Zabezpečení serveru postup

Zdroj:Soom

 

Perspektiva internetu, jednak jako prostředek k výrazné reklamní kampaně a také jako prostředek pro informace. Den po dni se stále více firem a lidí stává součástí internetu a proto je zde stále více informací a reklamy. Jedná se o začarovaný kruh z kterého není úniku. Také se jedná o kontakt se širokou veřejností, který je zapotřebí.

Tento směr, kterým se vydal internet je z jednoho úhlu pohledu velice dobrý, jelikož máme víc informací k dispozici a také se více rozvíjí internetový obchod, ale má to i své nevýhody, protože mnoho bezpečnostních prvků je v této situaci podceňováno.
Každý den, vychází bulletiny se zprávou o dalším bugu nebo exploitu. Stále častěji se dovídáme, že došlo k penetraci ka dalšímu zdroji informací.
Ale co dělá server webu tolik zajímavý pro útočníky?

Za to může samozřejmě mnoho faktorů, pár z nich si napíšeme:
1) server webu mnohdy raprezentují vchodové brány do interní sítě (LAN), v které jsou již celkem zajimavé informace
2) mnohdy stačí pouze trochu nepozornosti nebo málo peněz dedikovaných zabezpečení a můžete zavinit opravdu velký únik dat ven
3) provést útok na web je mnohem jednodušší než na jiné porty, jelikož vše co jde přes port 80 není tolik kontrolováno a hlídáno

V kombinaci těchto a mnohem dalších faktorů pak vznikají bezpečnostní mezery, které většinou ani nejdou přehlédnout. Také to mnohdy znamená dříve nebo později vidět vlastní server po útoku útočníka.
Bohužel ani neexistují metody, jak zabezpečit server na 100%, ale přesto můžeme zabránit mnoho útoků a pokud se někomu přeci jen podaří útoky udělat, tak bychom je měli být schopni poznamenat do logů a ty pak studovat dokud chybu nenalezneme. Dále bych radil sledovat nejnovější exploity a bugy vyskytnuté na internetu, abyste vždy včas spravili server. Dále můžete sledovat, jak byly hacknuty weby, který znáte, abyste i před těmito útoky váš server ubránili.
Tento seriál se vám bude snažit od zákaldů vysvětlovat nejčastější chyby na serverech, abyste jim zabránili, nebo naopak našli na jiných serverech. Také díky tomuto seriálu omezíte možnost útoku.
Především se nesmíte dívat na bezpečnost jako na celek, ale jako složku mnoho prvků vašeho serveru, protože chyby mohou být i jinde než hledáte.

Mnohdy se chyby nejčastěji vyskytují v mnoha vrstev vašeho serveru:
1) operační systém
2) služba http nebo jiné služby sítě (smtp, databáze, ftp, atd.)
3) programy, interpreti a skripty využívané pro generování obsahu disku
4) obranné systémy (routery, firewally)

Dále můžeme sledovat útok jako několik úkonů, které útočník musí udělat:
1) přístup k systému přes exploit, buffer overflow programů a skriptů nebo hledání souborů s hesly, atd.
2) získání co největších práv, nebo vydávání se za někoho, kdo má, co největší práva
3) smazání stop a logů, pokud je to možné, použití rootkits a využití jedotlivých charakteristik operačních systémů (např. Alternate Data Streaming)
4) instalace backdooru, aby se mohl útočník vracet do systému

Většina útoků, které stejně nemají vliv jsou DOS (Denial Of Service). Tyto útoky provádějí psychicky labilní lidi, kteří si něco potřebují dokazovat. Provádějí to díky programům, takže nepotřebují téměř žádné znalosti. Mnoho z těchto lidí to přestane bavit a skončí po dvou neprospaných nocích. Tyto útoky pro nás nemají význam, jelikož se to dá upravit již jakýmkoli krátkým skriptem.

Nejlepší způsob, jak postupovat při odhalování chyb na serveru je si udělat spotupné schéma všeho co chete zkontrolovat, dále pak jen odškrtáváte.
Samozřejmě to bude vše na míru. Internetový obchod na kterým probíhají denně transakce potřebuje mnohonásobně vyšší opatrnost než web se statickým obsahem.
Tento proces je velice dlouhý a někdy i únavný, ale přesto se ho snažte dokončit až do konce.

