информация | Компютърна безопасност и информационна сигурност

Публикации с етикет ‘информация’

октомври 18, 2010

Jordan

Мрежи, Разни, Сигурност, Хостинг

Дата център

Историята на дата центровете

Дата центровете започват да се развиват от огромни сървърни стаи през ранните години на компютърната индустрия. Ранните компютърни системи били трудни за управление и поддръжка и изисквали специални помещения за да функционират. Били необходими много кабели за да бъдат свързани необходимите компоненти, това довело до създаването на отделни методи за организиране и подреждане на оборудването: сървърни ракли за монтиране на оборудването, повдигнати подове, окачени тавани, кабелни скари. Също така старите компютри консумирали прекалено много електрическа енергия и, следователно, е трябвало да бъдат охлаждани, за да се избегне прегряването. Информационната сигурност още тогава била от огромно значение. Компютрите били използвани преди всичко за военни цели. Достъпа до дата центровете бил строго ограничен.

По време на взрива на компютърната индустрия през 80-те години на 20-ти век компютрите започнали да се появяват навсякъде. В много от случаите потребителите вообще не се замисляли в каква среда машините работят. Въпреки това след като информационните технологии започнали да се развиват, операциите започнали да стават все по-сложни. Компаниите започнали да усещат нуждата от организиране на компютърното оборудване. С разиването на технологията клиент-сървър, сървърите постепенно започнали да намират своето място в старите компютърни стаи. Появата на евтино мрежово оборудване, в съчетание с новите мрежови стандарти за окабеляване, това е предпоставката за появата на йерархичен дизайн, поставящ сървърите в отделни помещения в офисите на компаниите. Именно тогава термина „дата център“ започва да става все по-популярен и бива прилаган за отделните сървърни помещения.

Взрива на дата центровете се явява по време на „точка com манията“. Компаниите имали нужда от бърз интернет достъп и денонощно присъствие за да бъдат представени в интернет. Инсталирането на скъпо оборудване не било подходящо за по-малките компании. Много компании започнали изграждането на огромни бази, наречени Internet Data Centers (IDC), предлагащи на бизнеса неограничени възможности за опериране. Новата технология била изградена по такъв начин, че да управлява информация в мащаб. Тази практика се преобразувала до личните дата центрове и била широко използвана благодарение на нейната приложимост.

От 2007 година насам, дизайна на дата центрове, тяхното изграждане и опериране е добре позната дисциплина по целия свят. Има създадени редица стандарти за тях. Все още усърдно се работи за осъвършенстването на работата на дата центровете, също така и за подобряването на тяхното екологично въздействие.

Изискванията към съвременните дата центрове

IT операциите са от основно значение при повечето бизнес операции. От основно значение е непрекъсваемостта на бизнеса; компаниите разчитат на своите информационни системи за функционирането на бизнеса. Ако някоя информационна система прекъсне, операциите във фирмата могат да бъдат нарушени или напълно прекъснати. Необходимо е да бъде създадена надеждна инфраструктура за бизнес операциите в дадена компания. Информационната сигурност също е от основно значение. Поради тази причина дата центровете трябва да предоставят сигурна среда за да бъдат сведени до минимум възможностите за експлоитиране на уязвимости. Дата центровете трябва да спазват високи стандарти за осигуряването на цялостността и функционалността на компютърната система. Това е достигнато благодарение на огромното количество оптични кабели и резервно електроснабдяване, включително и с дизелови генератори и електрически батерии.

Успешното функциониране на един дата център предполага разумното и балансирано инвестиране както в самото съоръжение, така и в съхраняваните устройства. Първата стъпка е да се създаде основна среда, подходяща за инсталиране на сървърно-мрежово оборудване впоследствие. Стандартизирането и модулирането могат да спестят много разходи при проектирането на телекомуникационни дата центрове.

Стандартизирането означава интегрирано построяване и проектиране на оборудването. Основното преимущество на модулирането е възможността за мащабиране впоследствие и по-лесното разширяване, дори когато плановете не са чак толкова оптимални. Поради тази причина, дата центровете трябва да бъдат изграждани с периодичност, постоянно добавяйки отделни блокове оборудване, в съчетание с електрическа подсигуреност. Необходими са прецизни планове за да бъде избегнато надстрояването, или още по-лошия вариант: недостатъчното дострояване.

