NFsec Logo

Fizyczne bezpieczeństwo serwera

20/12/2003 w Bezpieczeństwo Brak komentarzy.  (artykuł nr 2, ilość słów: 1222)

B

ezpieczeństwo fizyczne to nie tylko ochrona serwera przed uszkodzeniami spowodowanymi złym jego ulokowaniem, lecz także ochrona przed nieuprawnionymi osobami, które posiadając bezpośredni kontakt z naszą maszyną mogą w prosty sposób ominąć zabezpieczenia wydające się nie do przejścia ze strony sieci. Bezpieczeństwo systemu można naruszyć poprzez dwa sposoby: 1) – poprzez dostęp sieciowy lub lokalny; 2) – poprzez dostęp fizyczny. Który z nich jest najgroźniejszy? Powiedzmy, że do naszego systemu nastąpiło włamanie.

Po jego odkryciu odłączamy serwer od sieci, uruchamiamy ponownie system, odnajdujemy zmiany jakie zostały poczynione w systemie przez intruza, ze śladów jakie pozostawił – dochodzimy do wniosku, że dana część systemu była niezabezpieczona lub źle skonfigurowana; odwracamy zmiany poczynione przez intruza, wprowadzamy poprawną konfigurację, podłączamy serwer do sieci, uruchamiamy system… A teraz powiedzmy, że do pomieszczenia, w którym znajduje się serwer dostaje się ten sam intruz. Uruchamia on system w trybie pozwalającym mu uzyskać pełne uprawnienia, w dodatku poznaje on szczegółowe dane dotyczące naszej sieci poprzez kontakt z programami (np. BIOS) i urządzeniami (np. router) znajdującymi się przy serwerze. Włamując się poprzez sieć mógł jedynie uszkodzić system, dane w nim zawarte czy nawet sformatować dysk twardy oraz poczynić inne rzeczy, których działanie po pewnym czasie byśmy byli w stanie powstrzymać lub poddać naprawie. Włamując się do miejsca pobytu serwera mógłby uszkodzić nieodwracalnie dysk twardy, wyrwać kość BIOSu, rozwalić router czy poddać uszkodzeniom resztę sprzętu odpowiedzialnego za komunikację sieciową – tych skutków już nie byśmy byli w stanie naprawić tak szybko, co by wiązało się z przekroczeniem budżetu przydzielonego na dany dział w firmie lub instytucji, w której pracujemy.

      Tak, więc mając przed sobą ten obraz widzimy, że wybór miejsca na umieszczenie serwera oraz ograniczenie ogólnej liczby uprawnionych do niego osób, które by posiadały do niego fizyczny dostęp to dość poważna sprawa. Serwer, który może posiadać styczność z niepowołanymi osobami, systemowo może być zabezpieczony doskonale, lecz zewnętrznie nie uzyska żadnego stopnia bezpieczeństwa bez podjęcia odpowiednich środków. Dlatego jeśli już zdecydowaliśmy się posiadać w firmie czy szkole lub innej instytucji – serwer należy pamiętać by umieścić go w specjalnie przygotowanym miejscu ze względu na fakt, iż w takich miejscach panuje duży ruch związany z dużą liczbą osób pracujących czy uczących się. Miejsca te zwyczajowo nazywa się “serwerowniami” – posiadają one szczególne umiejscowienia, dzięki którym serwery oraz ich peryferia łatwiej można zabezpieczyć. Do takich miejsc powinni mieć dostęp tylko osoby bezpośrednio związane z serwerem: administratorzy, pomocnicy administratorów, technicy sieciowi oraz wyszczególniony personel. Inne osoby nie podlegające wykorzystaniu danego sprzętu, nawet te zaufane mogą przecież spowodować przez przypadek czasowe odłączenie serwerów od prądu, czy sieci co najczęściej wynika z ich niewiedzy. Zwracając uwagę na umieszczenie należy wziąć pod uwagę ustronne miejsca, gdzie panuje bardzo mały ruch (najlepiej unikać miejsc blisko holi, korytarzy). Pomieszczenie, w którym znajduje się serwer także nie powinno wystawiać go na widok (duża liczba okien, drzwi z elementami szklanymi), co by mogło zwrócić uwagę potencjalnych intruzów. Same drzwi powinny posiadać dodatkowe wzmocnienia (poczwórne blokady, drzwi antywłamaniowe, kraty przed samym wejściem), a futryny solidnie umocowane. Jeśli budżet oraz renoma firmy czy instytucji jest duża można pokusić się o nawet podwójne systemy zabezpieczeń przed dostaniem się do samego pomieszczenia z serwerami. Mowa tu jest o urządzeniach takich jak specjalne karty magnetyczne, systemy monitorujące w postaci kamer rejestrujących osoby wchodzące oraz wychodzące, czy systemy identyfikacji biometrycznej, lub inne sposoby zmniejszające ryzyko uzyskania niepowołanego dostępu. Kompletnym minimum jest prowadzenie rozpisu osób przebywających w serwerowni o określonej dacie i godzinie. Należy także stworzyć regulamin zabraniający zwykłym pracownikom lub uczniom wstępu do tych specjalnych pomieszczeń oraz umieścić w pobliżu takiego pomieszczenia informacje ostrzegające o konsekwencjach naruszenia granic dostępu poprzez osoby nieuprawnione. Należy także zwrócić uwagę, aby urządzenia peryferyjne serwera znajdowały się w tym samym pomieszczeniu, co on sam. Mam na myśli nie tylko drukarki, ale też huby, switche, routery, systemy archiwizacji danych itp. Efekt zabezpieczonego serwera nie przynosi żadnych korzyści jeśli inne urządzenia pozwalające mu na łączność z siecią będą wystawione na możliwość uszkodzenia, doprowadzając tym samym do bezużyteczności serwera. Przeciwnie sprawa wygląda jeśli chodzi o dodatkowe nośniki danych. Po wykonaniu kopii zapasowych, dyski twarde, taśmy, płyty cd-rom, na których znajdują się kopie systemu lub danych naszych klientów – powinny być przechowywane w innym także dobrze zabezpieczonym miejscu z tego faktu, że włamanie może posiadać charakter rabunkowy. Tak więc po wykonaniu niezbędnych instalacji sprzętowych dobrze by było zrobić inwentaryzację sprzętu, oprogramowania, spisując wszelkie dane takie jak: producenta, numer seryjny, dystrybutora od którego został nabyty dany sprzęt. Dodatkową rzeczą jaką możemy poczynić to oznaczenie sprzętu jakimiś charakterystycznymi znakami (np. pisakiem, który ujawnia się pod wpływem promieni ultrafioletowych), które umożliwią szybką jego identyfikacje.

