Представьте себе, что в результате реорганизации вашей компании многие сотрудники были уволены. И вот однажды ночью вам сообщают, что сервер вышел из строя. Вы являетесь в центр данных, открываете дверь и обнаруживаете, что помещение выглядит как поле битвы. Две новых стойки SAN (Storage Area Network) лежат на полу. На дисководах и контроллерах мигают желтые предупреждающие огни. Плитка, покрывающая пол, разобрана, и в зияющее отверстие сброшен сервер. Повсюду разбросаны резервные ленты Потребуется не один день, чтобы разобраться, какие данные вы потеряли, а что еще можно восстановить. Сотрудники службы безопасности обнаружили ход в серверную из пустой комнаты рядом, в которой положен тот же фальшпол.


Этот случай выдуман, но нечто подобное может произойти и на самом деле. А вот реальная история на ту же тему. Несколько лет тому назад один из ответственных автономных серверов нашей компании потерял связь с сетью. Мы использовали учетные записи домена для регистрации на этой машине, но теперь они оказались непригодны, поскольку кеширование учетных данных на сервере было деактивировано. Наши надежды на вход с использованием локальной учетной записи администратора рухнули, когда мы узнали, что кто-то изменил пароль и нигде его не записал.


Воспользовавшись программой с хакерского Web-сайта, нам удалось зарегистрироваться на сервере с правами администратора. Буквально через несколько минут мы снова смогли подключить сервер к сети. Сначала мы радовались, что так быстро снова получили доступ к управлению сервером, но потом сообразили, что таким же образом любой желающий сможет получить несанкционированный доступ к ценным корпоративным данным этого сервера и спрятать концы в воду, удалив все следы своего пребывания. Каждый, кто имеет физический доступ к серверу, в принципе, может это сделать. Сегодня существуют различные инструментальные средства, которые обеспечивают даже еще более простой доступ к заблокированному паролем серверу.


Мораль этих двух рассказов ясна: физическая безопасность совершенно необходима. Вы можете закрыть доступ к неиспользуемым портам, запустить программное обеспечение мониторинга событий и установить все необходимые исправления, но если злоумышленники получат физический доступ к центру данных, они все же смогут нанести реальный ущерб. Таким образом, полная защита сервера и сети включает и физическую безопасность.


Оценка риска


Определить вероятность проникновения в центр данных не так-то легко. Для этого рассмотрим несколько показателей.


Случаи несанкционированного доступа у вас или у ваших конкурентов. Если у вас или у конкурентов имели место серьезные инциденты, надеюсь, что ваше руководство выделит необходимые ресурсы для защиты от возможных атак. Одним из направлений деятельности, направленной на предотвращение нападений, может быть изменение корпоративной политики безопасности.


Если компания ранее не подвергалась физической атаке, не стоит думать, что удача всегда будет на вашей стороне. Даже если оборудование находится в безопасном месте и у вас хорошая защита по периметру, кто-нибудь из недовольных служащих может в любое время нанести удар изнутри.


Конфиденциальные данные. Большинство крупных компаний имеют такие данные. Информация о кредитных карточках, корпоративные финансовые записи, сведения о счетах клиентов и личные дела персонала относятся к данным закрытого типа. С этими наиболее ценными для компании данными связан наибольший риск с точки зрения несанкционированного доступа.


Возможности защиты и риск обнаружения. Информации о том, что центр данных хорошо защищен и что риск обнаружения высок, может быть достаточно, чтобы злоумышленник отказался от мысли предпринимать атаку.


Компетентность персонала службы безопасности. От уровня подготовки персонала службы безопасности напрямую зависит степень риска для компании.


Понимание мер безопасности служащими. Несколько лет тому назад я работал по контракту в компании, где для идентификации доступа требовался бейдж. По ряду причин я не мог получить соответствующий идентификатор в течение нескольких дней. За это время ко мне то и дело подходили служащие компании и спрашивали о том, куда я иду, где работаю и так далее. Эти люди не были сотрудниками службы безопасности, они просто поддерживали общую корпоративную безопасность.


