильники комерційного програмного забезпечення стверджують, що їхні виробники, на відміну від організацій, що займаються вільно поширюваними рішеннями, пропонують клієнтам послуги підтримки та інші ресурси, якими можна скористатися в разі будь-яких проблем. Однак такий підхід дозволяє підсилити позиції і тим, хто пропонує послуги підтримки користувачам вільно розповсюджуваного програмного забезпечення.

«Служба підтримки дає більш надійні гарантії клієнта і дозволяє надати йому допомогу. Ви можете визначити угода про рівень обслуговування і надати виробнику можливість самому вибирати потрібний інструментарій і допомагати клієнтам адаптуватися до змін у технології», зауважив Бреді.

Інші питання. Деякі прихильники закритих вихідних текстів вважають, що з-за доступності вільно розповсюджуваного коду хакерам набагато простіше розібратися, яким чином можна подолати такий захист. Однак апологети вільно розповсюджуваних рішень стверджують, що це не так, оскільки хакерам під силу зламати захист, організовану за допомогою комерційних продуктів. Водночас, вони зазначають, що вільно поширювані інструментальні засоби захисту простіше налаштувати, оскільки є їх вихідні тексти.

Відомі вільно поширювані проекти

Розглянемо деякі важливі вільно поширювані інструментальні засоби захисту.

Kerberos

Технологія аутентифікації і шифрування Kerberos (www.mit.edu/kerberos/www) було розроблено у Массачусетському технологічному інституті і «випущена у світ в 1987 році. З того моменту ця технологія перетворилася на стандарт, яким займається робоча група Common Authentication Technology Working Group, сформована при Internet Engineering Task Force.

Вільно розповсюджувані Kerberos версії пропонуються для платформи Macintosh, Unix і Windows. Комерційні реалізації створені Microsoft, Oracle, Qualcomm і низкою інших компаній. Microsoft викликала критику фахівців, що працюють на цьому ринку, інтегрувавши в Windows 2000 версію Kerberos, не повною мірою відповідає стандарту.

Snort

Snort (www.snort.org) вважається одним з найбільш популярних вільно розповсюджуваних інструментальних засобів захисту. За оцінками Марті Реуша, провідного розробника Snort, даним додатком користується від 250-500 тис. осіб. Це програмне забезпечення має групу активних прихильників і досить детальну документацію.

Snort спрощена система виявлення мережевих вторгнень, здатна виконувати в реальному часі аналіз трафіку і пакетів, зареєстрованих в IP-мережах. Випущена в 1998 році, Snort допомагає виявити потенційні порушення захисту, виконуючи протокольний аналіз пакетів, а також пошук із зіставленням по шаблону в інформаційному наповненні. Ця система здатна виявляти роботу зондів і виявляти різні порушення захисту, такі як переповнення буфера, приховане сканування портів і атаки з використанням загального інтерфейсу шлюзів.

Snort працює на різних платформах, в тому числі на FreeBSD, Linux, MacOS, Solaris і Windows.

Snare

System Intrusion Analysis and Reporting Environment являє собою розміщується на хості систему виявлення вторгнень, призначену для систем з Linux. Альянс InterSect Alliance (www.intersectalliance.com), який об’єднує консультантів, що спеціалізуються на питаннях захисту, розробила і випустила Snare в листопаді 2001 року.

Snare використовує технологію динамічно завантажуваних модулів для взаємодії з ядром Linux під час виконання. За рахунок використання тільки тих модулів, які необхідні для виконання конкретної задачі, Snare знижує навантаження на хостовую систему. А оскільки Snare завантажується динамічно, користувачам не потрібно перезавантажувати систему або перекомпілювати ядро, як це буває з деякими удосконаленнями Linux.

Tripwire

Спеффорд з університету Пурди і тодішній студент Джин Кім розробили систему виявлення вторгнень Tripwire Academic Source, яку з моменту її випуску у 1992 році завантажили більше мільйона користувачів. Компанія Tripwire (www.tripwire.com), яку заснував Кім, пізніше повністю переробила цю програму, перетворивши її в комерційний продукт із закритими вихідними текстами. Tripwire пропонує безкоштовну версію для Linux, але продає комерційні версії для платформ Unix і Windows NT.

Nessus

Nessus (www.nessus.org) сканер уразливих місць у захисті, що дозволяє виконувати перевірку захисту Web-сайту віддаленим чином. Розробники Nessus випустили цей інструментарій у квітні 1998 року. Nessus підтримує сервери, які задовольняють вимогам POSIX і працюють з клієнтами Java, Win32 і X11.

Saint

Security Administrators Integrated Network Tool сканер вразливих місць захисту (див. рис. 1), який працює з більшістю різновидів Unix, включаючи Linux. Сканер створений на базі вільно розповсюджуваного інструментарію для аналізу дефектів захисту Satan (Security Administrators Tool for Analyzing Networks). Компанія Saint (www.saintcorporation.com) відмовилася від більш старих версій сканера, але продає новий його варіант, а також SAINTwriter для генерації звітів, що настроюються і SAINTexpress для автоматичного оновлення сигнатур дефектів захисту.

Рис. 1. Saint сканер, який перевіряє систему на наявність вразливих місць. З урахуванням конкретної конфігурації механізм контролю визначає, чи може Saint (і якою мірою) сканувати набір мережевих вузлів. Підсистема вибору цілей створює список атак для тестів, що запускаються на сканованих вузлах. Підсистема збору даних збирає факти про результати роботи зондів. За допомогою бази правил механізм взаємодій обробляє факти, при цьому збираючи дані і визначаючи нові призначені хости, зонди і факти. Підсистема результатів відображає зібрані дані як гіперпростір, з яких користувачі можуть працювати за допомогою браузера

Netfilter та iptables

Група розробників вільно розповсюджуваного програмного забезпечення підготувала Netfilter та iptables для інтеграції в ядро Linux 2.4. Netfilter (www.netwilter.org) дає користувачам можливість відстежувати зворотні зв’язки, асоційовані з вторгненням в мережу, тим самим дозволяє виявляти той факт, що система піддається атаці. З допомогою iptables (www.iptables.org) користувачі можуть визначати дії, які повинна вжити система у разі виявлення атаки.

T. Rex

T. Rex (www.opensourcefirewall.org) це вільно розповсюджуваний програмний міжмережевий екран, який компанія Freemont Avenue Software випустила в 2000 році. Він працює на платформах AIX, Linux і Solaris, і зараз його застосовують близько 31 тис. користувачів.

Перспективи

Широкому застосуванню вільно розповсюджуваних систем захисту заважає цілий ряд труднощів і проблем.

Боязнь відкритих текстів

Деякі компанії побоюються купувати вільно поширюване програмне забезпечення, оскільки воно розроблено не в одній компанії і не підтримується програмними засобами, які вони звикли купувати. В силу цього, як прогнозує Девід Московіц, директор за технологіями консалтингової компанії Productivity Solutions, багато вільно розповсюджувані засоби починають використовуватися лише після того, як його за власною ініціативою випробують ІТ-фахівці і поступово його впровадять на підприємстві.

Страх «чорного ходу»

Оскільки вихідні тексти відкриті, деякі компанії побоюються, що хакери будуть створювати «чорні ходи» у вільно поширюване інструментарії, через які вони зможуть проникати в системи. Робичаукс з цього приводу зауважив: «Це одне із самих серйозних перешкод на шляху широкого поширення відкритого програмного забезпечення. Однак зовсім не означає, що таке побоювання обґрунтовано і має під собою реальний грунт. Тим не менш, деякі компанії вимагають, щоб всі вільно поширюване програмне забезпечення, використовуване в їх підрозділах, було створено «з нуля», без будь-яких готових або завантажених пакетів».

Сертифікація

Сертифікація продукту уповноваженими державними організаціями може дати серйозний імпульс до його широкого застосування. Уряд США вимагає, щоб системи захисту та інші продукти, пов’язані з інформаційними технологіями, проходили перевірку на відповідність Federal Information Processing Standard, здійснювану Національним інститутом стандартів і технології (NIST), перш ніж американським держустановам можна буде їх придбати.

Вартість тестування на відповідність може варіюватися від десятків до сотень тисяч доларів. Все це може перешкодити організаціям, що створює вільно поширюване забезпечення (і мають, як правило, вельми скромний бюджет), сертифікувати свої технології. Фактично, як зазначила Аннабел Лі, директор програми NIST Cryptographic Module Validation Program, їй не відомий жоден вільно поширюваний продукт, що пройшов сертифікацію.

Зручність використання і управління

Виробники вільно розповсюджуваного програмного забезпечення, як правило, першочергову увагу приділяють функціональності, а не зручності використання і управління. Як наслідок, такі додатки іноді складно розгортати ними нелегко керувати. Наприклад, як зазначив Реуш, «установка Snort та управління цією системою може виявитися досить важким, особливо, якщо у вас немає достатнього досвіду в написанні інструментальних засобів для Unix».

Пескаторе так пояснив ситуацію: «У випадку з вільно поширюваними інструментальними засобами більша частина знань накопичується в головах людей, що їх використовують, в той час як виробники комерційних рішень змушені поміщати ці знання в продукт. Я не думаю, що коли-небудь вільно поширювані інструментальні засоби захисту стануть масовими. Більшість людей віддають перевагу більш простий підхід».

Все це формує невеликий, але швидко зростаючий ринок для інтеграторів систем захисту і постачальників послуг, таких як Guardent, Redsiren і Silico Defense. Ці компанії можуть пропонувати інструментарій управління і, тим самим, приховати від користувачів складність вільно розповсюджуваних продуктів, а також надавати гарантований рівень обслуговування та підтримки.

Astaro прагне створити повну інфраструктуру захисту, що об’єднує численні вільно поширювані технології в єдиний, простий у використанні інтерфейс. Ернст Келтинг, президент американського відділення Astaro, підкреслив: «Користувачі не хочуть працювати з програмним забезпеченням, для якого не пропонуються послуги підтримки. Ми беремо на себе це навантаження і звільняємо клієнтів від можливих труднощів».

Висновок

Симон Перрі, віце-президент по системам захисту компанії Computer Associates, вважає, що рівень використання вільно розповсюджуваних засобів захисту буде зростати, хоча і не у великих корпораціях. За його словами, організації, які розробляють вільно поширюване програмне забезпечення, не мають достатніх ресурсів або інструментальних засобів управління, необхідних для інтеграції, необхідної для забезпечення захисту при використанні безлічі різних платформ, як це відбувається у великих компаніях.

Цікавою тенденцією на ринку вільно розповсюджуваних систем захисту може стати розробка бізнес-моделей, які об’єднують відкриті тексти зі спеціалізованим апаратним забезпеченням, комерційними інструментальними засобами переднього плану і/або гарантіями рівня обслуговування. Наприклад, Бреди зазначив, що виробники могли б об’єднати свої знання апаратної оптимізації з вільно поширюваної технологією для створення таких продуктів, як мережеві приставки, що підтримують захищені швидкі з’єднання.

Кокс підкреслив, що «темпи впровадження вільно розповсюджуваних вихідних текстів будуть рости, оскільки модель розробки підтримує швидко мінливу структуру Internet і захисту. Оперативної реакції на вимоги до функціональності, нові атаки і виправлення помилок важко домагатися в середовищі з закритими вихідними текстами».

Тим не менш, Пескаторе вважає, що частка доходів від усіх продуктів захисту, одержувана від продажу комерційних послуг підтримки вільно розповсюджуваних інструментальних засобів до 2007 року зросте з 1% лише до 2%. Зокрема, це пояснюється тим, що багато компаній будуть використовувати безкоштовний інструментарій, а не комерційні пакети з відкритими вихідними текстами.

Одна з небезпек, пов’язаних з інструментарієм, що розповсюджується у вихідних текстах, пов’язана з тим, що користувачі можуть піддатися помилковому почуттю повної безпеки, розраховуючи на те, що цей код аналізувало безліч фахівців. На думку Дена Гіра, розробника Kerberos і директора за технологією компанії @Stake, пропонує послуги з організації захисту, «надання продукту у вихідних текстах не означає, що в ній немає помилок, просто ймовірність наявності помилок в такому продукті дещо менше. Але це не панацея».