Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

articles:fstat [2017/09/05 02:55] (текущий)
Строка 1: Строка 1:
 +====== fstat ======
 +<​sub>​{{fstat.odt|Original file}}</​sub>​
 +
 +====== спроси эксперта\\ ох, и тяжела ты, служба системного администратора!\\ alt:​логика и современные технологии это две несовместимые вещи ======
 +
 +====== ​ ======
 +
 +====== ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ ======
 +
 +====== крис касперски ака мыщъх ======
 +
 +====== ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ ======
 +
 +====== ​ ======
 +
 +====== ​ ======
 +
 +====== ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ ======
 +
 +====== ВЕРСТАЛЬЩИКУ:​ Вступление ======
 +
 +====== ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ ======
 +
 +====== На вопросы отвечает эксперт этого номера Харон Яков (jh@styx.cabel.net). ======
 +
 +====== Увидел компьютер в 5 лет (Электроника85),​ и как-то затянуло и не отпускало почти 20 лет. Первый собственный компьютер был Atari 800. Дальше — больше. До сих пор дома компьютеров больше чем людей. Занимался всем от системного программирования,​ с разработками математических алгоритмов,​ до администрирования сетей и проектирования баз данных. Потом понял что IT куда интереснее,​ когда это хобби и ушёл в коммерцию. Но ценный совет может дать до сих пор ;-) ======
 +
 +====== ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ ======
 +
 +====== ​ ======
 +
 +====== ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ ======
 +
 +====== Начало текста статьи ======
 +
 +====== ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ ======
 +
 +====== ​ ======
 +
 +====== СПЕЦ: Что самое сложное в работе системного администратора?​ ======
 +
 +====== Харон Яков : Как это ни странно,​ но самое сложное — это понять в чём заключается проблема. ======
 +
 +====== СПЕЦ: В смысле?​ ======
 +
 +Харон Яков : Хороший системный администратор в первую очередь должен уметь работать не с "​железом",​ с а людьми,​ быть и психологом,​ и инженером (ох уж этот пресловутый человеческий фактор!). Четко поставленную техническую задачу решить легко (даже если эта задача из разряда "​тяжелых"​),​ а вот разобраться,​ чего хочет обратившийся к нему пользователь с первого раза удается далеко не всегда. "​Для того, что бы правильно задать вопрос нужно знать как минимум 80% ответа"​ (С) Азимов. Все пользователи делятся на две категории:​ те, кто знают, что они ничего не знают, и те, кто _думают_ что они знают все. В первом случае к Вам обращаются с претензией типа: "у меня не работает интернет"​. Вы смотрите таблицу ARP'​ов на его порту и видите,​ что все должно работать и проблема не у Вас, а у кого-то еще... Можно, конечно,​ на этом и закончить,​ но ведь любой пользователь,​ будь он Вашим клиентом,​ если Вы ISP, или сотрудником компании,​ которую Вы администрируете,​ приносит Вам деньги. Это он их зарабатывает,​ а Вы их получаете,​ так что надо разбираться дальше. Приходится учить людей владеть компьютером хотя бы в такой степени,​ чтобы первичную диагностику возможно было провести по телефону,​ подсказывая пользователю,​ что "​крутить"​ и на что нажимать. Часто приходится слышать забавные вещи, например:​ звонит пользователь и жалуется,​ что он вводит пароль,​ а его куда-то не пускают. Умный администратор в этом случае спрашивает:​ "​сколько лампочек у вас горит в правом верхнем углу клавиатуры"​. Постоянно сталкиваясь с однотипными звонками,​ постепенно он выработает набор простых вопросов,​ на которые ответит кто угодно.
 +
 +
 +
 +Со второй категорий общаться намного сложнее. Они уверенны,​ что гораздо лучше вас знают в чем проблема и отказываются хоть как-то реагировать на ваши доводы,​ затягивая решение проблемы на неопределенный срок. Например,​ однажды мне пришлось устраивать конференцию с админом крупной компании и админом банка. Админ клиента очень уверенно рассказывал мне, как наш firewall мешает работать его клиент-банку (в действительности,​ никакого firewall'​а для этого клиента у нас не было), а админ банка отказывался поверить,​ что у него "​вклинило"​ маршрутизацию,​ в результате чего сервер,​ обслуживающий клиент-банк,​ остался без связи с доброй половиной России! Но главным аргументом оба админа считали:​ "​все остальное же работает!"​.
 +
 +Хуже всего, что из-за таких пользователей страдают действительно разбирающиеся профи, которых вы рефлекторно принимаете за вышеописанный тип людей, и изначально не обращаете внимание на то, что они говорят.
 +
 +====== СПЕЦ: Не ужели все сложности из-за пользователей?​ ======
 +
 +Харон Яков : Конечно нет, администраторы так же успешно создают себе проблемы сами ;-) Всем нас часто кажется,​ что мы уже сталкивались с точно такой же проблемой и вместо того что бы проделать стандартный набор действий (в зависимости от ситуации и проблемы),​ позволяющих диагностировать неисправность,​ мы пытаемся "​починить"​ то, что как нам кажется "​поломалось"​. Тем самым, можно на несколько часов загнать себя в состояния поиска чёрной кошки в тёмной комнате,​ которая там и не ночевала. После чего вы все таки вернётесь к началу и поймёте,​ что решение было тривиально и следующие полчаса пройдут в воспоминаниях,​ что же вы успели поменять и возвращение этого в исходное состояние.
 +
 +В целом, у администратора должно быть два основных качества:​ Первое — умение выуживать из людей нужную информацию (выше было наглядно показано,​ зачем это нужно). Второе – необходимо иметь "​систему"​отладки/​поиска проблемы,​ развитую на подсознательном уровне. Надо уметь шаг за шагом отсекать не имеющие отношения к делу звенья,​ чтобы в конце найти неисправное. Очень часто администраторы устраняют не причину проблем,​ а ее следствия. Это из серии: не видно — значит всё хорошо. Если администратор обладает всеми вышеперечисленными качествами,​ то ни новое оборудование,​ ни новое программное обеспечение не станут для него большой проблемой.
 +
 +СПЕЦ: Вот многие утверждают,​ что они могут защитить свою сеть так, что никто не может ее сломать! А сможете это сделать?​
 +
 +====== Харон Яков : Разумеется нет! ======
 +
 +====== СПЕЦ: Сказывается недостаток квалификации?​ ======
 +
 +Харон Яков : Просто не хочу изобретать вечный двигатель. Что сделал один человек,​ сможет сломать другой. Это вопрос времени и средств,​ которые хакер готов потратить на взлом, ну и, конечно,​ все зависит от цели, которую преследует атакующий.
 +
 +====== СПЕЦ: Что вы имеете ввиду под целями?​ ======
 +
 +Харон Яков : Цели бывают самыми разными:​ получить доступ к конфиденциальным данным,​ уничтожить информацию,​ не дать работать неделю и т. д. Более того, достаточно важный вопрос:​ какие усилия способен приложить взломщик,​ чтобы остаться незамеченным и не пойманным.
 +
 +====== СПЕЦ: Как проще всего хакер может обезопасить себя? ======
 +
 +Харон Яков : Проще всего отрезать кабель,​ когда никто не видит ;-)  По крайней мере передающую жилу Ethernet'​а при sniffing'​е отрезать стоит наверняка,​ поскольку существует масса противохакерских способов,​ обнаруживающих даже пассивный грабеж трафика. Как вариант,​ можно вести взлом чужими "​руками"​.
 +
 +====== СПЕЦ: Но ведь можно же отследить откуда идет атака?​! ======
 +
 +
 +
 +Харон Яков : Ну предположим,​ что мы хотим атаковать своего конкурента,​ сидящего в соседней комнате. Возьмём диапазон его IP адресов и, подставив их в качестве source, будем посылать пакеты всему миру. И мир ответит. На эти адреса. Жертва увидит поток мусора,​ падающий со всех сторон,​ который загружает канал и не даёт нормально работать,​ но противостоять этому нельзя,​ даже если поставить "​персональный"​ брандмауэр,​ создающий видимость "​защиты"​ от атак такого типа, но бессильный "​очистить"​ канал. Никакой защиты от DoS-атак не будет, пока все операторы не поменяют магистральное оборудование (которого на сегодняшний день просто нет), либо не будет принципиально изменена идеология динамической маршрутизации. Иначе как только у меня есть подключения по BGP, ко мне беспрепятственно могут приходить пакеты,​ идущие откуда угодно и куда угодно.
 +
 +СПЕЦ: Говорят,​ что сигнал в медном кабеле можно "​подслушать"​ без разрыва. Так ли это?
