Segítség, biztonsági hibát találtak az XXX szolgáltatásban!

Programok biztonságos beállításaGyakori hír, hogy egy-egy operációs rendszer szolgáltatásaiban biztonsági rést találtak. Ezek nem mindig egyszerűen javíthatóak, illetve előfordul, hogy egy-egy a cég életében fontos, de régebbi program alatt nem lehet egy-egy szolgáltatást frissíteni.

A sérülékenység kiderülése és a javítás megjelenése között eltelt idő alatt egy-egy hiba az azt ismerők számára szabadon kihasználható. Mivel a hibákat felfedezőknek nem feltétlenül érdekük a tényt a gyártóval közölni, vagy nyilvánosságra hozni, egy-egy hiba léte akár évtizedekig titokban maradhat.

Azt, hogy a dolog nem egy jópofa vicc, az alábbi esetekkel szeretném demonstrálni:

Szerintem minden olvasó hozzá tud tenni ehhez a listához pár tételt, de nem is volt cél a teljes lista elkészítése, csak a probléma fontosságát szerettem volna hangsúlyozni, hogy a biztonsági hibák akár a ház legkisebb helységében is gondot okozhatnak.

A következő kérés, hogy nem ismert hiba ellen hogyan lehet védekezni?

A válasz annyi, hogy józan ésszel.

A cikk az asztali és szerver operációs rendszereken keresztül mutatja meg, hogy a helyzet nem reménytelen.

A leggyakrabban használt operációs rendszerek (Windows, Linux) alapértelmezett telepítés szerint sok szolgáltatást feltesznek, amire nem feltétlenül van szükség. Ezeket a szolgáltatásokat tiltsuk le, vagy távolítsuk el. A FreeBSD ellenben alapértelmezés szerint szinte semmit sem tesz fel, ránk bízza melyik szolgáltatásokra van szükségünk.

Ha egy szolgáltatásra szükségünk van, figyeljünk oda, hogy mindig az aktuális verzióját használjuk, folyamatos frissítések, és  a beállítások naprakészen tartása sokat segít, ha javítatlan sérülékenységre derül fény, vizsgáljuk meg, hogy konfigurációs eszközökkel kezelhető-e, vagy használjunk más gyártótól származó alternatívát.

Ha egy szolgáltatást nem mindig használunk, állítsuk le, amikor nincsen rá szükségünk. Amíg le van állítva nem támadható illetve a szerveren nem fogja az erőforrásokat. Jó példa erre a távsegítség, amely az ügyfeleinknél alapesetben ki van kapcsolva, csak akkor kapcsolják be, amikor szükség van rá.

A szervereken használjunk gondosan beállított karanténokat, és a szolgáltatásokat azokban futtassuk. Ez ugyan a szerver tervezésének és telepítésének az idejét meredeken emeli, de egy esetleges támadás esetén viszonylag komoly biztonságot nyújt.

A szolgáltatásokat csak azok érhessék el, akiknek el kell érniük, ezért használjuk ki az IPfilterek lehetőségeit, illetve a VPN csatornák adta biztonságot és lehetőségét, hogy a különböző felhasználói csoportok eltérő szolgáltatásokhoz férjen hozzá.

Az irodai hálózatokat érdemes szegmentálni, hogy egy sértődött vagy megtévesztett munkatárs, vírus, meghibásodott eszköz csak korlátozott károkat okozhasson.

Az root, toor, administrator, rendszergazda nevű felhasználók távolról ne jelentkezhessenek be. *nix rendszerekben konfiguráljuk és használjuk a sudo lehetőséget, illetve Windows rendszerekben a tervezett feladatoknál használjuk a Futtatás Rendszergazdaként lehetőséget, illetve, hozzunk létre egy felhasználót rendszergazdai jogosultságokkal, az alapértelmezett rendszergazda felhasználót pedig tiltsuk le!