Класификация на дата центровете

TIA-942:Data Center Standards Overview стандарта описва изискванията за структурата на дата центровете. Най-примитивното ниво на сигурност е Tiet 1 стандарта, което само по себе си е сървърна стая. Най-високия стандарт е Tier 4, това са дата центрове, създадени за да съхраняват сървърни системи от основно значение, с огромно количество подсистеми и отделни защитени зони, контролирани от биометрични системи за достъп. Друга широкo използвана техника е базирането на дата центрове в подземни помещения. Основна причина за това е сигурността на информацията, а също така и низките температури.

Четирите нива на дата центровете са дефиниране и са със защитено авторско право от Uptime Institute. Нивата описват наличността на информацията от гледна точка на геолокацията на хардуера. Нивата са следните:

Tier ниво	Изисквания
1	Едно не преосигурено помещение за обслужването на IT оборудването Достатъчен капацитет без излишни елементи Основна инфраструктура, гарантираща 99.671% онлайн време
2	Пълно покриване на Tier 1 Структура на помещението, гарантираща 99.741% онлайн време
3	Пълно покритие на Tier 1 и Tier 2 Няколко независими пътища за обслужване на IT оборудването Цялото IT оборудване трябва да бъде двойно подсигурено и да бъде напълно съвместимо със структурата на дата центъра Структура, гарантираща 99.982% онлайн време
4	Пълно покриване на стандартите Tier 1, Tier 2, Tier 3 Всички системи за охлаждане са двойно подсигурени, включително и вентилационната система и климатичната инсталация Устойчива на сривове инфраструктура, с допълнително електроснабдяване, гарантиращи 99.995% онлайн време

Физическа структура

Един дата център може да заема една стая от помещение, един или повече етажи или цяла сграда. По-голяма част от оборудването е в сървърни кутии, монтирани на 19“ ракли, поставени в отделни редове, образуващи коридори. Това позволява на персонала достъпа както от предната, така и от задната част на оборудването. Сървърите се различават по техните размери: от 1U сървъри до огромни стоящи съоръжения, заемащи голяма част от етажа. Много големите дата центрове могат да използват цели корабни контейнери за съхраняване на сървърите, като всеки контейнер съдържа повече от 1000 сървъра. Когато е необходим ремонт или обновяване на системата, биват заменяни целите контейнери (вместо замяната на отделните машини).

Местните строителни норми биха могли да определят минималния размер на сървърните помещения.

Физическите условия на един дата център могат биват динамично определяни.

Използват се климатични инсталации за контролирането на температурата и влажността на въздуха. Според стандартите най-добрата температура на въздуха е от 16 до 24 градуса и влажност от порядъка на 40-55% с максимална точка на кондензиране от 15 градуса. Ако не работят системите температурата ще се повиши, защото електрическата енергия използвана за работата на оборудването генерира топлина. Това може да доведе до неправилно функциониране на уредите. Климатичните инсталации могат да се използват и за контролиране на влажността на въздуха, охлаждайки въздуха под точката на кондензиране. Голямата влажност на въздуха може да доведе до кондензиране в сървърните елементи. В случай на низка влажност на въздуха, може да започне образуването на статично електричество, което може да повреди отделните компоненти на компютъра. Подземните помещения поддържат подобни условия и биха могли да спестят електроенергия.
Модерните дата центрове спестяват енергия, използвайки въздуха извън помещението за охлаждане. Във Вашингтон към 2010 година има няколко дата центъра, който използват въздуха извън сградата за охлаждане 11 месеца в годината. Те използват минимално количество от капацитета на климатичните инсталации, спестявайки милиони.
Резервното електроснабдяване се състои от един или повече UPS-a, и/или дизелови генератори.
За да бъдат избегнати единичните точки на падение, всички системи са с дублирано електроснабдяване.
Дата центровете обикновено имат повдигнати на 60 сантиметра подове, с подвижни плочи на пода. Там са разположени въздушните инсталации, също така повдигнатите подове се използват за кабелите.
Дата центровете разполагат и с пожарогасителни системи, включващи пасивни и активни елементи, както и системи за избягване на пожарите. Разположени са и детектори за пушек, разпознаващи пожара още преди да е започнал. Пасивната защита от огън предполага инсталирането на специални панели против огън извън помещението, по такъв начин, че да бъде ограничено проникването на пожара.
Физическата защита също е от основно значение при дата центровете. Достъпа до помещенията е защитен от доверен персонал. Видео наблюдението е задължително и почти винаги има охрана, особено ако съхраняваната информация е от основно значение. Използват се биометрични системи за достъп, за вход в помещенията се използват пръстови отпечатъци.

Използване на енергията

Електроенергията е основен ресур при дата центровете. Използваната енергия може да варира от няколко киловата за малки сървърни ракли до няколко десетки мегавати при по-големи дата центрове. Някои такива използват до 100 пъти повече електричество от обикновенните офис сгради. Електрическата енергия е основен разход в този бизнес, в повечето случаи поглъща повече от 10% от цялостната цена на дата центъра. До 2012 се очаква цената на електроенергията да надвиши всички останали инвестиции в дата центровете.

Енергийна ефективност

Основен метод за определяне на ефективността на един дата център е PUE (Power Usage Effectiveness) коефициента. Този прост коефициент е цялата електроенергия, постъпваща в дата центъра, разделена на енергията използвана от оборудването вътре.

Основният излишък на електроенергия идва от допълнителното оборудване. Това са климатичните инсталации, системите за енергийно осигуряване. Един средностатически дата център в Америка има PUE коефициент от 2.0, което означава че допълнителните системи използват един ват електроенергия за всеки ват използван от сървърите. Идеален дата център е такъв, който използва 1.2 PUE.

Мрежово оборудване

Телекомуникацията в повечето дата центрове днес се осъществява благодарение на мрежи, използващи IP протокола. Дата центровете използват суитчове и рутери за да транспортират трафика между отделните сървъри и по света. Непрекъсваемостта на интернет услугата доста често се осъществява с използването на няколко интернет доставчика. Някои от сървърите в дата центровете се използват за обикновенни интернет и интранет услуги, като имейл сървъри, DNS сървъри или Proxy сървъри.

Обикновенно се добавят и елементи, осигуряващи сигурността на информацията: firewalls, VPN gateways, IDS системи и т. н.

Приложения

Основната идея на всеки един дата център е да задвижва приложенията, използвани за ключови бизнес операции. Например ERP и CRM решения. Отделните сървъри могат да отговарят за конкретна част от приложението. Така се разделят, например, сървъри за базите данни, файлови сървъри, сървъри за приложенията и много други.

Дата центровете също така се използвата и за бекъп решения (резервни копия). Компаниите могат да използват услугите предлагани от дата центровете за своите бекъп решения. Записването на информацията става на магнитни касети.

За неотложни възстановявания големи компании (Cisco Systems, Sun Microsystems, IBM и HP) са разработили различни софтуерни продукти, които могат да бъдат спешно инсталирани и информацията да бъде възстановена максимално бързо.

Прочети повече

октомври 15, 2010

Jordan

Атаки, Разни, Сигурност, Хостинг

Информационната сигурност при споделения хостинг

Информационната сигурност при споделения хостинг е от основно значение за вашия бизнес. Неправомерен достъп до хостинг акаунт, би могъл да доведе до изтеглянето на огромни бази данни с конфиденциална информация, дефейс на вашия сайт, снифинг на трафика, разваляне на вашата репутация и какво ли още не. За това всеки един собственик на уеб хостинг акаунт би трябвало да се замисли, до колко информацията, която той съхранява е защитена.
Сигурността на самите уеб приложения е от основно значение за сигурността и на вашия хостинг акаунт. Уязвимите уеб приложения позволяват неправомерното проникване във хостинг акаунта, който управлява приложението. Фактически, хакерите могат да получат достъп до базата данни, файловата система, а в някои случаи дори до контролния панел на акаунта. Сами ще се убедите, че за защитата на хостинг акаунта е достатъчно вашето приложение да бъде защитено и да спазвате елементарни правила за безопасност в интернет пространството.
Ще се опитаме да обобщим кои са най-често срещаните грешки, свързани със сигурността на уеб хостинг решенията и какви са вариантите за избягването им.

