Zabezpečení serveru - II.díl

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Saitraje_
Datum: 7.2.2008
Hodnocení/Hlasovalo: 0/0

Pokračování o teoretickém zabezpečování serveru

V dnešním díle budeme navazovat na minulý článek a povíme si opět obecně o bezpečnsoti serveru. Zdůrazňuji obecně, jelikož se tady neučíme hotové k´dy, kterými zabezpečit servery, jelikož by to bylo i zbytečné. Ale učíme se zákaldní postup při zabezpečení, který bychom měli dodržovat.
Není možné mluvit o technikách na zabezpečení serveru bez zdůrazňování výběru operačního systému. Jelikož operační systém je základem všeho, tak ho musíme vybírat velice důsledně.

Většinou vybíráme podle následujících kritérií:
1) bezpečný vůči již známým chybám
2) určovat jednotlivě práva každému uživateli
3) možnost mazat znepřístupňovat funkce, které jsou zbytečné
4) možnost kontrolovat pohyb a přístup na server
5) logování všeho, co se děje
6) lehká administrace, která zároveň neubírá na bezpečnosti

Pokud všechny tyt základní faktory bezpečnosti váš operační systém splňuje, pak sice nebudete mít server bez jediné chyby, ale je to vynikající server. Máte lehkou a přehlednou administraci. Dále můžete vše kontrolovat a prohlížet. Mnohem vám zrychlí čas strávený administrací, která se při hledání chyby může změnit třeba ze 4 hodin na pouhých 30 minut. (vlastní zkušenost)

Společně s výběrem operačního systému také úzce souvisí zabezpečení sítě. Jedná se o další kamínek do mozaiky, která nám slibuje trochu bezpečnější místo na internetu.
Jedním z mnoha doporučení nejen mýho, ale i veřejné veřejnosti je zcela odtrhnout server od interní sítě. Mnohdy je to prakticky nemožné, jelikož potřebujeme přístup k více serverům, počínaje emailovým končíce pro ftp.

Především bysme měli zabránit těmto dvěma věcem:
1) přístup hostům LANu ze strany útočníka
2) zabránit monitoringu sítě a zabránit odchytávání osobních informací (SSL)

Obvykle dostání se do takové izolace serveru, aby bylo v bezpečí se nedá téměř uskutečnit. Ovšem i zde je již jisté východisko. Jedná se o použití jedné izolované zóny, také se tomu říká DMZ. Jedná se o typologii sítě serverů, kde každý ví, čím je a ničím jiným se nezabývá. Tyto zdroje informací jsou velmi důvěryhodné a etdy se nestane, že server dostane data od někoho cizího. Dále servery poznají, kdyby šlo o někoho cizího. (samozřejmě to neznamená bezpečí)

Obvykle také pokud je používáno DMZ, tak je přítomen i router a firewall, které umí následující:
1) blokovat všechen pohyb UDP, ICMP, TCP, který není úzce spjat se službami
2) blokovat všechny TCP, které jsou ze stejného serveru
3) blokovat všechen traffic mezi serverem a interní sítí
4) blokovat source routing a všechny programia datagramy, které ho mohou obsahovat

Ovšem i v tomto případě nemůžeme zablokovat naprosto všechno, jelikož bychom zablokovali i služby, které potřebujeme (SMTP, FTP, POP3, MySQL, SSL).
V tomto případě se většinou vytváří ještě "podsíť", která bude pod kompotencí té větší. Tato síť se pak oddělí od té větší výše napsanými pravidly. A to nejen od vnitřní, ale i vnější.

I tato síť by měla mít alespoň následující zabezpečení:
1) blokování od vnějšího trafficu a hostů
2) omezení jakékoli komunikace mezi uživatelem a těmito službami (jsou evdeny přes hlavní server)
3) blokování služby IP forwarding

Jelikož s eani tady nedá zabránit přístupu přes LAN, tak ybchom měli síť hierarchocky roztřídit díky huby a switchy. Samozřejmě musíme totálně oddělit web od nějakých sekundárních emailových serverů.

To by bylo pro dnešek téměř vše, už bych chtěl pouze poblahopřát úpřimný zbytek dne a mnoho zabavy. :-)