SuSE LINUX Standard Server 8

A kulsos alatt termeszetesen a ceg alkalmazottait, rendszergazdait, stb. ertik altalaban. A VPN lenyege, hogy egy nem biztonsagos halozaton keresztul (pl. internet) biztonsagos "alagutat" keszitunk, amin be lehet jelentkezni. Ez miert lenne razos?

Van egy notebookod adott egy internet cafe nyaralas kozben. Feldugod a cuccodat az rj45-re, beallitod a geped, aztan egy biztonsagos csatornan bejelentkezel a szerverre. A legjobb peldat erre Berlinben lattam, ahol a szallodaban wireless halozat mukodott, az emberek ultek a szalloda kavehazaban elovettek a kis kezi kutyuiket, es a wireless halozaton szepen titkositva bejelentkeztek a ceges webszerverre, letoltottek leveleiket, stb.

Hat nezd. Messze all tolem, hogy SuSE-t hasznaljak, de ha nagy cegeknek telepitek Linux szervert amelyet kesobb nem en adminisztralok, akkor az esetek 97%-ban SLES-t (SuSE Linux Enterprise Server) vesznek a cegek. Hogy miert?

1.) Konnyu konfigolni azt rajta, amit gyarilag tartalmaz

2.) Egy ceg all mogotte, akihez lehet fordulni, ha az adatbazisszerver alatt megdoglik a kernel. Ertsd vannak a SuSE-nak (mint a Red Hat-nak is Alan Cox) dedikalt kernelfejlesztoi akik csak az ugyfelek ugyes-bajos dolgaival foglalkoznak, es reagalnak a hibakra. Ez azt jelenti, hogy szukseg szerint (a ceg nagysagatol persze) akar szemelyre/feladatra szabott kernelt adnak.

3.) Certifikalva van ra az Oracle, DB2, meg mit tudom en milyen adatbazis szerver. Azaz ezen biztos, hogy megy. Olyan kernelpatchek vannak benne, amit kimondottan erre van kihegyezve.

Namost gondold bele magad egy vilagceg rendszergazdajanak a helyebe. Ket valasztasa van:

1.) Megvesz 200K forintert egy olyan szervert, amire az Oracle felkuszik csont nelkul, fut rajta, van aki segit, ha nem megy van kit rugdalni ( egyben biztos lehetsz: ha nem megy mondjuk az Oracle, es felhivod a supportot, akkor az elso kerdes az lesz, hogy milyen operacios rendszeren futtatod. Ha ez nem Oracle certifikalt OS lesz, akkor mar le is teheted a telefont.

2.) Feltelepited az Ingyom-Bingyom Linux 2.0-t, az Oracle rpm csomagja vagy jok lesznek hozza, vagy nem (inkabb nem), szopsz bele heteket, kozen a fonokod rugdal, hogy mikor lesz kesz, es amikor vegre fel tudod telepiteni, akkor kiderul, hogy megy, de ketnaponta dob egy hatast. Mi jon ilyenkor? Patcheles, teszt, nem megy, patcheles, teszt, kozben all a ceg, patcheles, aztan kirugnak.

Most valassz...

Biztos, hogy meg lehet csinalni mas Linuxbol is. Csak ahol mndjuk van ra 8 orad, hogy felallits egy DNS, MAIL, LDAP, Proxy, VPN, Adatbazis, Samba, mit tudom en mi szervert, es raadasul a tapasztalatod erosen kozelit a 0-hoz, ott ez a legjobb valasztas. Vagy a Red Hat AS sorozat.

A Half Life2 kodjat barki kileakelhette, akar lehetett belso alkalmazott is. Az alkalmazottak, hozzaferessel rendelkezo szemelyek listajat Neked kell okosan megvalasztani. Ez olyan, mint dolog, mint az a kerdes, hogy kinek adsz a lakasodhoz kulcsot. Meglophatnak azok is, de rajtad mulik, kinek adod a kulcsot. A VPN egy nagyon jo talamany.

Ilyen volt mar ssh-val, ftp-vel, web-nel is. Feltortek azt az ftp szervert ahol az openssh projekt az openssh forrasat tartotta, feltortek a GNU ftp szerveret, feltortek az Apache szerveret, ugy hogy az egyi user accountjat sniffeltek le oldalt. Ezeket is zarjuk be? Az emberi hibat kell kiszurni.

>Nat nezd, szerintem amit leirsz nem mindenhol allja meg a helyet.

Melyik reszevel nem ertesz egyet? :-)

> Erdekes kerdes viszont, h milyen biztonsagi kovetelmenyeket lehet kulso gepekkel szemben tamasztani,

A VPN nem arrol szol, hogy barki ki be jarhat rajta. A VPN az irodai halozati vegpontod biztonsagos meghosszabitasa. Van olyan biztonsagos mint a kulccsal hasznalt ssh (roadwarriorok eseten). Ha meg pont-pont tunnelt csinalsz akkor meg ertelemszeruen megbizol az alagut masik vegen levo gepben, hiszen az is a te halozatod tagja.

>illetve hogyan lehet ellenorizni [lehet-e], h az megfelel-e a kovetelmenyeknek?

Ismerek egy ceget, ahol policy, hogy a ceg kulsos alkalmazottai (akik 90%-at teszik ki a ceg alkalmazottainak) otthon dolgoznak. Egyreszt mert munkajuk idejenek hagy reszet ugyfelek felkeresesevel, vagy konferenciakon toltik. Itt ugy mukodik a dolog, hogy amikor a ceghez belep egy uj alkalmazott azt felszerelik egy ceges notebookal (egy tipus a alkalmazotte, egy ugyanolyan marka kicsit erosebb gepe a vezetoke). A ceg kozpontjaban, amerikaban feltelepitik a gepeket (egysegesen angol nyelvure), felteszik a VPN klienset, majd visszakuldik a dolgozonak a vilag minden pontjara nereszoloan. A ceg osszes alkalmazottjanak gepen verziora pontosan ugyanazon programok futnak, egyszerre frissitik, stb. Ok nem is telepithetnek ra sajat programokat. Igy pl. lehet. Egyebkent sok cegnel policy (pl. nalunk is), hogy a ceges gepeken csak a meghatarozott szoftverek futhatnak.

>Statisztikak szerint az informatikai visszaelesek nagy resze belso emberektol indul.

igen. egy felmeres szerint tamadasok 70-80%-a belso embertol jon

Jah ez egy par eves felmeres volt.

Hat imho semmivel nem biztonsagtalanabb, mint egy korlatozas nelkuli helyi gep a helyi halon. Ott is lehet internetezni, ott is be lehet szivni backdoort. A helyi halozat adminisztratoranak mindig a leheto legrosszabbra kell felkeszulnie, es a policy-nak mindig defualt tiltonak kell lennie, es abbol lehet engedni ;-))

Virust be lehet vinni a ceghez floppyn/zip lemezen/usb drive-on/mobil rack vinyon/meg ezer mas eszkozon is. Ha a halozatodon van kozponti (jo, frissitett) virusvedelem, akkor hiaba jon mondjuk a roadwarriortol a virus, az meg kell, hogy fogja. Vagyis indiferens, hogy az honnan jon. De ilyen alapon a behivasokat is meg kell szuntetni, mert legalabb annyira karosak.

>az usb drive pedig egyelőre még igazából csak a szakemberek körében elterjedt

a sulinetbe mindenki ajandekba kapja, jo lesz ha felkeszulsz :-)

>Nem indifferens, hogy honnan jön, mert pl. a kedvenc rpc féreg (vagy a Nimda) a tűzfalon nem jön be,

Hat ott ahol van penz virusvedelemre, ott nem jonnek be a virusok, de tapasztalat, hogy a cegen nagy resze azon kivul, hogy egy-egy munkallomasra tesz egy standalone viruskergetot, sokat nem kolt virusvedelemre (csak ha mar kesz a baj) Akkor vesznek valamit, ami jo esetben szuri a leveleket is. De a webtartalom szurese sok helyen csak alom marad.

>A behívás pontosan olyan káros, mint a VPN, ebben teljesen igazad van

Az a baj, hogy a telephelyes cegek 99% vagy behivassal, vagy (ez a kisebb) VPN-nel megy. Igy szinkrinizalnak SQL szervert, stb. Ezert nem lehet oket kikuszobolni. Sot gyanitom, hogy az internet elterjedesevel, es egyre olcsobba valasaval egyre nagyob lesz az igeny a telephelyek osszekotesere.

>SQL servert meg nem a desktop user szokott szinkronizálni, szóval ez rossz példa volt :))

nem hat, hanem van egy ismert orszagos bolthalozat (direkt nem nevezem meg) ahol a boltban dolgozo penztaros szinkronizal :-)

btw, ez arra akart pelda lenni, hogy a VPN-re igenis szukseg van, es szerintem semmivel nem insecure-bb, mint mint egy olyan ceges munkaallomas, hol p2p-t lehet hasznalni, ahol bongeszobol lehet virust letolteni, ahol irc-zni lehet, ahol mondjuk nincs virusszuro. Nalatok tudom, hogy mindegyik van, de a cegek egy resze csak szeretne olyan cuccokkal vedekezni ami nektek van. Se penzuk, se vasuk nincs hozza.