Как гласит один известный закон: "Количество всегда переходит в новое качество". Однако качество это бывает разное. Очень часто очередной виток популярности какого-либо потребительского товара или сервиса ухудшает его качество. В частности, информационные сети. Сейчас только ленивый не подключает свой компьютер к Интернету, тем более, если в подчинении сисадмина целая корпоративная сеть небольшого предприятия. Очень часто вопрос подключения собственной сети к Интернету и создание собственного сайта носит характер приказа, продиктованного соображениями престижности. При этом руководство фирмы даже не задумывается о том, что уровень компетентности системного администратора такой сети (если он вообще имеется) может быть опасно низким. Большинство из них даже не представляют себе, каким образом нужно строить безопасность такой сети. А Интернет ошибок не прощает. Многие "ляпы" мгновенно становятся достоянием гласности. Очень часто корпоративные сети, имеющие выход в Интернет, оказываются настолько открытыми, что вопрос их взлома даже неактуален. Они напоминают оставленный на обочине без присмотра автомобиль с полным баком горючего, всеми документами, открытой дверью и ключами в замке зажигания. Впрочем, все это лирика. И в небольшой статье невозможно, конечно, описать все стороны безопасности сети, невозможно научить, как правильно строить политику безопасности. Впрочем, некоторые советы все же отважимся дать.
Итак. Первое, что необходимо запомнить администратору сети, имеющей выход в Интернет: любой сотрудник Вашей фирмы - это самый главный злоумышленник и хакер. В первую очередь необходимо сделать так, чтобы сеть нельзя было взломать изнутри. Обязательно следует исключить использование беспарольных ресурсов, возможность входить в сеть под гостевыми экаунтами. Кроме того, имеет смысл запретить использование протокола TCP/IP внутри сети, для клиентов и серверов Microsoft Network. Хотя сильно безопасности это не прибавит. Все пароли к различными ресурсам имеет смысл принудительно менять раз в неделю. Причем делать это должны не сами пользователи, а администратор. Пусть уж лучше список паролей висит на стенке и регулярно обновляется, чем разрешить пользователям использовать ресурсы с одним и тем же паролем в течение многих месяцев. Упрячьте все компьютеры за Proxy-сервер, не давайте им реальные Интернет-адреса. Это мероприятие значительно повысит безопасность рабочих станций. А ведь атака извне будет направлена, скорее всего, на них. Для Unix-серверов разрешите логин на них исключительно из подсети, упрятанной за Proxy (впрочем, то же самое касается и Windows NT), закройте на Proxy-сервере лишние порты.
Теперь об Интернет-сервере. Лучше всего, конечно, поместить его в далекой стране на виртуальном сервере. Однако это требует дополнительных капиталовложений. По этой причине, чаще всего, WWW, FTP и прочие серверы располагаются непосредственно в корпоративной подсети. Что в этом случае следует учесть прежде всего? Всегда стоит помнить, что взлом возможен в любую минуту. Посему для настройки, отладки и информационного наполнения вашего сервера стоит воспользоваться вторым компьютером, не имеющим выхода в Интернет.
Установите на нем весь необходимый комплекс программного обеспечения и отлаживайте работу на нем. После чего переносите готовую систему в Интернет.
Чего нельзя допускать на Интернет-сервере. Запретите доступ в каталог CGI-BIN!!! И вообще во все каталоги, из которых можно запускать программы. Запретите доступ по FTP в каталоги, доступные через WWW. Запретите доступ по FTP пользователям с правами администратора.
НИКОГДА(!!!) не индексируйте свой WWW-сервер на поисковых машинах до того, как он будет полностью готов. В противном случае все ваши ошибки и промахи могут стать достоянием многих миллионов пользователей! Думаете, это преувеличение? Так вот нет.
В качестве назидательного примера потомкам приведу немного статистики. Получена она как побочный продукт при поиске необходимой автору информации.
Запрос на AltaVista: "index of"+"cgi-bin", ". Результат: AltaVista found about 626648 Web pages." Среди сотни взятых наугад серверов из этого списка около половины имели доступ по ftp в эти же самые CGI-BIN. Три сервера под Windows NT имели беспарольный доступ на чтение/запись к диску C:.
Некая сеть ццц.васяпупкин.gov (имя изменено), прекрасно защищенный сервер, и в той же подсети около 10 компьютеров под Windows 95/98. Почти на всех доступен диск C:.
Вы думаете, это - единичные случаи? Так вот нет. Количество серверов, не имеющих пароля для входа администраторов, в Интернете очень велико. Наверное, ничуть не меньше, чем серверов с доступом в /cgi-bin/ и открытым анонимным входом по ftp. Безалаберность, с которой относятся к своим обязанностям системные администраторы, иногда кажется просто фантастической. Но всех переплюнул www.нехочуназыватькто.com - некий Интернет-провайдер - продавец модемов в далекой Америке. В его каталоге /cgi-bin/ лежала база его клиентов с адресами, телефонами, датами регистрации, у некоторых даже кредитные карты присутствовали. Увидев этот сервер, я даже и не знал, что сказать. Может, разослать всем клиентам этой компании по письму с их личными данными и кратким комментарием, где я их взял? Но, подумав, отказался от этой затеи (клиентов уж очень много было). Самое интересное - это то, что можно вполне официально использовать все эти данные, потому как я ведь ничего не ломал. Мало того, ссылку на эту страницу я получил на поисковом сервере!!!
Какой из всего вышесказанного можно сделать вывод? А очень простой. С ростом популярности Интернета стремительно падает уровень квалификации системных администраторов. Вместе с этим растет и степень автоматизации Сети. Наступает тот момент, когда Сеть начинает жить своей жизнью, как живой организм, и как в живом организме всегда можно увидеть следы той или иной болезни, так и в Интернете уже вполне реально находить ошибки и упущения многих администраторов, пользуясь всего лишь стандартными средствами самой сети.
Яхен П.
Горячие темы