Hűvös szobák félhomályának izgalmas morajlása

Esettanulmány

Hadd meséljek az elsőről… Ott álltam az ajtó előtt egy belvárosi lakás folyosóján, szívem a torkomban dobogott. Tudtam, hogy a túloldalon valami egészen különleges vár. Már egy ideje készültem rá. Igyekeztem összeszedni mindent, amit a témában valaha is hallottam, felkészíteni magam lélekben is, mert tudtam, hogy ez, az első kulcsfontosságú lesz minden további alkalommal. Itt és most dőlhet el, hogyan fogok viszonyulni a témához a további életemben. Millió dolog kavargott bennem: a várakozás, az izgatottság, vajon minden mozzanat a megfelelő sorrendben és időben fog-e eszembe jutni. Bizonytalan voltam, mert még azelőtt sosem. Meglestem, mások hogyan csinálják, rengeteget olvastam, mondhatni tanultam a témában, de ez itt most más. Magamnak is be kell bizonyítanom, hogy képes vagyok rá. Reménykedtem abban is, hogy némi elismerést is kapok majd, amikor végeztem, ha úgy tetszik, visszaigazolást, méltatást. Abból talán tudnám, hogy jó nyomon vagyok. Nincs mire várni, nem érdemes tétovázni, ezért vagyok itt. És nem csak én. Várnak rám és arra, hogy megtörténjen. Kulcs fordul a zárban, még egy nagy levegő, innen nincs visszaút. Résre nyílik az ajtó, amivel hosszú percek óta csak szemeztem, megcsap egy váratlanul hűvös fuvallat. Elkezdődött hát. Itt és most IT biztonsági auditot tartok.

Az indulás és az első eset

Még a diploma is csak egy távoli remény volt, amikor a tananyagban elérkeztünk az IT biztonsági audit intézményéhez, és elkezdtük kivesézni azt. Annyira testhezálló volt az egész téma, magától értetődő a szisztematikus megközelítés és a jobbításra való, őszinte törekvés, hogy teljesen magával ragadt. Olyannyira, hogy amint kellő mértékben elmerültem benne, máris a lehetőséget kerestem, hogy én is kipróbálhassam. Egy több évtizede működő, 20 főt foglalkoztató, saját szerverszobával és bérelt rendszergazdával büszkélkedő cégnél meg is talált az első ilyen megbízás.

Az egész iroda riasztóra kötve, a szerverszoba külön zónában. Utóbbi ajtaján masszív zárak, mögötte rács, további három zárral. Bent egy külön klíma ügyelt a megfelelő hőmérsékletre, ember magasságú rackszekrény, benne olyan igazi, “tepsis” szerverek, patch-táblák és egyéb hálózati eszközök. A szekrény mellett egy hatalmas asztalon monitorok és billentyűzetek sorakoztak, a földön akkora szünetmentes tápegység, amekkorát még csak képen láttam korábban, ráadásul ebből rögtön kettő. Mellettük pedig 5-6 asztali gép, közöttük további szünetmentesek. A szerverek Windows alapúak, volt köztük fájl-, SBS, Exchange és virtuális is, kezeltek felhasználókat, tartományokat, biztonsági mentéseket, levelezéseket, saját fejlesztésű vállalatirányítási rendszert adatbázissal, VPN-t, távoli asztalt és még néhány hasonló, jelentéktelen apróságot. Az irodának saját telefonközpontja is volt, analóg. A belső hálózat első sorban vezetékes volt, minden munkaállomás környékén legalább 2-2, számozott végponti csatlakozóval. Mindezekkel pedig egy rendszergazda zsonglőrködött rendszeresen. De akkor mi szükség lehet egy ilyen közegben IT auditra? – vetődik fel a kérdés.

