Software::Security
NSA stellt Werkzeug zur Systemsicherheit unter freie Lizenz
Die US-amerikanische Sicherheitsbehörde NSA ist dabei, das Werkzeug »SIMP« (System Integrity Management Platform) der Allgemeinheit zugänglich zu machen. Das anpassbare Werkzeug soll Organisationen dabei helfen, ihre Netze zu Sicherheitsstandards konform zu halten.
Mirko Lindner
Die NSA ist hauptsächlich für ihre durch nichts zu rechtfertigende Spionagetätigkeit berüchtigt. Doch eine weitere Aufgabe der NSA ist es, die Rechnernetze der Behörden vor Datenverlusten, Einbrüchen und Spionage zu schützen. Im Rahmen dieser Aufgaben entstand zum Beispiel das Linux-Sicherheitsmodul SELinux, das seither seine Wirksamkeit in vielen Fällen unter Beweis gestellt hat. Ein etwas anderes Werkzeug aus diesem Bereich ist SIMP, das die NSA zur Zeit freigibt.
SIMP (System Integrity Management Platform) ist der Beschreibung zufolge eine Software, die Organisationen dabei helfen soll, ihre Netze zu Sicherheitsstandards konform zu halten. Es wird als Framework beschrieben, das eine vernünftige Kombination aus Konformität zu Sicherheitsrichtlinien und betrieblicher Flexibilität erreichen will. Es soll letztlich eine vollständige Umgebung zur Verwaltung von Sicherheitsrichtlinien und deren Umsetzung werden. Solche Richtlinien können einem der Profile des SCAP Security Guide-Projekts oder anderen, in der Branche als empfohlene Praxis anerkannten Richtlinien folgen.
Dem Rückgriff auf das auf Red Hat-Produkte spezialisierte SCAP Security Guide-Projekts dürfte es geschuldet sein, dass SIMP zumindest anfänglich nur für Red Hat Enterprise Linux (RHEL) und CentOS in den Versionen 6 und 7 geeignet sein wird. Erste Teile des Codes wurden unter der Apache 2.0-Lizenz bereits auf Github veröffentlicht. Dabei gibt es zwei Zweige, die Version 4.x für CentOS/RHEL 6 und die Version 5.x für CentOS/RHEL 7.
Die Einrichtung von sicheren, mit den Richtlinien konformen Konfigurationen soll mit SIMP automatisiert ablaufen. Um dies zu erreichen, setzt das in Ruby implementierte Programm auf die Konfigurationsverwaltung Puppet mit Puppet Server, PuppetDB und MCollective. Die Authentifikation wird mit OpenLDAP erledigt, die Einrichtung oder Aktualisierung von Systemen mit Yum und Servern für DNS, DHCP und TFTP.
){kind=small}
