Bezpieczna sieć
-
- 25.04.2005
Wielu administratorów o tym zapomina, ustawiając słynną opcję 777 albo Everyone-Full Control (zależnie od systemu) do całych katalogów, by uniknąć kłopotów z uruchomieniem serwisu. Podobnie często można znaleźć procesy uruchamiane jako użytkownik DOMENA\Administrator, chociaż nie potrzebują one tak wysokich uprawnień. Bywa, że procesy te są uruchamiane nawet jako użytkownik System, po dodaniu go do grupy Network!
Niedopatrzenia te mszczą się dość prędko - wystarczy uruchomić SQL Server 7.0 na adresie publicznym z uprawnieniami użytkownika Administrator, by kłopoty pojawiły się same. Włamywacz może poprzez usługę SQL Server zmienić hasło tego użytkownika, by uzyskać nielimitowany dostęp do domeny. Ponieważ Windows nie posiada możliwości odtworzenia pojedynczego obiektu z bazy Active Directory (w odróżnieniu od np. Novell NDS), odtwarza się całą bazę. Czasami jedyną możliwością jest odtworzenie bazy danych domeny z kopii bezpieczeństwa, ze wszystkimi tego skutkami.
Błąd administratora wynikał z "wystawienia" usługi SQL Server na adresie publicznym, a także z uruchomienia SQL Servera na koncie administratora domeny. Wniosek: konfiguracja systemu operacyjnego oraz aplikacji jest często ważniejsza niż sama konstrukcja systemu. Ponadto bardzo ważne jest także właściwe podłączenie serwera do sieci. Pod tym enigmatycznym określeniem kryje się zastosowanie solidnej zapory i znów - dobrze skonfigurowanej.
To nie marka producenta zapory zapewnia bezpieczeństwo, tylko wiedza i doświadczenie administratora. Nie musi to więc być renomowana - równie dobrze można zastosować tanie rozwiązania open source. W większości prostych przypadków wystarczająco chronią serwery przed atakami, odcinając całkowicie połączenia na porty, na których pracują serwisy sieciowe Windows.
Systemy open source mają jeszcze jedną poważną zaletę wobec Microsoft Windows, chociaż nie jest ona oczywista. Dzięki otwartemu rozwojowi powstało wiele rozwiązań alternatywnych. Co prawda nie cały zakres funkcjonalności jest wspólny, ale do wielu usług daje się znaleźć oprogramowanie alternatywne, obsługujące podstawową ich funkcjonalność. To bardzo ważna cecha, bowiem w sytuacjach szczególnego zagrożenia można skorzystać z tej opcji.
Przykład z życia wzięty: gdy w serwerze DNS jest poważna dziura w bezpieczeństwie i włamywacze już o niej wiedzą, co widać, bo serwer jest właśnie atakowany, wystarczy wyłączyć program bind i ściągnąć z Internetu inny program - djbdns, skompilować i zainstalować. Po wpisaniu konfiguracji (nie jest to takie trudne), usługa DNS jest sprawna bardzo szybko. Co prawda nie można zastosować specyficznych narzędzi, gdyż serwer djbdns różni się znacząco od programu bind, ale domena jest utrzymywana do czasu otrzymania łaty poprawiającej bezpieczeństwo binda - i o to właśnie chodzi.
Gdy nie ma alternatywy, można tylko taką usługę wyłączyć lub też utrzymywać, licząc się z możliwością ataków. Użytkownicy Windows mogą skorzystać z korporacyjnych rozwiązań ułatwiających zarządzanie usługami i aktualizacjami - dzięki temu mogą szybko zainstalować łatę, o ile jednak producent systemu ją dostarczy.