Mnohdy zabere i mnoho vašeho času, ale věnujte mu ho.
1) volba operačního systému
2) konfigurace sítě
3) konfigurace serveru
4) použití externích programů
5) architektura webu
6) autorizace a systémy na logování a auditing
7) zachovávání bezpečnosti za běhu

Všechny tyto procedury postupně budeme probírat v našem seriálu. Volbu operačního systému jako jedinou nejspíš nechámna vás, jelikož závisí na vás, jakou chcete mít administraci a vše okolo. Pouze bych podotknul, že pro server byste si měli určitě vybrat Linux. Jelikož přes IIS byste neustále pouze plátovali, což určitě nechcete.
V příštím díle si ukážeme nastavení a konfiguraci sítě.

 

Není možné mluvit o technikách na zabezpečení serveru bez zdůrazňování výběru operačního systému. Jelikož operační systém je základem všeho, tak ho musíme vybírat velice důsledně.

Většinou vybíráme podle následujících kritérií:
1) bezpečný vůči již známým chybám
2) určovat jednotlivě práva každému uživateli
3) možnost mazat znepřístupňovat funkce, které jsou zbytečné
4) možnost kontrolovat pohyb a přístup na server
5) logování všeho, co se děje
6) lehká administrace, která zároveň neubírá na bezpečnosti

Pokud všechny tyt základní faktory bezpečnosti váš operační systém splňuje, pak sice nebudete mít server bez jediné chyby, ale je to vynikající server. Máte lehkou a přehlednou administraci. Dále můžete vše kontrolovat a prohlížet. Mnohem vám zrychlí čas strávený administrací, která se při hledání chyby může změnit třeba ze 4 hodin na pouhých 30 minut. (vlastní zkušenost)

Společně s výběrem operačního systému také úzce souvisí zabezpečení sítě. Jedná se o další kamínek do mozaiky, která nám slibuje trochu bezpečnější místo na internetu.
Jedním z mnoha doporučení nejen mýho, ale i veřejné veřejnosti je zcela odtrhnout server od interní sítě. Mnohdy je to prakticky nemožné, jelikož potřebujeme přístup k více serverům, počínaje emailovým končíce pro ftp.

Především bysme měli zabránit těmto dvěma věcem:
1) přístup hostům LANu ze strany útočníka
2) zabránit monitoringu sítě a zabránit odchytávání osobních informací (SSL)

Obvykle dostání se do takové izolace serveru, aby bylo v bezpečí se nedá téměř uskutečnit. Ovšem i zde je již jisté východisko. Jedná se o použití jedné izolované zóny, také se tomu říká DMZ. Jedná se o typologii sítě serverů, kde každý ví, čím je a ničím jiným se nezabývá. Tyto zdroje informací jsou velmi důvěryhodné a etdy se nestane, že server dostane data od někoho cizího. Dále servery poznají, kdyby šlo o někoho cizího. (samozřejmě to neznamená bezpečí)

Obvykle také pokud je používáno DMZ, tak je přítomen i router a firewall, které umí následující:
1) blokovat všechen pohyb UDP, ICMP, TCP, který není úzce spjat se službami
2) blokovat všechny TCP, které jsou ze stejného serveru
3) blokovat všechen traffic mezi serverem a interní sítí
4) blokovat source routing a všechny programia datagramy, které ho mohou obsahovat

Ovšem i v tomto případě nemůžeme zablokovat naprosto všechno, jelikož bychom zablokovali i služby, které potřebujeme (SMTP, FTP, POP3, MySQL, SSL).
V tomto případě se většinou vytváří ještě "podsíť", která bude pod kompotencí té větší. Tato síť se pak oddělí od té větší výše napsanými pravidly. A to nejen od vnitřní, ale i vnější.

I tato síť by měla mít alespoň následující zabezpečení:
1) blokování od vnějšího trafficu a hostů
2) omezení jakékoli komunikace mezi uživatelem a těmito službami (jsou evdeny přes hlavní server)
3) blokování služby IP forwarding

Jelikož s eani tady nedá zabránit přístupu přes LAN, tak ybchom měli síť hierarchocky roztřídit díky huby a switchy. Samozřejmě musíme totálně oddělit web od nějakých sekundárních emailových serverů.