Семь "смертельных" ошибок сисадмина

Работа системного администратора включает в себя огромный спектр возможных задач, особенно если специалист в единственном числе в компании. В потоке дел сложно выстроить работу идеально. Часто лучшие побуждения ИТ-специалистов: переход на новые программные продукты, обновления информационной системы, серверов – приводят к простоям в работе, жалобам пользователей и разнообразным авариям. Еще более губителен для любой системы застой и отсутствие изменений. Использование Windows XP (в 2017 году!) во многих корпоративных сетях поставило их под угрозу весной во время эпидемии шифровальщика WannaCry. Проверить себя поможет наш рейтинг самых популярных и опасных ошибок сисадминов.

7. Плоская организация сети

Особенно характерна для небольших организаций, когда все используемые сетевые адреса компьютеров легко помещаются в 24-ую сетевую маску и кажется, что нет необходимости в сегментации и использовании VLAN-ов. Для простоты организации подключающиеся к Wi-Fi точкам доступа устройства могут получать адреса из этой же сети. Broadcast storm, ARP-spoofing, атаки компьютерных вирусов с легкостью могут "положить" всю сеть организации, включая критическую серверную и финансовую инфраструктуру, и заставить системного администратора вздрагивать в следующий раз при звонках телефона.

Решение: сегментирование сети и использование VLAN-ов. Подобно кораблю, разбитому на герметичные отсеки, сеть станет более устойчивой к пробоинам.

6. Блокировка ICMP

Устаревшие лет на 15 руководства по безопасности часто предлагают заблокировать протокол ICMP на шлюзах, веб-серверах, рабочих станциях. Но атаки типа Ping of death уже очень давно не актуальны, а документы RFC прямо указывают на необходимость отвечать на ICMP-запросы для всех сетевых хостов. Запретив ICMP, администратор лишь существенно усложняет себе и другим анализ сетевых проблем и увеличивает время их решения, ничуть не способствуя повышению безопасности сети.

Решение: не блокировать ICMP.

5. Однородное системное ПО

Подход, который, к сожалению, вошел в некоторые корпоративные и ведомственные стандарты: когда на всех серверах и рабочих станциях, для всех служб и сервисов применяется одинаковое ПО (чаще всего речь идет об ОС Windows разных версий). Такая организация сети приводит к ее чрезвычайной уязвимости к вирусным атакам (подтверждением является массовое распространение по сетям вирусов WannaCry, NotPetya, BadRabbit). На сегодняшний день нет никаких (кроме одобренного N лет назад "регламента") причин не использовать альтернативные операционные системы хотя бы в серверной инфраструктуре. Сервер 1С, базы данных, гипервизоры, файловое хранилище быстрее, проще и дешевле развернуть на базе одного из дистрибутивов Linux. Как минимум на часть рабочих мест также можно установить Linux, если там есть необходимость только в стандартном офисном ПО. Многие компании готовы выделять огромные средства на средства защиты информации, антивирусы и другое ПО, но не рассматривают или отвергают этот недорогой способ, значительно снижающий векторы атак злоумышленников.

Решение: использование альтернативных ОС в серверной и офисной инфраструктуре, где это возможно.

4. Отсутствие планирования

Постоянно возникающая необходимость тушить разнообразные "пожары" в инфраструктуре заставляют многих системных администраторов воспринимать авралы как неизбежное зло. Отсюда появляются раскладушки в серверной, легенды о бессонных ночах и поднимании серверов. Тем не менее, хаосом тоже можно управлять. Планирование деятельности: своевременные профилактические работы, плановое обновление ПО и "железа" – способно предотвратить необходимость что-то делать в пожарном порядке. Четкий план Б на случай падения сервисов, необходимости полного восстановления всего из бэкапов, помогут в критический момент сохранить хладнокровие и минимизировать простои, а также подключить к работе программистов и других айтишников в критической ситуации.

Решение: составление долгосрочных, среднесрочных и оперативных планов задач. План Б на случай больших сбоев.

3. Использование устаревших средств защиты

Многие до сих пор привыкли полагаться лишь на антивирусное ПО для защиты конечных рабочих станций. Злоумышленники же перед выходом "релизов" троянов и шифровальщиков тестируют их на большом количестве антивирусного ПО (часто используя сервис virustotal.com, что доступно даже школьнику), поэтому не только сигнатурный, но и эвристический анализ файлов антивирусами зачастую бессилен против них. Меньшее внимание администраторы уделяют средствам защиты сетевого периметра, проверке внутрисегментного и локального трафика. В качестве интернет-шлюза часто используется обычный межсетевой экран, либо устаревшее уязвимое ПО: Microsoft TMG, другое ПО на ОС Windows. Таким образом сеть оказывается беззащитной для современного типа атак.

Решение: использовать современные средства защиты – UTM и NGFW решения. Например, шлюз безопасности Ideco ICS.

2. Отсутствие документации

Все мы слишком часто полагаемся на свою память или память коллег из IT-отдела. Поднятый через неделю-другую тюнинга веб-сервер или сервер базы данных, возможно, через несколько лет придется поднимать повторно. Без документирования даже у одного и того же специалиста это может занять столько же или даже больше времени.

Решение: не лениться документировать изменения настроек всех серверов, сервисов и сетевых устройств.

1. Доверять системе автоматического резервного копирования

Без ручной проверки восстановления из бэкапов. В самый неподходящий момент может оказаться, что в бэкапы не включены ценные данные (папка "Работа" на рабочем столе генерального директора), либо из них невозможно восстановить информацию, или еще хуже - они давно не создаются из-за какой-нибудь ошибки или аппаратного сбоя.

Решение: регламентированная (хотя бы раз в месяц) ручная проверка бэкапов.

Стабильного коннекта и большого аптайма вашим сервисам!