 +
 +Харон Яков : Абсолютно верно! Если у вас есть возможность подойти к кабелю так чтобы до него было можно дотронуться,​ то это вообще делается без проблем! Из школьного курса физики известно,​ что вокруг провода,​ в котором "​живёт"​ электричество,​ всегда присутствует электромагнитное поле. Существует миф о том, что экранированный кабель или кабель с двойным экраном (когда экран есть у каждой пары и есть общий экран),​ полностью "​нейтрализует"​ это поле, но в действительности все не так и миф остается мифом. Оборудование,​ перехватывающее сигнал,​ может быть построено на различных принципах,​ но как бы там ни было, "​спрятать"​ сигнал за фольгой не получиться ;-) Более того, нет особых проблем,​ чтобы считать сигнал с расстояния в метр.
 +
 +СПЕЦ: Мне говорили что связь по оптоволокну гораздо безопаснее чем связь по меди, оптоволокно нельзя "​подслушать"​ это так?
 +
 +Харон Яков : Это не так! Люди, которые так говорят,​ сами никогда не работали с оптоволокном или не до конца знают как и для чего его можно использовать,​ им кажется что параллельно подключиться к медным проводам можно, а к оптоволокну нельзя. На деле, к оптоволокну подключаются точно так же, только вместо скруток используются делители сигнала:​ одно волокно разводится и одинаковые сигналы меньшей мощности идут в оба волокна. Дальше — техника та же что и с медью.
 +
 +СПЕЦ: Но по этой логике оптика гораздо надёжнее электричества в ней нет, и значит без разрыва её
 +
 +прослушать не удастся?​
 +
 +Харон Яков : По логике да, но логика и современные технологии это две несовместимые вещи, существует общедоступный прибор,​ часто используемый при работе с оптикой. Если его поднести к кабелю,​ он покажет — присутствует ли в нём сигнал и в какую сторону он направлен. Технические подробности и принцип работы мне не известен,​ но раз он работает,​ то значит,​ часть фотонов все-таки просачивается наружу ;-)
 +
 +СПЕЦ: Общаясь с Вами, складывается впечатление,​ что нет никакого способа сделать сеть безопасной.
 +
 +Харон Яков : Смотря,​ что понимать под "​безопасностью"​. Абсолютная "​абстрактная защита"​ существует лишь на бумаге. В реальной же жизни, вы всегда защищаете что-то конкретное:​ документы,​ которые вы посылаете по почте, файлы, которые лежат у вас на компьютере или что-то ещё. Прежде чего говорить о "​защите",​ необходимо оценить условную стоимость охраняемого объекта для вас и потенциального злоумышленника (с поправкой взлома на "​интерес"​ и стремлению кому-то отомстить или напакостить). После этого остается всего лишь выбрать адекватный способ защиты,​ гарантирующий,​ что стоимость взлома будет выше стоимости охраняемой информации,​ в результате чего взлом становится экономически нецелесообразным и нерентабельным. Остаются только месть типа "​вендетты"​ и вандалы. А вот с этими типами уже сложнее. Если кто-то очень умный, очень влиятельный и очень-очень-очень сильно разозленный захочет подломать ваш сервер,​ то с высокой степенью вероятности он его подломает.
 +
 +====== СПЕЦ: А если мои данные практически бесценны?​ ======
 +
 +Харон Яков : в этом случае,​ Вы в первую очередь должны обеспечить безопасность на административном уровне:​ компьютеры в железных клетках,​ вход только по пропускам,​ камеры наблюдения на каждом шагу и т.д. Плюс служба охраны — ведь отобрать данные "​физическим"​ путем гораздо проще ;-) Есть даже шутливая диссертация на эту тему: зависимость скорости перебора паролей от температуры паяльника в заднем проходе. Если же вы интересуетесь,​ как максимально защитить данные,​ передаваемые по сети, ответ очень прост — не используйте ничего стандартного! Если вы используете свое оборудование,​ свои протоколы связи, свои алгоритмы шифрации пусть и достаточно простые (которое вы сделали сами или кто-то сделал его специально для вас) у того, кто покушается на вас не будет возможности экспериментировать и искать дыры, скорее всего он будет очень долгое время пытаться понять,​ что же это такое а потом и вовсе бросит это занятие.
 +
 +