Red Hat Enterprise Linux krijgt topveiligheidscertificaat

IBM Red Hat Enterprise Linux 5 is sinds kort gecertificeerd volgens EAL4, een beveiligingskeurmerk dat Red Hat Linux geschikt maakt voor het gebruik bij overheidsinstanties.

Red Hat Enterprise Linux De toegekende certificering is EAL4 augmented with ALC_FLR.3. Voor het bedrijfsleven is dit niveau van certificering niet belangrijk, maar voor gebruik binnen verschillende onderdelen van de overheid is het verplicht. De EAL-certificaten worden toegekend door de Amerikaanse overheidsinstantie National Information Assurance Partnership. Er zijn zeven mogelijke niveaus, variërend van level 1 - functioneel werkend - tot level 7 waarbij het ontwerp en de uitvoering grondig beoordeeld en getest zijn. Een behaalde certificering kan uitgebreid worden met bepaalde extra's, aangegeven met de term augmented. In het geval van Red Hat Enterprise Linux is dit ALC_FLR.3, dat aangeeft of, en in welke mate, een leverancier procedures heeft om ontdekte beveiligingsproblemen op te lossen.

Er is wel een aantal kanttekeningen bij de EAL-certificering te plaatsen; ten eerste is het certificeren van een bepaald product erg kostbaar. Alleen bedrijven die het kunnen betalen zullen dus overgaan tot het aanvragen van een certificaat. Daarnaast zegt een score op de EAL-ranglijst weinig over de echte veiligheid van een product. De onderzoekers kijken namelijk hoe het geteste product voldoet op basis van bepaalde richtlijnen, de zogenaamde Common Criteria. Zonder te weten tegen welke criteria - de Protection Profiles - het product getoetst is, zegt een EAL-score weinig. Een product kan bijvoorbeeld volgens de Controlled Access Protection Profile gecertificeerd zijn. Hierin staat ondermeer dat het geteste product zich moet bevinden in een niet-vijandige, goed beheerde omgeving, en dat het product niet bedoeld is om beveiliging te bieden tegen aanvallen van buitenaf. Verschillende Linux-distributies, maar bijvoorbeeld ook Windows Server 2003 zijn EAL4-gecertificeerd volgens CAPP.

IBM's Red Hat Enterprise Linux is misschien niet de eerste Linux-variant die de EAL4-certificering heeft gehaald, maar het is wel de eerste keer dat het volgens het Labeled Security Protection Profile is gebeurd. LSPP is gericht op het inrichten, beheren en controleren van toegang tot informatie door verschillende gebruikers en biedt meer garanties dan CAPP. IBM is enkele jaren bezig geweest om deze zogenaamde Security Enhanched Linux-functionalteit aan zijn product toe te voegen. SE Linux is inmiddels een onderdeel van Enterprise Linux 5 en certificering van deze functionaliteit was een logische vervolgstap. Naast LSPP voldoet Enterprise Linux 5 ook op EAL4-niveau aan de Role Based Access Control Protection-criteria. Volgens Dan Frye, IBM's vice-president of open systems, is het uniek dat een commercieel pakket standaard ondersteuning biedt voor multilevel security: 'De certificering is goed nieuws voor de hele Linux-gemeenschap, het toont aan dat Linux geschikt is voor gebruik in omgevingen waar beveiliging van informatie van levensbelang is.'

Reacties (39)

gwayne 19 juni 2007 04:17

Zowel Suse/Novell als Redhat hebben deze certificaties nodig. Niet alleen om binnen te komen bij Amerikaanse regering gerelateerde organisaties, maar ook bij buitenlandse organisaties die waarde hechten aan deze certificering. Lees internationale organisaties zoals banken en verzekering's maatschappijen.

Over het goed of slecht zijn van een distributie zegt het helemaal niets. Het zegt alles over de structuur van het operating systeem dat voldoet aan de beveiligings eisen die de amerikaanse regering er aan stelt.

Wat betreft functionaliteit kan men waarschijnlijk bijna alles nabouwen met een Debian based linux, maar deze worden (nog) niet gesupport door de grote hardware leveranciers en niet door een grote software leverancier, en zullen dus niet worden geïmplementeerd.

