54
styczeń 2007
bezpieczeństwo
Novell Security Manager
55
www.lpmagazine.org
bezpieczeństwo
Novell Security Manager
a
ut
or
zy
@
lpm
ag
az
ine
.o
rg
Novell Security Manager
– powered by Astaro
Piotr Szewczuk
J
ak wiadomo wszystkim czytelnikom,
firewall jest jednym z głównych ele-
mentów bezpieczeństwa teleinforma-
tycznego każdej firmy. Ogólnie syste-
my firewall można podzielić na dwie kate-
gorie:
• programowe – np. iptables, packet filter,
ipfw,
• „pseudo sprzętowe” – np. Cisco PIX Fire-
wall, Netscreen.
Wymienione pseudo sprzętowe firewal-
le to tak naprawdę firewallee programo-
we dostarczane przez producentów wraz
z dedykowanym sprzętem. Dzięki połącze-
niu oprogramowania i sprzętu oferują du-
ży stopień integracji, co z kolei przekłada
się na prostotę ich konfiguracji. Z drugiej
strony skonfigurowanie i wdrożenie fire-
walla programowego jest o wiele trudniej-
sze niż pseudo sprzętowego, ponieważ wy-
maga od administratora sieci własnoręcz-
nego tworzenia reguł zapory sieciowej. Mi-
mo to trud poniesiony na stworzenie wła-
snych reguł zapory zapewnia idealne do-
pasowanie konkretnego firewalla do wy-
magań danej sieci.
W niniejszym artykule chciałbym przed-
stawić i opisać oprogramowanie Novell Se-
curity Manager (NSM), które próbuje pogo-
dzić prostotę rozwiązań pseudo sprzętowych
z możliwościami jakie dają w pełni progra-
mowe firewalle. Dzięki dodatkowym funk-
cjom jakie posiada w zakresie bezpieczeń-
stwa sieciowego, idealnie nadaje się do bu-
dowy dedykowanych skrzynek bezpieczeń-
stwa które można umieszczać na styku sie-
ci LAN/Internet lub też, po włączeniu opcji
Transparent Mode, jako przezroczystych mo-
stów sieciowy zwiększających bezpieczeń-
stwo wybranych, odseparowanych, segmen-
tów sieci LAN.
Novell Security Manager jest oprogramo-
waniem opartym o system operacyjny SuSE
Rysunek 1.
Ekran powitalny z wyborem typu jądra
Rysunek 2.
Ustawienie adresu IP dla interfejsu administracyjnego
Autor hobbystycznie i zawodowo zajmuje
się Linuksem i systemami Unix od 1998 r.
Obecnie pracuje jako konsultant systemu
SuSE Linux. Poza kompilacją systemów
i programów interesuje się “kompilacją” po-
traw w kuchni.
Kontakt z autorem: piotr.szewczuk@
gmail.com
O autorze
Linux, wykorzystującym oprogramowanie
iptables jako pakiet filtrujący, które oprócz
funkcji filtrujących posiada następujące moż-
liwości:
• ochrona antywirusowa ruchu http i e-mail,
• ochrona przed spamem,
• ochrona przed spyware,
• serwer DNS i DHCP,
• wykrywanie prób włamań do sieci - IDS,
• tworzenie tuneli VPN.
Dużą funkcjonalność i elastyczność osiągnię-
to dzięki połączeniu i wykorzystaniu takich
projektów OpenSource jak: WebAdmin, Squ-
id, Snort, Clamav, Bind, Socks, Dhcpd, IPsec
czy też RRDtools. Każda z usług, dla zwięk-
54
styczeń 2007
bezpieczeństwo
Novell Security Manager
55
www.lpmagazine.org
bezpieczeństwo
Novell Security Manager
szenia bezpieczeństwa, działa w środowisku
chroot a całość jest dobrze zintegrowana i za-
rządzana za pomocą przeglądarki interneto-
wej po szyfrowanym połączeniu SSL.