      Ponadto fizyczne bezpieczeństwo serwerów dotyczy również trzech innych obszarów zagrożeń: zasilania elektrycznego, środowiska oraz konserwacji. Jak zostało wspomniane wcześniej sprzętowe zagrożenia odnoszą się do fizycznych uszkodzeń sieciowych komponentów naszej sieci. Zagrożenia od strony elektryki zawierają nieregularne wahania napięcia, takie jak krótkotrwałe spadki, skoki lub całkowite utraty napięcia. W celu złagodzenia tych przypadków należy zadbać o ciągłą i nieprzerywalną dostawę energii dla krytycznych jednostek sieciowych. Źródło takiej energii mogą dostarczyć awaryjne zasilacze (ang. UPSUninterruptible Power Supply) oraz własne generatory prądu. “Czystość” dostarczanej energii zagwarantować mogą nam urządzenia antyprzepięciowe, które często są też integrowane z urządzeniami UPS. Przy rozwiązaniach wysoko budżetowych stosuje się również dwie niezależne linie zasilające z dwóch elektrowni (zasilanie redundantne) . Dzięki temu w przypadku awarii jednej z nich serwerownia nadal może funkcjonować. Rozwiązania te powinny być stale monitorowane i okresowo sprawdzane, aby w przypadku awarii nie okazało się, że akumulatory są niesprawne, a w generatorze nie ma już paliwa.

      Zagrożenia od strony środowiska / otoczenia, w którym znajdują się serwery najczęściej odnosi się do bardzo wysokiej lub zbyt niskiej temperatury, wilgoci, czy zakłóceń elektromagnetycznych. Dlatego niezbędnym minimum, w tym obszarze jest instalacja odpowiedniego systemu np. w postaci klimatyzatora precyzyjnego, który przeznaczony jest do kontroli temperatury i wilgoci w pomieszczeniach technologicznych oraz ustawienie jego parametrów pracy, aby zapewnił warunki otoczenia najbardziej zbliżone do tych, które określił producent używanych przez nas urządzeń elektronicznych. Ponadto w pomieszczeniu z serwerami powinien być zainstalowany system monitorowania – pozwalający na podjęcie odpowiednich czynności (np. powiadomienie personelu) w przypadku wykrycia nieodpowiednich warunków, czy dymu w serwerowni (powodując automatyczne uruchomienie systemu gaszenia gazem). Ze względu na bezpieczeństwo przeciwpożarowe, jak również wyładowania elektrostatyczne – żadne łatwopalne materiały i tkaniny powodujące powstawanie elektrostatycznych ładunków nie powinny znajdować się w tym samym pomieszczeniu, co urządzenia wchodzące w skład naszej scentralizowanej infrastruktury sieciowej (podłogi powinny być pokryte matami antyelektrostacznymi i/lub izolacyjnymi). Tyczy się to także urządzeń emitujących większe zakłócenia elektromagnetyczne najczęściej mogące spowodować uszkodzenie dysków twardych. Miejsce takich urządzeń powinno zostać określone w innej, oddzielonej (np. odpowiedniej grubości ścianą betonu) od reszty urządzeń lokalizacji.

      Konserwacja sprzętowa odnosi się do utrzymania odpowiedniego poziomu czystości, zapasowych części oraz całych komponentów dla serwerów pełniących najważniejszą rolę w naszej sieci. Całe okablowanie znajdujące się w serwerowni powinno być odpowiednio udokumentowane, a przede wszystkim ułożone w taki sposób, aby nie przeszkadzało w szybkiej wymianie sprzętu podczas jego awarii. Najczęstszym rozwiązaniem dla okablowania jest stosowanie podłóg podnoszonych pozwalających na swobodne, niekłopotliwe zmiany aranżacji pomieszczenia.

Bardzo ważnym aspektem bezpieczeństwa w serwerowniach jest, aby wszystkie terminale umożliwiające logowanie się do serwerów i urządzeń sieciowych posiadały ustawiony odpowiedni czas nieaktywności, po którym następuje automatyczne wylogowanie użytkownika (również tego z prawami administratora). Zapobiega to możliwości przechwycenia przez osoby trzecie konsoli, której użytkownik został już autoryzowany w systemie.

Więcej informacji: Bezpieczeństwo informacji – Bezpieczeństwo fizyczne

Kategorie K a t e g o r i e : Bezpieczeństwo

Tagi T a g i : , , , , , , ,

Brak starszych postów

Komentowanie tego wpisu jest zablokowane.