sikkerhet

Newsforge gjør oppmerksom på at det finnes et nytt program for å konfigurere IPTables, den innebygde brannmuren som følger med praktisk talt alle distribusjoner. Firestarter skal være meget lett å bruke, skjermbildene minner om noe som man ville forvente å finne under Windows, uten at dette er vondt ment i akkurat dette tilfellet. Dette er langt fra den mest fleksible løsningen, men dersom du vil beskytte en enkelt arbeidsstasjon uten for mye trøbbel så er dette antageligvis helt ypperlig. Programmet gjør det også mulig å dele en forbindelse til internett via NATing (Network Address Translation).

PC Magazine testet i Desember Astaro Security Linux og ga den 4.5 av 5 stjerner, i tillegg til at produktet ble Editor's Choice. Prislappen på $1460 for ti brukere kan virke noe stiv, inntil du leser hele spesifikasjonen på dette produktet. Inkludert i pakken får du en brannmur, filtrering og virus-sjekk av all trafikk, rensing av epost og støtte for flere VPN klienter. Det hele administreres fra et meget oversiktlig web-interface eller fra en mere avansert klient. Dersom du ønsker å se på alternativer bør du titte innom Smoothwall.org og m0n0wall. Sistnevnte er basert på FreeBSD og gir dermed Linux-baserte nettverk et ekstra lag med sikkerhet, i tilfelle det oppdages feil i Linux. Det er selvfølgelig mulig å bruke en hvilken som helst distribusjon også, men dette er ofte litt mere krevende og krever at man virkelig setter seg inn i TCP/IP.

Honeynet.org er en løst knyttet organisasjon med folk som setter maskiner ut på internett for å lære hvordan de crackes. De har nylig sluppet en ny KYE ("Know Your Enemies") rapport med noen interessante funn (PDF). Linux systemer som ikke vedlikeholdes overlever nå oftere i mer enn tre måneder. Selv om dette kanskje høres lite ut, så er dette betydelig bedre enn for noen år tilbake. Rapporten antyder at hovedårsaken er at mange distribusjoner er mere nøkternt konfigurert enn tidligere, mindre tjenester blir startet automatisk og iptables blir brukt som standard. Altfor få Windows maskiner ble testet til at man kan konkludere noe på dette området, mange ble hacket i løpet av få minutter mens noen få overlevde i tre måneder. Noe overraskende er det at tre av de fire Solaris maskinene som var med ble knekket på under 3 uker. News.com dekker saken og har intervjuet en av sikkerhetsekspertene til Microsoft.

Denne nyheten hos Slashdot er viktig nok til å fortjene en link. SecurityFocus har en artikkel som diskuterer cracking av WEP og langt på vei avliver myten om at ditt trådløse nettverk er sikkert dersom du bruker WEP med mange nok bits.

De som bruker PPTP bør lese hva George Ou hos ZDNet har å si, uansett om du bruker dette for ordentlig VPN eller sikring av trådløse nett. Bakgrunnen er at Joshua Wright har sluppet en ny versjon av asleap. Såvidt undertegnede kan forstå så må både Microsoft produkter og andre løsninger være berørt.

Det er antageligvis ganske mye som skjer på nettverket ditt som du ikke vet om, selv hvis du er en hjemmebruker med kun to maskiner. En av de beste måtene å lære seg om TCP/IP (protokollen som driver internett) er å disekkere et par pakker og se hvordan de er bygget opp. For å gjøre dette fanger du først opp noen eksemplarer ved hjelp av en sniffer, et program lytter etter datapakkene som fyker rundt på nettverket. En del av disse analyserer pakkene automatisk, men du er nok best tjent med å kunne gjøre det manuelt også.

Å sette opp VPN (Virtual Private Network, sikre forbindelser på tvers av usikre nettverk) kan være både dyrt og frustrerende. Mange velger PPTP, fordi dette er relativt enkelt å sette opp og støttes av de fleste klientene, som ofte er Windows laptoper. Desverre har protokollen hatt en del sikkerhetsproblemer og er mindre fleksibel enn mange av alternativene. IPSec, et annet alternativ, er langt mere fleksibelt, men har et ikke helt ufortjent rykte på seg for å være notorisk komplisert. Et sted i midten finner du OpenVPN, en løsning som bruker OpenSSL for kryptering og kan brukes på Linux, Windows, BSD, Mac OS X, and Solaris. Også denne løsningen krever litt innsats, men du finner svært god hjelp på LinuxJournal.com og i dens egen dokumentasjon.

Dersom du jobber for en bedrift som ønsker å introdusere Linux på nettverket, men som primært kjører Windows i dag, kan det være et strev å overføre alle brukerne. Newsforge viser deg hvordan du kan bruke Windows sine Active Directory tjenester for å autentisere brukere på Linux maskiner, både servere og arbeidsstasjoner. Dette gjør at du fortsatt kan beholde en sentral brukerdatabase og du slipper å legge inn alle brukerne på nytt. Dersom Linux skulle få fotfeste er det også mulig å overføre disse brukerne til en vanlig LDAP database via verktøyene som følger med Samba 3.x.

ZDNet rapporterer at Coverity, Inc som spesiealiserer seg på automatisk kildekode analyse for C/C++ programmer har kommet frem til at Linux kjernen har langt mindre feil enn andre komersielle løsninger. Coverity har funnet 985 feil i 5,7 millioner linjer med kode som Linux 2.6-kjernen er bygd opp av. Dette høres kanskje mye ut, men i følge en studie gjort av Carnegie Mellon University har typiske proprietære alternativer, hvis vi antar at lengden er ca den samme, rundt 130 000 feil i koden.

Ukas utvalgte artikkel hos Linuxguiden er GnuPG. GnuPG er en forkortelse for GNU Privacy Guard, GNU sin implementasjon av OpenPGP-standarden. GnuPG brukes normalt til å signere informasjon, slik at en kan verifisere at informasjonen kommer fra den man tror. En kan også bruke den til å kryptere informasjon til en gitt mottager slik at kun den gitte mottageren er i stand til å dekryptere informasjonen. Spesielt interessant kan dette være over potensielt utrygge kommunikasjonskanaler, for eksempel e-post.

Linuxguiden har en utmerket artikkel som går i dybden på hvordan iptables fungerer. Feil-konfigurasjon er en av hovedårsakene til at maskiner blir hacket, men dersom du virkelig tar til deg alt som står i denne teksten så vil du ihvertfall neppe få problemer med brannmuren. En god test er å se om du kan forklare dette bildet. Noen flere tips følger.