Polski hosting - jest raczej fatalnie
- Łukasz Bigo,
- 02.12.2005, godz. 15:00
Istnieją w Internecie porównania rozmaitych usług hostingowych. Bierze się w nich pod uwagę wszystko: od stosunku pojemność-cena, aż do ilości administratorów czy sposobu wentylacji macierzy dyskowych. My chcemy podejść do zagadnienia od nieco innej strony i sprawdzimy, jak firmy proponujące przetrzymywanie u siebie naszych dzieł podchodzą do zagadnień bezpieczeństwa. Wniosek mamy jeden: na porządku dziennym jest oprogramowanie, które nie było aktualizowane od kilkunastu miesięcy. Być może właściciele serwerów usługi hostingowe przechowują gdzieś wewnątrz, pod kloszem, dbają o nie i chuchają - jeśli tak jednak jest, to to, czym się chwalą światu, swoje wizytówki, traktują bardziej niż po macoszemu. Szewc bez butów chodzi...
Mimo wszystko postanowiłem spróbować przetestować polskie serwery. Starałem działać się w sposób zupełnie nieinwazyjny, choć nie zawsze było to możliwe. Testowałem, czy prawdą jest, iż szewc bez butów chodzi. Zacząłem od bardzo prostych zabaw w pingowanie serwera, przez badanie zwracanych nagłówków, aż do testów SSH. Miałem zamiar pobawić się jeszcze hmapem, ale wyniki testów mnie przeraziły. Dlaczego? Tylko popatrzcie...
Ping, ping - jest tam kto?
Pierwszy test z pozoru był bardzo prosty: w linii poleceń (Start | Wszystkie programy | Akcesoria | Wiersz polecenia) wpisywałem ping nazwaserwera.pl. Chciałem w ten sposób sprawdzić, czy i w jakim czasie serwer odpowiada na pingi. Czas służył mi głównie jako materiał porównawczy, za bardzo się nim nie przejmowałem. Ciekaw natomiast byłem, jak jest z poprawnością konfiguracji firewalla w firmach hostingowych.
Warto bowiem wiedzieć, że maszyny włączone do Internetu i pracujące w trybie 24/7/365 powinny akceptować większość pakietów ICMP - i odpowiadać na nie. Jeśli tego nie robią, świadczy to o tym, iż osoba konfigurująca firewall była zdecydowanie nadgorliwa. ICMP bowiem - jak wskazuje sama nazwa (Internet Control Message Protocol) - pozwala na szybkie diagnozowanie problemów występujących w sieci oraz dogadanie się hostów w kwestii ewentualnej dalszej interakcji. Jego zupełne odfiltrowanie może prowadzić do bardzo nieoczekiwanych efektów w rodzaju braku dostępności witryny WWW czy problemów z wysyłaniem e-maili od strony użytkowników.Dlatego zanim w radosnym szale eksperymentów zdecydujemy się na wycięcie w IPTables całego ruchu ICMP, pomyślmy, czy nie warto byłoby odpowiedzieć choćby na pakiety typu destination-unreachable, time-exceeded, source-quench, parameter-problem i echo-reply.
Administratorzy trzech serwerów z naszej listy wpadli w radosny szał filtrowania wszystkiego... Nie świadczy to o nich najlepiej.
Tabelki zostały uaktualnione o pierwotnie niepublikowane testy HTTPrinta i MySQL-a.