知道网络上有什么、在使用哪些服务是安全工作的一个重要方面。遗憾的是,系统投入使用、更新、打补丁及重新配置时,程序员和系统管理员不会总是与安全小组通气,所以漏洞分析工具在自动了解服务和服务器方面可起到重要的辅助作用。
Tenable的Nessus是一款流行的服务发现和漏洞管理工具。它原先是源代码完全开放的一个工具,去年,Nessus的主要开发人员在发布这个扫描引擎的版本3时,同时提供了免费版和商用版。
有了客户机/服务器架构和几个GUI界面后,Nessus成为功能齐全的软件包所需的额外软件少于SpamAssassin或者Snort,具体取决于Nessus提供的信息如何得到使用。其他漏洞分析扫描器和网络发现工具厂商提供更多工具,可用于管理扫描结果、连接到补丁管理系统,以及处理漏洞生命周期,但Nessus小组更加侧重于开发具有高度可配置性的引擎。
Nessus是一款主动的漏洞扫描器,这意味着它会探测系统来发现服务、操作系统和漏洞。
控制VPN成本
最好的开源VPN方案就是OpenVPN,这个基于SSL的VPN工具可以轻松、快速地把与宽带连接的远程站点连接到中央数据服务器。OpenVPN这项技术具有诸多优势,甚至与一些基于IPSec协议的商用VPN产品相比也具有优势。因为大多数宽带ISP使用网络地址转换(NAT),所以公司要是使用的低成本连接没有静态分配的IP地址,就会发现,复杂的IPSec协议并不总是能可靠地通过NAT设备进行工作。将流量封装到单一TCP连接里面是避免这个问题的好办法,像OpenVPN这些基于SSL的VPN始终具有这功能。
字串9
从成本的角度来看,OpenVPN更有吸引力。如果有一个远程服务器在运行Windows、几乎任何版本的Unix或者Mac OS X,服务器就可以用做VPN网关,通过安全地使用OpenVPN,连接到远程站点。因为软件可与已经部署在远程站点的服务器协同工作,所以它很容易进行改动,以适应现有网络,而不需要新硬件。
但OpenVPN不能解决所有问题。高速连接使用IPSec效果更好,而通过服务器传送VPN流量的想法在许多环境下不会成功。另外,OpenVPN不适合大型的网状网VPN,因为它缺少大规模管理系统。与许多开源工具一样,OpenVPN管理界面也是一种命令行。但因为这款产品很流行,加上OpenVPN里面的API文档齐全,所以可以使用许多基于GUI的开源工具,帮助配置及监控系统。
链接:其实你早就在使用开源安全工具
在安全领域,许多组件都基于开源软件。
开源安全工具的身影已经出现在数据中心,一个常见的例子就是OpenSSL,这个开源库实现了SSL加密标准,另外还附带一批工具和实用程序。任何商用产品只要使用SSL实现基于Web的管理或者客户机/服务器控制通道这些特性,几乎无一例外地在使用OpenSSL。由于没有理由认为自己能够编写质量更高、或者错误更少的代码,商用软件开发人员自然被可重复使用的开源组件所吸引。
字串9
在安全领域,开源在组件层面取得的成功最大,而不是作为成熟的独立产品。经过完备测试、得到广泛接受的这些安全组件被越来越多的安全产品厂商集成到产品里面。经常可以在最新的安全产品里面看到Nmap和Nessus网络和漏洞扫描器、Snort入侵检测系统(IDS)以及iptables防火墙——它们有时被精心隐藏,有时公开宣传。另外,有些开源安全产品已被自己的开发小组实现了商业化:Sourcefire的Snort IDS和Tenable的Nessus漏洞管理扫描器就是著名例子。
安全产品领域的一股趋势就是组建安全设备,即把熟悉的开源基础如Linux、Apache和MySQL打包成代码库,然后添加开源安全工具和增值管理软件,形成一个完整产品。