Tym razem dwa problemy dotyczące bezpieczeństwa sieci i serwerów.

Problem: W naszej sieci LAN pracują trzy serwery uniksowe. Jak kontrolować protokoły, porty i adresy IP, które mogą być wykorzystywane do uzyskania dostępu do serwerów, i jednocześnie nie obciążać serwerów dodatkowymi zadaniami? Pod uwagę bierzemy dwa scenariusze: skonfigurowanie na posiadanym ruterze Cisco listy ACL (Access Control List) albo zakup drugiej zapory i zainstalowanie jej tuż przed serwerami. Który sposób jest lepszy?

Rozwiązanie: Wszystko zależy od tego, jak serwery powinny być chronione. Używając listy ACL, można kontrolować protokoły, porty i adresy IP. Nie ma jednak żadnych dzienników zdarzeń, w których można by podejrzeć np. czy ktoś próbował podmienić adres lub wysyłał specjalnie zdeformowane pakiety. Lista ACL jest dobra, ale kontroluje tylko określony obszar. To ochrona niepełna.

Dlatego warto pomyśleć o dodatkowej, wewnętrznej zaporze. Można wtedy wykorzystać usługę syslog i wysyłać alerty oraz komunikaty do centralnej konsoli, tak aby bez przerwy nie sprawdzać zapory. Warto zastanowić się nad tym, czy obie zapory (zewnętrzna i wewnętrzna) powinny pochodzić od tego samego producenta, czy od różnych dostawców. Za pierwszym przemawia łatwiejsze zarządzanie. Jednak, jeśli dojdzie już do ataku, to zapory tego samego producenta podejmą takie same działania i mogą wpuścić intruza. W przypadku dwóch zapór od różnych producentów jedna może zawieść, ale jej błąd może być naprawiony przez drugą. Warto więc się zastanowić, na czym nam bardziej zależy: łatwiejszym zarządzaniu czy lepszej ochronie. Warto też sprawdzić, czy firmowe oprogramowanie rutera jest aktualne.

Problem: Wszystkie serwery działające w naszej sieci LAN mają zainstalowane ostatnie poprawki, a narzędzia antywirusowe dysponują aktualną bazą danych z kodami wirusów. Mimo to użytkownicy sieci nieraz otrzymują zawirusowane przesyłki e-mail. Co można zrobić, aby jeszcze lepiej się zabezpieczyć?

Rozwiązanie: Po pierwsze, warto z witrynyhttp://www.cert.org pobrać dokument CA-2003-20 Advisory, w którym znajdują się informacje o robaku Blaster (http://www.cert.org/advisories/CA-2003-20.html ). Trzeba sprawdzić, czy porty wymienione w tym dokumencie są zablokowane (na zaporze albo ruterze, który zapewnia sieci LAN łączność ze światem zewnętrznym). Chodzi o zablokowanie portów: 69/UDP, 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP, 593/TCP i 4444/TCP.

W dokumencie są też zalecenia zainstalowania łatek Microsoftu (biuletyn bezpieczeństwa MS03-026), które można pobierać ze stronyhttp://microsoft.com/technet/security/bulletin/MS03-026.asp , oraz wyłączenie usług DCOM. To ostatnie może mieć skutki uboczne. Dlatego warto zapoznać się z treścią dokumentu umieszczonego w bazie wiedzy Microsoftu (dokument 825750,http://support.microsoft.com/default.aspx?scid=kb;en-us;825750 ).

Dobry efekt przynosi też zablokowanie całego ruchu ICMP wychodzącego z sieci. Taka sugestia pojawiła się na witrynie Cisco. Chodzi o robaka Nachi, który powoduje, że ruch wychodzący z rutera jest tak intensywny, iż ruter blokuje się albo jeden z interfejsów jest zamykany, co odcina sieć LAN od Internetu. Trzeba też sprawdzić, czy ruter obsługuje ACL. Jeśli tak, można zablokować te adresy IP, spod których przychodzą zainfekowane wiadomości e-mail. Jeśli używamy pakietu Outlook Express, trzeba zaznaczyć zainfekowaną wiadomość, nacisnąć prawy przycisk myszy i w wyświetlonym oknie wybrać opcję "właściwości". W kolejnym oknie należy kliknąć opcję "szczegóły" i odnaleźć adres IP serwera pocztowego, który przesłał wiadomość do sieci LAN (do serwera obsługującego w przedsiębiorstwie pocztę e-mail). To właśnie te adresy należy umieścić na liście ACL, blokując w ten sposób dostęp do naszego serwera pocztowego. Należy uważać, ponieważ operacje te mogą doprowadzić do blokowania legalnej poczty e-mail. Załóżmy, że w firmie działa ruter Cisco. Trzeba więc przejść do opcji konfigurowania rutera i wpisać polecenie access-list 1 (może to być inny numer w zależności od tego, ile list ACL obsługuje ruter) i dodać wpis deny host x.x.x.x (pod x.x.x.x podstawiamy numer IP podejrzanego serwera pocztowego).

Następnie przechodzimy do interfejsu Ethernet zainstalowanego w ruterze i wpisujemy polecenie IP access-group 1 (numer powinien odpowiadać użytemu przy poleceniu access-list). Polecenie to nakazuje ruterowi, aby zastosował listę ACL do pakietów opuszczających interfejs Ethernet. Przedstawiciele Cisco podkreślają jednak, że lista ACL powinna być rozwiązaniem doraźnym. Najlepszym wyjściem jest zainstalowanie dedykowanej bramy, która przegląda wszystkie wiadomości przychodzące do przedsiębiorstwa pod kątem wirusów oraz innych podejrzanych treści.