Het is wachten op Microsoft Debian versie 1 .........

Verwijderd 18 juni 2007 15:11

Volgens mij zegt het volgende bericht, Red Hat en IBM sluiten overeenkomst voldoende over de samenwerking tussen Red Hat en IBM.

Dreams @Verwijderd • 18 juni 2007 15:37

ah! thanks!

dat verklaart idd de titel. En met IBM's greep op de grotere bedrijven en overheid kan Red hat linux hiermee flinke sprongen maken bij lokale en internationale overheden.

Vooral nu IBM een soort virtualisatie biedt waarmee grote mainframes opgebroken kunnen worden in meerder kleinere machientjes met Linux er op. Scheelt vloeroppervlak, stroom, koeling e.d., net als virtualisatie in het algemeen. Maar vooral dat dit op grote IBM dozen kan, zal voor enkele conservatieve systeembeheerders, die bang zijn voor virtualisatie omdat ze het nog niet kennen, wel de drempel verlagen.

Sendy @Dreams • 18 juni 2007 17:42

De "virtualisatie" op IBM mainframes bestaat al heel wat jaartjes hoor. Bijvoorbeeld via LPAR maar ook via VM.

Maar goed, dit MLS support en certificering is totaal onbelangrijk voor de "kleine" man. Het is te ingewikkeld om te gebruiken en in te regelen. Zoals ik eerder zei, er zijn maar enkele sites waar het noodzakelijk is.

bazzs2001 @TGoC • 18 juni 2007 15:00

Heeft een OpenSource Operating System zoals Redhat daar uberhaubt geld voor?

Wat heeft het opensource zijn of niet met geld te maken? Doel van Red Hat is gewoon geld verdienen hoor...

Ik zie namelijk geen meerwaarde voor Red Hat doormiddel van deze certificering.

Is ook niet de bedoeling, bepaalde Amerikaanse overheidsinstanties kunnen nu dus gebruik maken van dit OS, anders niet. Is misschien een redelijk interessante markt voor Red Hat.

Ik vind het maar een domme actie, vooral omdat Red Hat nogal een slechte naam heeft en zo'n certificering het er niet echt beter op maakt.

Red Hat slechte naam? is mij iets ontgaan?

Certificering slecht voor je naam? nog een vreemde conclusie

Verwijderd @TGoC • 18 juni 2007 15:09

"Red Hat staat al jaren bekend als een van slechtere LINUX OS"

tja...daarom levert bijv. Dell het ook mee met z'n serverlijn en wordt de Enterprise edition zeer veel gebruikt als serveros, ook bij mij op het werk.

Sorry hoor, maar ik heb werkelijk geen idee waar jij je mening op baseert...

P.S. Ik zie in je profile dat je "ICT Systeembeheerder niv 4" bent; toch leuk dat je op de 4e verdieping van een kantoorpand mag werken....

[Reactie gewijzigd door Verwijderd op 23 juli 2024 10:10]

PHiXioN @TGoC • 18 juni 2007 16:11

FreeBSD is geen Linux en Debian is niet gericht op de zakelijke markt. Verder zou je eens kunnen proberen om je mening eens te onderbouwen met argumenten. Zomaar een mening neerknallen zonder enigzins te tonen dat je mening ergens op is gebaseerd is wel erg makkelijk, en daar heeft niemand iets aan.

TGoC @PHiXioN • 18 juni 2007 16:44

Integendeel Debian is weldegelijk gericht op zakelijke (/ beide) markt...

Verwijderd @TGoC • 18 juni 2007 20:02

In vergelijking met RHEL is Debian echt totaal niet gericht op de zakelijke markt. Ze bieden niet eens professionele support, wat nodig is voor de echte zakelijke markt. Een community, daar hebben ze (misschien te bevooroordeeld, maar dit is subjectief) geen vertrouwen in, of toch niet genoeg. Men heeft nood aan een goede officiële supportlijn, die altijd beschikbaar is, desnoods voor betaling. Zelfs Ubuntu scoort op dit vlak beter. Kijk je bv. op de supportpagina van Debian, dan vind je alleen maar een knowledge base, aangevuld met paar bekende problemen en handleidingen. Verder heb je onofficiële support via mailing lists & IRC, waar het vaak gewoon gebruikers zijn die niet gecertificeerd zijn die je willen helpen. Wanneer er iets fout gaat, wie zal er dan voor opdraaien? Persoon X op IRC channel? Fouten in ICT-toepassingen in bedrijven kunnen snel oplopen tot een paar duizenden euro's, grote bedrijven kunnen zelfs een miljoen onkosten krijgen...

