fstat

спроси эксперта\\ ох, и тяжела ты, служба системного администратора!\\ alt:логика и современные технологии это две несовместимые вещи

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

крис касперски ака мыщъх

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

ВЕРСТАЛЬЩИКУ: Вступление

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

На вопросы отвечает эксперт этого номера Харон Яков (jh@styx.cabel.net).

Увидел компьютер в 5 лет (Электроника85), и как-то затянуло и не отпускало почти 20 лет. Первый собственный компьютер был Atari 800. Дальше — больше. До сих пор дома компьютеров больше чем людей. Занимался всем от системного программирования, с разработками математических алгоритмов, до администрирования сетей и проектирования баз данных. Потом понял что IT куда интереснее, когда это хобби и ушёл в коммерцию. Но ценный совет может дать до сих пор ;-)

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

Начало текста статьи

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

СПЕЦ: Что самое сложное в работе системного администратора?

Харон Яков : Как это ни странно, но самое сложное — это понять в чём заключается проблема.

СПЕЦ: В смысле?

Харон Яков : Хороший системный администратор в первую очередь должен уметь работать не с «железом», с а людьми, быть и психологом, и инженером (ох уж этот пресловутый человеческий фактор!). Четко поставленную техническую задачу решить легко (даже если эта задача из разряда «тяжелых»), а вот разобраться, чего хочет обратившийся к нему пользователь с первого раза удается далеко не всегда. «Для того, что бы правильно задать вопрос нужно знать как минимум 80% ответа» (С) Азимов. Все пользователи делятся на две категории: те, кто знают, что они ничего не знают, и те, кто _думают_ что они знают все. В первом случае к Вам обращаются с претензией типа: «у меня не работает интернет». Вы смотрите таблицу ARP'ов на его порту и видите, что все должно работать и проблема не у Вас, а у кого-то еще… Можно, конечно, на этом и закончить, но ведь любой пользователь, будь он Вашим клиентом, если Вы ISP, или сотрудником компании, которую Вы администрируете, приносит Вам деньги. Это он их зарабатывает, а Вы их получаете, так что надо разбираться дальше. Приходится учить людей владеть компьютером хотя бы в такой степени, чтобы первичную диагностику возможно было провести по телефону, подсказывая пользователю, что «крутить» и на что нажимать. Часто приходится слышать забавные вещи, например: звонит пользователь и жалуется, что он вводит пароль, а его куда-то не пускают. Умный администратор в этом случае спрашивает: «сколько лампочек у вас горит в правом верхнем углу клавиатуры». Постоянно сталкиваясь с однотипными звонками, постепенно он выработает набор простых вопросов, на которые ответит кто угодно.

Со второй категорий общаться намного сложнее. Они уверенны, что гораздо лучше вас знают в чем проблема и отказываются хоть как-то реагировать на ваши доводы, затягивая решение проблемы на неопределенный срок. Например, однажды мне пришлось устраивать конференцию с админом крупной компании и админом банка. Админ клиента очень уверенно рассказывал мне, как наш firewall мешает работать его клиент-банку (в действительности, никакого firewall'а для этого клиента у нас не было), а админ банка отказывался поверить, что у него «вклинило» маршрутизацию, в результате чего сервер, обслуживающий клиент-банк, остался без связи с доброй половиной России! Но главным аргументом оба админа считали: «все остальное же работает!».

Хуже всего, что из-за таких пользователей страдают действительно разбирающиеся профи, которых вы рефлекторно принимаете за вышеописанный тип людей, и изначально не обращаете внимание на то, что они говорят.

СПЕЦ: Не ужели все сложности из-за пользователей?

Харон Яков : Конечно нет, администраторы так же успешно создают себе проблемы сами ;-) Всем нас часто кажется, что мы уже сталкивались с точно такой же проблемой и вместо того что бы проделать стандартный набор действий (в зависимости от ситуации и проблемы), позволяющих диагностировать неисправность, мы пытаемся «починить» то, что как нам кажется «поломалось». Тем самым, можно на несколько часов загнать себя в состояния поиска чёрной кошки в тёмной комнате, которая там и не ночевала. После чего вы все таки вернётесь к началу и поймёте, что решение было тривиально и следующие полчаса пройдут в воспоминаниях, что же вы успели поменять и возвращение этого в исходное состояние.

В целом, у администратора должно быть два основных качества: Первое — умение выуживать из людей нужную информацию (выше было наглядно показано, зачем это нужно). Второе – необходимо иметь «систему»отладки/поиска проблемы, развитую на подсознательном уровне. Надо уметь шаг за шагом отсекать не имеющие отношения к делу звенья, чтобы в конце найти неисправное. Очень часто администраторы устраняют не причину проблем, а ее следствия. Это из серии: не видно — значит всё хорошо. Если администратор обладает всеми вышеперечисленными качествами, то ни новое оборудование, ни новое программное обеспечение не станут для него большой проблемой.

СПЕЦ: Вот многие утверждают, что они могут защитить свою сеть так, что никто не может ее сломать! А сможете это сделать?

Харон Яков : Разумеется нет!

СПЕЦ: Сказывается недостаток квалификации?

Харон Яков : Просто не хочу изобретать вечный двигатель. Что сделал один человек, сможет сломать другой. Это вопрос времени и средств, которые хакер готов потратить на взлом, ну и, конечно, все зависит от цели, которую преследует атакующий.

СПЕЦ: Что вы имеете ввиду под целями?

