Biztonsági kiskáté I. rész
2004/06/23 01:53
2340 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
1995-ben, a mai Internet éra hajnalán egy vezető biztonsági tanácsadó cég - a CERT Coordination Center - átfogó felmérést készített az akkor aktuális operációs rendszerek illetve alkalmazások biztonságosságáról, különös tekintettel a hálózattal kapcsolatos sebezhetőségre.

Ekkor 117 olyan - jelentősnek minősített - hibát fedeztek fel, amelyek a nyilvános hálózatok homályos sarkaiban működő, ún. "feketekalapos" hackerek előtt szélesre tárják e rendszerek kapuit.

Ez a mennyiség sem elhanyagolható, de hol van ez a 2001-ben ugyanígy felmért kb. 2500 biztonsági lyukkal összemérve? Persze gondolhatnánk azt is, hogy a kíméletlen, egymással vadul versenyző, időnként toldozott-foldozott programokat kiadó szoftvercégek felületes munkája tükröződik elsősorban ebben a növekedésben, de nem csak erről van szó. Hanem inkább arról, hogy egyrészt az Internet felszálló ágában vagyunk, amikor növekedés elsősorban mennyiségi növekedést jelent, elhanyagolva a minőséget, másrészt a kevés profi hacker mellett megjelent az a lényegesen nagyobb méretű, általában amatőr, ún. "script-kiddie" réteg, akik indítéka logikusan nehezen követhető, ténykedésüket viszont nap mint nap észlelhetik a hálózat polgárai a "netizenek". A dolguk viszont egyre könnyebb, hiszen az a megállapítás, hogy "az Interneten bármi megtalálható, letölthető és elsajátítható" megfelelő nyelvtudás birtokában egyáltalán nem túlzás, a mai grafikus felületű operációs rendszerekben ezeknek az eszközöknek a használata pedig gyerekjáték. Nem kell zseninek lenni, ahhoz, hogy vírusokat, férgeket írjunk, hogy megtaláljuk és felderítsük más rendszerek sebezhetőségét, biztonsági lyukait és aztán ezekkel az információkkal visszaéljünk, a gyakorlatban is. Jelentkező pedig ma már van bőven, szinte divattá vált ez a ténykedés és az elkövetők lelkiismereti válsággal sem küzdenek emiatt.

Egy szó mint száz, a biztonságosság és a megbízhatóság azok a tényezők, amelyek vélt hiánya miatt az amerikai hadsereg kiszállt a mai Internet elődjeként emlegetett ArpaNet fejlesztéséből, ma is hiányoznak. Sőt mi több, ma már lényegesen rosszabb a helyzet. Viszont abban az esetben, ha mi is építőkockái vagyunk az Internetnek, tehát magunk is "fenn vagyunk" a hálón, sőt ha üzemeltetünk internetes elérésű rendszereket, akkor sokat tehetünk a saját és a felhasználóink érdekeiért, védelméért, sőt mi több: kötelességünk is ezt tenni. Ebben szeretnénk segíteni ezzel az írással. De azért szögezzünk le rögtön az elején a néhány lényeges dolgot: erről a témáról szűkszavúan beszélni szinte lehetetlen, átfogóan is majdnem, az aktualitás érzése pedig az a téves állapot, amibe akkor esünk bele, amikor már sok mindent megtanultunk és megtettünk. Valójában ez az helyzet egy komoly csapda, mert egyrészt 100%-os biztonság nincs és nem is elérhető, másrészt az örök tétel szerint a bűnelkövetők mindig előbbre járnak, mint a bűnüldözők. De nézzük azokat a konkrét teendőket és gondolatokat, amelyeket minden rendszerüzemeltetőnek meg kell tennie illetve felelősen át kell gondolnia.
A példarendszer egy átlagos iskolai hálózat, 40-50 géppel, két szerverrel, és kb. 2-300 felhasználóval. Amit szeretnénk megvalósítani, az egy (belül is) biztonságos Windows 2000/2003 tartomány (annak szinte minden alapszerver szolgáltatásával), plusz web- és ftpszerver, valamint egy ISA 2000 szerver (tűzfal, web gyorsítótár) és egy Exchange 2000/2003 mailszerver. A kliensek vegyesek: Windows 2000/XP mellett Windows 95/98/ME is van. A rendszergazda korlátozott Internet elérést valamint szintén korlátozott belső erőforrás elérést és jogosultsági rendszert akar megvalósítani, komoly rendelkezésre állással. Ezenkívül teljes körűen távvezérelhetővé akarja tenni a hálózatát, akár más hálózatból is.

Szerver tervezés és telepítés
- A hatékony csomagszűrés és a nyilvános/privát hálózat elválasztás miatt a tűzfalat tartalmazó szerverben két hálózati kártya szükséges, egyiket közvetlenül a Sulinetes szekrényben lévő routerbe kössük (egy fordított, ún. cross-link kábellel), míg a másikat a különböző hálózati eszközökbe (hub/switch), ugyanoda ahová a belső kliens gépeket, valamint a másik szervert is. Így ezeket a gépeket közvetlenül az Internetről nem tesszük elérhetővé, hiszen azon kívül, hogy a tűzfal ellenőrzése alatt fog folyni minden kimenő és bejövő forgalom, még privát IP címük is lesz ezeknek a gépeknek, amelyek az Internet felől nem láthatóak, csak az ISA szerver "fordítása" útján.
- Célszerű a telepítő segítségével mindkét szerveren egy maximum 4GB-os rendszerpartíciót létrehozni, majd erre telepíteni az operációs rendszert. Így a lemez többi része szabadon felosztható lesz, pl. külön partíció formájában a web- és ftp szervernek, külön a felhasználók postaládáinak, a szerveren tárolt saját mappáiknak (home folder) és esetleg külön egyéb hálózati megosztásoknak, programok telepítőinek, stb. A tűzfalon feltétlenül külön partíció kell a gyorsítótárnak (minimum 2-3 GB méretűt érdemes). A partícionálás a rendszeres mentés praktikussá tétele mellett pl. a web- és ftpszerver esetén a biztonságot is fokozza, hiszen az internetes látogató (a Windows 2000/2003 IUSR_szervernév ill. IWAM_szervernév fiókokat hozza létre erre a célra) alapesetben távol lesz a rendszerpartíciótól.
- Sem a telepítés során, sem később nem teszünk a szerverekre olyan komponenseket, szoftvereket, amelyeket nem ismerünk, vagy nem akarunk használni. Tulajdonképpen a rendszergazda soha nem telepít semmit általános vagy gyári beállításokkal, hiszen neki muszáj pontosan látni mi fog működni a rendszeren, mi az amit be kell "foltoznia" biztonsági szempontból, mi az ami összeakadhat más komponensekkel.
- Ha mindkét szerverre teszünk DNS szervert (a Windows 2000 esetén legalább egy belső DNS szerver elengedhetetlenül szükséges a tartományon belüli névfeloldás miatt) akkor ügyeljünk rá, hogy csak egymás között engedélyezzük a zóna átvitelt, valamint mindig csak a belső hálózati kártyához kössük a DNS szerver szolgáltatást. A tűzfal külső hálózati kártyáján soha ne engedélyezzünk belső hálózatra kitalált szolgáltatásokat, pl. a NetBIOS névfeloldást, a Microsoft hálózati klienst, vagy a Fájl- és nyomtató megosztást.
- Mindkét szerver tartományvezérlő lesz, bár a külső csak kényszerűségből, mert arra a "nagykönyv" szerint csak a tűzfalat kellene tervezzük az operációs rendszeren kívül, viszont további szerver hiányában, a címtár adatainak replikációja miatt mégiscsak szükséges előléptetni tagkiszolgálóból tartományvezérlővé.
- Amennyiben nincs Windows NT4 szerverünk, a tartományvezérlő telepítése közben a címtár jogosultságokkal kapcsolatban felmerülő panelen ne engedjük az NT4 néhány szolgáltatása miatt szükséges Everyone/Read jog megadását a címtárra. Egyébként sem érdemes az Everyone (Mindenki) csoportnak bármilyen jogosultságot adni pl. fájlrendszer szinten, hiszen ebben a csoportban minden fiók benne van, a Guest (Vendég) és az internetes látogatók fiókjai egyaránt (a Windows Server 2003-nal már nem). Ha mégis felmerül ilyen igény (pl. a megosztott mappáknál) akkor a megfelelő jogosultságot az Authenticated Users (Hitelesített felhasználók) vagy a Domain Users (Tartományi felhasználók) csoportoknak adjuk.

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten