СЕМЬ "СМЕРТЕЛЬНЫХ" ОШИБОК СИСАДМИНА
Работа системного администратора включает в себя огромный спектр возможных задач, особенно если специалист в единственном числе в компании. В потоке дел сложно выстроить работу идеально. Часто лучшие побуждения ИТ-специалистов: переход на новые программные продукты, обновления информационной системы, серверов – приводят к простоям в работе, жалобам пользователей и разнообразным авариям. Еще более губителен для любой системы застой и отсутствие изменений. Использование Windows XP (в 2017 году!) во многих корпоративных сетях поставило их под угрозу весной во время эпидемии шифровальщика
WannaCry. Проверить себя поможет наш рейтинг самых популярных и опасных ошибок сисадминов.
1. ПЛОСКАЯ ОРГАНИЗАЦИЯ СЕТИ
Особенно характерна для небольших организаций, когда все используемые сетевые адреса компьютеров легко помещаются в 24-ую сетевую маску и кажется, что нет необходимости в сегментации и использовании VLAN-ов. Для простоты организации подключающиеся к Wi-Fi точкам доступа устройства могут получать адреса из этой же сети. Broadcast storm, ARP-spoofing, атаки компьютерных вирусов с легкостью могут "положить" всю сеть организации, включая критическую серверную и финансовую инфраструктуру, и заставить системного администратора вздрагивать в следующий раз при звонках телефона.
Решение: сегментирование сети и использование VLAN-ов. Подобно кораблю, разбитому на герметичные отсеки, сеть станет более устойчивой к пробоинам.
2. БЛОКИРОВКА ICMP
Устаревшие лет на 15 руководства по безопасности часто предлагают заблокировать протокол ICMP на шлюзах, веб-серверах, рабочих станциях. Но атаки типа Ping of death уже очень давно не актуальны, а документы RFC прямо указывают на необходимость отвечать на ICMP-запросы для всех сетевых хостов. Запретив ICMP, администратор лишь существенно усложняет себе и другим анализ сетевых проблем и увеличивает время их решения, ничуть не способствуя повышению безопасности сети.
Решение: не блокировать ICMP.
3. ОДНОРОДНОЕ СИСТЕМНОЕ ПО
Подход, который, к сожалению, вошел в некоторые корпоративные и ведомственные стандарты: когда на всех серверах и рабочих станциях, для всех служб и сервисов применяется одинаковое ПО (чаще всего речь идет об ОС Windows разных версий). Такая организация сети приводит к ее чрезвычайной уязвимости к вирусным атакам (подтверждением является массовое распространение по сетям вирусов
WannaCry,
NotPetya,
BadRabbit). На сегодняшний день нет никаких (кроме одобренного N лет назад "регламента") причин не использовать альтернативные операционные системы хотя бы в серверной инфраструктуре. Сервер 1С, базы данных, гипервизоры, файловое хранилище быстрее, проще и дешевле развернуть на базе одного из дистрибутивов Linux. Как минимум на часть рабочих мест также можно установить Linux, если там есть необходимость только в стандартном офисном ПО. Многие компании готовы выделять огромные средства на средства защиты информации, антивирусы и другое ПО, но не рассматривают или отвергают этот недорогой способ, значительно снижающий векторы атак злоумышленников.
Решение: использование альтернативных ОС в серверной и офисной инфраструктуре, где это возможно.
4. ОТСУТСТВИЕ ПЛАНИРОВАНИЯ
Постоянно возникающая необходимость тушить разнообразные "пожары" в инфраструктуре заставляют многих системных администраторов воспринимать авралы как неизбежное зло. Отсюда появляются раскладушки в серверной, легенды о бессонных ночах и поднимании серверов. Тем не менее, хаосом тоже можно управлять. Планирование деятельности: своевременные профилактические работы, плановое обновление ПО и "железа" – способно предотвратить необходимость что-то делать в пожарном порядке. Четкий план Б на случай падения сервисов, необходимости полного восстановления всего из бэкапов, помогут в критический момент сохранить хладнокровие и минимизировать простои, а также подключить к работе программистов и других айтишников в критической ситуации.
Решение: составление долгосрочных, среднесрочных и оперативных планов задач. План Б на случай больших сбоев.
5. ИСПОЛЬЗОВАНИЕ УСТАРЕВШИХ СРЕДСТВ ЗАЩИТЫ
Многие до сих пор привыкли полагаться лишь на антивирусное ПО для защиты конечных рабочих станций. Злоумышленники же перед выходом "релизов" троянов и шифровальщиков тестируют их на большом количестве антивирусного ПО (часто используя сервис virustotal.com, что доступно даже школьнику), поэтому не только сигнатурный, но и эвристический анализ файлов антивирусами зачастую бессилен против них. Меньшее внимание администраторы уделяют средствам защиты сетевого периметра, проверке внутрисегментного и локального трафика. В качестве интернет-шлюза часто используется обычный межсетевой экран, либо устаревшее уязвимое ПО: Microsoft TMG, другое ПО на ОС Windows. Таким образом сеть оказывается беззащитной для современного типа атак.
Решение: использовать современные средства защиты – UTM и NGFW решения. Например,
шлюз безопасности Ideco ICS.
6. ОТСУТСТВИЕ ДОКУМЕНТАЦИИ
Все мы слишком часто полагаемся на свою память или память коллег из IT-отдела. Поднятый через неделю-другую тюнинга веб-сервер или сервер базы данных, возможно, через несколько лет придется поднимать повторно. Без документирования даже у одного и того же специалиста это может занять столько же или даже больше времени.
Решение: не лениться документировать изменения настроек всех серверов, сервисов и сетевых устройств.
7. ДОВЕРЯТЬ СИСТЕМЕ АВТОМАТИЧЕСКОГО РЕЗЕРВНОГО КОПИРОВАНИЯ
Без ручной проверки восстановления из бэкапов. В самый неподходящий момент может оказаться, что в бэкапы не включены ценные данные (папка "Работа" на рабочем столе генерального директора), либо из них невозможно восстановить информацию, или еще хуже - они давно не создаются из-за какой-нибудь ошибки или аппаратного сбоя.
Решение: регламентированная (хотя бы раз в месяц) ручная проверка бэкапов.
Стабильного коннекта и большого аптайма вашим сервисам!
Ссылка