Jesse @Verwijderd • 19 juni 2007 08:48

Net alsof Redhat of Ubuntu jou de kosten gaan vergoeden die zijn ontstaan door het falen van hun software

.
Wat maakt het uit of een puber op een irc kanaal gecertificeerd is als die jou in een mum van tijd aan een oplossing helpt? (bij wijze van spreken) Zo'n duur contract is leuk en aardig, maar al met al zal je praktisch nooit meer terugkrijgen dan dat je eerder zelf betaald hebt.

Als je zelf goed ter zake kundig bent kan je perfect Debian gebruiken in een bedrijf. (Of FreeBSD bijvoorbeeld.)

Verwijderd @Jesse • 19 juni 2007 09:42

"Wat maakt het uit of een puber op een irc kanaal gecertificeerd is als die jou in een mum van tijd aan een oplossing helpt?"

Dit maakt dus wel degelijk veel uit voor een manager; je hoeft bij mij op het werk niet aan te komen met onofficiele support via IRC etc, hoe goed de oplossing ook is. Een beetje professioneel bedrijf heeft supportcontracten i.v.m. continuiteit. Hier zie je dus duidelijk het verschil tussen professioneel/hobby werken.

"Net alsof Redhat of Ubuntu jou de kosten gaan vergoeden die zijn ontstaan door het falen van hun software"

In theorie zou dit moeten kunnen, maar dan moet ik de kleine lettertjes van het support-contract lezen; in de praktijk gebeurd dit uiteraard nooit

Jesse @Verwijderd • 19 juni 2007 11:14

Dit maakt dus wel degelijk veel uit voor een manager; je hoeft bij mij op het werk niet aan te komen met onofficiele support via IRC etc, hoe goed de oplossing ook is.

Wat je je eens eerlijk af moet vragen is wat nou het verschil is tussen die support van dure gecertificeerde mensen die je bij bv. Redhat aan de lijn krijgt (bij wijze van spreken een telefonist met RHCE papiertje) of een iemand (ervaren kernel-hacker bijvoorbeel) die je op IRC of een mailinglist helpt.

Een beetje professioneel bedrijf heeft supportcontracten i.v.m. continuiteit.
Hier zie je dus duidelijk het verschil tussen professioneel/hobby werken.

Zo'n argumentatie is natuurlijk onzin. Het is uiteraard een keuze van je management, maar een bedrijf is niet pas professioneel als je support contracten hebt. Het is heel goed mogelijk om van bijvoorbeeld Debian of FreeBSD gebruik te maken en zelf de support daarop te leveren.

[Reactie gewijzigd door Jesse op 23 juli 2024 10:10]

Verwijderd @Jesse • 19 juni 2007 11:36

@Jesse

Wat je je eens eerlijk af moet vragen is wat nou het verschil is in die support tussen van dure gecertificeerde mensen die je bij bv. Redhat aan de lijn krijgt (bij wijze van spreken een telefonist met RHCE papiertje) of een ervaren kernel-hacker (bijvoorbeel) die je op IRC of een mailinglist helpt.

Er wel degelijk verschillen. De kwalitiet zal mogelijk de zelfde zijn. Voor RHES en SLES wordt gedurende 7 jaar support geleverd op het OS. Dit betekend dat de kernel versie en pakket versie gelijk blijven, ze zullen bug en security fixes maken. Dus stel je hebt een checkpoint firewall op de RHEL 3 geïnstalleerd dat ineens de kernel versie omhoog gaat als er bijvoorbeeld een security exploit was. Waardoor de kernel module niet meer werkt.

Of bijvoorbeeld een ander programma zeg apache heeft in de tussen tijd configuratie optie veranderingen aangebracht waardoor je configuratie file niet meer werkt, na een bug exploit fix.