Моральное состояние служащего. Массовые корпоративные увольнения нередко бывают причиной ситуаций, подобных описанной в начале статьи. Когда служащие думают, что компания предала их, они зачастую не видят оснований сохранять корпоративную верность. Они могут попытаться нанести ответный удар, уничтожив или продав конкурентам конфиденциальные данные.


Географическое положение и местные экономические условия. Проверьте локальную статистику преступности в соответствии со спецификой вашей области.


Не будьте самоуверенными. Высокая плата за нарушение системы безопасности должна заставить вас принять меры предосторожности, даже если на ваш взгляд уровень риска достаточно низок.


Внутренний неприятель


Наилучший метод обеспечения безопасности — представить себе противника и соответственно выстроить защиту. Служащие могут располагать сведениями о положении центра данных, расположении комнат и принятых мерах безопасности. Они знают, какие корпоративные данные представляют особую ценность и могут найти способ уничтожить их. Вы должны иметь в виду, что поставщики, уборщики, персонал, обеспечивающий поддержку, и сотрудники, работающие по контракту, также могут получить доступ к информации для служебного пользования.


Если вы выстроите защиту против внутреннего неприятеля, потребуются лишь незначительные дополнения, чтобы защититься от внешних нападений. Защита внешней границы по периметру и меры безопасности центра данных, которые я описываю, разрабатываются во избежание как внутренних, так и внешних атак.


Защита по периметру


Представьте себе периметр защиты компании, чтобы проанализировать окружающую обстановку вокруг центра данных, и произведите оценку рисков. Бесчисленные устройства защиты доступа, включающие блокировку дверей, камеры, датчики движения и давления могут сбить с толку, и объединить их в общую систему защиты периметра не так-то легко. Следующее это список уязвимых мест и консультации со специалистом по безопасности на предмет их устранения.


Замки и двери. Надежный замок в двери центра данных — первая строка физического обеспечения безопасности. Приобретите кодовый замок, который поддерживает безопасность на уровне пользователя. Установите различные комбинации для каждого пользователя и периодически меняйте их. Определите процедуру блокировки доступа пользователя, который покидает компанию. Эксперты по безопасности не рекомендуют стандартные замки с ключами или кодовые замки с единственной комбинацией, поскольку они не имеют достаточно возможностей регистрации, а потерять ключ или подобрать одну комбинацию достаточно легко. Используйте замок, имеющий защитный экран, такой, что только пользователь, вводящий комбинацию, может видеть вспомогательную клавиатуру.


Сконфигурируйте замок для записи в журнал событий регистрации пользователей, входящих в закрытую область. Компании предоставляют блокирующие системы, которые поддерживают регистрацию. Эти замки имеют встроенный инфракрасный порт (IR), который вы можете задействовать для печати журнала событий и списка пользователей. Кроме того, можно использовать замки с магнитными картами и идентификационные бейджи (proximity badges), которые поддерживают регистрацию событий. Основной риск для любой системы, которая требует от пользователей ввода кода, наличия идентификационной карточки или ключа связан с тем, что не имеющие на самом деле прав доступа пользователи все равно могут его получить.


Дверь лучше выбрать металлическую или же из цельной, твердой древесины: она должна быть достаточно надежна, чтобы выдержать удар плечом. Укрепите дверную раму и обшивку, петли расположите так, чтобы злоумышленники не могли снять дверь снаружи, или установите несъемные петли. Используйте для крепления петель и несущей конструкции длинные винты, уходящие в стену. Приварите гайки любых болтов, которые выходят на поверхность стальных дверей.


Пожарные двери или запасные выходы. Если планировка комнаты требует наличия дополнительной выходной двери, поставьте на дверь аварийное устройство и сверхмощный замок. Стандартные механизмы выходной двери уязвимы.


Внешние указатели. Указатели и настенные карты могут провести злоумышленника прямо к двери центра данных. Если вам нужны указатели направления движения для посетителей при проведении каких-либо мероприятий, установите их на нужное время и впоследствии обязательно удалите.


Расположите центр данных вдали от основного потока посетителей, так, чтобы присутствие посторонних было наиболее заметно. Когда сотрудники, обслуживающие аппаратные средства, посещают центр данных, администратор должен их сопровождать.


Унесите защитные и упаковочные материалы в контейнер для мусора подальше от центра данных. Склад пустых коробок компьютерного оборудования снаружи двери явный признак наличия ценных аппаратных средств и данных внутри.


Стены. Убедитесь, что любые внешние стены здания, которые являются также и стенами компьютерной комнаты, изготовлены из материалов, которые могут противостоять внешнему нападению. Во время нападения взломщики часто подгоняют к зданию украденный пикап, заполняют его товаром и уезжают. Наилучшая защита против такого типа атаки — укрепленные в земле швеллеры или трубы, диаметром от 10 до 15 см, расположенные на расстоянии до 1,5 метров, вкопанные в землю и залитые бетоном.


Эксперты по безопасности не рекомендуют проделывать окна на внутренних стенах или дверях центра данных. Внешние окна должны быть недоступны с земли, либо их желательно защитить прутьями или решетками.


Потолки и полы. Чтобы продвигаться незаметно на несколько десятков метров при кражах со взломом в магазине, грабитель, как известно, использует пространство фальшпотолков и фальшполов. Продлите стены серверного помещения выше фальшпотолка и ниже фальшпола, чтобы соединить реальные потолок и пол. Кроме того, чтобы перекрыть возможность доступа для злоумышленников, на стенах, которые наращиваются до реального потолочного покрытия и пола, устанавливают датчики состояния окружающей среды (то есть уровня загазованности и температуры).


Крыша. Если центр данных находится в верхнем этаже здания, злоумышленники могут проникнуть в комнату через вентиляционное отверстие с крыши или через воздуховоды кондиционирования. Обеспечьте внешние отдушины крыши и оборудование кондиционирования соответствующими решетками или дополнительными запорами. Закройте двери на крышу решетками с незаметными печатями; регулярно проверяйте печати, чтобы убедиться, что никто не сломал их, готовясь к нападению.


Электроэнергия. Если основные панели выключателей находятся возле центра данных (например, снаружи за дверью), перенесите их, либо заприте, если разрешит руководство. Один из возможных способов проникновения в систему отключение энергии в надежде заблокировать сигнал тревоги и другое оборудование защиты периметра. Если у вас есть UPS для серверов, вы сможете расположить оборудование контроля доступа так, чтобы иметь некоторую защиту на время отключения энергии.


Внутри центра данных


Если злоумышленники все же пробили защиту по периметру центра данных, вы все еще можете обнаружить их присутствие и задержать. Могу рекомендовать следующие методы.


Электронный надзор. Профессионал в области безопасности сможет помочь вам объединить многие электронные системы обнаружения, такие как камеры (как видимые, так и скрытые), видеомагнитофоны, дверные переключатели, детекторы движения, звуковые датчики, лучи фотоэлемента, контактные переключатели, инфракрасные сенсоры и беспроводные технологии, в целостную систему обнаружения. Тщательно следите за информацией о состоянии и местоположении всех устройств, которые вы установили.


Безопасность консоли. На некоторых клавиатурах имеется защита с ограничением доступа пользователей к конкретным системам. Ограничения доступа позволяет пользователям управлять только разрешенными машинами. Злоумышленники могут подключить к серверу собственный монитор, клавиатуру и мышь, чтобы обойти эту функцию, но на это уйдет дополнительное время, особенно если серверный шкаф правильно заблокирован.


Безопасность шкафа. Большинство промышленных шкафов для сервера имеют блокировку передней и задней двери. Двери и замки могут быть усилены, но они одновременно мешают доступу при выключении серверов и дисководов. Зафиксируйте или снимите колеса шкафа, чтобы затруднить его перемещение. Уберите отвертки, ключи и другие инструменты, чтобы ими не смогли воспользоваться злоумышленники.


