Rendszerfelmérés a tisztánlátás érdekében

 Kategória: Cikkek

Egy vállalatirányítási rendszerekkel foglalkozó cégnél végzett rendszerfelmérés összefoglalóját olvashatja itt, amit annak érdekében készítettünk el, hogy a vezetőség tisztán láthassa a rendszerük legsebezhetőbb és leginkább fejlesztésre szoruló pontjait.

A rendszerfelmérés az alábbi tevékenységeket foglalta magában:

A munka az IT hálózati analízissel indul, melynek keretein belül topológiát készítünk, listázzuk a fizikai eszközöket és logikai struktúrát. Ezt követi a Microsoft szerver infrastruktúra és active directory vizsgálata, mely során vizsgáljuk az eszközöket, a tartományvezérlő funkcióit, a központi file megosztást, az IIS szolgáltatást, a hitelesítést, az FTP szolgáltatást, az adatbázis szolgáltatást, a távoli asztal elérést, a licenszeket, az SSL sérülékenységet és active directory topológiát készítünk. A felsoroltak mellett megvizsgáljuk az adattárolókat, a szerver virtualizációt és környezetét és a szünetmentes tápellátást is.

 

Régen vizsgálták a céges IT rendszerének biztonságát? Szeretné megelőzni a zsarolóvírusok okozta kiesést, adatvesztést?

Adott a folyton bővülő-változó eszközállomány, de nincs hozzá dokumentáció?

Nehezen követhető már, hogy ki mihez férhet hozzá?

Áramszünet esetén üzletfolytonossági problémákban ütközik?

Kíváncsi, hogy szakmailag és pénzügyileg is ésszerű IT megoldása van e?

 

Vegye fel a kapcsolatot velünk, amennyiben hasonló rendszerfelmérést szeretne. >>>

 

Részletes rendszerfelmérés esettanulmány

Topológia

rendszerfelmérés

Microsoft szerver infrastuktúra és active directory:

 Name IP addresses Roles OS
*****.ad.*****.hu 192.168.*.*** AD, DC, DNS Microsoft Windows Server 2012 R2 Standard x64 ENG
*****.ad.*****.hu 192.168.*.*** AD, DC, DNS Microsoft Windows Server 2012 R2 Standard x64 ENG
*****.ad.*****.hu 192.168.*.*** MSSQL Microsoft Windows Server 2012 R2 Standard x64 ENG
*****.ad.*****.hu 192.168.*.*** IIS, FS, ****, FTP Microsoft Windows Server 2012 R2 Standard x64 ENG
*****.ad.*****.hu 192.168.*.*** RDS, IIS Microsoft Windows Server 2012 R2 Standard x64 ENG

Az SSL sérülékenység vizsgálat eredménye:

rendszerfelmérés

 rendszerfelmérés

Megállapítások a rendszerfelmérés eredményeképpen

A rendszerfelmérés eredményeként átadjuk a dokumentált megállapítást, pl. hogy az éles rendszer kialakítása és védelme az informatikában kialakult szokások és gyakorlatok szerint kielégítők, és ismertetjük a javasolt lépéseket:

  1. Üzleti célok meghatározása
  2. Eszköz és szolgáltatás rendelkezésre állás elvárt minimumának meghatározása és elfogadása
  3. Mentési rendszer kialakítása
  4. VMWARE környezet kiesésére vonatkozó automatizmusok kialakítása
  5. Adattárolók redundanciájának megoldása

 

Fejlesztési tervek és projekt javaslatok

Fejlesztési terveket és projekt javaslatokat is átadunk pl. az alábbiak szerint:

  1. Mentés kialakítása MS Data Protection manager rendszerben (Offsite vagy onsite)
  2. SSL sérülékenységek javítása
  3. Központi VMWARE infrastruktúra kialakítása. HA funkciók bevezetése VCENTER szerver segítségével. Jelenleg a hypervizor host-ok megállása esetén a rajta futó VM-ek megállnak, nincs szolgáltatás.
  4. Redundáns háttértár kialakítása. A replikáció lehetőségeit a Fujitsu terméktámogatással egyeztetni szükséges.
  5. A hálózat be és kilépési pontjainak ellenőrizhetőségének kialakítása. ESZKÖZCSERE!
  • Külső szimmetrikus port átirányítások megszüntetése, különös tekintettel az MS RDP kapcsolatokra. Az RDP protokoll magas kockázatú támadási pont!
  • Hozzáférési rendszer kialakítása, külső (VPN) hozzáférés integrációja az AD rendszerbe.
  • Belső VLAN szeparáció kialakítása a teszt/dev/éles környezet viszonylatában. Cél a kontrollálható átjárás.
  1. A tartományvezérlők elkülönítése külön fizikai szerverre. A jelenlegi megoldás kockázatot jelent!
  2. Az Active Directory jogosultsági és file hozzáférési struktúrájának átszervezése az alábbiak szerint:
  • A \\****\KOZOS hálózati megosztásra létre van hozva egy „Create” GPO beállítás, melynek nincs létjogosultsága, mivel mindemellett érvényesítve van ugyanez „Replace” beállítással is, mely létrehozza a felcsatolást, amennyiben nem létezik.
  • A hálózati meghajtók felcsatolásánál nincs aktiválva a “Run in logged-on user’s security context (user policy option)” beállítás, így a SYSTEM nevében van futtatva, nem a felhasználó nevében, aki a jogosultságot birtokolja.
  • A GPO-knál a security filteringet érdemes lenne security groupokhoz rendelni, nem az authenticated user-ekhez, mivel ilyen formában nehezen kezelhetők a jogosultságok.
  • A különböző hálózati meghajtó felcsatolásokat érdemes lenne külön GPO-kba illeszteni annak érdekében, hogy ezeket dinamikusan, egymástól függetlenül lehessen kezelni.
  • A „*** finance” üres GPO, el lehet távolítani.
  • A „Default domain policy” beállításai szerint jelenleg korlátlan számban lehet bejelentkezésekkel próbálkozni. Ez a beállítás biztonsági szempontból nem megfelelő.

További javaslatok

  • Érdemes az adminisztratív, illetve nem adminisztratív felhasználókat külön szervezeti egységekbe szervezni, hogy a scope-ot külön OU-kra lehessen érvényesíteni, külön jogosultságokkal.
  • Javasolt minden kiosztott jogosultságot osztályok (department) szerint létrehozott biztonsági csoportokhoz rendelni, illetve a jogosultságokhoz létrehozott biztonsági csoportokat (hálózati megosztás, VPN, stb.) ezekhez az osztályokhoz rendelni, így dinamikusan és átláthatóan lehet ezeket kezelni.
  • A két tartományvezérlő jelenleg ugyanazon a fizikai szerveren található, ennek fényében, ha a fizikai szerver meghibásodik, úgy a tartomány- és névkiszolgálás nem lesz elérhető, ezért javasolt legalább site-on belül szeparálni külön fizikai szerverekre a kiszolgálókat.
  • A hálózati megosztásokat érdemes egy kijelölt tárhelyen, mappákba szervezve tárolni és nem a tárhelyet magát kinevezni megosztásnak, mivel így új megosztás létrehozása, új tárhely felcsatolását követeli meg, amennyiben nem a meglévő megosztások alatt szeretnénk létrehozni, ellenkező esetben csupán a mappát szükséges kezelni, mely lényegesen egyszerűbb.
  • A megosztott mappa jogosultságainál mindenkinek „Full control” joga van, így bárkinek lehetősége van a jelenleg definiált jogosultságokat módosítani.
  • A megosztott mappa jogosultságait érdemes nem globális csoportokban (Domain Admins, Domain Users) kezelni, hanem erre dedikált külön csoportokban (pl. SG_Finance_RW, SG_Public_R, stb.).
  • Javasolt bevezetni Distributed File System szolgáltatást a megosztások (illetve ilyen módon a szerverek) elérésének dinamikus kezelése érdekében.
  1. IT policy és menedzsment

A szervezett IT működéshez szükséges belső működési szabályzatok és eljárásrendek kidolgozása, melyben mind a felhasználó kezelés, az erőforrás kiosztás jogosultsága meghatározható.

Ajánlott belső dokumentációk kidolgozása:

  • Disaster Recovery plan: tartalmazza azokat az eljárásokat, melyek üzletkritikus szolgáltatások hibájának esetén követendők. Pld. Mentés visszaállítás rendje, stb.
  • IT Biztonsági szabályzat: a szervezet felépítésnek megfelelően definiálja a hozzáférési, adattárolási szabályok részleteit. Illeszthető hozzá a virtuális erőforrások kezelésének módja is – ki hozhat létre? Ki törölhet? Az inaktív eszközök utóéletének kezeléséért ki, vagy milyen rendszer felel? …

Vegye fel a kapcsolatot velünk, amennyiben hasonló rendszerfelmérést szeretne. >>>


Szóljon hozzá!