Windows - IIS rendszer védeleme

Az IIS alapjai 8. rész

Az Internet Information Services (IIS) 5.0 alapjait bemutató cikksorozatunk mostani részében nem annyira az IIS-ről lesz szó, mint inkább általánosságban szólunk egy hálózat védelméről. Ezt a cikket gondolatébresztőnek szánjuk. Nincs értelme olyanról beszélni, hogy az IIS védelme. Nem azért mert nincs - természetesen van, nem is akármilyen, hanem azért, mert a számítógép, a hálózat és a szoftverek együttesen alkotnak egy rendszert. Tehát csak az együttes védelem az igazi védelem. Erről a kérdéskörről viszont könyvtárakat lehetne megtölteni.
Azt mindenki tudja, hogy egy hálózatot védeni kell. De ki ellen? Hogyan? Ezekre a kérdésekre rengeteg választ kaphatunk. A legtöbben nem foglalkoznak rendszereik védelmével megfelelő szinten, amíg nem történik "valami". Ez a "valami" lehet hogy alig észrevehető, lehet hogy nem okoz nagy károkat, de lehet ennek az ellenkezője is. Lehet, hogy a támadást onnan kapjuk ahonnan nem is várjuk - belülről. Egy amerikai cégnél fordult elő az az eset, amikor egy dolgozó a felmondási ideje alatt elhelyezett egy "bombát" a cég hálózatán. Amikor a dolgozó már nem volt a cég alkalmazottja, a "bomba" robbant. Letörölt minden fejlesztési tervet, dokumentációt és szoftvert a gépekről, beleértve a biztonsági mentéseket is. A helyreállítás bizonyos szoftverek és dokumentumok újraíratásával 12 millió dollárba került. Ilyen és hasonló esetekkel naponta találkozhatunk. A rendszer tökéletes védelmének a módját sajnos nem tudjuk ismertetni - azért mert ilyen nincs. Viszont tudunk szolgálni néhány gondolattal, amin érdemes egy kicsit eltöprengeni:

Ha az Ön cégének hálózatán (szerverén - szerverein) minden információ elveszne, az mekkora anyagi kárt okozna az alábbiakat figyelembe véve:
  • Az információ elvesztése.
  • Hardver sérülés esetén a javítás költsége.
  • Az újbóli üzembehelyezésig eltelt üzemkiesés ideje.
  • Az üzembehelyezés költsége: munkaidő - munkadíj.
  • Adatlopás esetén mekkora károk keletkezhetnek. Például ha a vállalatirányítási tervek a konkurenciához kerülnek.
  • Eszmei károk: pl. ha a cég weboldalait egy hétvégére átirányítják egy szexoldalra.

Potenciális támadási felületek:
  • A szerverek fizikailag kik számára hozzáférhetők? Hogyan?
  • A hálózatnak van-e Internetes kapcsolata?
  • A szerverekhez való csatlakozás a belső hálózat felől biztonságos hitelesítési eljárással történik?
  • Mi van, ha egy illetéktelen hozzáfér a hálózat egyik munkaállomásához?
  • A hálózat összes gépén fut antivírus szoftver a legfrissebb vírus adatbázissal?
  • A szerverekre van modem csatlakoztatva betárcsázásos kapcsolat létrehozásához?

Tippek a biztonságosabb védelem érdekében:
  • Csak az illetékesek férhessenek hozzá a szerverekhez (a vezérigazgató nem az!). Fizikailag zárjuk el őket.
  • Jelentkezzük ki a szerverről, ettől a szolgáltatások még futnak.
  • Egy a cégből kilépett felhasználónak azonnal le kell tiltani a hozzáférését, ha lehetséges a tényleges eltávozása előtt.
  • Ha egy olyan ember hagyta el a céget aki ismerte a hálózat biztonsági paramétereit, akkor azokat meg kell változtatni (min. új jelszavak).
  • Friss adatbázisú antivírus szoftvereket használjunk minden gépen.
  • Minél gyakrabban végezzünk adatmentést. Lehetőleg CD-n vagy más biztonságos adathordozón tárolva az adatokat (ne a merevlemezen). Ezeket a folyamatokat automatizálhatjuk.
  • Javítócsomagokból mindig a legfrissebb kerüljön a gépekre és azonnal.
  • Használjunk védelmi szofvereket (pl.: tűzfal).
  • Ha lehet használjunk NTSF fájlrendszert, a jogokat fájlonként állíthatjuk.
  • Használjuk a Windows bizonyítvány szolgáltatásait és más egyéb magas szintű hitelesítési eljárást.
  • Az egész rendszer vegyen részt a védelemben ne csak egy program.
  • Használjuk a biztonsági protokollokat (SSL, TLS, IPSEC).
  • Kapcsoljuk be az esemény naplózásokat, hogy minél jobban nyomon követhessük a történteket.
  • Iratkozzunk fel a témával kapcsolatos levelező listákra, figyeljük a fórumokat és hacker oldalakat (nem tévedés!), sok információt találhatunk, amit felhasználhatunk a rendszerünk védelme érdekében.
  • Ha találunk egy rejtett hibát a rendszer bármely pontján, javítsuk ki, majd osszuk meg másokkal is.
A védelmet sokoldalúan, összetetten alakítsuk ki, lehetőleg mindent elérhető eszközt igénybe véve. Nem ér semmit a legdrágább védelmi szoftver sem, ha a szerver kint van a cég folyosóján. Sose higgyük, hogy biztonságban van a hálózat és soha ne gondoljunk olyanra, hogy "Onnan úgysem érhet támadás.". Persze a biztonság sokszor a sebesség és a használhatóság rovására megy, de meg kell találnunk az arany középutat.


Terminálszolgáltatás cikksorozat