Използване на лесни за налучкване пароли или използване на една и съща парола за login на различни места.

Доста често лесните пароли са основната причина за това, акаунтите да бъдат разбивани. Хакерите могат да използват специални речници или така наречените brute force (брутална сила) атаки за успешното пробиване на вашата парола. Какво е най-лесното и правилно решение? Да използвате по-силни пароли разбира се… Основно място, на което трябва да акцентирате са вашите имейли, защото обикновенно след това хакерите могат да полуат достъп до почти всички ваши услуги.
Най-добре е да използвате различни пароли за различните си профили. На някои потребители това може да се стори достатъчно сложно и неудобно, но може да спести много главоболия впоследствие. За съхраняването на паролите си използвайте Password Manager – вече има доста подобни услуги, включително и онлайн базирани.
Повече информация за силните пароли можете да прочетете на сайта на Zapprotect.
Прихванати пароли, посредством неоторизиран достъп до e-mail кутия, в която се съдържат данни за достъп до акаунта/сървъра.

Данните за достъп до e-mail кутиите трябва да се съхраняват прилежно и отговорно, тъй като чрез неоторизиран достъп до e-mail кутия може да се направят редица злонамерени действия, включително и да се компрометира по всякакви начини собственика на съответната mail кутия. Силно препоръчително е паролата за вашия имейл да бъде максимално силна – поне 8 символа дължина, да съдържа букви (малки и големи), цифри и специални символи. Друга добра практика е да заменяте паролата периодично. Силно препоръчително е да използвате криптирана HTTPS връзка.
Разполагайки с имейл акаунт, използван за създаването на хостинг акаунт, хакера може да използва изпратената парола, да създаде нова такава и включително да комуникира с хостинг компанията от ваше име.
Наличие на злонамерен и шпионски софтуер на локалните компютри, от които се достъпва хостинг акаунта.
Ако на даден компютър има инсталиран злонамерен и шпионски софтуер може всякаква чувствителна информация да бъде записана (прихваната) и след това изпратена към недоброжелатели (хакери) без знанието на администратора на компютъра.

За да не се стигне до подобна ситуация, трябва компютрите да се поддържат, чисти от подобен вид шпионски приложения и вируси, да се сканират периодично с антивирусна програма, особено компютрите, от които се осъществява достъп до акаунта. По този начин ще се елиминира възможността за запис и злоупотреба с лични и конфиденциални данни, като потребителски имена, пароли и други, които в последствие могат да бъдат използвани за достъп до акаунта.

Да предположим, че шпионски софтуер успешно е прихванал вашата FTP парола (или още по-лошо – вашия логин за контролния панел на хостинг акаунта). Разполагайки с тази информация хакерите биха могли да изтеглят цялата база данни на сайта, който хоствате, получавайки достъп включително и до мейл адресите на потребителите, техните имена, пароли и друга конфиденциална информация.

Има вируси, които включително модифицират изходния код на сайта по такъв начин, че се прави опит да бъде инсталиран вирус на компютрите на крайните потребители. Виждате какво широко приложение имат компютърните вируси. За това от основно значение е до колко е защитен от зловреден софтуер компютъра, който използвате за управление на хостинг акаунтите си.
Пропуски в CMS системите

Едни от най-масово използваните CMS системи са Joomla, OS Commerce, e107, WordPress, Drupal и др. Посредством пролуки в такива приложения се разполагат PHP скриптове, shell файлове и др., които дават пълен достъп до съдържанието на акаунта на всеки, без необходимост от потребителско име и парола. В последствие, посредством тези скриптове, се модифицира съдържанието в акаунта, добавят се чужди файлове, злонамерен код, вируси, троянски коне и т.н..

За да се избегнат подобни последствия трябва всички инсталирани системи на акаунта, както и използваните от тях модули и компоненти, винаги да се обновяват до последна версия. При последните актуални версии на системите откритите пропуски са отстранени и системите са подсигурени срещу неоторизиран достъп.

Именно поради тази причина от основно значение при информационната сигурност е одита на сигурността. Навременната намеса на необходимите специалисти може да спести много работа и главоболия впоследствие. Всеки един собственик на хостинг акаунт сам за себе си е отговорен за съдържанието което хоства. Да предположим, че хакер успешно експлоитира уязвимост в WordPress 2.9.1 (при наличие на текуща версия 3.0.1) и успешно получи достъп до административния панел на системата. Дефакто, той може да направи всичко със съдържанието – включително и да го изтрие. Отговорността за загубата на информацията носи администратора на сайта, който не е обновил системата. Да, действително има вероятност хостинг компанията да прави периодично резервни копия на информацията. Но какво става, ако тези копия се правят на по-голям интервал от време? Със сигурност ще има някакви загуби. Ще загубите и доверието на потребителите.
Наличие на незащитени Upload форми и галерии, които позволяват разполагането на скриптове със зловреден код – shell файлове.

Ако на акаунта има страници, през които могат да се качват файлове от всякакъв тип, без ограничения и без да е необходима ауторизация (потребителско име и парола за достъп), е задължително те да бъдат премахнати или защитени. Трябва да се прегледат всички файлове, които са разположени в директориите на тези форми и галерии, като там не би трябвало да присъстват файлове от типа на .php, .txt или други формати, които не са в снимков формат. Проверката на качваните файлове не трябва обаче да бъде само по разширение, например да могат да се качват файлове само .jpg, .png, .bmp и др, а трябва да се прави проверка дали съответния файл отговаря на посоченото разширение. Двойната проверка е задължителна, тъй като може даден .php файл да бъде преименуван на .jpg, но след като бъде качен на сървъра да бъде стартиран като .php файл, независимо от неговото разширение.
Включително и формите в административния панел на уеб сайта трябва да бъдат защитени. Доста често тези форми биват игнорирани от програмистите с презумцията, че хакерите не трябва да стигнат до там. Но какво става ако получат достъп до администрацията на сайта (чрез SQL инжекция, например)?
При разработването на уеб форми задължително трябва да се определи какви точно файлове трябва да приемат те. Проверката, която трябва да се прави е по разширението на файла и по неговия MIME тип. Единствено тогава една уеб форма може да се смята за сигурна.
Вмъкване (include) на файлове, които се подават като параметър през URL адрес, без да се прави коректна проверка дали файлът, който се вмъква, е от същото приложение.
При тези случаи злонамерено лице може да вмъкне (include) произволен файл или адрес, след което и да получи пълен достъп до акаунта.

По принцип не е добра практика, директно да се вмъкват (include) файлове, чието име се подава като параметър в адреса. Едно от решенията е, вместо това да се създаде таблица, в която с ID-та са описани файловете, които ще се вмъкват, като в адреса се подава ID-то на файла, а вътрешно в скрипта е определено кой файл трябва да се включи.

По този начин няма как да се подаде друг файл, освен този, които е дефиниран.

Ако по някаква причина трябва да остане подаването на файл в URL адреса трябва да се добави и проверка, дали файлът се намира в хостинг акаунта и да се вмъква само ако е изпълнено това условие.

Още за споделения хостинг

За съжаление начините за пробив в сигурността на приложенията не се изчерпват само с описаните по-горе. Съществуват и други възможности за злоупотреби, като Cross-site scripting (XSS), SQL Injection, използване на Social engineering, sniffing на мрежата и др. Те обаче се срещат значително по-рядко, така че при спазване на посочените по-горе препоръки, съдържанието на акаунта е значително по-подсигурено и възможността за неоторизиран достъп е сведена до минимум.

Едно е сигурно – пробив на приложението означава и неправомерен достъп до хостваната информация, следователно и до самия хостинг акаунт. В този случай собственика на хостинг акаунта сам носи отговорността за загубата на информацията си.