«Buzilmagan bo’lsa, tuzatmang» degan iborani bilasizmi? Ha bo’lsa, bilasizki, ba’zida hozirgi vaziyatga aralashmaslik yaxshiroqdir. Ammo bironta ham haqiqiy tizim ma’muri yangi «gadjetlar» ga xotirjamlik bilan qaray olmaydi va ularni «qo’zg’atishdan» va amaliyotga tatbiq etishdan o’zini tiya olmaydi. Shu tariqa biz hozir bo‘lgan darajaga yetdik va endi bundan ham yuqori darajaga o‘tishni rejalashtirmoqdamiz. Biroq, notanish narsaga o’tkir tayoqni urish har doim ham xavfsiz ish emas.
Biz o’zlarini bir necha marta his qiladigan 21 ta keng tarqalgan xatolar ro’yxatini tuzdik. Maslahatimiz: yangi narsani sinab ko’rsangiz, oqibatlari haqida o’ylashni unutmang! Ular juda boshqacha bo’lishi mumkin.
1. Anonim kirish va FTP
FTP yordamida veb-sayt yaratgan, anonim kirishga ruxsat bergan va o’z saytini onlayn qo’ygan har bir kishi bir nechta saboqlarni o’rgandi. Agar siz anonim kirishga ruxsat bersangiz, tez orada sizning saytingiz pirat dasturlar va filmlar uchun xostga aylanishiga tayyor bo’ling. Hech qachon, hatto ichki tarmoqda ham anonim kirishga ruxsat bermang. Aks holda, diskdagi joy va trafik tezda tugaydi.
2. «Hamma to’liq nazoratda»
Windowsning so’nggi versiyalarigacha, har safar umumiy jild yaratganingizda, sukut bo’yicha uning sozlamalarida «Hamma – To’liq nazorat» opsiyasi faollashtirilgan. Ushbu eski tizimlarning aksariyati bugungi kunda ham qo’llanilmoqda. Bundan ham yomoni, ko’pgina tizim boshqaruvchilari ushbu opsiyani hali ham zamonaviy operatsion tizimlarda sukut bo’yicha yoqilgan holda qoldiradilar va hammaga katalogni to’liq nazorat qilish to’g’ri ish deb hisoblaydilar! Bunday imtiyozlarni o’ngga va chapga berishni to’xtatishingizni tavsiya qilamiz!
3. «Hammasiga javob berish»
Ha, ba’zida korporativ guruhning barcha foydalanuvchilariga birdaniga xat yuborish kerak bo’ladi. Ammo bu tugmani hamma foydalanishi uchun ochiq qoldirish elektron pochtangizni maksimal darajada oshirish va uni sinovdan o’tkazishning eng oson yo’lidir. Kimdir tasodifan uni bosadi va bir daqiqadan so’ng 30 kishi bir vaqtning o’zida jamoaviy muloqotni bekor qiladi yoki hammadan hammaga javob berishni to’xtatishni so’raydi yoki aksincha, suhbatga besh sentini kiritishni so’raydi. Men serverlar bu jinnilikni to’xtatish uchun ataylab yopilganini ko’rdim. «Hammasiga javob berish» funksiyasidan foydalanish imkoniyatini cheklang va faqat vakolatli foydalanuvchilar sizning elektron pochtangizdagi eng katta foydalanuvchilar guruhlariga xat yuborishi mumkinligiga ishonch hosil qiling.
4. Masofaviy kirishda «O’chirish» opsiyasi
Men serverni masofadan turib boshqarayotganda tasodifan “Chiqish” tugmasi o‘rniga “O‘chirish” tugmasini bosganim sababli boshqa shaharga rejadan tashqari safar qilishga majbur bo‘ldim. Endi «O’chirish» opsiyasi sukut bo’yicha menyudan o’chiriladi, ammo 2003 va 2008 yillardagi millionlab serverlarda hali ham mavjud. Masofaviy kirish menyusidan O’chirish tugmasini olib tashlang. Agar siz haqiqatan ham serverni o’chirmoqchi bo’lsangiz, buyruq qatoridan foydalanganingiz ma’qul. Xo’sh, agar ma’lumotlar markaziga rejadan tashqari tashriflar sizga yoqsa, shunday bo’lsin, siz uni tark etishingiz mumkin.
5. Veb-sahifalarda shifrlanmagan parollarni saqlash
Ko’pincha veb-ustalar ma’lumotlar bazasiga ulanish parametrlarini veb-saytlarning skript kodida oddiy matnda saqlaydilar. Shu bilan birga, har kim «ma’lumotlar manbai bilan tanishish» uchun tizimga kirishi mumkin. Hech qachon parollarni oxirgi foydalanuvchilar kirishi mumkin bo’lgan fayllarda saqlamang. Agar siz hali ham ushbu ma’lumotni biror joyda saqlashingiz kerak bo’lsa, shifrlashdan foydalaning.
6. Kirish tekshiruvlariga e’tibor bermaslik
Bufer to’lib ketishi, SQL in’ektsiyalari, onlayn xarid qilish savatidagi narxlarning o’zgarishi – bularning barchasi, agar siz dasturiy ta’minotingizda va veb-saytingizda kiritilgan ma’lumotlarni tekshirishni ta’minlamasangiz. O’zgarishlar (va ularning oqibatlari) qaytarib bo’lmaydigan holga kelgunga qadar har doim foydalanuvchilar tomonidan olingan ma’lumotlarni qayta tasdiqlang va muvaffaqiyatsiz bo’lgan hamma narsani rad eting.
7. Shifrlanmagan protokollardan foydalanish
DNS-serverlarni so’rash, umumiy fayllarni yuklab olish va keng jamoatchilik uchun veb-sahifalarni yaratishdan tashqari, shifrlanmagan protokollardan foydalanishning amaliy nuqtasi yo’q. Ammo agar siz har qanday autentifikatsiyani amalga oshirayotgan bo’lsangiz yoki maxfiy ma’lumotlarga kirishni ta’minlasangiz, kriptografik himoya qilish shart. Shu bilan birga, qo’shimcha ravishda qaysi protokollar hozirda eng xavfsiz deb hisoblanishini va nima uchun ekanligini o’rganing.
8. Shifrlanmagan protokoldan shifrlangan protokolga yo’naltirish yo’q
Adolat uchun, keling, aniqlik kiritaylik: biz shifrlanmagan protokollarni o’chirib qo’yishni taklif qilmaymiz. Juda ko’p foydalanuvchilar manzilni protokolsiz yozadilar va HTTP-dan HTTPS-ga yo’naltirishsiz ular veb-saytingizga kira olmaydi. HTTP-dan foydalaning va undan qayta yo’naltirishni o’rnating. Shu bilan birga, foydalanuvchi ma’lumotlari himoyalanadi va ular sizning veb-saytingizga kirishda muammolarga duch kelmaydi.
9. SSL sertifikatlarini tekshirish
Har safar foydalanuvchiga ogohlantirishlarni o’qimasdan shunchaki «bosishni» o’rgatsangiz, kelajakda ularni kiberjinoyatchilarning potentsial qurboniga aylantirasiz. Ko’pincha, bu SSL sertifikati bilan HTTPS protokolidan foydalanadigan ichki veb-saytlarda sodir bo’ladi. Foydalanuvchilar, ikkilanmasdan, kerak bo’lmagan joyni bosing. Yakuniy foydalanuvchilar ichki saytni tashqi saytdan ajrata olmaydi. Ular shunchaki tanish ogohlantirish formatini ko’radi va ichki ilovadan qanday foydalanishni o’rgatganingizda aytganingizdek OK tugmasini bosing. Korporativ CA yarating yoki joker sertifikat sotib oling, lekin foydalanuvchilarni ogohlantirishlarga bemalol “OK” tugmasini bosishga o‘rgatmang.
10. Jang tizimida qoldirilgan ilovalar va kodlarning oraliq yig’indisi
Ilovalarni bosqichma-bosqich qurish hozirda qanday ishlashini ko’rsatish uchun mo’ljallangan. Ular ko’pincha xavfsizlik va ishonchlilikning talab qilinadigan darajasiga javob bermaydi va qoida tariqasida, dasturga yamalar o’rnatilganda yangilanmaydi. Serverni yaratish yoki ishga tushirishda oldingi namunaviy kod va ilovalarni o’chirib tashlang, shunda ular kelajakda sizga qarshi ishlatilmaydi.
11. Yangilanishlar va yamoqlarni sinovdan o’tkazmasdan o’rnatish
Agar siz ishlab chiqaruvchidan faqat «vanil kodi» dan foydalansangiz, sinovsiz yangilanishlar va yamoqlarni o’rnatish muammoga aylanishi mumkin. Ishlab chiquvchi har bir alohida konfiguratsiyani sinab ko’rish imkoniyatiga ega emas. Bu sizning konfiguratsiyangizni ham sinab ko’rmaganligini anglatadi. Bu sizning vazifangiz, uning emas. Yangilanishni o’rnatmoqchimisiz? O’rnating, lekin avval u tizimingizda boshqa muammolarni keltirib chiqarmasligiga ishonch hosil qiling.
Odatda, kompyuterlarning katta parkini yangilashda, yangilanishni barcha tizimlarga tarqatishdan oldin, o’rnatilgan yamoqlarning ishlashi tekshiriladigan bir nechta mashinalardan nazorat guruhi tanlanadi. Agar yangilanish ularda muammosiz o’tsa, uni butun tarmoqqa tarqatishingiz mumkin.
