"Seguridad libre"
Componentes y soluciones globales de código abierto
El software libre ha logrado introducirse en los centros de datos y su influencia no para de crecer. Pero si los responsables de TI ya no dudan en utilizar un servidor Linux, todavía muchos se muestran reacios a que un cortafuegos de código abierto sea la principal línea de defensa de su red.
La seguridad sigue siendo un área en el que el software libre no goza de gran aceptación, y, sin embargo, ya está en los centros datos, aunque los responsables de TI no lo sepan. Un ejemplo común es OpenSSL, una implementación de software libre de SSL acompañada de varias herramientas y utilidades presente en la mayoría de los productos comerciales de este tipo. Y es que en el mundo de la seguridad, el código abierto tiene su mayor éxito a nivel de componente, más que como productos autónomos repletos de características. Estos bien probados y aceptados componentes son incorporados en sus soluciones propietarias completas por los fabricantes de sistemas de seguridad. Es el caso de los analizadores de vulnerabilidades Nmap y Nessus, el sistema de detección de intrusiones (IDS) Snort y un buen número de cortafuegos, algunas veces cuidadosamente escondidos, otras veces abiertamente promocionados tras la marca comercial. Además, algunos productos de seguridad de código abierto han sido convertidos en comerciales por los propios equipos de desarrollo. Tal es el caso de los citados Snort, de Sourcefire, y Nessus, de Tenable.
En cualquier caso, hay cuatro argumentos básicos a favor de las herramientas de seguridad de código abierto: agilidad ante el constante cambio de los retos y amenazas, soporte de la comunidad del software libre, adaptación a los requerimientos de cada empresa y costes más bajos. Y todas estas ventajas aparecen en todas las áreas de seguridad.
Correo electrónico
Los gateways de seguridad de correo electrónico son un perfecto ejemplo de la gran agilidad de los productos de código libre. Por lo general, estos dispositivos han pasado de limitarse a proporcionar interoperatividad entre sistemas de email diferentes a ofrecer múltiples funciones de seguridad, principalmente protección antivirus, antispam y antiphishing, y ayuda al cumplimiento normativo. Y este conjunto de prestaciones sigue cambiando rápidamente, tanto como lo hacen los requerimientos de los usuarios. Por ello, si las empresas optan por una solución de código abierto –es decir, si deciden construir sus propios gateways a partir de múltiples componentes–, conseguirán un gran nivel de agilidad que compensará el enorme esfuerzo de integración que implica.
La herramienta antispam SpamAssassin, probablemente la de seguridad de código abierto más conocida, se ha mostrado lo suficientemente potente como para estar en el corazón de diferentes productos comerciales, como el popular gateway de email Barracuda. Sin embargo, por sí mismo, todavía se encuentra lejos de estar preparado para dominar los centros de datos. Las empresas que lo utilizan, muy probablemente, tendrán que crear (o adaptar software libre ya existente) aplicaciones Web de front-end y añadir soluciones que les permita escalar entre múltiples sistemas. También tendrán que crear funciones de cuarentena de usuario –y su gestión periódica– para tratar el correo sospechoso, así como de generación de informes y alertas, y gestión de sistemas. Asimismo, las empresas que usen SpamAssassin tendrán además que integrarlo con agentes de transporte de mensajes, como Postfix, para poder enviar, encolar y recibir correo.
Hay otros proyectos de código abierto, como los servidores MailWasher y Maia Mailguard, que ya han integrado un dispositivo antispam con herramientas de gestión y cuarentena, pero ninguno está apoyado por un desarrollo tan activo y una comunidad de usuarios tan amplia como SpamAssassin.
En cualquier caso, SpamAssassin no es en sí el mejor producto de identificación de spam. El filtrado basado en reputación, por ejemplo, se ha mostrado muy efectivo cuando se combina con un buen filtrado de contenidos; y nuevos protocolos, como Sender ID y DomainKeys, ayudan muy eficazmente a luchar contra ataques de phishing. Integrar servicios basados en reputación disponibles libremente, como SpamHaus o SpamCop, con otras herramientas de antispam no es imposible, si bien requiere tener experiencia en el diseño de gateways de correo y aplicaciones de código abierto. También es posible disponer de capacidades antivirus en cualquier gateweay de seguridad de correo, aunque la única opción de código abierto creíble es ClamAV. No obstante, la empresa que elija una base Linux para su gateway tiene también la opción de diversos dispositivos comerciales que corren sobre Unix.
Otros dispositivos antispam, como CRM114, DSPAM y Bogofilter, no son tan populares en entornos de gran escala, pues conseguir con ellos altos niveles de captura de mensajes no deseados exige al usuario disponer de una buena formación al respecto. Sin embargo, aquellos que construyen sus propios gateways personalizados pueden experimentar con cualquier herramienta de filtrado para comprobar su grado de adaptación a la empresa.
Detección/prevenciónde intrusiones
Un sistema de detección de intrusiones (IDS) no sólo detecta ataques; también resulta útil para efectuar análisis forenses, detectar malos usos y errores de configuración, e incluso para crear perfiles del rendimiento de la red. Para satisfacer tal variedad de necesidades, IDS recoge y almacena los eventos detectados por lo sensores desplegados por la red. Además, busca, recoge y analiza los eventos en el momento que se producen, los archiva y permite su recuperación posterior. También genera alertas instantáneas ante algunos eventos determinados, gestiona todos estos componentes y reporta tendencias a largo plazo. En despliegues avanzados, los datos IDS se apoyan en dispositivos de correlación para buscar tendencias entre los eventos.
El equipo de desarrollo de Snort (formado mayoritariamente por trabajadoresde Sourcefire, que vende sistemas IDS/IPS basados en este dispositivo de código abierto) se ha ocupado de la primera parte delas prestaciones citadas. Como sucede con SpamAssassin, Snort por sí solo resulta casi completamente inútil, pero se puede integrar fácilmente con sistemas operativos como Linux o BSD (Berkeley Software Distribution o Berkeley Unix) para crear un sensor IDS que detecte tráfico y genere eventos. Pero, aún así, sin una infraestructura que gestione tanto el sistema como los eventos identificados, no merece mucho la pena su uso en las empresas si no se complementa con otras herramientas.
No obstante, los responsables de centros de datos que quieran construir un IDS de código abierto al 100% totalmente controlado por ellos, pueden empezar por utilizar sensores basados en Snort sobre Linux y complementarlos con varios componentes de software libre capaces de gestionar dichos sensores. Disponer de tal gestión puede exigir crear scripts o aplicaciones internamente, aunque hay herramientas específicas, como Olinkmaster e IDS Policy Manager, que mantienen las reglas de Snort actualizadas apropiadamente. Para log de eventos, el enfoque común es usar Barnyard, un añadido a Snort, junto con la base de datos MySQL. Posteriormente, herramientas como Analysis Console for Intrusion Databases o el más nuevo Basic Analysis and Security Engine –en combinación con un servidor Web y varias herramientas gráficas y de scripting–, permiten identi
La seguridad sigue siendo un área en el que el software libre no goza de gran aceptación, y, sin embargo, ya está en los centros datos, aunque los responsables de TI no lo sepan. Un ejemplo común es OpenSSL, una implementación de software libre de SSL acompañada de varias herramientas y utilidades presente en la mayoría de los productos comerciales de este tipo. Y es que en el mundo de la seguridad, el código abierto tiene su mayor éxito a nivel de componente, más que como productos autónomos repletos de características. Estos bien probados y aceptados componentes son incorporados en sus soluciones propietarias completas por los fabricantes de sistemas de seguridad. Es el caso de los analizadores de vulnerabilidades Nmap y Nessus, el sistema de detección de intrusiones (IDS) Snort y un buen número de cortafuegos, algunas veces cuidadosamente escondidos, otras veces abiertamente promocionados tras la marca comercial. Además, algunos productos de seguridad de código abierto han sido convertidos en comerciales por los propios equipos de desarrollo. Tal es el caso de los citados Snort, de Sourcefire, y Nessus, de Tenable.
En cualquier caso, hay cuatro argumentos básicos a favor de las herramientas de seguridad de código abierto: agilidad ante el constante cambio de los retos y amenazas, soporte de la comunidad del software libre, adaptación a los requerimientos de cada empresa y costes más bajos. Y todas estas ventajas aparecen en todas las áreas de seguridad.
Correo electrónico
Los gateways de seguridad de correo electrónico son un perfecto ejemplo de la gran agilidad de los productos de código libre. Por lo general, estos dispositivos han pasado de limitarse a proporcionar interoperatividad entre sistemas de email diferentes a ofrecer múltiples funciones de seguridad, principalmente protección antivirus, antispam y antiphishing, y ayuda al cumplimiento normativo. Y este conjunto de prestaciones sigue cambiando rápidamente, tanto como lo hacen los requerimientos de los usuarios. Por ello, si las empresas optan por una solución de código abierto –es decir, si deciden construir sus propios gateways a partir de múltiples componentes–, conseguirán un gran nivel de agilidad que compensará el enorme esfuerzo de integración que implica.