Dit zijn zaken die bij Enterprise versies gegarandeerd zijn. Vaak wordt binnen releases van niet Enterprise versies de versie van de individuele pakketten niet verhoogd, is niet voor iedere distro.

Voor de duidelijkheid de kwaliteit van niet Enterprise versie is ook perfect in de meeste gevallen. Ik ben zelf bijvoorbeeld OpenSuSE gebruiker.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 10:10]

Verwijderd @Jesse • 19 juni 2007 11:48

"Het is heel goed mogelijk om van bijvoorbeeld Debian of FreeBSD gebruik te maken en zelf de support daarop te leveren."

Tja...dat komt in de praktijk vaak neer op 1 man die er alles vanaf weet en als die ene man weg is uit je bedrijf heb je een probleem... (dit heb ik persoonlijk meerdere malen meegemaakt).
Heb je het (niet onbelangrijke) woord continuiteit wel gelezen?

Bij 'officiele' support zit er (als het goed is) een complete afdeling met expertise achter.

Even voor de duidelijkheid: ik beweer zeker NIET dat een hobbiest/ervaren hacker niet kundig is, want dat zijn ze vaak natuurlijk wel...

Een gemiddeld management (als je daar van kunt spreken) wil gewoon support-contracten op hardware/software om ergens op terug te kunnen vallen om niet afhankelijk te zijn van individuen.

Verwijderd @TGoC • 19 juni 2007 14:24

De slechte naam komt denk ik namelijk door de debian-adepts die alles wat RPM aan boord heeft verafschuwen, ze verafschuwen de RPM-hell.

Deze wijsneuzen leven namelijk halverwege de jaren 90 uit de vorige eeuw, tegenwoordig hebben de meeste Linux disatributie die RPM gebruiken hiervoor hele goede tools ontwikkelt die deze "hell" niet meer mogelijk maken, in feite heb je met RPM meer mogelijkheden om bestanden te beheren dan met DEB bestanden.

Onder beheren versta ik, dat ik kan zien waar de bestanden zijn geinstalleerd, wat de beschrijving van het bestand is, welk bestand in welke RPM zit, etc....

Met debian zit ik regelmatig uit te vogelen wat waar bij hoort en apt geeft mij daar niet de benodigde tools voor.

OOh ja nog wat, wanneer men de bronnen (van yum, urpmi of apt) niet regelmatig opwaardeert dan heeft zelfs apt problemen met de afhankelijkheden.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 10:10]

FuzzyLogic66 @TGoC • 18 juni 2007 16:23

Waar baseer jij je mening op dan? Want ik heb het gevoel dat je gewoon staat te lullen over iets waar je helemaal niks van af weet.

EDIT: Dit was bedoeld voor TGoC

[Reactie gewijzigd door FuzzyLogic66 op 23 juli 2024 10:10]

TGoC @FuzzyLogic66 • 18 juni 2007 16:47

Ik baseer mijn mening op eigen ervaring.

Ik heb zowel Red Hat (FC2 toendertijd) als Debian Sarge (3.1) vergeleken met elkaar.

En kwa stabiliteit, functionaliteit en snelheid was de winnaar overduidelijk Debian Sarge.

Ik heb de benchmarks helaas inmiddels weggedaan omdat zowel beide inmiddels een heel stuk vooruit zijn gegaan.

Ik zie echter nog steeds geen rede om nu te wisselen van Debian Etch naar Red Hat FC 7.

Sjaaksken @TGoC • 19 juni 2007 12:16

er is wel een wezenlijk verschil tussen

A) een voorkeur hebben voor debian tov Redhat

Redhat een slechte distributie noemen

En natuurlijk iedereen heeft recht op een eigen mening,
maar je drukt je ofwel fout uit ofwel zit je er volledig naast: Redhat is leidinggevend qua linuxdistributie. En dan vooral op professioneel gebied: de diensten die redhat aan bedrijven levert, support, ontwikkeling.... staat op een hoger niveau dan deze die je kan krijgen voor debian. Eveneens is er qua stabiliteit, functionaliteit en snelheid geen enkel argument, studie, ervaring,... die insinueren dat er effectief iets schort aan redhat's systeem. Ook op geen enkel linuxforum, -community, -irckannaal leeft deze zienswijze dat er aan Redhat datgene ontbreekt wat jij opsomt.