12. DNS-da avtomatik IP (169.254.y.z).
Agar serverda DNS-da ikkita IP-manzil bo’lsa, u ikkalasining so’rovlariga javob beradi. Agar ushbu manzillardan biri soxta bo’lsa, mijozning haqiqiy manzilga emas, balki unga etib borishi 50/50 ehtimoli bor. Bu ishni sekinlashtiradi va shunga mos ravishda mijoz sizning texnik yordamingizga qo’ng’iroq qiladi. Hech bo’lmaganda, «DNS ulanishini ro’yxatdan o’tkazish» opsiyasidan belgini olib tashlang, shunda soxta manzillar haqiqiy xost nomlariga tayinlanmaydi.
13. ActiveDirectory-dagi DNS-ga havolalar
ADda domen kontrollerlari hech qachon DNS da o’zlariga murojaat qilmasliklari kerak; boshqa domen boshqaruvchisiga murojaat qilishingiz kerak. Agar domen boshqaruvchisi o’ziga havola qilsa, u siz sezmasdan ham boshqalar bilan sinxronlashdan chiqib ketishi mumkin. U tezda eskiradi va foydalanuvchilarni aniqlay olmaydi.
Agar u uzoq vaqt davomida sinxronlashtirilmasa (sukut bo’yicha 60 kun), muammoni hal qilish uchun uni buzib, qayta o’rnatishingiz kerak bo’ladi. Domen boshqaruvchisi o’ziga emas, balki DNS-dagi boshqa domen boshqaruvchisiga bog’langanligiga doimo ishonch hosil qiling. Aks holda, ADni zararli ma’lumotlardan tozalash uchun NTDSUTIL-dan foydalanishingiz kerak bo’ladi.
14. Auditning etarli emasligi
Tizim hodisalarini ro’yxatga olish juda muhim jarayon, ammo u kamdan-kam hollarda to’g’ri bajariladi. Standart audit sozlamalari odatda voqealar jarayonini to’liq tiklash va muammoning sababini aniqlash uchun etarli emas. Bundan tashqari, voqealar jurnallari diskda juda ko’p joy egallaydi va kimdir biror narsa sodir bo’lganligini va jurnallarni tekshirish kerakligini anglab etgunga qadar bir necha kun yoki hatto haftalar ketishi mumkin. Voqealar rivojini tiklash uchun yetarlicha ma’lumotni jurnalga kiritganingizga ishonch hosil qiling va ularning yordami bilan har qanday nosozlikni to’liq tekshirishingiz uchun jurnal yozuvlari etarlicha uzoq saqlanganligiga ishonch hosil qiling.
15. Markazlashtirilgan jurnalning yo’qligi
Odatiy bo’lib, tizim ro’yxatga olish uchun mahalliy drayverlardan foydalanadi. Tizim ishdan chiqmaguncha yoki jurnallarni o’chirib tashlaydigan xaker tomonidan buzilganicha, bu yaxshi. Markazlashtirilgan daftarni yuritish ko’proq vaqt, pul va joy talab qiladi. Biroq, shu bilan birga, tizimning ishdan chiqishida sizda albatta voqealar jurnali bo’ladi va tajovuzkor o’z faoliyatining izlarini yashirishi qiyinroq bo’ladi.
GFI tarmoqdagi voqealar jurnallari uchun markazlashtirilgan yig’ish va tahlil qilish yechimi bo’lgan GFI EventsManager dan foydalanishni tavsiya qiladi. Mahsulotni toʻliq funksiyasi bilan 30 kungacha bepul yuklab olish va ishlatish mumkin – bu gigabayt maʼlumotlar jurnallarini tahlil qilish va tarmoq muammolarini aniqlash uchun yetarli.
16. O’qish ruxsati
Ko’pgina Linux distributivlari foydalanuvchilarga istalgan joydan uy kataloglariga kirish imkonini beradi. Qoidaga ko’ra, bu «butun Internet» degani emas, balki tarmoqdagi har qanday foydalanuvchi uy katalogidan fayllarni o’qishi mumkinligini anglatadi va parol fayllari, konfiguratsiya fayllari va boshqa ko’plab qimmatli ma’lumotlar bo’lishi mumkin. Har bir foydalanuvchining uy katalogiga kirish darajasi 600 ga oʻrnatilganligiga ishonch hosil qiling, shunda foydalanuvchilar faqat uy kataloglaridagi fayllarni oʻqishi va yozishi mumkin, lekin ulardan dasturlarni ishga tushira olmaydi. Agar siz dasturlarning ishlashiga ruxsat bermoqchi bo’lsangiz, qiymatni 700 ga o’rnating.
