După cum știți deja probabil punerea la zi a sistemului de bază este foarte ușoară, cum rămâne însă cu celelalte “bucăți de software”?

E bine de știut de la început că operatorul de telefonie nu se bagă în asta. În Franța de exemplu, la Orange, dacă ai un telefon achiziționat de la ei îl poți bloca astfel încât rețeaua Orange F să nu-l mai accepte. Dar asta nu e o rezolvare! Plus că procesul de localizare din rețea poate să nu fie exact, după cum o să vă dați seama dacă citiți acest articol în continuare.

Una dintre achizițiile mele recente(de fapt a noastră, a mea și a soției mele), de după mutarea în Franța,  sunt două telefoane mobile marca Blackberry.  Mi-am dorit foarte mult un terminal Blackberry, produs de RIM, cu serviciul blackberry.net activ. Eram obișnuit și în România cu serviciul blackberry de pe un Nokia E61, dar visam la un astfel de telefon.

Cunosc de ce sunt în stare telefoanele astea de pe vremea când s-a lansat serviciul în România, la Orange. Trebuie să recunosc că până să particip la un curs organizat de companie pur și simplu am refuzat ideea și nu înțelegeam ce e așa de interesant la ele, din moment ce există în lume IMAP. Deja m-am lungit prea mult cu explicațiile, dacă considerați că merită să scriu un articol separat despre ce înseamnă de fapt Blackberry și cum ne schimbă un astfel de „telefon” viața nu conteniți cu comentariile.

Revenind la oile noastre. Unul dintre „noile” servicii pe care le oferă Blackberry se numește „Blackberry Protect”. Este de fapt o aplicație care rezidă pe telefon și care are mai multe funcții. Prima funcție este cea de backup. Este încă o modalitate de salvare a datelor, pe lângă funcțiile obișnuite de sincronizare cu conturile de Gmail/Yahoo/etc.

A doua funcție și cea mai importantă de fapt este posibilitatea de a-ți recupera telefonul și de a-l bloca,  în cazul în care l-ai pierdut sau ți-a fost furat.

Odată instalată aplicația, prin intermediul Blackberry App World și activat contul, putem să ne logăm pe site-ul https://protect.blackberry.com și de acolo:

• Putem localiza telefonul. Localizarea se face prin două metode: GPS-ul integrat în telefon, dacă aparatul posedă o astfel de funcție și prin intermediul rețelei mobile. În cazul în care localizarea se face prin intermediul rețelei mobile vom primii și un mesaj privind acuratețea informațiilor (localizare corectă pe o rază de x metrii).
   
• Putem cere un backup instantaneu, în cazul în care vrem, și considerăm că avem informații ce nu le-am salvat demult sau dacă de exmplu telefonul este în roaming și era cuplată bifa prin care sincronizarea să nu se facă în roaming.
  
• Putem să afișam un mesaj pe ecranul telefonului. Sciem ce vrem și acest mesaj pur și simplu va apărea pe ecran.
  
• Putem face telefonul să sune, și să sune tare. Presupunem că vrem să-l atenționăm pe cel care ne-a „ajutat” în găsirea telefonului.
  
• Putem bloca cu parolă tastatura telefonului. Odată cu această blocare putem și schimba parola aparatului.
  
  
• Formatarea telefonului. În cazul în care considerăm că purtăm în acel aparat informații confidențiale, sensibile putem chiar să formatăm telefonul. Din păcate nu am un „demo” pentru așa ceva.

Important! Serviciul nu funcționează dacă nu ai abonament de date Blackberry și implicit dacă apn-ul blackberry.net nu este corect activat din rețea.

În loc de concluzie, acesta este doar unul dintre nenumăratele lucruri care îmi plac la aceste telefoane.

PHP până nu demult rula în apache doar folosind MPM-ul prefork. În acest MPM(Multi-Processing Module) fiecare client este servit de către un proces separat al Apache pornit în prealabil și care „așteaptă” să servească clientul. Se configurează numărul maxim de cereri pe care îl va servii acest proces pre-deschis și astfel se acumulează în memoria serverului web cache-uri de la fiecare fișier PHP rulat.

În MPM-ul worker serverul web poate servii mai mulți clienți(mai multe cereri) folosind același proces, pe mai multe thread-uri. De asemena câteva procese sunt păstrate latente pentru momentele în care procesele care servesc inițial cererile for fi prea ocupate. Chiar de la prima vedere putem observa că posibilitatea ca un client să ceară aceeași frântură de cod PHP existentă în cache este mult mai mare. Problema este că folosind MPM-ul worker nu vom putea rula nativ codul PHP și va fi nevoie să-l folosim prin intermediul modulului FastCGI.

Instalăm serverul web apache, varianta cu MPM-ul worker,  modulul FastCGI și SuExec.

apt-get install apache2-mpm-worker libapache2-mod-fcgid apache2-suexec

Instalăm php5-cgi, pachetul care permite rularea PHP-ului prin modulul fastcgi.

apt-get install php5-cgi

Activăm modulele:

a2enmod suexec fcgid

Presupunem din start că serverul nostru web servește mai multe site-uri și vom începe cu crearea unui utilizator,  ne inclusiv în faptul că îl putem folosi pentru FTP dar și la rularea PHP-ului.

adduser vhost1 --home /var/www/vhost1 --shell /bin/false

Creem directoarele suplimentare necesare

cd /var/www/vhost1/
mkdir htdocs tmp
chown -R  vhost1.vhost1 .

Edităm fișierul ce conține informațiile despre site-ul nostru(/etc/apache2/sites-available/vhost1)

<VirtualHost *:80>
        ServerAdmin webmaster@vhost1
        ServerName vhost1
        ServerAlias www.vhost1
        DocumentRoot /var/www/vhost1/htdocs
        ErrorLog /var/log/apache2/vhost1_error.log
        CustomLog /var/log/apache2/vhost1_access.log combined
        SuexecUserGroup vhost1 vhost1
 
                # SocketPath /tmp/fcgid_sock/
                IdleTimeout 3600
                ProcessLifeTime 7200
                # MaxProcessCount 1000
                DefaultMinClassProcessCount 3
                DefaultMaxClassProcessCount 100
                IPCConnectTimeout 8
                IPCCommTimeout 360
                BusyTimeout 300
 
                Options Indexes FollowSymLinks MultiViews +ExecCGI
                AllowOverride All
                Order allow,deny
                allow from all
        AddHandler fcgid-script .php .php3 .php4 .php5
        FCGIWrapper /var/www/vhost1/.php-fcgi-starter .php
</VirtualHost>

Din rațiuni de securitate SuexecUserGroup are ca parametrii numele de utilizator și grupul cu care vom încărca fișierele PHP în rădăcina acelui site. În felul acesta PHP-ul va fi rulat sub permisiunile utilizatorului respectiv și nu va mai fi nevoie să modificăm permisuni ale fișierelor de pe disc atunci când o aplicație are nevoie să scrie anumite fișiere pe disc.

Creem scriptul care pornește PHP-ul (/var/www/vhost1/.php-fcgi-starter) cu următorul conținut:

#!/bin/sh
PHPRC="/etc/php5/cgi/"
export PHPRC
PHP_DOCUMENT_ROOT="/var/www/vhost1/htdocs"
export PHP_DOCUMENT_ROOT
PHP_FCGI_MAX_REQUESTS=5000
export PHP_FCGI_MAX_REQUESTS
exec /usr/bin/php-cgi \
 -d open_basedir="/var/www/vhost1/htdocs:/usr/share/php5:/tmp:/usr/share/phpmyadmin" \
-d upload_tmp_dir=/var/www/vhost1/tmp \
-d session.save_path=/var/www/vhost1/tmp \
 $1

În cazul în care avem nevoie ca din PHP să folosim alte fișiere de pe disc decât cele din rădăcina acelui site vom modifica în acest scrip opțiunea open_basedir. Este în general bine să nu lăsăm PHP-ul să deschidă alte fișiere de pe disc din rațiuni de securitate.

Modificăm permisiunile acestui fișier:

chmod 755 /var/www/vhost1/.php-fcgi-starter
chown vhost1.vhost1 /var/www/vhost1/.php-fcgi-starter

Activăm site-ul și repornim Apache

a2ensite vhost1
/etc/init.d/apache2 restart

Pentru a verifica că PHP-ul funcționează creem un fișier info.php în directorul /var/www/vhost1/htdocs cu următorul conținut:

Deschidem browserul și accesăm adresa serverului web (http://vhost1/info.php). Ar trebui să se deschidă o pagină în următorul format.

Pentru a putea încărca fișierele prin FTP nu ne rămâne decăt să instalăm un server FTP.

apt-get install proftpd

Modificăm în /etc/proftpd/proftpd.conf și scoatem #-ul din fața liniei

RequireValidShell               off

Mai trebuie să instalăm MySQL ca să avem un „LAMP” complet

apt-get install mysql-server

PS Rămâne de văzut cum se comportă în practică atunci când vorbim de performanță

JFolder::create: Infinite loop detected
Unable to create destination

To make everything possible go to ISPConfig Control Pannel to Sites, choose your site, go to Options and change the Option for PHP open_basedir option like /var/www/clients/client1/web4/web to /var/www/clients/client1/web4. Save and wait for the ISPConfig cron to happen (about 1 minute) and try updating Joomla Again.

Mai întâi un exemplu:

Date: Thu, 01 Oct 2009 05:37:25 GMT
Server: Apache/2.2.3 (CentOS)
Last-Modified: Wed, 22 Jul 2009 18:26:49 GMT
Etag: "9e012e-12a6-83ab8c40"
Accept-Ranges: bytes
Content-Length: 4774
Content-Type: text/html; charset=UTF-8

În cazul de față un posibil atacator afă că serverul web este un Apache 2.2.3 ce rulează pe distribuția CentOS. Ar putea verifica alte portițe de intrare în sistem știind anumite vulnerabilități specifice pentru CentOS 5.

Următorul exemplu este cel de pe serverul de găzduiește acest blog:

Date: Wed, 30 Sep 2009 21:24:46 GMT
Server: Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
X-Powered-By: PHP/5.2.6-1+lenny3
Vary: Cookie,Accept-Encoding
Expires: Wed, 11 Jan 1984 05:00:00 GMT
X-Pingback: http://emil.cheriches.ro/xmlrpc.php
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
WP-Super-Cache: WP-Cache
Content-Encoding: gzip
Content-Length: 17228
Keep-Alive: timeout=15, max=91
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

Vedem că este un Debian Lenny cu PHP 5.2.6 dar vedem și alte informații despe alte module instalate.

Dar cum facem să nu mai stăm cu versiunile de software la vedere? În apache, căutăm în fișierul de configurație ServerSignature și ServerTokens. În Debian 5.x aceste directive se află în /etc/apache2/conf.d/security și le modifcăm în felul următor:

ServerSignature Off
ServerTokens Prod

Repornim serviciul și observăm:

Date: Wed, 30 Sep 2009 21:24:02 GMT
Server: Apache
X-Powered-By: PHP/5.2.6-1+lenny3
Vary: Cookie,Accept-Encoding
Expires: Wed, 11 Jan 1984 05:00:00 GMT
X-Pingback: http://emil.cheriches.ro/xmlrpc.php
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
WP-Super-Cache: WP-Cache
Content-Encoding: gzip
Content-Length: 17228
Keep-Alive: timeout=15, max=85
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

Server: Apache, dar mai avem un header: X-Powered-By: PHP/5.2.6-1+lenny3. Pentru a scoate acest header edităm în php.ini (în Debian 5.x este /etc/php5/apache2/php.ini) și punem:

expose_php = Off

Repornim încă odată serviciul și vedem că a dispărut și acest header.

Date: Wed, 30 Sep 2009 21:26:09 GMT
Server: Apache
Vary: Cookie,Accept-Encoding
Expires: Wed, 11 Jan 1984 05:00:00 GMT
X-Pingback: http://emil.cheriches.ro/xmlrpc.php
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
WP-Super-Cache: WP-Cache
Content-Encoding: gzip
Content-Length: 17228
Keep-Alive: timeout=15, max=93
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

Pentru a modifica string-ul Apache, sau pentru a-l scoate de tot va trebui să modificați codul sursă al serverul web și să-l recompilați. Nu este una din operațiunile recomandate.
Headerele le-am văzut folosind suplimentul de Firefox Domain Details, în acest domeniu găsiți chiar mai multe suplimente utile.

Ca să avem tot timpul ultima versiune stabilă (una din metodele de a ne proteja oarecum de problemele apărute) putem configura actualizări automate din repozitorul oficial.

Dacă utilizăm Ubuntu/Debian în /etc/apt/sources.list punem următoarea linie

deb http://download.webmin.com/download/repository sarge contrib

după care rulăm comanda

wget -q -O- http://www.webmin.com/jcameron-key.asc|apt-key add -

Urmează să actualizăm sistemul cu comanda:

apt-get update && apt-get dist-upgrade

În CentOS sau altă distribuție bazată pe YUM și RPM creem un fișier /etc/yum.repos.d/webmin.repo în care scriem:

[Webmin]
name=Webmin Distribution Neutral
baseurl=http://download.webmin.com/download/yum
enabled=1

După care rulăm comanda

rpm --import http://www.webmin.com/jcameron-key.asc

Facem actualizarea foarte simplu folosind comanda:

yum update

Vă mai recomand să configurați Webmin astfel încât la autentificarea pe web cu un utilizator nou, care nu s-a mai autentificat în Webmin, acesta să aibă drepturi reduse.

De cele mai multe ori sysadmin-ul/utilizatorul/programatorul are nevoie de LAPM (Linux, Apache, PHP, MySQL). Ubuntu vine chiar și cu opțiunea de instalare implicită a unei suite de pachete ce vine să ne satisfacă nevoile. Însă atenție cu setările implicite!

DOS (Denial of Service) este unul dintre cele mai răspândite tipuri de atacuri dinspre internet ce se pot înâmpla serverului nostru WEB.  Ce se întâmplă de fapt, unul sau mai mulți clienți cer același site de nenumărate ori. Serverul WEB încearcă să-i servească “pe toți”, adică toate cererile, dar de cele mai multe ori hardware-ul nu ne ajută, prea multe activități concurente nu fac decât să îngreuneze servirea paginii web până când intervine „TIMEOUT”. Timeout înseamnă un timp de răspuns prea mare. De obicei browser-ul sau proxy-ul prin care ni se servește această pagină are setat un timp de răspuns maxim, adică dacă serverul web nu ne servește nimic în timp de… voi afișa un mesaj de eroare „TIMEOUT”.

Simplu test, pe un calculatoar oarecare instalați o aplicație web, să zicem wordpress, deschideți aplicația în browser. Într-o consolă urmăriți utilizarea resurselor de sistem (comanda top sau chiar htop).  Din browser țineți apăsat Ctrl+F5 (aică refresh la pagină de nenumărate ori) pentru vreo căteva zeci de secunde. Între timp comutați pe consolă să vedeți ce se întâmplă cu resursele sistemului.

Cum evităm toate astea? Nu pot să vă spun că există o soluție garantată 100% sau că există doar o soluție. E un domeniu poate la fel de vast ca și SEO-ul. În general trebuie să ajungem la un compromis între numărul de clienți „legitimi” pe care îi servim și limita de la care zicem „Gata!”. Iată câteva trucuri:

1. Limitarea numărului de conexiuni TCP noi inițiate către server. Se face din iptables. În general este o bună practică ca într-un firewall făcut cu iptables conexiunile TCP deja stabilite să treacă fără probleme și atunci vom lucra doar cu pachetele ce reprezintă conexiuni noi.  Creem un lanț nou numit SYN-FLOOD prin care lăsăm să treacă doar un anumit număr de pachete.

iptables -N SYN-FLOOD
iptables -A INPUT -m state --state NEW -j SYN-FLOOD
iptables -A SYN-FLOOD -m limit --limit 100/s --limit-burst 200 -j RETURN
iptables -A SYN-FLOOD -j DROP

Putem să facem și jurnalizarea din lanțul SYN-FLOOD.
2. Limitarea numărului maxim clienți posibili servibili de serverul web. De cele mai multe ori setările implicite sunt făcute pentru server web ce au hardware foarte performant ce permite acest număr de conexiuni însă nu acestea nu se aplică întotdeauna. De cele mai multe ori pe același server avem și pagini statice și imagini dar și pagini dinamice(de cele mai multe ori scrise în PHP). Din această cauză numărul maxim de clienți va trebui setat unpic mai mare decât numărul real de persoane/roboți ce vizirează site-ul. În funcție de MPM-ul utilizat la compilarea serverului web apache(implicit, dacă instalăm și PHP este prefork) avem diverse setări în apache.conf. Le găsim între <IfModule mpm_prefork_module>și </IfModule>. Putem folosi MPM worker dacă configurăm PHP prin intermediul lui mod_fastcgi dar asta este altă poveste(probabil într-un articol următor).