Debian wordt veel gebruikt op webservers, voor low cost hostingbedrijven, en terecht, debian heeft zeker zijn verdienste (kijk maar naar ubuntu, tevens een van deze verdiensten). De distributies hebben elk wel een paar accenten verschil, maar vergeet niet dat linux een kernel is, dat de opensource broncode op elke distributie compileren valt... Technisch gezien lijkt het me dus onmogelijk om een groot verschil qua prestatie en stabiliteit te verkrijgen tussen de distributies met eenzelfde kernel...

Emielio @TGoC • 18 juni 2007 16:54

@TGoC,

Ook ik snap niet waar jij je onzin vandaan haalt.

Fedora Core is niet te vergelijken met Red Hat Enterprice linux. Daarnaast draaien erg veel webservers op FC, Rhel en Centos. Lijkt me sterk dat hosts voor deze distro's zouden kiezen als RH zo'n slechte naam heeft of zo slecht zou zijn.

WausMaus @TGoC • 18 juni 2007 17:26

@TGoC,

FC2 is echt wel even wat anders dan Rhel hoor...

Edit: te laat....

[Reactie gewijzigd door WausMaus op 23 juli 2024 10:10]

smeaggie @WausMaus • 19 juni 2007 11:00

ach ik kan me ook herinneren dat red hat slecht was... dit was nog lang voordat fedora core uberhaupt bestond, en lang voordat ze een enterprise edition hadden. dat je "red hat 5" op je desktop installeerde (of: probeerde). dat was droevig toendertijd, zeker qua beveiliging. Tegenwoordig heb ik er geen ervaring meer mee, maar zo te horen doen ze het best goed

Vihaio @TGoC • 18 juni 2007 17:26

Zo'n scertificaat is ook niet om jou Red Hat te laten kopen maar om de Amerikaanse overheid Red Hat te laten gebruiken.
dit is een reactie opeen heel ver naarbven staande post van TGoC

[Reactie gewijzigd door Vihaio op 23 juli 2024 10:10]

PHiXioN @TGoC • 18 juni 2007 15:03

Ik zie er wel het nut van in.

Red Hat is gericht op organisaties en bedrijven en daar is risico een heel belangrijke factor. Met zo een certificering hebben die bedrijven een soort van garantie, zekerheid dat het inderdaad veilig is. Ook voor bedrijven die adoptie van Linux overwegen is dit weer een stap dichter bij het over de streep trekken.

Verder heeft een Open Source Operating System inderdaad geen geld voor deze certificering, maar de bedrijven die er achter zitten wel. IBM heeft deep pockets.

Verwijderd @PHiXioN • 19 juni 2007 10:56

Verder heeft een Open Source Operating System inderdaad geen geld voor deze certificering, maar de bedrijven die er achter zitten wel. IBM heeft deep pockets.

Dit deel is mogelijk door IBM betaald. Maar RHEL is een commercieel open source OS waar je voor support betaald net als ook SLES. Ze hebben wel degelijk een budget om zaken te betalen die ze belangrijk vinden.

Ik vind het trouwens jammer dat de gedachte, Open Source is gratis en daarom armlastig, leeft.
IMO is het daarom moeilijk om voor mensen die Linux niet kennen het gevoel te geven dat het een goed en solide OS is, met goede support.

/me Linux is voor elk wat wil, van hobby matig tot Enterprise met volledige support, die niet onderdoet voor Microsoft, Sun, IBM, HP etc

Verwijderd @TGoC • 18 juni 2007 16:55

Ik weet niet waar je vandaan haalt dat red hat een slechte naam heeft en of je wel eens red hat hebt uitgeprobeerd, maar van de tientallen linux distro's die ik heb uitgeprobeerd vindt ik red hat een van de betere en uitgebreide distro en ik denk dat veel mensen met me eens zullen zijn, als ik de populariteit van Fedora(experimentele features worden nl eerst getest in Fedora en daarna gebruikt in RHEL) zie.

Als je ECHT secure wilt zijn gebruik je natuurlijk FreeBSD ipv Linux.

Yen @Verwijderd • 18 juni 2007 17:14

Of als je echt echt secure wilt zijn OpenBSD
Of als je echt echt echt secure wilt zijn OpenVMS
...

Ik moet toegeven dat alle grote besturingssystemen wel (redelijk) veilig kunnen zijn.
Alleen moet je bij de een er wat meer voor doen dan bij de andere.

stappel_ @dbreuning • 18 juni 2007 16:44

Windows NT had ook z'n certificering (of een niveau lager), echter als je verder de documenten las dan wat het in een non-netwerk/standalone omgeving. flut cert dus.

MrMr @stappel_ • 19 juni 2007 12:05

Precies, nog even voor de mensen die het verschil niet kennen:
CAPP- Veilig zolang je tenminste alle netwerkkabels, telefoonkabels, en draadloze gadgets fysiek weghaalt en een gewapende bewaker naast het toetsenbord opstelt.
LSPP- Veilig ook als je de draadjes laat zitten en meerdere gebruikers erop toelaat

(Lijkt mij een niet onbelangrijk verschil, en die rus hier naast mij met z'n zonnebril vindt dat ook)

OpenMinded @stappel_ • 19 juni 2007 08:24

nee, dat had en heeft NT niet.
Ik heb ook op Google niet kunnen vinden dat Windows een LSPP heeft.
Kan het gemist hebben, maar het lijkt me duidelijk dat de CAPP variant weinig voorstelt in een productieomgeving.
Dat Linux veel beter beveiligd is dan Windows weet iedereen natuurlijk al lang, maar het is mooi dat dat nu ook per certificaat duidelijk is geworden.
Go Red Hat, wie volgt

HariZ @dbreuning • 18 juni 2007 14:19

Verschillende Linux-distributies, maar bijvoorbeeld ook Windows Server 2003 zijn EAL4-gecertificeerd volgens CAPP.

Lees dan eerst het bericht even...

Sendy @HariZ • 18 juni 2007 14:31

Als je het goed zou lezen is het spannende natuurlijk niet die CAPP, maar juist de LSPP certificering. Windows heeft dat niet.

Nu zijn er maar zeer weinig bedrijven die MLS (MultiLevel Security) gebruiken. Het beheren van zo'n systeem is namelijk niet eenvoudig. Maar goed, als het beschermen van bijvoorbeeld spionnen je doel is kan het heel nuttig zijn.

webinn @dbreuning • 18 juni 2007 14:20

"maar bijvoorbeeld ook Windows Server 2003 zijn EAL4-gecertificeerd volgens CAPP."

edit: te laat...

[Reactie gewijzigd door webinn op 23 juli 2024 10:10]

somatik

18 juni 2007 15:00

IBM's Red Hat Enterprise Linux ???
Is dat dan Red Hat Enterprise Linux op IBM servers met IBM support?

Verwijderd 19 juni 2007 09:05

Foutje in het artikel, je kan nl. geen EAL-4 Augmented halen met het Controlled Access Protection Profile. CAPP = namelijk EAL-3. EAL-4+ is te halen met onderstaande :

Operating System Protection Profile for Multi-Level Operating Systems in Environments Requiring Medium Robustness, Version 1.22
EAL4 Augmented 1.22 PP_OS_ML_MR_V1.22 NSA 2001-05-23
2007-09-16
Operating System Protection Profile for Single-level Operating Systems in Environments Requiring Medium Robustness, Version 1.22
EAL4 Augmented 1.22 PP_OS_SL_MR_V1.22 NSA 2001-05-23
2007-09-16

Auteur

P_de_B @Verwijderd • 19 juni 2007 16:05

Dat is niet waar, dat is juist een nadeel van het systeem. Je kunt nl. een hoge (niv. 4) certificering halen op iets dat eigenlijk maar een lagere waard is.

http://www.microsoft.com/.../Windows2000/w2kccwp.mspx

Using the Controlled Access Protection Profile (which, you'll recall, replaces the C2 set of evaluation requirements), SAIC determined through exhaustive testing that the Windows 2000 family achieved a rating of EAL 4 + Flaw Remediation under the Common Criteria.

Op dit item kan niet meer gereageerd worden.

Red Hat Enterprise Linux krijgt topveiligheidscertificaat

Lees meer

Reacties (39)

Sorteer op:

Weergave: