Contact info
Word
Research
   Publications
Studies
Free Software
Hobbies
Articles
Photography
About me
   Curriculum Vitae

©Marko Grönroos, 1998

USENET News utu.yok.keskustelu

Säie: Mikä verkon valvonnassa vikana?

Aloin nyt pohtimaan ATK-keskuksesta huhtikuussa uutisryhmään lähetettyä tilastoa kyläverkon palvelintilanteesta. Selvästi oli nähty ainakin hieman vaivaa tilaston tekemisessä, kun oli kerta selvitetty käytettyjen FTP-palvelimien nimet ja versiotkin. Mutta mihin tuloksia oli käytetty? Oliko käyttäjille ilmoitettu sähköpostitse aukinaisista FTP-palvelimista tai muista mahdollisista turvareijistä? Jos oli, oliko skannausskriptistä tehty automaattinen, joka ilmoittaisi käyttäjille aukoista heti kun ne havaitaan? Onko tälläisiä nyt käytössä? Itse sain kyllä lähinnä vaikutelman, että tilasto oli tehty lähinnä palomuuraustarpeen ja muiden käyttörajoitusten perustelemiseksi, eikä mitään automatisointeja oltu tehty. Asiallinen tapa ratkaista tietoturva-ongelmat olisikin automatisoida valvontaa ja ongelmatilanteista raportointia käyttäjille (siten että ENSIN ILMOITETAAN ja vasta myöhemmin mahdollisesti pakotetaan korjaamaan katkaisemalla yhteys). Edes pinnalliset tarkistukset auttaisivat varmasti merkittävästi, ja ne olisi helppoa toteuttaa, jos tälläisiä tilastojakin kerta osataan tehdä. Toinen merkittävä suojaustapa olisi palomuuriohjelmiston konfigurointi siten, että porttikohtaiset estoasetukset voidaan tehdä konekohtaisesti. Minä en hevillä usko etteikö tätä ole mahdollista toteuttaa tehokkaasti palomuurissa. Tällöin käyttäjä itse voisi avata kunkin portin itse ("rekisteröityä"), eikä niitä jäisi auki vahingossa. Järjestelmä toki lähettäisi muistutuksen asetusten tilasta pari kertaa vuodessa, ja aina niiden muuttuessa. Uskoisin, että nämä automaattiset järjestelmät olisi varsin helppo toteuttaa, ja varmasti niitä onkin jo jotain toteutettu (mieleen tulee esim. pääkoneiden salasanojen dekryptaus-ajot). Tämän helpon työn tekemisellä, joka kuulunee ATK-keskuksen normaaleihin tehtäviin, vältetään kyläverkon asiakkaiden asiallisen verkkokäytön merkittävä haittaaminen. Nämä ovat käyttäjän ehdotuksia, ATK-keskuksen asiantuntijat varmasti kykenevät keksimään vielä parempia ratkaisuja, jotka palvelisivat koko ATK-keskuksen tarkoitusta. > Kysymys kuuluukin: minkä helkkarin takia melkein joka viides kone > kyläverkossa tarjoaa ftp-palvelua? Kysymys ei ole edes retorinen, vaan > todennäköisesti johtaa toimenpiteisiin hyvin nopealla aikataululla. Mieleeni tulee esimerkiksi, että FTP:n uploadin asentaminen lienee paljon helpompaa kuin httpd:ssä. Itsekään en ole vielä ottanut selvää miten se tehdään httpd:ssä, vaikka olen ollut varsin raskas käyttäjä. Itse käynnistän ftp-palvelimen käsin aina erikseen siirron ajaksi. Jos nyt halutaan palomuurata pois paitsi FTP-palvelimet, myös httpd-palvelimet, niin ei kait se haittaa jos sähköpostitse lähetetään vaikkapa gigatavun tiedostoja? > Anonyymitunnus oli avoimena 19 palvelimessa. Se sentään on ihailtavan > vähän. Mitään muuta ihailtavaa ei tässä tilanteessa olekaan. Eiköhän se anonyymitunnus ole juuri se oleellisin. > Käydessäni läpi muutamia anonyymiftp-palvelimia tuli selväksi, että > kyseessä on todennäköisesti palvelu, joka on jäänyt päälle niin, että > käyttäjä ei edes tiedä siitä mitään. Jos jaossa ei ole yhtään mitään, > miksi palvelu muuten olisi päällä? Tarkistitko, ettei niissä ollut upload-hakemistoa? Siihen itse olen FTP:tä pääasiassa käyttänyt. > Todennäköisesti siellä on nytkin muutamia kräkättyjä koneita, joista > omistaja ei tiedä yhtään mitään. Todennäköisesti yliopistojen pääkoneissa on tälläkin hetkellä kymmeniä perinteisin keinoin kräkättyjä tunnuksia. 15-kesäisenä hieman olkasurffausta harrastaneena voin kertoa että yliopiston pääkoneisiin on aina hyvin helppoa päästä niin kauan kun käytössä ei ole fyysistä autentikointia. -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

Edellinen säie: Yliopistoverkon palomuurauksen haittavaikutukset
Seuraava säie: Kyläverkot
[Muut säikeet] [Muut uutisryhmät]