bezpieczeństwo
Novell Security Manager
Novell Security Manager
 powered by Astaro
Piotr Szewczuk
ak wiadomo wszystkim czytelnikom,
firewall jest jednym z głównych ele-
mentów bezpieczeństwa teleinforma-
J
tycznego każdej firmy. Ogólnie syste-
my firewall można podzielić na dwie kate-
gorie:
" programowe  np. iptables, packet filter,
ipfw,
"  pseudo sprzętowe  np. Cisco PIX Fire-
wall, Netscreen.
Wymienione pseudo sprzętowe firewal-
le to tak naprawdę firewallee programo-
we dostarczane przez producentów wraz
z dedykowanym sprzętem. Dzięki połącze-
Rysunek 2. Ustawienie adresu IP dla interfejsu administracyjnego
niu oprogramowania i sprzętu oferują du-
ży stopień integracji, co z kolei przekłada dzić prostotę rozwiązań pseudo sprzętowych Linux, wykorzystującym oprogramowanie
się na prostotę ich konfiguracji. Z drugiej z możliwościami jakie dają w pełni progra- iptables jako pakiet filtrujący, które oprócz
strony skonfigurowanie i wdrożenie fire- mowe firewalle. Dzięki dodatkowym funk- funkcji filtrujących posiada następujące moż-
walla programowego jest o wiele trudniej- cjom jakie posiada w zakresie bezpieczeń- liwości:
sze niż pseudo sprzętowego, ponieważ wy- stwa sieciowego, idealnie nadaje się do bu-
maga od administratora sieci własnoręcz- dowy dedykowanych skrzynek bezpieczeń- " ochrona antywirusowa ruchu http i e-mail,
nego tworzenia reguł zapory sieciowej. Mi- stwa które można umieszczać na styku sie- " ochrona przed spamem,
mo to trud poniesiony na stworzenie wła- ci LAN/Internet lub też, po włączeniu opcji " ochrona przed spyware,
snych reguł zapory zapewnia idealne do- Transparent Mode, jako przezroczystych mo- " serwer DNS i DHCP,
pasowanie konkretnego firewalla do wy- stów sieciowy zwiększających bezpieczeń- " wykrywanie prób włamań do sieci - IDS,
magań danej sieci. stwo wybranych, odseparowanych, segmen- " tworzenie tuneli VPN.
W niniejszym artykule chciałbym przed- tów sieci LAN.
stawić i opisać oprogramowanie Novell Se- Novell Security Manager jest oprogramo- Dużą funkcjonalność i elastyczność osiągnię-
curity Manager (NSM), które próbuje pogo- waniem opartym o system operacyjny SuSE to dzięki połączeniu i wykorzystaniu takich
projektów OpenSource jak: WebAdmin, Squ-
id, Snort, Clamav, Bind, Socks, Dhcpd, IPsec
czy też RRDtools. Każda z usług, dla zwięk-
O autorze
Autor hobbystycznie i zawodowo zajmuje
się Linuksem i systemami Unix od 1998 r.
Obecnie pracuje jako konsultant systemu
SuSE Linux. Poza kompilacją systemów
i programów interesuje się  kompilacją po-
traw w kuchni.
Kontakt z autorem: piotr.szewczuk@
gmail.com
Rysunek 1. Ekran powitalny z wyborem typu jądra
54 styczeń 2007
autorzy@lpmagazine.org
bezpieczeństwo
Novell Security Manager
Konfiguracja
Konfiguracja NSM rozpoczyna się po pierw-
szym uruchomieniu systemu. W tym celu na-
leży w przeglądarce internetowej podać ad-
res https://ip_interfejsu_administracyjnego. Ko-
munikacja odbywa się za pomocą proto-
kołu ssl z wygenerowanymi przykładowy-
mi certyfikatami. Przy pierwszym urucho-
mieniu pojawia się okno gdzie należy po-
dać hasła dla kont używanych przy pracy
z NSM, są to:
" konto administracyjne WebAdmin -  ad-
min
" konto użytkownika shell -  loginuser
" konto użytkownka shell z uprawnienia-
mi administracyjnymi -  root
Rysunek 3. Podział dysku na partycje i kopiowanie pakietów
Po ustawieniu haseł można się już zalogo-
szenia bezpieczeństwa, działa w środowisku kietów) otrzymujemy działający system go- wać do panelu administracyjnego na konto
chroot a całość jest dobrze zintegrowana i za- towy do pracy. Instalacja rozpoczyna się od  admin .
rządzana za pomocą przeglądarki interneto- wyboru jądra systemu (single lub smp), na- Po zalogowaniu się można przystąpić
wej po szyfrowanym połączeniu SSL. stępnie możemy wybrać układ klawiatury, do dalszej konfiguracji. Na początek należy
region (Europe >Warsaw) oraz datę i czas sys- ustawić pozostałe interfejsy sieciowe Net-
Wymagania temowy. work >Interfaces (można oznaczyć która kar-
Novell Security Manager do poprawnej pra- Kolejnym ważnym elementem jest wy- ta sieciowa to wewnętrzny interfejs, a która
cy wymaga dedykowanego serwera o nastę- bór, który z dostępnych interfejsów siecio- to zewnętrzny)
pujących parametrach: wych będzie pełnił rolę interfejsu administra- oraz uzupełnić licencję System >Licen-
cyjnego i nadanie mu odpowiedniego adresu sing i wgrać najnowsze poprawki do NSM
" min. procesor Pentium II lub kompaty- IP. Dostęp do panelu administracyjnego bę- System >Up2Date Service. Dodatkowo istnieje
bilny  obsługa do 100 użytkowników dzie możliwy tylko poprzez ten interfejs. możliwość zamiany automatycznie wygene-
" min. procesor Pentium III lub kompaty- Po zaakceptowaniu kolejnego monitu z in- rowanych certyfikatów SSL na swoje własne
bilny  obsługa powyżej 100 użytkowni- formacją o skasowaniu wszystkich danych System >WebAdmin Site Certificate. NSM mo-
ków przy instalacji NSM następuje podział dysku że pełnić rolę serwera pośredniczącego dla ta-
" min. 256 MB RAM na partycje oraz kopiowanie pakietów. kich usług jak: http, smtp, pop3, dns. Opcje od-
" min. 8 GB HDD (IDE or SCSI) Po skopiowaniu pakietów i restarcie ser- powiedzialne za te funkcje znajdują się w sek-
" CD-ROM wera system jest gotowy do pracy. cji Proxies. Dla ruchu http istnieje możliwość
" min. 2 karty sieciowe
Jak widać przedstawione wymagania nie są
wygórowane co pozwala na wykorzystanie
starszych komputerów, co z kolei przekłada
się na koszt wdrożenia.
Instalacja
Testową 45-dniową najnowszą wersję NSM
6.0 można pobrać ze strony  download fir-
my Novell (obraz iso zajmuje 278 MB). Przed
instalacją należy zwrócić szczególną uwagę
na fakt, że NSM domyślnie formatuje wszyst-
kie dane z dysku na którym będzie instalo-
wany!!! Odpowiednie komunikaty informu-
jące o tym fakcie pojawiają się kilkukrotnie
podczas instalacji. Z tego powodu testy NSM
należy wykonywać na dedykowanym kom-
puterze lub w wirtualnej maszynie VMwa-
re. Proces instalacji jest ograniczony do mi-
nimum dzięki czemu po 15 minutach (pod-
stawowa konfiguracja plus kopiowanie pa- Rysunek 4. Widok głównej strony programu NSM
www.lpmagazine.org 55
bezpieczeństwo
Novell Security Manager
ruch sieciowy statystyki jakie oferuje są
bardzo rozbudowane i użyteczne. Pro-
gram oferuje między innymi następujące
statystyki: administracyjne (ilość logowań
na konto admin, aktualizacje systemu i baz
antywirusowych), systemowe (użycie pro-
cesora, pamięci RAM, pamięci Swap, inter-
fejsów sieciowych), filtrowanych pakietów,
opcji związanych z wykrywaniem włamań
(np. prób skanowań portów), użycia proxy
dla ruchu www czy też związanych z filtro-
waniem treści.
Podsumowanie
Funkcje, jakie oferuje NSM oraz prostota
Rysunek 5. Konfiguracja interfejsów sieciowych w programie NSM ich konfiguracji robią duże wrażenie. Widać,
że producent tworząc produkt starał się aby
był on intuicyjny, jak najprostszy w uży-
waniu oraz zachowywał duże możliwości
w zakresie oferowanego  bezpieczeństwa .
Niestety nie ma  róży bez kolców . Dużym
minusem NSM jest sposób licencjonowania.
Aby w pełni skorzystać z produktu należy
zakupić licencję NSM uzależnioną od ilo-
ści  chronionych urządzeń w sieci, ubez-
pieczenie wersji, maintenance oraz osobno
Rysunek 6. Przykład reguł filtrujących w programie NSM
licencję na ochronę poczty elektronicznej,
ustawienia opcji ochrony przeglądania stron nięć myszy, i wcześniejszego zdefiniowa- ochronę ruchu www oraz opcję HA (opcja
www (surf protection) oraz buforowania (ca- nia interfejsów, można tworzyć reguły wy- związana z możliwością uruchomienia klas-
ching). Pocztę elektroniczną możemy spraw- bierając z listy odpowiednie interfejsy, typy tra NSM).
dzać pod kątem występowania wirusów (vi- usług oraz akcje dla danych reguł (przyjmo- Na stronie producenta wymienionych
rus protection), poprawności nagłówków (mi- wanie, odrzucanie, porzucanie itp). Dodat- jest 6 rodzajów licencji. Niestety takie po-
me error checking), typu przesyłanych załącz- kowo każda reguła ma interpretację graficz- dejście do licencjonowania może spowodo-
ników (file extension filter) oraz występowania ną co ułatwia ich interpretację przez osobę wać, że klienci poczują się zagubieni w gą-
spamu (Spam Protection). Opcjonalnie można administrującą. szczu wymagań licencyjnych, jakie mu-
także skorzystać z list RBL oraz Greylist. Kolejną bardzo przydatną dla adminis- szą spełnić aby cieszyć się z możliwości ja-
Reguły, które będą używane przez fi- tratorów funkcją jaką oferuje NSM jest ra- kie daje NSM. Sądzę jednak, że może się to
rewall ustala się w sekcji Packet Filter >Ru- portowanie. Ponieważ NSM jest pomyśla- zmienić w przypadku  nacisków na firmę
les. W NSM tworzenie reguł nie jest skom- ny jako oprogramowanie instalowane na Novell przez klientów, celem zmiany spo-
plikowaną operacją. Za pomocą kilku klik- serwerach przez które ma odbywać się sobu licencjonowania, oraz dużym zainte-
resowaniem samym produktem. Pomimo
 trudnego sposobu licencjonowania za-
praszam do pobrania i przetestowania No-
vell Security Manager.
W Sieci
" Wersja testowa
http://download.novell.com/
Download?buildid=dwms_
oxwtD8
" Sposób licencjonowania
http://www.novell.com/
products/securitymanager/
howtobuy.html
Rysunek 7. Przykład statystyki ochrony antywirusowej
56 styczeń 2007