Polski hosting - jest raczej fatalnie

Istnieją w Internecie porównania rozmaitych usług hostingowych. Bierze się w nich pod uwagę wszystko: od stosunku pojemność-cena, aż do ilości administratorów czy sposobu wentylacji macierzy dyskowych. My chcemy podejść do zagadnienia od nieco innej strony i sprawdzimy, jak firmy proponujące przetrzymywanie u siebie naszych dzieł podchodzą do zagadnień bezpieczeństwa. Wniosek mamy jeden: na porządku dziennym jest oprogramowanie, które nie było aktualizowane od kilkunastu miesięcy. Być może właściciele serwerów usługi hostingowe przechowują gdzieś wewnątrz, pod kloszem, dbają o nie i chuchają - jeśli tak jednak jest, to to, czym się chwalą światu, swoje wizytówki, traktują bardziej niż po macoszemu. Szewc bez butów chodzi...

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
Sprawdzanie zabezpieczeń w serwerach to spacer tuż nad przepaścią. Nigdy nie wiadomo, czy któryś z administratorów nie zauważy naszych testów i nie uzna, że należy dogłębnie przebadać maszynę znajdującą się po drugiej stronie kabla. Nigdy nie wiadomo, czy pracujący na jego usługach Snort nie podniesie alarmu, że dzieją się jakieś okropieństwa. I choć to mało prawdopodobne, zawsze istnieje możliwość, że zdecyduje się on na wysłanie do mojego dostawcy internetowego e-maila z prośbą o wyjaśnienia. Słowem: ryzyko duże, a efekty badań mogą być mizerne.

Polskie serwisy - część 1/6Kliknij, aby powiększyćPolskie serwisy - część 1/6

Mimo wszystko postanowiłem spróbować przetestować polskie serwery. Starałem działać się w sposób zupełnie nieinwazyjny, choć nie zawsze było to możliwe. Testowałem, czy prawdą jest, iż szewc bez butów chodzi. Zacząłem od bardzo prostych zabaw w pingowanie serwera, przez badanie zwracanych nagłówków, aż do testów SSH. Miałem zamiar pobawić się jeszcze hmapem, ale wyniki testów mnie przeraziły. Dlaczego? Tylko popatrzcie...

Ping, ping - jest tam kto?

Pierwszy test z pozoru był bardzo prosty: w linii poleceń (Start | Wszystkie programy | Akcesoria | Wiersz polecenia) wpisywałem ping nazwaserwera.pl. Chciałem w ten sposób sprawdzić, czy i w jakim czasie serwer odpowiada na pingi. Czas służył mi głównie jako materiał porównawczy, za bardzo się nim nie przejmowałem. Ciekaw natomiast byłem, jak jest z poprawnością konfiguracji firewalla w firmach hostingowych.

Polskie serwery - część 2/6Kliknij, aby powiększyćPolskie serwery - część 2/6

Pingujemy serwerKliknij, aby powiększyćPingujemy serwerWarto bowiem wiedzieć, że maszyny włączone do Internetu i pracujące w trybie 24/7/365 powinny akceptować większość pakietów ICMP - i odpowiadać na nie. Jeśli tego nie robią, świadczy to o tym, iż osoba konfigurująca firewall była zdecydowanie nadgorliwa. ICMP bowiem - jak wskazuje sama nazwa (Internet Control Message Protocol) - pozwala na szybkie diagnozowanie problemów występujących w sieci oraz dogadanie się hostów w kwestii ewentualnej dalszej interakcji. Jego zupełne odfiltrowanie może prowadzić do bardzo nieoczekiwanych efektów w rodzaju braku dostępności witryny WWW czy problemów z wysyłaniem e-maili od strony użytkowników.

Dlatego zanim w radosnym szale eksperymentów zdecydujemy się na wycięcie w IPTables całego ruchu ICMP, pomyślmy, czy nie warto byłoby odpowiedzieć choćby na pakiety typu destination-unreachable, time-exceeded, source-quench, parameter-problem i echo-reply.

Polskie serwery - część 3/6Kliknij, aby powiększyćPolskie serwery - część 3/6

Administratorzy trzech serwerów z naszej listy wpadli w radosny szał filtrowania wszystkiego... Nie świadczy to o nich najlepiej.

Aktualizacja: 02 grudnia 2005 23:31
Tabelki zostały uaktualnione o pierwotnie niepublikowane testy HTTPrinta i MySQL-a.
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.