La herramienta antispam SpamAssassin, probablemente la de seguridad de código abierto más conocida, se ha mostrado lo suficientemente potente como para estar en el corazón de diferentes productos comerciales, como el popular gateway de email Barracuda. Sin embargo, por sí mismo, todavía se encuentra lejos de estar preparado para dominar los centros de datos. Las empresas que lo utilizan, muy probablemente, tendrán que crear (o adaptar software libre ya existente) aplicaciones Web de front-end y añadir soluciones que les permita escalar entre múltiples sistemas. También tendrán que crear funciones de cuarentena de usuario –y su gestión periódica– para tratar el correo sospechoso, así como de generación de informes y alertas, y gestión de sistemas. Asimismo, las empresas que usen SpamAssassin tendrán además que integrarlo con agentes de transporte de mensajes, como Postfix, para poder enviar, encolar y recibir correo.
Hay otros proyectos de código abierto, como los servidores MailWasher y Maia Mailguard, que ya han integrado un dispositivo antispam con herramientas de gestión y cuarentena, pero ninguno está apoyado por un desarrollo tan activo y una comunidad de usuarios tan amplia como SpamAssassin.
En cualquier caso, SpamAssassin no es en sí el mejor producto de identificación de spam. El filtrado basado en reputación, por ejemplo, se ha mostrado muy efectivo cuando se combina con un buen filtrado de contenidos; y nuevos protocolos, como Sender ID y DomainKeys, ayudan muy eficazmente a luchar contra ataques de phishing. Integrar servicios basados en reputación disponibles libremente, como SpamHaus o SpamCop, con otras herramientas de antispam no es imposible, si bien requiere tener experiencia en el diseño de gateways de correo y aplicaciones de código abierto. También es posible disponer de capacidades antivirus en cualquier gateweay de seguridad de correo, aunque la única opción de código abierto creíble es ClamAV. No obstante, la empresa que elija una base Linux para su gateway tiene también la opción de diversos dispositivos comerciales que corren sobre Unix.
Otros dispositivos antispam, como CRM114, DSPAM y Bogofilter, no son tan populares en entornos de gran escala, pues conseguir con ellos altos niveles de captura de mensajes no deseados exige al usuario disponer de una buena formación al respecto. Sin embargo, aquellos que construyen sus propios gateways personalizados pueden experimentar con cualquier herramienta de filtrado para comprobar su grado de adaptación a la empresa.
Detección/prevenciónde intrusiones
Un sistema de detección de intrusiones (IDS) no sólo detecta ataques; también resulta útil para efectuar análisis forenses, detectar malos usos y errores de configuración, e incluso para crear perfiles del rendimiento de la red. Para satisfacer tal variedad de necesidades, IDS recoge y almacena los eventos detectados por lo sensores desplegados por la red. Además, busca, recoge y analiza los eventos en el momento que se producen, los archiva y permite su recuperación posterior. También genera alertas instantáneas ante algunos eventos determinados, gestiona todos estos componentes y reporta tendencias a largo plazo. En despliegues avanzados, los datos IDS se apoyan en dispositivos de correlación para buscar tendencias entre los eventos.
El equipo de desarrollo de Snort (formado mayoritariamente por trabajadoresde Sourcefire, que vende sistemas IDS/IPS basados en este dispositivo de código abierto) se ha ocupado de la primera parte delas prestaciones citadas. Como sucede con SpamAssassin, Snort por sí solo resulta casi completamente inútil, pero se puede integrar fácilmente con sistemas operativos como Linux o BSD (Berkeley Software Distribution o Berkeley Unix) para crear un sensor IDS que detecte tráfico y genere eventos. Pero, aún así, sin una infraestructura que gestione tanto el sistema como los eventos identificados, no merece mucho la pena su uso en las empresas si no se complementa con otras herramientas.
No obstante, los responsables de centros de datos que quieran construir un IDS de código abierto al 100% totalmente controlado por ellos, pueden empezar por utilizar sensores basados en Snort sobre Linux y complementarlos con varios componentes de software libre capaces de gestionar dichos sensores. Disponer de tal gestión puede exigir crear scripts o aplicaciones internamente, aunque hay herramientas específicas, como Olinkmaster e IDS Policy Manager, que mantienen las reglas de Snort actualizadas apropiadamente. Para log de eventos, el enfoque común es usar Barnyard, un añadido a Snort, junto con la base de datos MySQL. Posteriormente, herramientas como Analysis Console for Intrusion Databases o el más nuevo Basic Analysis and Security Engine –en combinación con un servidor Web y varias herramientas gráficas y de scripting–, permiten identi