Az volt az erős sejtés az itt dolgozókban, hogy ez a látszólag kiválóan felépített és szakszerűen működtetett infrastruktúra lehetne jobb is, amit alátámasztani látszott az a tény is, hogy egyre gyakrabban találkoztak ennek kapcsán hibával, ütköztek korlátokba. Egyik-másik munkaállomásnál érezhetően “erőtlenebb” volt a hálózati kapcsolat, a számítógépek állapotával sem volt minden munkavállaló megelégedve, a vezetékes internet – az üzleti előfizetés ellenére – rendszeresen a sztrájk jeleit mutatta, és ereje teljében sem volt képes vetekedni egy közepes lakossági előfizetés sávszélességével. A különböző szoftveres és hardveres kérdésekre, akadályokra sokszor hetek után született csak válasz. És így tovább.

Mit találtam?!

A felmérés – vagy ha úgy tetszik, diagnosztizálás – folyamatának részletekbe menő ismertetésétől megkímélem a m. t. Olvasót, de a lényeg, hogy minden szereplőt, felhasználót megszólaltattam a témában. Ilyenkor a menedzsmenttel kezdünk, utána jön a helyi (hivatásos vagy önjelölt rendszergazda), csoportvezetők, majd mindenki más is – legalább egy kérdőíves érdeklődés formájában. Ezzel párhuzamosan pedig zajlik helyszíni szemle, véletlenszerű ismerkedés és a teljes aktuális dokumentáció tanulmányozása.

Az így összegyűjtött információ-hegyek alapján azonosítottam a veszélyforrásokat, kategorizáltam* és súlyoztam őket (relevancia és bekövetkezési valószínűség szerint).


<csillag>
IT biztonsági veszélyforrások kategóriái
Alapvetően és a tudomány jelenlegi állása szerint négy van neki: fizikai, logikai, szervezeti-szervezési és életciklushoz köthető. Ezekkel zseniálisan lefedhető az a közel százféle veszélyforrás, amit tanulmányaim közben és azóta gyűjtöttem. A teljes listában szerepel a földrengéstől kezdve, a gyenge jelszavakon és a SPAM-eken keresztül, a manipulálható kollégákig és a rossz selejtezési gyakorlatig elég sok minden.
</csillag>


A teljességi igénye nélkül a következő (top) lista született ott és akkor:

  • A szerverszoba riasztóját sosem aktiválták, a zárak közül egyet használtak – amit egyébként a főbejárattal azonos kulcs nyitott -, mert egyébként macerás és időigényes lett volna a bejutás.
  • A klíma nem szerverszobára tervezett, hanem klasszikus, lakossági volt, amit ráadásul valami tákolásos módszerrel kötöttek be, így néha csepegett belőle a víz – a rackszekrény mögé. Illetve hajlamos volt időnként kikapcsolni.
  • Ugyanitt a beépített szekrényben korábbi könyvelési és más, ritkán használt iratokat tároltak tömegesen. Céges rendezvények környékén itallerakatként is funkcionált a szoba, mert ugye ott jó hűvös van.
  • A modemből a vezeték a szerverszobába vezetett, onnan a patch-táblán keresztül az iroda legtávolabbi pontjára, ahol a tűzfalként és tárgyalói wifi routerként működő eszközbe, ahonnan pedig egy másikon ismét vissza a szerverszobába, ahol becsatlakoztak az egyéb, aktív eszközök, szerverek is a kommunikációba. Mintegy 6-7 csatlakozón és 30-40 méter vezetéken múlt (teljesen feleslegesen), hogy épp kapcsolatba tud-e lépni bárki a külvilággal az Internet nevű találmány segítségével.
  • Működött még egy létfontosságú szerver, de házon kívül. Na nem egy szerverparkban, hanem a cég egy korábbi irodájában, ahol a régi időkre való tekintettel megtűrték a bő 10 évvel korábbi költözésnél ott hagyott eszközt.
  • A munkaállomások a beszerzésük és első telepítésük után csak azokban az esetekben kerültek szakértő kezekbe, ha gond volt velük, tulajdonost váltottak vagy selejtezésre lettek kijelölve. Így beszerzésüktől, újratelepítéssüktől függően volt friss rajtuk az operációs rendszer vagy bármilyen más program – hogy a vírusirtóról ne is beszéljünk.
  • A szervereken és egyéb eszközökön két adminisztrátor fiók volt egy-egy erős jelszóval. A fiókok az admin és az admin2 névre hallgattak, a hozzájuk tartozó jelszavakat pedig legalább az ott dolgozók fele ismerte – vagy egy egyszerű kérdéssel kideríthette.
  • Ha valaki szabadságra ment, a helyettesítő kollégáknak(!) elmondta a jelszavait, hogy a gépére belépve vagy a levelező fiókját magához bekötve tudja majd terelni az átvett projekteket.
  • Az egyik szerver garanciája közel járt ahhoz a határhoz, amikor már nem lehet tovább hosszabbítani, és a többi is néhány évre volt ettől a ponttól.
  • A fájlszerveren folyamatosan küzdöttek a tárhelyért, az archiválás különböző, kihasználatlanság miatt néhány éve porosodó merevelemezekre történt, amiket selejtből összeépített asztali gépek hajtottak meg. (A fájlszerver merevlemezeinek bővítése – a szerver kora miatt – nagységrendileg félmilliós beruházás lett volna, és 15-20% tárhely-növekedést lehetett volna vele elérni maximum.)
  • A teljes rendszerdokumentáció 3 A4-es oldalon elfért.
  • A patch-táblák és a switchek közti kábelrengeteg – amiben megbújtak a központi gépek és a szerverszoba egyéb lakóinak vezetékei is – kibogozhatatlan volt, próba-szerencse alapon történtek az új bekötések.

Folytassam még? Szerintem ennyivel is kellő mértékben árnyaltam a képet – arról nem is beszélve, hogy konkrétan elszomorodtam már attól is, hogy mindezeket felidéztem. Azt mindenképpen kijelenthetjük, hogy volt némi tere a fejlődésnek.

Mi lett ebből?

Először is szeretném megnyugtatni a n.b. Olvasót, hogy a cég azonnal belevágott a fejlesztésekbe – anyagi és egyéb lehetőségeihez mérten -, és egy elég stabil, folyamatosan megújuló, felügyelt és rendszeresen karbantartott infrastruktúrával, eszközökkel azóta is boldogan működik.

A jobbító tevékenységek már a diagnózis felállítása alatt elkezdődnek. Ilyenkor ugyanis születik egy rövidke lista az azonnal javítható elemekről. Ezek rendszerint minimális költséggel és energiával járnak, de jelentősen növelhetik a tágan értelmezett IT biztonságot. Ilyen volt például a néhány köbméter papír kihordása a szerverszobából, a borhűtő funkció megszüntetése, a vezetékezés rendbe tétele vagy a zárak cseréje és megfelelő használata.

Az audit végére pedig összeáll a teljes veszélyforrás-lista, a már említett valószínűségekkel és súlyokkal, illetve ezek elhárítására, elkerülésére néhány javaslat is. Innentől kezdve pedig a menedzsment/tulajdonos feladata eldönteni, hogy mihez kezd mindezek birtokában.

Szerencsére ebben az esetben nyitottnak mutatkozott a cégvezetés, és konkrét megvalósítási, fejlesztési tervet készítettünk. Ennek kivitelezésében az első néhány hónapban aktívan részt vettem, így a konkrétumokról is boldogan be tudok számolni:

  • A szerverszoba kapott egy direkt ilyen körülményekre tervezett klímát, ami már a páratartalomra is figyelt, illetve automatikusan újraindult egy áramszünet esetén.
  • A cég újra fogalmazta, hogy milyen elvárásokat támaszt a rendszergazdával szemben. Azóta másik szolgáltató látja el ezeket a feladatokat.
  • Új, megfelelő jogosítványokkal rendelkező személyekhez kötött adminisztrátor fiókokat kaptak az eszközök.
  • A rackszekrény tetejére került egy monitor, egy billentyűzet, egy egér és egy KVM-switch, ezzel gyakorlatilag az összes szerverhez egy “terminál” használható.
  • A hatalmas faasztalt felváltotta egy salgó polc, a szükségtelen asztali gépek kikerültek a szobából.
  • Az infrastruktúráról elkészült a részletes dokumentáció, a hálózatról pedig egy pontos ábra. (Pontosan lehet már tudni, milyen eszközök és csatlakozók helyezkednek el a modem és tetszőleges végpont között.)
  • Üzletmenet-folytonossági és Katasztrófatervet írtunk és teszteltünk.
  • A frissítések és víruskergetések központilag ütemezve és logolva történnek. A munkaállomások karbantartása terv szerint, rendszeresen megtörténik fizikailag is.
  • A szünetmentes tápegységek már kommunikálnak a szerverekkel, hosszabb áramszünet esetén leállításukat kezdeményezik.
  • Több évre előre meghatároztuk a fejlesztési tervet, a szerverek és ellátott funkcióik fokozatos felhőbe, szerverparkba, virtuális környezetbe költöztetését. (A fájlszerver kapacitását pedig átmenetileg egy NAS beüzemelésével oldottuk meg. Ezzel megoldódott az archiválás kérdésköre is. Mindezt az eredeti tárhelybővítési ajánlat töredékéből, mégis szabad szemmel is jól láthatóan nagyobb léptékben.)

Nem is sorolom tovább, egyszerűen sínre tettük a dolgokat, egy egészen új szemléletet vezettünk be, amitől biztonságosabb és hosszú távon is fenntarthatóvá vált a cég működése.

Mi a tanulság?

Még egy zseniálisan megtervezett, összerakott és szakszerű felügyelet alatt üzemeltetett rendszeren is lehet mindig fejleszteni. Tudom, az IT témakörében elkövetett fejlesztés sosem olcsó, nem is különösebben rajonganak érte a KKV-k tulajdonosai, vezetői. Inkább összeszorított fogakkal kifizetik a csillagászati összeget, amit muszáj rászánni, majd a lehető leghosszabb ideig hallani sem kívánnak ilyen beruházásról. (Bár lehet, csak én vagyok ilyen borúlátó.) És lehet, hogy egy rendszergazda-zseni és két IT-fejlesztési doktor állította össze az infrastruktúrát, de időnként érdemes felmérnünk, felméretnünk, hogy még mindig olyan kiváló állapotban van-e a rendszerünk, amit egykor irigykedve nézett minden üzleti partner, aki megfordult az irodában. A tapasztalt azt mutatja, hogy idővel lanyhul a fegyelem, már nem dokumentálódik olyan precízen minden változtatás, az üzemeltetés rutinból, esetleg felületesen történik.

Ezen a ponton röviden utalok egy korábbi írásomra, amiben a pandémia hatását vizsgáltam az infrastrukturális és szoftveres fejlesztésekre, (szükség)megoldásokra. Röviden: nem segített a helyzeten, nagyon nem.

Már rég eltávolodtunk egy évekkel ezelőtt írt fejlesztési tervtől? Azt sem tudjuk, mi történik a szerverszobában? Egyre többet panaszkodnak a kollégák az infrastruktúra egyes elemeire? Már mindenki tudja, melyik eszközt kell kihúzni 20 másodpercre, majd visszakapcsolni hálózati gondok esetén? Vagy csak egy érzésünk van, hogy lehetne jobb is az informatika házon belül? Akkor ideje egy auditnak, hogy tiszta képünk legyen az aktuális állapotokról, és kijelölhessük a fejlesztés/fejlődés irányát.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük