Von Firewalls über Intrusion Detection Systeme (IDS) bis hin zu Gateway-Security - Experten aus dem "InfoWorld Test Center" haben sich einschlägige Open-Source-Tools für Sicherheitsaufgaben genauer angesehen. Folgende Produkte erhielten eine Auszeichnung:
Applikationssicherheit: AppArmor
In Bereich Application-Security stehen mit "AppArmor" und "SELinux" zwei stark konkurrierende Produkte zur Auswahl. Während 2007 das in Red Hat enthaltene SELinux das Rennen machte, hat in diesem Jahr AppArmor die Nase vorn - nicht zuletzt aufgrund seiner Überlegenheit in Sachen Bedienkomfort. AppArmor schützt Applikationen mit Hilfe so genannter Mandatory Access Controls (MACs). Dabei werden die Zugriffsrechte (Profile) vom darunter liegenden System und nicht vom Nutzer erteilt oder entzogen, um zu verhindern, dass Programmierfehler oder Bugs in Anwendungen zu bösartigen Zwecken ausgenutzt werden können. Das Tool kommt nach wie vor im Bundle mit Suse Linux und wird mittlerweile auch in den Linux-Distributionen Ubuntu und Mandriva genutzt.
Penetration-Testing: Metasploit Framework
Metasploit hat sich im Umfeld der Angriffs- und Penetration-Toolkits zum De-Facto-Standard gemausert. Der ausbaufähige Werkzeugkasten wird permanent aktualisiert, um in Sachen Server- und Host-Schwachstellen stets auf dem neusten Stand zu sein. Damit ist das Framework das ideale Mittel, um den Netzperimeter auf Sicherheitslücken abzuklopfen oder herauszufinden, inwieweit SQL- oder Web-Server beziehungsweise Unix-, Linux- oder Windows-Hosts kompromittierbar sind. Wer kritische Systeme zu schützen hat, sollte sie mittels Metasploit inspizieren, bevor es ein anderer tut.
Windows Password Cracker: Ophcrack
Zwar gehört es in der Regel nicht zum Job eines Administrators, Passwörter zu knacken - wenn aber mit einem Mitarbeiter auch dessen Kennwort das Unternehmen verlässt, bleibt mitunter keine andere Option. Der Windows-Passwort-Cracker "Ophcrack" basiert auf so genannten Rainbow Tables, sprich Datenstrukturen, die eine schnelle Suche nach Hash-Werten ermöglichen, und rekonstruiert abhanden gekommene, Kennwörter mit beeindruckender Genauigkeit. Die Anwendung kann die Hash-Werte von Passwörtern direkt von einem Windows-System (XP oder Vista) laden. Als Live-Version läuft Ophcrack direkt von der CD, was eine Installation unnötig macht. Das Open-Source-Tool lässt sich aber auch auf Linux/Unix und Mac OS X installieren. Ophcrack mag nicht zu den meist genutzten Werkzeugen gehören, kann aber mitunter die Rettung sein.
Netz-Firewall: SmoothWall Express
Im Prinzip kann jeder Router mit "Permit-" oder "Deny"-, "Accept"- oder "Reject"-Regelsatz als Firewall fungieren. "SmoothWall Express", das einen gehärteten Linux-Kern, Intrusion-Detection-Funktionalität und ein IPSec-VPN (Virtual Private Network) kombiniert, geht weit darüber hinaus. Zwar ist das Produkt nicht so leistungsstark oder funktionsreich wie seine großen kommerziellen SmoothWall-Brüder, lässt sich aber leicht konfigurieren und erfüllt seine Aufgabe. Übrigens: Wer bei Firewall-Regeln Hilfe braucht, sollte einen Blick auf den Firewall Builder werfen. Die quelloffene Firewall-Management-Software vereinfacht die Konfiguration von "iptables" (Netfilter) und Ciscos "PIX"-Firewalls beziehungsweise dessen "Adaptive Security Appliances" (ASA), aber auch die Erstellung von Zugriffskontrolllisten für andere Cisco-Router mit GUI-Frontend.
Intrusion Detection: Snort mit BASE
Snort ist ein gutes Tool, um unerwünschte Aktivitäten - etwa Port-Scans, heimliche Attacken, Pufferüberläufe oder andere böswillige Aktionen im Netz - zu erkennen. In einer neuen Betaversion "SnortSP" (Snort Security Platform) bietet das Produkt ein Shell-basierendes Nutzer-Interface, natives IPv6, MPLS- (Multiprotocol Label Switching) und GRE-Unterstützung (Generic Routing Encapsulation) sowie ein multi-threaded Execution-Modul. In Kombination mit BASE (Basic Analysis and Security Engine) erhält man ein Web-gestütztes Frontend, das Snort-Alerts abfragen und analysieren kann, sowie ein rollenbasierendes Authentifizierungssystem, mit dem sich der Nutzerzugriff auf Snort-Daten kontrollieren lässt.
Security-Log-Analyse: Splunk
Wer "Splunk" nicht kennt, sollte sich das in Sachen Security-Log-Analyse unschlagbare Werkzeug genauer ansehen. Mit Splunk lassen sich Warnmeldungen sowie Syslog- und SNMP-Daten grafisch darstellen und über eine einfache, Browser-ähnliche Oberfläche schnell durchsuchen. Das Tool hilft, potenzielle Bedrohungen und gefährliche Tendenzen zu identifizieren; es kann zudem Compliance-Bemühungen unterstützen, indem es bei der Überschreitung definierter Schwellwerte Alerts absetzt. Darüber hinaus lassen sich mit Splunk aussagekräftige Berichte über die jeweiligen Befunde zu erzeugen. Splunk ist zwar kein echtes Open-Source-Tool, jedoch in einer freien Community-Version erhältlich.
Festplattenverschlüsselung: TrueCrypt
TrueCrypt stellt nicht nur Open-Source-Wettbewerber, sondern sogar kommerzielle Pendants in den Schatten: Der transparente On-the-fly-Disk-Encryptor, der Windows (XP und Vista), Linux und Mac OS X unterstützt, kann eine virtuelle verschlüsselte Festplatte innerhalb einer Datei kreieren oder eine ganze Festplattenpartition beziehungsweise ein USB-Flash-Laufwerk chiffrieren. TrueCrypt bietet zudem Pre-Boot-Authentifizierung für Windows und kann verschlüsselte Datenträger so verstecken, dass sie unauffindbar sind. Ein Tool für die wirklich Paranoiden also - und damit umso besser.
Gateway-Sicherheit: Untangle Gateway
Wer auf der Suche nach einem Schutzpaket ist, dass alle genannten Aufgaben erfüllt, sollte sich "Untangle" näher ansehen. Als virtuelle Appliance schützt das Gateway gegen Bedrohungen wie Malware, Spam, Phishing und unerwünschte Inhalte, indem es Lösungen wie ClamAV, Snort, SpamAssassin, OpenVPN, Netfilter/iptables sowie andere Open-Source-Programme mit seiner eigenen Scan-Engine bündelt. Das auf einem Einzel-Server laufende Untangle umfasst Updates der Applikationen, verschiedene Signaturen und Filter sowie Kategorielisten - und ein schönes Reporting. (kf)