Piotr Konieczny

konsultant ds. bezpieczeństwa, podróżnik,
hobbystycznie fuksiarz i gadżeciarz
szkot, prawie spadochroniarz...
nienawidzi zielonego.

« wszystkie wpisy |

Poniedziałek, 17 grudnia 2007 :: 12:51:59
IT, przekręty, security, Techblog

Sekrety Microsoft.com: Nie używamy firewalli!

Kilka dni temu, Jeff Alexander, jeden z inżynierów Microsoftu z Australii opublikował na swoim blogu ciekawe fakty dotyczące (braku?) bezpieczeństwa serwerów microsoft.com. Wpis wbił niezłą szpilę w reputację Microsoftu ...i został bez słowa komentarza bardzo szybko usunięty. Ciekawe, czy Jeff stracił noworoczą premię za ten brak lojalności wobec pracodawcy? ;-)

Chociaż post nie jest już osiągalny u źródła, łatwo możemy go wyszperać (w myśl zasady "Co raz zostało opublikowane w internecie, będzie tam na zawsze"). Po nieskomplikowanej operacji użycia Googlowego (o ironio!) cache (mirror), możemy się dowiedzieć, że...

At this point we still don't use firewalls for MS.COM sites and don't have any plans on the books to put them in place.

Brak skorzystania z firewalla, Operation Team Microsoftu usprawiedliwia dużym ruchem i brakiem możliwości jego sensownej analizy.

Microsoft zbiera ok. 650 GB logów dziennie (z samego [update.]microsoft.com) plus ok. 6GB dla każdego z serwerów plików. Jeff spekuluje, że ew. użycie firewalla to kolejne 650GB logów (tym razem z firewalla) i dodaje, że pięć lat temu żadne z istniejących rozwiązań nie było wystarczająco wydajne. To skłoniło MS do skupienia się raczej na bezpieczeństwie sieci i aplikacji. I ponoć takie podejście się sprawdza, stąd do dziś MS nie używa żadnego firewalla, chociaż istnieją już takie, które byłyby w stanie udźwignąć olbrzymi traffic Microsoftu.

Bezpieczeństwo serwerów Microsoftu

Patrząc na sieć Microsoftu pod kątem bezpieczeństwa z zewnątrz, można napotkać poszczególne rozwiązania:

  • Cisco Guards — wykrywanie ataków DoS)
  • ACL-e na routerach — blokowanie połączeń na nieużywane porty
  • NetScalers (www.microsoft.com, MSDN/TechNet) i NLB (update.microsoft.com) – znów ochrona przed DoS
  • Windows Server 2008/IIS7 - www.microsoft.com
  • Win2k8/IIS7 - MSDN/TechNet (w trakcie przenoszenia)
  • Windows Server 2003/IIS6 - update.microsoft.com

Nieużywane usługi na serwerach windowsowych są wyłączane, a same serwery wykorzystują GFS-a. Podczas ataku SYN flood, tworzone są zrzuty z Netmon/Perfmon na NLB-ach (niebawem także na NetScalerach). W miarę możliwości (sic!) MS korzysta z antywirusów na serwerach.

Nie ma się co dziwić, że Jeff usunął (został zmuszony do usunięcia?) powyższych informacji... Z drugiej strony, kto wie, czy ktoś nie zacznie zaraz szukać exploitów, żeby ukrać MS za cenzurę... :-)

Przeczytaj także:
Microsoft Office 2007 hacked!

• Następny post: Google pomyliło Polskę z Hiszpanią!
• Poprzedni post: Darmowe programy na Pocket PC

 

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

 

Tagi:

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

1. Zamber Poniedziałek, 17 grudnia 2007, 13:35:59
 

Riddle ostatnio coś pierniczył na Twitterze o zawodności serwerów Linuksowych :D. O ironio! XD

 
2. Piotr Konieczny Poniedziałek, 17 grudnia 2007, 13:38:24
 

Zamber: Marka nie ma tu znaczenia. Raczej zdolnosci administratora... W przypadku microsoft.com -- jak czesto slyszysz o padzie serwera, widzisz deface'a, etc? Team maja dobry i doskonale rozumiem ich posuniecie.

BTW, zamiast 'firewall', Jeff powinien uzywac slowa IDS/IPS, ale tu logow bylo by pewnie jeszcze wiecej... ;-)

 
3. zen Poniedziałek, 17 grudnia 2007, 14:18:44
 

Nie rozumiem argumentacji o niemozliwosci przegladania logow firewalla. Logi firewalla przeglada sie pod katem wystepowania konkretnych zdarzen. Mam wrazenie, ze autorowi tamtego wpisu chyba naprawde myla sie systemy IDS/IPS z FW.

 
4. Riddle Poniedziałek, 17 grudnia 2007, 14:33:50
 

Z tekstu wynika że 6h na godzinę, a nie dzień (albo po prostu nie uściśliłeś że nie o cały dzień Ci chodzi :)).

Riddle pierniczył o zawodności serwerów Linuksowych, ale było to pierniczenie endusera. Po prostu któryś raz z kolei coś na Linuksie leżało i tyle.

PS: Nie obchodzi mnie porównanie serwerów i zalety Linuksa, więc jak ktoś chce isć na wojnę może sobie odpuścić. :>

 
5. musk Poniedziałek, 17 grudnia 2007, 14:46:59
 

a dlaczego niby mieli by używać firewalli?
Jest jakiś publiczny serwer, udostępniający jakieś usługi na świat, zapewne opiekuje się nim fachowy admin więc po jakiego grzyba firewall?

 
6. night Poniedziałek, 17 grudnia 2007, 14:53:00
 

Mnie bardziej ciekawi inne stwierdzenie:
"Microsoft zbiera ok. 650 GB logów dziennie"
Ciekawe zatem ile TB logów ma Google...

 
7. Riddle Poniedziałek, 17 grudnia 2007, 14:55:02
 

…i czy mają do analizowania tych danych prawdziwe AI…

 
8. Hoppke Poniedziałek, 17 grudnia 2007, 15:06:21
 

Musk ma rację. Publicznie wystawiony serwer nie musi być chroniony firewallem.

Bo co niby miałoby być firewallowane? Usługi wystawione dla całego świata?

 
9. Piotr Konieczny Poniedziałek, 17 grudnia 2007, 15:15:07
 

musk: dlatego wlasnie sobie spekulujemy, ze pan Jeff pomylil IDS/IPS z FW... ale moze uzyl uproszczenia? Sam spotkalem sie wielokrotnie z tym, ze nasli zachodni znajomi, zwlaszcza Ci, ktorzy z security maja malo wspolnego, upraszczaja pojecie bezpieczenstwa serwera do slowa "ma dobry firewall".

Hoppke: W gruncie rzeczy masz racje, ale ja widze pewne korzysci zwiazane ze zbieraniem z pozoru nieuzytecznych logow na taka skale... :-)

IMO, MS nie moze zaprezentowac sie jako firma nie korzystajaca z firewalla - slowa klucza rozpropagowanego w mediach jako synonim bezpieczenstwa (mimo, ze w ich przypadku, zadna to korzysc). Chodzi tu bardziej o PR niz o security ...i pewnie z tego powodu usuneli posta.

 
10. kravietz Poniedziałek, 17 grudnia 2007, 16:58:48
 

Dokładnie z tego samego powodu mało kto filtruje ruch na routerach backbone'owych.

Kiedyś miałem na szkoleniu ludzi z TPSA i spytałem ich dlaczego TPNet nie stosuje egress filteringu, co ukróciłoby spoofing i jest zalecane przez RFC 3013 i 2644.

Taki egress filtering poza standardowym ingress implementowałem już w połowie lat 90-tych jak pracowałem w CETI.

Tyle że to było kilkadziesiąt klas C. Na poziomie backbonu nikt nie filtruje bo byłoby to zbyt zasobożerne. TPNet cały "routing" robił na jakichś urządzeniach frame-relay.

Przypuszczam że w Microsofcie problem jest podobny i jest to po prostu problem skali.

No i jak widać brak firewalla wcale nie przeszkadza MS podtrzymywać wizerunku firmy, której nikt od dawna nie zrobił defacementu na głównej.

 
11. Piotr Konieczny Poniedziałek, 17 grudnia 2007, 17:02:30
 

No właśnie. Google pewnie teraz zachodzi w głowę jak oni się wytłumaczą z braku fw ;-) ...jeśli i oni nie mają (chociaż ^G wygląda na firmę bardziej doświadczoną, jeśli chodzi o przerabianie ogromnych danych i skalowanie rozwiązań).

 
12. AlchemyX Poniedziałek, 17 grudnia 2007, 19:17:21
 

LOL. Nie ma wystarczająco wydajnych rozwiązań. Ano są, tylko kosztują. Chociaż samego firewallowania nie wynosiłbym do rangi rozwiązania absolutnie koniecznego. Mam tylko maszyn y linuksowe i to co do nich firewalluje to dostęp SSH czy do innych usług, które mają ograniczony krąg odbiorców.

A co do filtrowania backbonów to z zasady się tego nie robi, oczywiście standardowy argument to pożeranie zasobów (chociaż to nie do końca prawda, bo wiele sprzętu ciscowego np robi bardzo wydajne acle w sprzęcie), bardziej chodzi o to, że ciężko ustalić co jest dozwolone a co nie ;). Trzebaby to synchronizować z filtrami BGP chociażby. A tak nie muszą nic robić i po kłopocie.

 
13. AdamK Poniedziałek, 17 grudnia 2007, 20:28:03
 

Logi w Google monitorują na bieżąco tresowane gołębie :)

 
14. talen Poniedziałek, 17 grudnia 2007, 21:01:58
 

Chwilkę, przecież serwer nie musi mieć firewalla - wystarczy, że będzie na nim uruchomiony _tylko_ serwer WWW (o ile ma to być serwer WWW) i tyle. Reszta to konfiguracja tego serwera no i ataki TCP/IP. Może poprostu mają firewalla na każdym z serwerów ? :-)

 
15. BeteNoire Wtorek, 18 grudnia 2007, 08:41:33
 

A na czym microsoft.com stoi? Na OpenBSD? :>

 
16. PawelS Piątek, 21 grudnia 2007, 00:53:17
 

@BeteNoire: Też słyszałem, że stoi to na jakimś *BSD, ale tutaj Piotr pisze o W2K8.

 
17. Piotr Konieczny Piątek, 21 grudnia 2007, 02:10:50
 

Windows Server 2008/IIS7 - www.microsoft.com

To cytat z Jeffa. Na BSD swego czasu staly serwery Akamai, z uslug ktorego MS korzystal. Moze o to chodzi?

 
18. frob Poniedziałek, 24 grudnia 2007, 03:32:47
 

BSD z Akamai byly swego czasu podobno tylko jakimis proxy z tego co pamietam...

 

Dodaj komentarz:

Wyślij pustą wiadomość, aby śledzić komentarze przez bota.
Komentarze są własnością osób komentujących.
Właściciel bloga nie ponosi za nie odpowiedzialności.
Komentarze nie na temat będą usuwane.

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy