ABC ochroniarza sieciowego, cz. II

Sprawy tanie i proste

Sprawy tanie i proste

Każdy z użytkowników sieci LAN może spowodować duże straty w zasobach informacyjnych systemu sieciowego, szczególnie tam, gdzie serwer sieciowy jest niedostatecznie zabezpieczony. Na dodatek należy się liczyć z istnieniem rozpowszechnianych przez podziemie hackerskie programów, które po zainstalowaniu na serwerze mogą dać nadzwyczajne uprzywilejowania wiedzącemu o tym użytkownikowi. Łatwo sobie wyobrazić, co może nastąpić po celowym uruchomieniu takiego, uprzednio podrzuconego, programu.

Jest kilka prostych sposobów, które pomogą zarządcy sieci LAN ochronić swoje serwery.

  • Należy uniemożliwić załadowanie takich programów ze stacji dysków przy serwerze. W przypadku sieci Novella można to łatwo osiągnąć za pomocą polecenia "REMOVE DOS".

  • Dostępne oprogramowanie public domain (ogólnie dostępne i bezpłatne) czy shareware (ogólnie dostępne i tanie) zawiera programy typu tzw. screen blanker. Uniemożliwiają one użytkownikowi załadowanie programów-dywersantów z ich własnych podkatalogów do pamięci serwera. Jednym z takich pakietów jest NLMLOCK2, który jest dostępny bez żadnych opłat w skrzynce BBS tygodnika Network World (adres BBS podajemy na samym końcu niniejszego tekstu).

  • Należy unieruchomić napędy dyskietek przy serwerze poprzez odłączenie kabli zasilających. Ten sposób może zapobiec załadowaniu hackerskich programów w trakcie np. weekendu.

    Wykorzystanie własności NOS

    Dzisiejsze systemy operacyjne (NOS - Network Operation System) posiadają wiele własności zabezpieczających i chroniących dane. Są wśród nich: kontrola dostępu (access control) i kontrolny zapis prób dostępu (audit trail). Warto się zawsze upewnić, czy te obie funkcje w systemie sieciowym obsługującym naszą sieć są aktualnie włączone.

  • Trzeba zawsze przypominać, że stosowane hasła mają być łatwe do zapamiętania i trudne do odgadnięcia. Każde hasło powinno mieć więcej niż 5 lub 6 znaków, przy czym w miarę możliwości powinno posiadać również znaki niespotykane w dostępnych na rynku komputerowych słownikach. Uniemożliwi to ich stosowanie do ataku na naszą sieć.

  • Należy wymagać, aby zarządca (supervisor) sieci logował (dołączał) się do niej z zabezpieczonej stacji roboczej, najlepiej umieszczonej w zamykanym, oddzielnym pomieszczeniu. Pozwoli to na zmniejszenie, w razie jego nieobecności, ryzyka zainfekowania systemu wirusami komputerowymi.

  • Używanie narzędzi zawartych w pakietach monitorujących pracę sieci, jak NetWare Security, pozwala na uwidocznienie słabych miejsc w zabezpieczeniu używanej instalacji.

  • Zalecane jest codzienne przeglądanie zapisów prób dostępu do sieci (audit trail) przy użyciu takich narżędzi (np. PAUDIT2, dostępny bezpłatnie w BBS NW), które uwypuklają i tworzą raport na zadane tematy, dotyczące prób włamań do sieci. Czasami niektóre polecenia PAUDIT2 warto umieścić na stałe w pliku Login Script, służącym do inicjacji systemu.

    Zabezpieczenia przed zdalnym atakiem

    Popularny coraz bardziej zdalny dostęp do sieci za pomocą sieci telefonicznej i modemu stwarza nowe zagrożenia zewnętrznego ataku na zasoby sieciowe. Zaleca się używanie poniższych rozwiązań, minimalizujących skuteczność takich działań.

  • Używajmy modemów typu dialback (wymagają podania telefonu zwrotnego) podłączonych do serwera modemowego. Radzimy też tak ustawić konfigurację systemu modemowego, aby po połączeniu nastąpiło co najmniej 10 sek przerwy do chwili zgłoszenia się systemu sieciowego. Może to znieczulić próbę szukania "po omacku" numeru telefonicznego, dającego "wejście" do systemu sieciowego. Szanse powodzenia takiej obrony są wtedy, gdy program włamujący się nie słysząc od razu odpowiedzi, przerwie połączenie i uruchomi badanie następnego numeru telefonicznego.

  • Nigdy nie afiszujmy się wyświetlaną informacją, która identyfikuje naszą firmę czy podaje jej adres. W zamian za to należy w czasie prób logowania się zdalnego użytkownika podać informację, że system jest dostępny tylko dla osób uprawnionych i że nielegalne dołącznie się będzie ścigane na drodze prawnej.

  • Powinniśmy stosować szyfrowanie szczególnie ważnych lub jeszcze lepiej, wszystkich plików. Musimy się liczyć z możliwościami współczesnych pakietów analizujących pracę sieci WAN, które pozwalają na przechwytywanie wszystkich transmisji sieciowych.

  • Zamykajmy zbędne połączenia ze światem zewnętrznym. W celu określenia na której stacji roboczej jest zainstalowany modem, możemy użyć kolejnego programu z BBS NW - LOGINCHK.

    Co z peryferiami

    Przede wszystkim uważajmy na wirusy. Zgodnie z amerykańskimi statystykami (Network World z listopada '92 r.) ok. 80% infekcji wirusowych pochodzi bezpośrednio z zarażonych dyskietek. Wobec takiego stanu rzeczy musimy stosować zabezpieczenia profilaktyczne.

  • Na stacjach roboczych powinniśmy odłączyć stację dysków A:. Uniemożliwia to przedarcie się wirusów połączonych z ładowaniem się systemu operacyjnego (bootowanie). Uważa się, że ten typ wirusów występuje w biurach i urzędach najliczniej. Można to osiągnąć przez odłączenie kabli napędu A:. Jeżeli istnieją naraz dwa napędy dysków, możemy wybrać, który z nich będzie napędem B: (należy odpowiednio przełączyć kable i zwory) i tylko ten napęd zachować.

  • Można ustalić taką strukturę danych na serwerze sieci LAN, w której żaden z użytkowników nie miałby prawa zapisu do katalogu, w którym przechowujemy wszystkie pliki wykonywalne. Należy tu zastosować przyznanie całemu katalogowi atrybutu "read only". Z atrybutem tym, stosowanym tylko dla plików, radzi sobie spokojnie większość wirusów.

  • Warto tak ułożyć sposób logowania się użytkownika (za pomocą odpowiednich poleceń w Login Script) aby w trakcie dołączania się do sieci sprawdzana była wielkość pliku command.com. Można to osiągnąć za pomocą polecenia COMP, stosowanego przy porównywaniu jego wielkości z odpowiednią kopią command.com, zapisaną na serwerze.

  • Również do pliku inicjacyjnego Script można dopisać polecenie dosowskie - MEM, które sprawdzi, czy w pamięci operacyjnej stacji roboczej nie został zainstalowany wirus. Przy użyciu polecenia MEM /C > USERMEM informacja o pamięci będzie przesłana do pliku o nazwie USERMEM. Zawartość tego pliku może być w następnym poleceniu Scriptu sprawdzana przez prosty program. Sprawdza on, czy USERMEM nie jest większy niż trzeba. Jeżeli taka sytuacja wystąpi, program powinien odstąpić od logowania zarażonego użytkownika.

  • Warto korzystać z innych, możliwych metod kontroli dostępu. Przykładowo wiele urządzeń typu PC, pełniących rolę stacji roboczych posiada możliwość odłączenia klawiatury za pomocą zamka mechanicznego, a także coraz więcej urządzeń wymaga podania hasła w czasie uruchamiania.

  • Dodatkowa kontrola dostępu do zasobów sieciowych jest możliwa dzięki stosowaniu przykładowych programów shareware'owych - PROT, PASSWRD1, PASSWRD2, PASSWRD3, dostępnych w skrzynce BBS NW.

    Łańcuchy i kłódki

    Nie należy ignorować prostych i pewnych metod, nie związanych z oprogramowaniem i działaniem sprzętu sieciowego. Oto kilka z nich.

  • Można zaznaczyć jednostki centralne, monitory i klawiatury poprzez pomalowanie urządzeń na spodzie i na wierzchu farbą z aerozolu. Mogą to być np. kolory firmy. Obniży to wartość rynkową takich urządzeń i przez to, zniechęci ew. złodziei do próby kradzieży.

  • Każde stanowisko powinno sygnalizować próbę dostępu do wnętrza urządzeń poprzez np. zamalowanie główek śrub przy użyciu lakieru do paznokci. Takie proste zapieczętowanie dostępu do stacji pozwoli na szybkie odkrycie próby włamania, w celu np. kradzieży elementów.

  • Serwery sieci powinny być umieszczone w oddzielnym, zamkniętym pomieszczeniu, do którego klucz ma być przechowywany w bezpiecznym miejscu. Należy zminimalizować liczbę osób, posiadających dostęp do tego pomieszczenia.

  • Koniecznie powinniśmy sporządzić listę numerów seryjnych posiadanych urządzeń, które są używane w sieci. Jeszcze lepiej, gdy wewnątrz aparatury umieścimy dodatkowo naklejkę informującą, kto jest właścicielem urządzenia. Ułatwić to może pracę policji na wypadek kradzieży sprzętu.

  • Straż przemysłowa powinna dokładnie wiedzieć, kto z obsługi i jakiego typu sprzęt może wynosić z zakładu.

    Jak się zabezpieczyć przed całkowitą utratą danych

    Każdy, kto odpowiada za bezpieczeństwo danych sieciowych powinien się tak zachowywać, jakby katastrofa utraty wszystkich danych miała się już niebawem wydarzyć. Takim zdarzeniem może być kradzież serwera lub stacji roboczej, awaria dysku twardego czy wreszcie niemądre polecenie w rodzaju FDISK lub FORMAT, wydane przez jednego z użytkownikow. Te wszystkie plagi nie są aż tak groźne, o ile tylko posiadamy wszystkie dane zapisane na kopii backup'owej.

  • Urządzenie (np. napęd taśmowy) do sporządzenia backupu powinno sterować zapisem większej pojemności niż wielkość każdego z logicznych napędów serwera. Nie należy oszczędzać na dobrym oprogramowaniu (np. ARCServe firmy Cheyenne Software), które taki napęd taśmowy obsługuje.

  • Od czasu do czasu warto przejrzeć zawartość taśm, aby odrzucić podwójne kopie plików.

  • O ile to możliwe, każdy z użytkowników powinien mieć możliwość wykonania kopii backupowej swoich zasobów na serwer, z którego wykonywany byłby codzienny backup na napęd taśmowy.

  • Należy rozróżniać między plikami archiwalnymi a backupowanymi (patrz CW 6 z br.). Powinniśmy posiadać zarówno kopie archiwalne, jak i backupowe.

  • Nie należy backupować częściej niż raz tych plików, które są programami. Nie ma żadnych uzasadnień, aby robić codzienne lub cotygodniowe kopie plików z rozszerzeniem COM i EXE, chyba, że użytkownik jest programistą.

  • Opcje, dostępne w oprogramowaniu backupu należy ustawiać z myślą o niezawodności i bezbłędnym odtworzeniu danych, a nie o szybkości przeprowadzenia operacji sporządzania kopii.

  • Trzeba przetestować możliwość odtworzenia plików z taśmy. Nie wolno zapominać o tym, że utworzenie kopii (backup) to nie wszystko. Liczy się również bezbłędne odtworzenie danych (restore) z posiadanych kopii backupowych.

    Na zakończenie jeszcze jedna rada. Nie warto tworzyć regulaminów i zarządzeń po to tylko, aby użytkownicy sieci musieli je ignorować. Lepiej przekazać takie dokumenty grupie użytkowników i pozwolić im opracować własne reguły postępowania. Może będą słuchali się chętniej swoich własnych praw, niż gdybyśmy chcieli narzucić im swoje

    przepisy.

    BBS (Bulletin Board System) tygodnika Network World dostępny jest za pomocą połączenia elektronicznego pod numerem (kier. USA 0/01) 508 620 1160 dla szybkości od 300 do 2400 b/s i 508 620 1178 dla 9600 b/s. (NW/wn)

  • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200