Харон Яков : Цели бывают самыми разными: получить доступ к конфиденциальным данным, уничтожить информацию, не дать работать неделю и т. д. Более того, достаточно важный вопрос: какие усилия способен приложить взломщик, чтобы остаться незамеченным и не пойманным.

СПЕЦ: Как проще всего хакер может обезопасить себя?

Харон Яков : Проще всего отрезать кабель, когда никто не видит ;-) По крайней мере передающую жилу Ethernet'а при sniffing'е отрезать стоит наверняка, поскольку существует масса противохакерских способов, обнаруживающих даже пассивный грабеж трафика. Как вариант, можно вести взлом чужими «руками».

СПЕЦ: Но ведь можно же отследить откуда идет атака?!

Харон Яков : Ну предположим, что мы хотим атаковать своего конкурента, сидящего в соседней комнате. Возьмём диапазон его IP адресов и, подставив их в качестве source, будем посылать пакеты всему миру. И мир ответит. На эти адреса. Жертва увидит поток мусора, падающий со всех сторон, который загружает канал и не даёт нормально работать, но противостоять этому нельзя, даже если поставить «персональный» брандмауэр, создающий видимость «защиты» от атак такого типа, но бессильный «очистить» канал. Никакой защиты от DoS-атак не будет, пока все операторы не поменяют магистральное оборудование (которого на сегодняшний день просто нет), либо не будет принципиально изменена идеология динамической маршрутизации. Иначе как только у меня есть подключения по BGP, ко мне беспрепятственно могут приходить пакеты, идущие откуда угодно и куда угодно.

СПЕЦ: Говорят, что сигнал в медном кабеле можно «подслушать» без разрыва. Так ли это?

Харон Яков : Абсолютно верно! Если у вас есть возможность подойти к кабелю так чтобы до него было можно дотронуться, то это вообще делается без проблем! Из школьного курса физики известно, что вокруг провода, в котором «живёт» электричество, всегда присутствует электромагнитное поле. Существует миф о том, что экранированный кабель или кабель с двойным экраном (когда экран есть у каждой пары и есть общий экран), полностью «нейтрализует» это поле, но в действительности все не так и миф остается мифом. Оборудование, перехватывающее сигнал, может быть построено на различных принципах, но как бы там ни было, «спрятать» сигнал за фольгой не получиться ;-) Более того, нет особых проблем, чтобы считать сигнал с расстояния в метр.

СПЕЦ: Мне говорили что связь по оптоволокну гораздо безопаснее чем связь по меди, оптоволокно нельзя «подслушать» это так?

Харон Яков : Это не так! Люди, которые так говорят, сами никогда не работали с оптоволокном или не до конца знают как и для чего его можно использовать, им кажется что параллельно подключиться к медным проводам можно, а к оптоволокну нельзя. На деле, к оптоволокну подключаются точно так же, только вместо скруток используются делители сигнала: одно волокно разводится и одинаковые сигналы меньшей мощности идут в оба волокна. Дальше — техника та же что и с медью.

СПЕЦ: Но по этой логике оптика гораздо надёжнее электричества в ней нет, и значит без разрыва её

прослушать не удастся?

Харон Яков : По логике да, но логика и современные технологии это две несовместимые вещи, существует общедоступный прибор, часто используемый при работе с оптикой. Если его поднести к кабелю, он покажет — присутствует ли в нём сигнал и в какую сторону он направлен. Технические подробности и принцип работы мне не известен, но раз он работает, то значит, часть фотонов все-таки просачивается наружу ;-)

СПЕЦ: Общаясь с Вами, складывается впечатление, что нет никакого способа сделать сеть безопасной.

Харон Яков : Смотря, что понимать под «безопасностью». Абсолютная «абстрактная защита» существует лишь на бумаге. В реальной же жизни, вы всегда защищаете что-то конкретное: документы, которые вы посылаете по почте, файлы, которые лежат у вас на компьютере или что-то ещё. Прежде чего говорить о «защите», необходимо оценить условную стоимость охраняемого объекта для вас и потенциального злоумышленника (с поправкой взлома на «интерес» и стремлению кому-то отомстить или напакостить). После этого остается всего лишь выбрать адекватный способ защиты, гарантирующий, что стоимость взлома будет выше стоимости охраняемой информации, в результате чего взлом становится экономически нецелесообразным и нерентабельным. Остаются только месть типа «вендетты» и вандалы. А вот с этими типами уже сложнее. Если кто-то очень умный, очень влиятельный и очень-очень-очень сильно разозленный захочет подломать ваш сервер, то с высокой степенью вероятности он его подломает.

СПЕЦ: А если мои данные практически бесценны?

Харон Яков : в этом случае, Вы в первую очередь должны обеспечить безопасность на административном уровне: компьютеры в железных клетках, вход только по пропускам, камеры наблюдения на каждом шагу и т.д. Плюс служба охраны — ведь отобрать данные «физическим» путем гораздо проще ;-) Есть даже шутливая диссертация на эту тему: зависимость скорости перебора паролей от температуры паяльника в заднем проходе. Если же вы интересуетесь, как максимально защитить данные, передаваемые по сети, ответ очень прост — не используйте ничего стандартного! Если вы используете свое оборудование, свои протоколы связи, свои алгоритмы шифрации пусть и достаточно простые (которое вы сделали сами или кто-то сделал его специально для вас) у того, кто покушается на вас не будет возможности экспериментировать и искать дыры, скорее всего он будет очень долгое время пытаться понять, что же это такое а потом и вовсе бросит это занятие.