Dzisiaj będzie trochę z działki administratorów. Dokładnie, to powiemy sobie o grządkach, które źle oplewiliśmy. Mam na myśli listę standardowych błędów, jakie robi się przy konfiguracji sieci LAN. Szczególnie chodzi mi o sieci firmowe, akademickie, czy kampusowe. W sieci domowej raczej trudno o błędy, aczkolwiek,
także znam przykłady takich, nad wyraz zabawnych. Skąd biorą się błędy w projektowaniu/konfiguracji/zabezpieczeniu LAN? Są trzy możliwości: niewiedza, przeoczenie lub przedobrzenie. Na potrzeby tego artu omówimy kilka takich robaczków, które mogą czaić się także w waszych sieciach.
Firewall rozstawiony na pastwę losu – all to all
Błąd numer 0. Niewybaczalny, jak dla mnie!!! Gorsze, niż nie robienie backupów!!! Jak widzę w firewall wpisy all to all, to mnie trafia coś. Dla niewtajemniczonych, wpis taki oznacza, że wpuszczany jest ruch z każdego adresu, do każdego. Musimy sobie uświadomić, jak wielkim zagrożeniem jest taka reguła. Reguły na zaporze muszą być zdefiniowane bardzo sztywno. Tylko wtedy gwarantują bezpieczeństwo. Te, bardziej narażone powinny być opatrzone dodatkowym logowaniem.
DNS niegodny zaufania
Z jakiego DNS korzystać w sieci? Ano z takiego, który jest zaufany. Jeżeli ufamy sobie, jako adminowi stawiamy własny serwer. Jeżeli nie (tak, zdarzają się takie przypadki), korzystamy z DNS operatora, albo z DNS Google (8.8.8.8 na przykład).
Nie chce mi się robić upgrade
Skoro ci się nie chce, to zmień pracę. Może składanie pudełek, będzie lepszym zajęciem. Upgrade to punkt obowiązkowy. Błędy występują zawsze i tylko poprawki są w stanie je załatać. Ostatnio dostałam w łapy serwer, który działa, jako produkcja. Jako system operacyjny ma Debiana Lenny 5.0. Nie muszę przypominać, że wersja Stable to 8.0 Jessie. Myślę, że specjalnie dla takich adminów powinno tworzyć się osobne branche – Archaic Stable, albo Mamut Stable. :/
Logowanie: admin admin
Zostawienie pustego hasła, login i hasło standardowe, imię ukochanej lub rasa psa. Ile razy spotkaliście się z takimi hasłami? Najgorsze jest to, że userzy absolutnie nie respektują polityki zarządzania hasłami. Wysłanie “mietkowi” hasła na przykład dziesięcio-znakowego to obraza majestatu. Jest płacz i zgrzytanie zębów i prośby o “coś łatwiejszego”, na przykład imię żony. Nie muszę chyba mówić, że odpalenie słownikowego ataku załatwi sprawę szybciej, niż zdążycie sobie zrobić kawę.
Brak kontroli ruchu sieciowego
Ok. Nie jesteśmy w domku. Mamy pod sobą kilka serwerów produkcyjnych, dużo ważnych klientów. Musimy monitorować sieć, sprawdzać logi, kontrolować co do nas wchodzi i wychodzi. Dobrze jest też czasami odpalić jakiś analizator ruchu, zwłaszcza, jak mamy jakieś korki na sieci (wireshark, iperf, iptraf,netstumbler). Logi podstawą egzystencji admina!
Rureczki otworzone na szerokość
Dobrze jest wprowadzić ograniczenia prędkości niektórych usług. I nie mówię tu tylko o dużych sieciach korporacyjnych. W małych sieciach także problemem jest dużą wykorzystanie łącza przez niektóre aplikacje. Problemem może być na przykład p2p lub torrent w sieci. Ciekawym rozwiązaniem jest tworzenie na routerze tuneli z przypisaną szerokością pasma, dla danej usług. Jeżeli korzystacie z iptabes, to takim rozwiązaniem jest np. pipe.
Niekontrolowany dostęp do sieci
Otwarte formowe AP, DHCP w sieci lokalnej… To są pomysły adminów na “ułatwienie sobie życia”. Bo nie trzeba wpisywać ludziom IP, lub spisywać MAC adresów, albo wysyłam każdemu klucza. Ciekawe, kto będzie odpowiadał głową przy wypłynięciu firmowych danych??!!