3. mod_evasive. Este modulul care verifică numărul de conexiuni la intervale destul de mici de la același client. Este practic cea mai bună metodă de protejare împotriva atacurilor DOS. În cazul în care clientul face prea multe cereri la intervale mici acesta  primește o pagină de eroare cu „403 Forbidden” în locul site-ului consumând astfel cu mult mai puține resurse hardware.

Cum se face:
Se instalează modulul folosind comanda:

apt-get  install libapache2-mod-evasive

Pentru configurarea parametrilor vom crea un fișier /etc/apache2/conf.d/evasive.conf ce conține:

    DOSHashTableSize    3097
    DOSPageCount        10
    DOSSiteCount        5
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10

Opțional mai avem

DOSEmailNotify	you@yourdomain.com
DOSSystemCommand	"su - someuser -c '/sbin/... %s ...'"
DOSLogDir		"/var/lock/mod_evasive"

DOSPageCount este parametrul care restricționează numărul maxim de cereri simultane pentru același URL, DOSSiteCount este parametrul ce restricționează numărul maxim de cereri de la același IP(utilizator) iar DOSBlockingPeriod este perioada de timp în secunde pentru care utilizatorul va primi pagina de eroare.

Pentru a primi notificări prin e-mail legat de încercările de atac asupra serverului folosiți parametrul DOSEmailNotify. Atenție însă mod_evasive încearcă să trimită e-mail folosind comanda /bin/mail care în Ubuntu și în alte distribuții este de fapt în /usr/bin/mail. Pentru a-l face funcțional vom face un symlink:

ln -s /usr/bin/mail /bin/mail

Din păcate domeniul este foarte vast și destul de puțin documentat, în general lucrurile se învață din practică, încercând și testând.

Ultimul său proiect, numit Voice Keychain este unul destinat administratorului care trebuie să rețină parole, multe parole

Acesta tot ce trebuie să facă să afle o parolă este să sune la un număr de telefon. Va comunica acolo un ID și un PIN, folosind tastatura telefonului, fie el fix, fie mobil. Roboțelul îi va cere un ID al parolei după care îi va dicta pe litere parola.

Ca și trăsături care lipsesc aplicației ar fi https, unde avem promisiunea că în cel mai scurt timp va fi disponibil, plus o modalitate mai facilă de ajuns la parole. Mi se pare destul de greoi să ajung la ea, ar trebui să știu strict ID-ul ei. Ca și sugestie aș propune fie o modalitate de căutare, sau, de ce nu, posibilitatea de a-ți tipării o listă a ID+descriere parolă.

Așteaptă și el reacții!

Se pare că whois-ul din Hardy(Ubuntu 8.04) e o versiune unpic mai veche și nu cunoaște aceste AS-uri. Ca să funcționeze totul corect va trebui să facem un update. Descărcăm pachetul avânt ultima versiune de la adresa și il înstalăm.

wget http://ftp.debian.org/debian/pool/main/w/whois/whois_4.7.31_amd64.deb
dpkg -i whois_4.7.31_amd64.deb

PS! Exemplul este pentru distribuția pe 64 de biți.

Presupunem că folosim pentru navigarea pe internet Mozilla Firefox. În general am încercat să-mi „convertesc”  prietenii și cunoscuții la acest browser, din mai multe motive, și încă nu am primit nici un feedback negativ.

Instalăm un add-on (un supliment) la Firefox: WOT (Web Of Trus) îl găsim aici. Îl instalăm, procedeul e foarte simplu după care repornim Firefox(opțiune disponibilă în timpul instalării).

Vom observa că în bara de unelte de sus, lângă adresa web aven o iconiță nouă. Această iconiță este verde dacă site-ul pe care îl vizităm este în regulă și roșie dacă site-ul oferă conținut malițios. În motoarele de căutare de asemenea vom avea iconițe în dreptul rezultatelor.

Putem contribui la aceste scoruri. Pentru asta trebuie să ne facem cont pe site la cei care au dezvoltat plugin-ul mywot.com și să fim în permanență logați pe acel site. Trebuie să știți că mywot are în spate o comunitate de oameni care trimit informații despre site-urile vizitate  și că este ceva perfectibil.

Un alt exemplu:

Nu de puține ori dăm câte un ping la serverul respectiv, numai ca să verificăm că funcționează. Ce facem? Îl facem să accepte ping numai de la anumite adrese? Dacă se virusează astea și fac mai mult rău decât restul internetului la un loc?

Eu vă recomand așa:

• creem un lanț nou, ICMP și direcționătm tot traficul ICMP către el(practica spune că e bine să creem grupurile de reguli ce țin de un anume protocol sau de un serviciu în lanțuri separate)

iptables -N ICMP
iptables -A INPUT -p icmp -j ICMP
iptables -A OUTPUT -p icmp -j ICMP
iptables -A FORWARD -p icmp -j ICMP

• jurnalizăm și ignorăm pachetele ce depășesc de o anumită dimensiune (pachetele de control în general nu depășesc 1500, adică mai mult de cât MTU, dacă sunt mai mari e clar că ceva e în neregulă)

iptables -A ICMP -m length --length 1700:65507 -m limit --limit 1/sec -j LOG --log-prefix "ICMP TOO BIG: "
iptables -A ICMP -m length --length 1700:65507 -j DROP

• acceptăm pachetele de tipul care ne interesează și în anumite limite

iptables -A ICMP -p icmp -m limit --limit 10/sec --limit-burst 20 -m icmp --icmp-type 0 -j ACCEPT #echo-reply
iptables -A ICMP -p icmp -m limit --limit 10/sec --limit-burst 20 -m icmp --icmp-type 8 -j ACCEPT #echo-request
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 3 -j ACCEPT #destination-unreachable (folosit la traceroute și mtr)
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 11 -j ACCEPT #time-exceeded
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 30 -j ACCEPT #traceroute
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 17 -j ACCEPT #address-mask-request
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 18 -j ACCEPT #address-mask-reply

• jurnalizăm și ignorăm restul pachetelor

iptables -A ICMP -m limit --limit 1/sec -j LOG --log-prefix "DROP ICMP: "
iptables -A ICMP -j DROP

Aștept sugestii

La construcția unei rețele de calculatoare găsim termenul de DMZ, sau Zonă Demilitarizată. Definiția spune că această zonă demilitarizată este o sub-rețea delimitaă fizic sau logic de restul rețelei companiei. Scopul principal este de a plasa acolo echipamentele sau serverele expuse, adică cele la care publicul larg are acces. În felul acesta oferim un grad suplimentar rețelei interne de calculatoare prin simplu fapt că de ex dacă cineva rău intenționat ar ataca un serviciu public și ar primi acces pe unul din serverele publice, nu ar avea implicit acces și la resursele rețelei private.

Blindaj din ambele părți. Ce înseamnă asta. Îseamnă că rețeaua companiei ar trebui să fie protejată din ambele părți, atât din partea internetului cât și din partea DMZ-ului. Unele firewall-uri au astfel de funcții, pentru unele este nevoie să plătiți suplimentar ca astfel de funcții să fie activate. Acest lucru însă se poate face foarte simplu și cu un router bazat pe Linux.

Fizic și nu logic! Este mult mai sigur dacă delimitarea se face la nivel fizic. Un atacator odată intrat pe unul din servere, chiar dacă din punct de vedere logic serverul e din altă clasă de IP-uri sau chiar subclasă care logic nu ar comunica cu restul calculatoarelor, credeți că îi e greu să modfice o adresă IP pe o interfață de rețea? Atunci e mai bine ca acea separație să fie fizică. Inseamnă fie să aveți două conexiuni la internet complet separate, fie să aveți încă un router pus înaintea rețelei companiei care să nu permită accesul de nicăieiri, fie pur și simplu routerul bazat pe linux are mai multe plăci de rețea fiecare conectată fizic unde îi e locul.

Accesul internet din DMZ. Putem spune că dacă e o zonă separată atunci de ce să o mai restricționăm? Ei bine, pentru securitatea sporită asupra serviciilor publice sau pentru a ne scuti de bătăi de cap suplimentare. Să zicem că un atacator încearcă și primește acces către serviciile publice. Ce va încerca el să facă? Să le facă nefuncționale! Chiar dacă pagubele nu sunt așa de mari ca atunci când atacatorul face terci rețeaua companiei, totuși un serviciu public nefuncțional nu dă bine. Cât îi ia administratorului rețelei să restaureze totul din copiile de siguranță, cât durează până serviciile vor fi din nou funcționale? Personal sunt de părere că acele echipamente din DMZ nu ar trebui să aibă acces la internt, sau ar trebui să aibă acces doar la site-urile de unde se pot face actualizări de software. Soluția recomandată de mine este 1-to-1 NAT. Adică publicul larg când cere un serviciu îl va cere de la un router/firewall care va transmite cererile mai departe către serverul implicat(cel real).

Accesul la echipamente. Acesta se va face fie strict fizic, fie prin intermediul soluțiilor VPN, atât dinspre internet cât și din rețeaua locală și doar de persoanele direct implicate. Accesul către rețeaua locală de asemenea se va face prin intermeniul soluțiilo VPN și de asemena doar de câtre persoanele care au cu adevărat nevoie de acest lucru. Ce fel de soluții de VPN sunt recomandate? În general să vă feriți de soluțiile în care accesul se face doar în baza unei parole. În general parolele sunt ușor de schimbat/ghicit/rătăcit/pierdut șamd.

Securitate absolută! Nu există așa ceva! Cine își asumă așa ceva este fie prost fie își permite să piardă(în caz de….).

Pentru mai multe informații aveți în bara laterală informațiile mele de contact.

PS! Imaginile sunt de pe Wikipedia

]]> http://emil.cheriches.ro/2009/02/24/dmz-unde-cum-si-de-ce.html/feed 1 http://emil.cheriches.ro/2008/11/24/php-safe_mode.html http://emil.cheriches.ro/2008/11/24/php-safe_mode.html#comments Mon, 24 Nov 2008 06:00:40 +0000 Emil CHERICHEŞ http://emil.cheriches.ro/?p=1033 Continue reading →]]> PHP Safe Mode era o setare care o puneam mai demult pe ON.

Se pare că de la un timp uitasem de ea. Azi m-am lovit din nou de ea

Se dă situația următoare:

Un mediu de hosting în care avem utilizatorul X și utilizatorul Y. Utilizatorul X are un CMS care se conectează la MySQL și are setările în /home/X/public_html/config.php.

Utilizatorul Y este un băiat deștept, care vede că X folosește un CMS și știe unde are acel CMS setările de bază de date. Își face pe contul lui un fișier PHP în care pune:

<?php
file_get_contents("/home/X/public_html/config.php");
?>

Scriptul la execuție îi va da tot conținutul fișierul config.php, inclusiv parola de conectare la MySQL. Cum într-un mediu de hosting parola de MySQL este aceeași ca și la userul de sistem, întregul sistem e astfel compromis.

Soluția? În php.ini:

safe_mode = on

Setarea face ca scriptul PHP care are UID-ul lui Y, acesta să nu poată vedea fișierele lui X.

• suport extins pentru virtualizare prin JeOS chiar de la instalare
• stiva Java e completă
• ClamAV şi SpamAssassin instalate implicit odată cu serverul de mail
• suport îmbunătăţit pentru RAID, include DMRAID la instalare vom putea vedea matricile RAID făcute cu controllere RAID integrate pe plăcile de bază.
• directoare private criptate, care pot fi montate automat atunci când utilizatorul intră în sistem, fie local, fie prin SSH pentru a păstra asigurate informaţiile sensibile
• pachete HARDENED, până acum aceste opţiuni erau disponibile doar pe Gentoo, cu un profil special.
• îmbunătăţiri aduse UFW, sunt curios dacă va şti sau nu NAT

Nu l-am încercat încă, dar după scrierea acestui articol parcă devin curios să instalez un RC.