Внешний контроль (мониторинг). Вы, вероятно, уже используете сценарии или приложения, обеспечивающее управление сервером. Установите второй контрольный узел за пределами серверной комнаты. Этот узел подаст сигнал тревоги, если злоумышленник выведет из строя сетевое соединение или отключит первичное устройство, чтобы избежать сообщения из серверной. Установите и обслуживайте второй контрольный пост, стараясь обойтись минимальным количеством сотрудников.


Удаленный доступ к серверам. Инструментальные средства дистанционного администрирования, и терминальные службы Windows 2000 Server в административном режиме помогут сэкономить время, обеспечив легкий доступ к серверам. К сожалению, эти инструментальные средства могут обеспечить и несанкционированный доступ для злоумышленника. Поставщики часто используют RAS, чтобы иметь доступ к серверам для модернизации программ и диагностики проблем. Некоторые инструменты удаленного доступа используют один пароль на сервере для всех пользователей. Если вы применяете эти инструментальные средства, измените их обычные пароли и дайте доступ только небольшой группе санкционированных пользователей. Защита удаленного доступа к инструментальным средствам и RAS вероятно, наилучший путь, гарантирующий, что злоумышленник не использует их как виртуальный вход в серверную комнату.


Инвентарные и идентификационные (ID) метки. Ведите инвентарный список всего компьютерного оборудования, которое кто-нибудь может похитить, проникнув в систему (например, серверов, дисков, мониторов) и наклейте на эти устройства инвентарные номера корпорации или другие соответствующие идентификационные отметки. Ежегодно проверяйте наличие оборудования по записям в реестре. В случае несанкционированного проникновения в систему эти методы помогут определить, что пропало, и идентифицировать утраченную собственность.


Контроль входа в систему в нерабочее время. Придерживайтесь правил, которые требуют отключения от системы администраторов центра данных и пользователей в конце рабочего дня. Можете воспользоваться утилитой Winexit из Microsoft Windows NT Server 4.0 Resource Kit или the Microsoft Windows 2000 Server Resource Kit, предназначенной для автоматического отключения пользователей после окончания работы.


Используйте сценарии или приложения для проверки подключений по окончании рабочего дня, протоколируйте события и задайте отправку сообщений, если были использованы учетные записи администратора. Подключения в нерабочее время могут быть законными, но могут и использоваться злоумышленниками, укравшими учетные данные для получения доступа.


Защита резервной ленты. Обеспечьте первичный внутренний комплект резервных лент и сохраняйте вторичный комплект, оставленный снаружи. Если злоумышленники уничтожат ваши первичные резервные ленты и серверы, вторичный внешний комплект лент пригодится для восстановления рабочих операций компании. Если ваша компания имеет другие офисы, разработайте совместно с IT-администраторами офисов, где есть хорошо защищенное помещение, общую стратегию хранения лент. Если трудно найти надежное место внутри своей компании, вам могут помочь фирмы, которые специализируются на хранении архивов.


Оцените уровень риска, обсудите возможные решения с руководством и примите необходимые меры.


Как IT-менеджер или администратор систем, вы уже защитили ценные корпоративные данные с помощью соответствующих прав доступа, аудита и контроля. Имеет смысл только добавить физическую защиту центра данных. Вы ведь не хотите однажды ночью получить сообщение о том, что доверенный вам центр данных взломан.


Дополнительные меры физической защиты


Крис Лер


Отнеситесь к физической безопасности серверов так же серьезно, как к безопасности сети. Использование приведенной ниже контрольной таблицы позволит усилить физическую защиту.


Закройте доступ к флоппи-дисководам и приводу сервера CD-ROM, если вы в них не нуждаетесь, и если операционная система позволяет это сделать.


В BIOS запретите загрузку с дискет и компакт-дисков. Установите пароль на BIOS так, чтобы никто не смог изменить его.


Не оставляйте документацию о системах, архитектуре сети и паролях возле серверов. Храните документацию в защищенном помещении, требующем для доступа ключ, а еще лучше хранить ее только в сети и использовать для защиты контроль доступа.


Защитите сетевые устройства, такие как маршрутизаторы, концентраторы и коммутаторы. Незаблокированный порт коммутатора может быть использован как точка входа в сеть.

14.05.2002

 

Оставит комментарий