Не стоит забывать о защите

Говоря о доступе к ресурсам сети, не стоит забывать и о возможности доступа к ним абсолютно посторонних, нежданных гостей. Особенно важно это учитывать при наличии постоянно работающего подключения к Интернету. Если вы поищете в поисковой машине Google, например, информацию о несанкционированном доступе к компьютерам из Интернета, то сможете обнаружить, что эти вопросы очень серьезно обсуждаются как защищающимися от такого доступа, так и его осуществляющими. Фактически на просторах Интернета идет постоянная партизанская война. Начинающий системный администратор может недооценить серьезность существующего положения и не предусмотреть мер защиты от нападения на его сеть снаружи. Даже защитив передаваемую через Интернет информацию шифрованием, следует помнить и об общей защите.

Злые хакеры

Я еще не успел разобрать утреннюю почту, как мне позвонил знакомый системный администратор. Некоторое время мы говорили о разных разностях: политике, перспективах развития отрасли и других "насущных" проблемах. При этом мне становилось все менее и менее понятна цель звонка. Мы редко с этим человеком говорим просто так. Но, наконец, все встало на свои места. После некоторой паузы позвонивший многозначительно спросил:

— А ты знаешь, что у нас произошло?

— Нет, — ответил я.

— Кто-то проник к нам на сервер, воспользовался нашим трафиком, и теперь провайдер требует, чтобы мы установили защиту. Ты не подскажешь, какую защиту лучше поставить?

— Глухую, — ответил я.

— Мы работали несколько месяцев с нашим ADSL, и ничего не происходило, а тут вдруг...

— А провайдер,— попытался пошутить я,— не установил никакой защиты в своей сети.

— В том то и дело, — оживился собеседник, — а теперь требует, чтобы установили защиту мы!

— Это, конечно, безобразие..., а что, у вас все это время ADSL был включен прямо в сеть?

— Нет, он подключен к моему компьютеру. А у тебя не так?

—  Знаешь, я не люблю быть зависимым от кого бы то ни было и не хочу, чтобы зависели от меня. Поэтому я использую для выхода в Интернет отдельный сервер. Можно, конечно, поставить и аппаратный маршрутизатор со встроенным firewall и DHCP. Но так уж исторически сложилось, что Интернет у нас подключен через второй сервер. На нем и почтовый сервер, и некоторые другие службы. Сервер может работать круглосуточно, а свой компьютер я часто забираю с собой, — у меня ноутбук.

— И ты не выключаешь сервер на ночь?

— А зачем? Ночью и Интернет работает, и почта.

— А вдруг хакеры?

— Не думаю. Прежде чем подключить сервер к сети, мы намеренно пытались влезть в него из Интернета. Когда увидели, что это очень сложно, — подключили сервер, дали доступ в Интернет пользователям сети и перенесли на него почтовый сервер. А тот доступ, что необходим, осуществляется достаточно надежными средствами.

— А кто у вас разбирает приходящую почту?

— Никто. Точнее, тот, кому она адресована.

— А как же, если директору письмо придет?

—  Значит, директор и разберет. Каждый имеет свой адрес. Те же адреса и внутри сети применяем.

— А как у тебя защищен сервер? Программно?

— В общем да. Только я ничего не приобретал, кроме Windows Server 2003, для защиты сервера. В нем есть почти все, что может потребоваться в небольшой сети.

— Да, но мне некуда его установить.

— А сервер, который ты хотел использовать в качестве горячего резерва?

— Он лежит на складе холодным резервом. Не получилось настроить репликацию так, как я хотел, и его выключили пока.

— Так используй его.

— Надо подумать. Но ты сказал, что есть аппаратные средства защиты сети. Что лучше применить?

— Я думаю, это дело вкуса. Конечно, аппаратные средства в целом дешевле компьютера и операционной системы, но когда уже есть компьютер, который можно применить для этих целей, почему бы и не использовать его?

— Мне кажется, что программные средства менее надежны, чем аппаратные.

—  Думаю, что это не совсем так. Аппаратные средства так же, как и программные, используют некоторые алгоритмы работы, написанные человеком. А физическая надежность..., аппаратные маршрутизаторы тоже иногда выходят из строя. Кроме того, как я уже сказал, — это дело вкуса. Мне просто нравится работать с программными средствами, которые можно гибко настраивать в зависимости от ситуации, меняющейся очень часто в нашей сети. А надежность защиты — дело рук сисадмина.

— И что, ни разу никаких проблем с защитой?

— Отчего же, были проблемы, когда поставил почтовый сервер, поначалу им стали пользоваться спамеры. Но это продолжалось недолго. Уже на второй день все было сконфигурировано так, как требуется.

— А если сервер рухнет?

—  Ну, так что ж, — знаем, где упадем, "подстилаем соломку". Всегда есть резервная копия системы. Храним, как и положено, на отдельном носителе. Восстановление займет не более часа. Железо может, конечно, потребовать несколько большего времени, если выйдет из строя материнская плата, к примеру. Но и выход из строя аппаратных средств потребует времени для замены, если нет уже настроенного резерва.

—  Ты не будешь возражать, если я заеду посмотреть на настройки твоего сервера?

—  Приезжай, конечно, буду рад тебя видеть! Только посмотри по адресу http://www.killprog.com/etcr.html утилиту AntiSpoof vl.l. Она должна помочь тебе защититься от злых хакеров хотя бы на некоторое время.