Wymagania
Novell Security Manager do poprawnej pra-
cy wymaga dedykowanego serwera o nastę-
pujących parametrach:
• min. procesor Pentium II lub kompaty-
bilny – obsługa do 100 użytkowników
• min. procesor Pentium III lub kompaty-
bilny – obsługa powyżej 100 użytkowni-
ków
• min. 256 MB RAM
• min. 8 GB HDD (IDE or SCSI)
• CD-ROM
• min. 2 karty sieciowe
Jak widać przedstawione wymagania nie są
wygórowane co pozwala na wykorzystanie
starszych komputerów, co z kolei przekłada
się na koszt wdrożenia.
Instalacja
Testową 45-dniową najnowszą wersję NSM
6.0 można pobrać ze strony “download” fir-
my Novell (obraz iso zajmuje 278 MB). Przed
instalacją należy zwrócić szczególną uwagę
na fakt, że NSM domyślnie formatuje wszyst-
kie dane z dysku na którym będzie instalo-
wany!!! Odpowiednie komunikaty informu-
jące o tym fakcie pojawiają się kilkukrotnie
podczas instalacji. Z tego powodu testy NSM
należy wykonywać na dedykowanym kom-
puterze lub w wirtualnej maszynie VMwa-
re. Proces instalacji jest ograniczony do mi-
nimum dzięki czemu po 15 minutach (pod-
stawowa konfiguracja plus kopiowanie pa-
kietów) otrzymujemy działający system go-
towy do pracy. Instalacja rozpoczyna się od
wyboru jądra systemu (single lub smp), na-
stępnie możemy wybrać układ klawiatury,
region (Europe–>Warsaw) oraz datę i czas sys-
temowy.
Kolejnym ważnym elementem jest wy-
bór, który z dostępnych interfejsów siecio-
wych będzie pełnił rolę interfejsu administra-
cyjnego i nadanie mu odpowiedniego adresu
IP. Dostęp do panelu administracyjnego bę-
dzie możliwy tylko poprzez ten interfejs.
Po zaakceptowaniu kolejnego monitu z in-
formacją o skasowaniu wszystkich danych
przy instalacji NSM następuje podział dysku
na partycje oraz kopiowanie pakietów.
Po skopiowaniu pakietów i restarcie ser-
wera system jest gotowy do pracy.
Konfiguracja
Konfiguracja NSM rozpoczyna się po pierw-
szym uruchomieniu systemu. W tym celu na-
leży w przeglądarce internetowej podać ad-
res https://ip_interfejsu_administracyjnego. Ko-
munikacja odbywa się za pomocą proto-
kołu ssl z wygenerowanymi przykładowy-
mi certyfikatami. Przy pierwszym urucho-
mieniu pojawia się okno gdzie należy po-
dać hasła dla kont używanych przy pracy
z NSM, są to:
• konto administracyjne WebAdmin - “ad-
min”
• konto użytkownika shell - “loginuser”
• konto użytkownka shell z uprawnienia-
mi administracyjnymi - “root”
Po ustawieniu haseł można się już zalogo-
wać do panelu administracyjnego na konto
“admin”.
Po zalogowaniu się można przystąpić
do dalszej konfiguracji. Na początek należy
ustawić pozostałe interfejsy sieciowe Net-
work–>Interfaces (można oznaczyć która kar-
ta sieciowa to wewnętrzny interfejs, a która
to zewnętrzny)
oraz uzupełnić licencję System–>Licen-
sing i wgrać najnowsze poprawki do NSM
System–>Up2Date Service. Dodatkowo istnieje
możliwość zamiany automatycznie wygene-
rowanych certyfikatów SSL na swoje własne
System–>WebAdmin Site Certificate. NSM mo-
że pełnić rolę serwera pośredniczącego dla ta-
kich usług jak: http, smtp, pop3, dns. Opcje od-
powiedzialne za te funkcje znajdują się w sek-
cji Proxies. Dla ruchu http istnieje możliwość
Rysunek 3.
Podział dysku na partycje i kopiowanie pakietów
Rysunek 4.
Widok głównej strony programu NSM
56
styczeń 2007
bezpieczeństwo
Novell Security Manager
57
www.lpmagazine.org
bezpieczeństwo
Novell Security Manager
ustawienia opcji ochrony przeglądania stron
www (surf protection) oraz buforowania (ca-
ching). Pocztę elektroniczną możemy spraw-
dzać pod kątem występowania wirusów (vi-
rus protection), poprawności nagłówków (mi-
me error checking), typu przesyłanych załącz-
ników (file extension filter) oraz występowania
spamu (Spam Protection). Opcjonalnie można
także skorzystać z list RBL oraz Greylist.
Reguły, które będą używane przez fi-
rewall ustala się w sekcji Packet Filter–>Ru-
les. W NSM tworzenie reguł nie jest skom-
plikowaną operacją. Za pomocą kilku klik-
nięć myszy, i wcześniejszego zdefiniowa-
nia interfejsów, można tworzyć reguły wy-
bierając z listy odpowiednie interfejsy, typy
usług oraz akcje dla danych reguł (przyjmo-
wanie, odrzucanie, porzucanie itp). Dodat-
kowo każda reguła ma interpretację graficz-
ną co ułatwia ich interpretację przez osobę
administrującą.
Kolejną bardzo przydatną dla adminis-
tratorów funkcją jaką oferuje NSM jest ra-
portowanie. Ponieważ NSM jest pomyśla-
ny jako oprogramowanie instalowane na
serwerach przez które ma odbywać się
ruch sieciowy statystyki jakie oferuje są
bardzo rozbudowane i użyteczne. Pro-
gram oferuje między innymi następujące
statystyki: administracyjne (ilość logowań
na konto admin, aktualizacje systemu i baz
antywirusowych), systemowe (użycie pro-
cesora, pamięci RAM, pamięci Swap, inter-
fejsów sieciowych), filtrowanych pakietów,
opcji związanych z wykrywaniem włamań
(np. prób skanowań portów), użycia proxy
dla ruchu www czy też związanych z filtro-
waniem treści.
Podsumowanie
Funkcje, jakie oferuje NSM oraz prostota
ich konfiguracji robią duże wrażenie. Widać,
że producent tworząc produkt starał się aby
był on intuicyjny, jak najprostszy w uży-
waniu oraz zachowywał duże możliwości
w zakresie oferowanego “bezpieczeństwa”.
Niestety nie ma “róży bez kolców”. Dużym
minusem NSM jest sposób licencjonowania.
Aby w pełni skorzystać z produktu należy
zakupić licencję NSM uzależnioną od ilo-
ści “chronionych” urządzeń w sieci, ubez-
pieczenie wersji, maintenance oraz osobno
licencję na ochronę poczty elektronicznej,
ochronę ruchu www oraz opcję HA (opcja
związana z możliwością uruchomienia klas-
tra NSM).
Na stronie producenta wymienionych
jest 6 rodzajów licencji. Niestety takie po-
dejście do licencjonowania może spowodo-
wać, że klienci poczują się zagubieni w gą-
szczu wymagań licencyjnych, jakie mu-
szą spełnić aby cieszyć się z możliwości ja-
kie daje NSM. Sądzę jednak, że może się to
zmienić w przypadku “nacisków” na firmę
Novell przez klientów, celem zmiany spo-
sobu licencjonowania, oraz dużym zainte-
resowaniem samym produktem. Pomimo
“trudnego” sposobu licencjonowania za-
praszam do pobrania i przetestowania No-
vell Security Manager.
Rysunek 5.
Konfiguracja interfejsów sieciowych w programie NSM
Rysunek 6.
Przykład reguł filtrujących w programie NSM
Rysunek 7.
Przykład statystyki ochrony antywirusowej
• Wersja testowa
http://download.novell.com/
Download?buildid=dwms_
oxwtD8
• Sposób licencjonowania
http://www.novell.com/
products/securitymanager/
howtobuy.html
W Sieci