17. SNMP-da «ommaviy» va «xususiy» uchun hamjamiyat satrlarining dastlabki sozlamalaridan foydalanish
SNMP v1 va v2 da xavfsizlik faqat hamjamiyat qatori tomonidan ta’minlanadi va sukut bo’yicha, kirish uchun hamjamiyat qatori «xususiy» ga o’rnatiladi. Shu bilan birga, tarmoqqa kirish huquqiga ega bo’lgan tajovuzkor yo’riqnoma yoki portlarni almashtirish uchun hech qanday xarajat qilmaydi. SNMP v1 va v2 aloqalari shifrlanmagan, biroq hamjamiyat qatoridagi standart qiymatni o‘zgartirish xaker uchun tarmog‘ingizda muammo yaratishni biroz qiyinlashtiradi. Iloji bo’lsa, SNMP v3 dan foydalaning yoki yozish uchun SNMP dan umuman foydalanmang.
18. ICMP protokoliga e’tibor bermang
RFClar xostlar ICMP Echo so’rovlariga javob berishi KERAK shart, shuning uchun ICMPni e’tiborsiz qoldiradigan tizim boshqaruvchilari ularning talablarini buzadilar, bu yaxshi emas. Bundan tashqari, tarmoqdagi o’lim hujumlarining ping pingi 15 yil davomida eskirganligi sababli, ICMP protokoliga e’tibor bermaslik foydalanuvchilar saytingizga kira olmaganlarida vaziyatni to’g’irlashni qiyinlashtiradi va ular VPN-dan foydalana olmasligi haqidagi qo’ng’iroqlar va xabarlar bilan yordam stolingizni to’ldirishadi. Hech bo’lmaganda, saytingiz va VPN so’nggi nuqtalariga ping qo’yishga ruxsat bering (ko’p hollarda, bu sinovdan o’tadi).
19. Ichki tarmoqdagi biror narsani olib tashlash (bloklash o’rniga).
Agar siz ichki tarmoqdagi kiruvchi trafikni bloklayotgan bo’lsangiz, yaxshi tizim boshqaruvchilari RST ACK yoki ICMP Unreachable-ni ko’radi va xavfsizlik devori biror narsani ataylab bloklayotganini biladi. Agar siz ichki tarmog’ingizdagi biror narsani jimgina o’chirib tashlasangiz, hamkasblaringiz bir necha kun davomida nima uchun avvalgidek ishlamayotganini tushunishga harakat qilishlari mumkin, hamma narsa noto’g’ri bo’lishi mumkin bo’lgan xavfsizlik devorini ayblashni boshlaydilar va agar biror narsa noto’g’ri bo’lsa, sizga qo’ng’iroq qilishlari mumkin. (Eng yomon holatda, ular sizni aybdor deb bilishadi.)
20. Tizimni avtomatik yangilash opsiyasini yoqish
Yangilanishlarni sinovdan o’tkazmasdan o’rnatishda bo’lgani kabi, tizimni avtomatik ravishda yangilashga ruxsat berish, avval tekshirmasdan va jarayonni nazorat qila olmasdan, o’ziga yamoqlarni o’rnatishga ruxsat berishni anglatadi. Yo’q, jiddiy, agar siz serverlaringizni avtomatik ravishda yangilashga ruxsat bersangiz, nega ular sizga kerak? Yangilanishni boshqarish jarayonini nazorat qilishingiz kerak. Birinchidan, siz sinovdan o’tishingiz mumkin, ikkinchidan, serverlarni faqat rejalashtirilgan tarzda, kerak bo’lganda qayta ishga tushirishingiz mumkin bo’ladi.
Yamoqlarni boshqarish va tarmoqdagi zaifliklarni tekshirish uchun GFI GFI LanGuard mahsulotidan foydalanishni tavsiya qiladi. Mahsulotdan 30 kun davomida hech qanday funksionallik cheklovlarisiz bepul foydalanish mumkin – tarmoqdagi xavfsizlik “teshiklari” bor-yo‘qligini tekshiring va yangilanishlar va yamoqlar ustidan markazlashtirilgan nazoratni oling.
21. Vaqtni sinxronlashtirish uchun mahalliy apparat soatidan foydalanish
Vaqtni sinxronlashtirish juda muhim. Jurnallar bunga bog’liq. Autentifikatsiya bunga bog’liq. Sizning foydalanuvchilaringiz bunga bog’liq – ular uyga qaytish vaqti kelganini yana qanday bilishadi? Barcha tarmoqlar soatni sinxronlashtirish uchun NTP protokolidan foydalanishi va soatlar nafaqat sinxronlashtirilgan, balki aniq ekanligiga ishonch hosil qilish uchun pool.ntp.org kabi ishonchli tashqi manbadan foydalanishi kerak.
Ushbu muhim fikrlarga e’tibor bering, shunda sizning tarmog’ingiz mukammal holatda bo’ladi va har qanday yukga bardosh beradi.