stat

спроси эксперта\\ ох, и тяжела ты, служба системного администратора!

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

крис касперски ака мыщъх

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

ВЕРСТАЛЬЩИКУ: Вступление

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

На вопросы отвечает эксперт этого номера Харон Яков Юрьевич (Jakov Haron jh@styx.cabel.net).

Увидел компьютер в 5 лет (Электроника85), и как-то затянуло и не отпускало почти 20 лет. Первый собственный компьютер был Atari 800. Дальше — больше. До сих пор дома компьютеров больше чем людей. Занимался всем от системного программирования, с разработки математических алгоритмов, до администрирования сетей и проектирования баз данных. Потом понял что IT куда интереснее, когда это хобби и ушёл в коммерцию. Но ценный совет может дать до сих пор ;-)

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

Начало текста статьи

ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

СПЕЦ: Что самое сложное в работе системного администратора?

Харон Яков Юрьевич: Как это ни странно, но самое сложное — это понять в чём заключается проблема.

СПЕЦ: В смысле?

Харон Яков Юрьевич: Хороший системный администратор в первую очередь должен уметь работать не с «железом», с а людьми, быть и психологом, и инженером (ох уж этот пресловутый человеческий фактор!). Четко поставленную техническую задачу решить легко (даже если эта задача из разряда «тяжелых»), а вот разобраться, чего хочет обратившийся к нему пользователь в первого раза удается далеко не всегда. «Для того, что бы правильно задать вопрос нужно знать как минимум 80% ответа» (С) Азимов. Все пользователи делятся на две категории: те, кто знают, что они ничего не знают, и те, кто _думает_ что они знают все. В первом случае к Вам обращаются с претензией типа: «у меня не работает интернет». Вы смотрите таблицу ARP'ов на его порту и видите, что все должно работать и проблема не у Вас, а у кого-то еще… Можно конечно на этом закончить, но ведь любой пользователь, будь он вашим клиентом, если вы ISP, или сотрудником компании, которую вы администрируете, приносит вам деньги. Это он их зарабатывает, а вы их получаете, так что надо разбираться дальше. Приходится учить людей владеть компьютером хотя бы в такой степени, чтобы было первичную диагностику было возможно провести по телефону, подсказывая пользователю, что «крутить» и на что нажимать. Часто приходится слышать забавные вещи, например: звонит пользователь и жалуется, что он вводит пароль, а его куда-то не пускают. Умный администратор в этом случае спрашивает: «сколько лампочек у вас горит в правом верхнем углу клавиатуры». Постоянно сталкиваясь с однотипными звонками, постепенно он выработает набор простых вопросов, на который ответит кто угодно.

Со второй категорий общаться намного сложнее. Они уверенны, что гораздо лучше вас знают в чем проблема и отказываются хоть как-то реагировать на ваши доводы, затягивая решение проблемы. Например, однажды мне пришлось устраивать конференцию с админом крупной компании и админом банка. Админ клиента очень уверенно рассказывал мне, что наш firewall мешает работать его клиент-банку (в действительности, никакого firewall'а для этого клиента у нас не было), а админ банка отказывался поверить, что у него «вклинило» маршрутизацию, в результате чего сервер, обслуживающий клиент-банк, остался без связи с доброй половиной России! Но главным аргументом оба админа считали: «все остальное же работает!».

Хуже всего, что из-за таких пользователей страдают действительно разбирающиеся люди, которых вы рефлекторно принимаете за вышеописанный тип людей, и изначально не обращаете внимание на то что они говорят.

СПЕЦ: Не ужели все сложности из-за пользователей?

Харон Яков Юрьевич: Конечно нет, администраторы так же успешно создают себе проблемы сами ;-) Всем нас часто кажется, что мы уже сталкивались точно с такой же проблемой и вместо того что бы проделать стандартный набор действий (в зависимости от ситуации и проблемы), позволяющих диагностировать неисправность, мы пытаемся «починить» то, что как нам кажется «поломалось». Тем самым, можно на несколько часов загнать себя в состояния поиска чёрной кошки в тёмной комнате, которая там и не ночевала. После чего вы все таки вернётесь к началу и поймёте, что решение было тривиально и следующие полчаса пройдут в воспоминаниях, что же вы успели поменять и возвращение этого в исходное состояние.

В целом, у администратора должно быть два основных качества: Первое — умение выуживать из людей нужную информацию (выше было наглядно показано, зачем это нужно). Второе – необходимо иметь «система отладки»/поиска проблемы, развитую на подсознательном уровне. Надо уметь шаг за шагом отсекать не имеющие отношения к делу звенья, чтобы в конце найти неисправное. Очень часто администраторы начинают устранять не причину проблем, а ее следствия. Это из серии: не видно — значит всё хорошо. Если администратор обладает этими качествами, то ни новое оборудование, ни новое программное обеспечение не станут для него большой проблемой.

СПЕЦ: Вот многие утверждают, что они могут защитить свою сеть так, что никто не может ее сломать! Как вы считаете, вы это сможете?

Харон Яков Юрьевич: Разумеется нет!

СПЕЦ: Сказывается недостаток квалификации?

Харон Яков Юрьевич: Просто не хочу изобретать вечный двигатель. Что сделал один человек, сможет сломать другой. Это вопрос времени и средств, которые хакер готов потратить на взлом, ну и, конечно, все зависит от цели, которую преследует атакующий.

СПЕЦ: Что вы имеете ввиду под целями?

Харон Яков Юрьевич: Цели бывают самыми разными: получить доступ к конфиденциальным данным, уничтожить информацию, не дать работать неделю и т. д. Более того, достаточно важный вопрос: какие усилия способен приложить взломщик, чтобы остаться незамеченным и не пойманным.

СПЕЦ: Как проще всего хакер может обезопасить себя?

Харон Яков Юрьевич: Проще всего отрезать кабель, когда никто не видит, по крайней мере передающую жилу Ethernet'а при sniffing'е отрезать стоит наверняка, поскольку существует масса противохакерских способов, обнаруживающих даже пассивное сканирование. Как вариант, можно вести взлом чужими «руками».

СПЕЦ: Но ведь можно же отследить откуда идет атака?!

Харон Яков Юрьевич: Ну предположим, что мы хотим атаковать своего конкурента, сидящего в соседней комнате. Возьмём диапазон его IP адресов и, подставив их в качестве source адреса, будем посылать пакеты всему миру. Весь мир будет отвечать на эти адреса. Жертва увидит поток мусора, падающий со всех сторон, который загружает канал и не даёт нормально работать, но противостоять этому нельзя, даже если поставить «персональный» брандмауэр, создающий видимость «защиты» от таких атак, но бессильный «очистить» канал. Никакой защиты от DoS-атак не будет, пока все операторы не поменяют магистральное оборудование (которого на сегодняшний день просто нет), либо не будет принципиально изменена идеология динамической маршрутизации. Иначе как только у меня есть подключения по BGP, ко мне беспрепятственно могут приходить пакеты, идущие откуда угодно и куда угодно.

СПЕЦ: Говорят, что сигнал в медном кабеле можно «подслушать» без разрыва. Так ли это?

Харон Яков Юрьевич: Абсолютно верно если у вас есть возможность подойти к кабелю так чтобы до него было можно дотронуться, то это вообще делается без проблем! Из школьного курса физики известно, что вокруг провода, в котором «живёт» электричество, всегда присутствует электромагнитное поле. Существует миф о том, что экранированный кабель или кабель с двойным экраном (когда экран есть у каждой пары и есть общий экран), полностью «нейтрализует» это поле, но в действительности все не так и миф остается мифом. Оборудование, перехватывающее сигнал, может быть построено на различных принципах,, но как бы там ни было, «спрятать» сигнал за фольгой не получиться ;-) Более того, нет особых проблем, чтобы считать сигнал с расстояния в метр.

СПЕЦ: Мне говорили что связь по оптоволокну гораздо безопаснее чем связь по меди, оптоволокно нельзя «подслушать» это так?

Харон Яков Юрьевич: Это не так.! Люди, которые так говорят, сами никогда не работали с оптоволокном или не до конца знают как и для чего его можно использовать, им кажется что параллельно подключиться к медным проводам можно, а к оптоволокну нельзя. На деле, к оптоволокну подключаются точно так же, только вместо скруток используются делители сигнала: одно волокно разводится и одинаковые сигналы меньшей мощности идут в оба волокна. Дальше — техника та же что и с медью.

СПЕЦ: Но по этой логике оптика гораздо надёжнее электричества в ней нет, и значит без разрыва её

прослушать не удастся?

Харон Яков Юрьевич: По логике да, но логика и современные технологии это две несовместимые вещи, существует общедоступный прибор, часто используемый при работе с оптикой. Если его поднести к кабелю, он покажет — присутствует ли в нём сигнал и в какую сторону он направлен. Технические подробности и принцип работы мне не известен, но раз он работает, то значит, часто фотонов все-таки просачивается наружу ;-)

СПЕЦ: Общаясь с Вами, складывается впечатление, что нет никакого способа сделать сеть безопасной.

Харон Яков Юрьевич: Смотря, что понимать под «безопасностью». Абсолютная «абстрактная защита» существует лишь на бумаге. В реальной же жизни, вы всегда защищаете что-то конкретное: документы, которые вы посылаете по почте, файлы, которые лежат у вас на компьютере или что-то ещё. Прежде чего говорить о «защите», необходимо оценить условную стоимость охраняемого объекта для вас и потенциального злоумышленника (с поправкой взлома на «интерес» и стремления кому-то отомстить или напакостить). После этого остается всего лишь выбрать адекватный способ защиты, гарантирующий, что стоимость взлома будет выше стоимости охраняемой информации, в результате чего, взлом становится экономически нецелесообразным и нерентабельным. Остаются только месть типа «вендетты» и вандалы. А вот с этим уже сложнее. Если кто-то очень умный, очень влиятельный и очень-очень-очень сильно разозленный, захочет подломать ваш сервер, то с высокой степенью вероятности он это сделает.

СПЕЦ: А если мои данные практически бесценны?

Харон Яков Юрьевич: в этом случае, Вы в первую очередь должны обеспечить безопасность на административном уровне: компьютеры в железных клетках, вход только по пропускам, камеры наблюдения на каждом шагу и т.д. Плюс служба охраны — ведь отобрать данные «физическим» путем гораздо проще ;-) Есть даже шутливая диссертация на эту тему: зависимость скорости перебора паролей от температуры паяльника в заднем проходе. Если же вы интересуетесь, как максимально защитить данные, передаваемые по сети, ответ очень прост — не используйте ничего стандартного! Если вы используете свое оборудование, свои протоколы связи, свои алгоритмы шифрации пусть и достаточно простые (которое вы сделали сами или кто-то сделал его специально для вас) у того, кто покушается на вас не будет возможности экспериментировать и искать дыры, скорее всего он будет очень долгое время пытаться понять, что же это такое а потом и вовсе бросит это занятие.