On-topic indlaeg virker saa sjaeldne her i gruppen at jeg taenkte jeg ville
bidrage med et.
Et par dage foer jul blev jeg en del af holdet bag Open Relay Databasen
(ordb.org). Man kan vel sige, at jeg er deres security officer eller noget.
Jeg har skrevet foelgende sikkerhedspolitik som nogle herinde maaske kan
drage nytte af. Den beskriver hvad der er vigtigt for projektet, og hvordan
dette skal beskyttes -- hvilket er samme metode der bruges til at evaluere
risiko og udforme sikkerhedspolitik i naesten alle sammenhaenge. Jeg haaber
den kan medvirke til forstaaelse af hvordan hver isaer kan skrive en
passende politik til Jeres aktuelle situation.
Sikkerhedspolitik for ordb.org
1 Indledende analyse
1.1 Begrundelse
1.2 ORDBs værdier
1.3 Omfang
1.4 Overholdelse
1.5 Vedtagelse
2 Beskyttelse af ORDBs værdier
2.1 Sikkerhedskopiering af ORDBs data
2.2 Validering mod domæneregister
2.3 Aktive netværkstjenester
2.4 Fjernadgang
2.5 Integritetscheck
2.6 Volume og misbrugbegræsning
1 INDLEDENDE ANALYSE
1.1 Begrundelse
ORDB har nået en vis udbredelse, og på dette tidspunkt kan det med
rimelighed antages at viden om ORDB er nået til en portion mennesker som
ikke er enige med ORDBs formål. Det er derfor passende at definere hvad
ORDB betragter som vigtigt for dens videre eksistens, og beslutte hvilke
former for beskyttelse er påkrævet.
ORDB er en forening med frivillige medlemmer som ikke modtager betaling
for deres arbejdsindsats. Hvert medlem har sin egen motivation for at
lægge arbejde i ORDB, hvad end det er den tekniske udfordring, ønsket om
en anti-spam løsning eller blot fordi vedkommende finder det sjovt.
Pga. det frivillige arbejde hvert medlem tager på sig er der grænser for
hvad foreningen kan forlange f.eks. i form af arbejdstid eller økonomisk
konsekvens. I samme åndedrag er det rimeligt at hvert frivilligt medlem
har forventninger til andre frivillige medlemmer i retning af at disses
handlinger eller mangel på samme ikke må bringe ORDBs fremtid i fare.
Dette dokument forsørger at sætte ord på disse forventninger.
1.2 ORDBs værdier
De følgende værdier er blevet identificeret:
ORDBs gode navn: Brugere af ORDBs navne servere lægger en del af deres
sikkerhed eller anti-spam politik i ORDBs hænder. Hvis tilliden til ORDB
forsvinder, forsvinder brugerne også. Eksempler på angreb på ORDBs navn:
- Grafitti maling (defacement) på
www.ordb.org
Meget synlig og selvom der ikke er sket anden skade ville tilliden til
ORDB muligvis tage et dyk.
- Manipulation af ordb.org DNS zonen
Hvis der ikke bruges passende validering imod den valgte Domain
Name Registar vil det være muligt for en 3. part at overtage
ordb.org navnet og pege det hvorhen vedkommende lyster.
- Manipulation af ordb.org's navne servere
Indbrud på en maskine bag relays.ordb.org og manipulation
således denne altid giver besked på at afvise post ville
muligvis drive brugere væk fra ORDB.
ORDBs database over åbne relays: hele ORDBs service er baseret omkring
indholdet af relay databasen.
- Tab af databasen
Utilstrækkelig sikkerhedskopiering kunne resultere i at
databasen en dag bliver helt eller delvis utilgængelig, f.eks. i
forbindelse med disk problemer. Med "delvis utilgængelig" menes
at databasen ikke er tilgængelig i et format som umiddelbart kan
bruges som navneserver svar.
- Utilsigtet adgang til databasen
Hvis listen over åbne relays falder i forkerte hænder kunne det
have liability resultater for ORDB.
- Udførelse af beskidt arbejde
En variation over "utilsigtet adgang til databasen" er risikoen
for at spammere bruger ORDBs resourcer til deres eget formål,
nemlig at finde åbne relays som de kan misbruge.
Der er et stærkt ønske om at begrænse risikoen mod ORDB mens der ikke
stilles urimelige krav til den frivillige arbejdskraft. Dette vil der
blive fokuseret på i alle aspekter af sikkerhedspolitikken således der
stilles sikkerhedskrav der udgør en stor forskel men ikke lægger
urimelige krav på frivillige medlemmer.
1.3 Omfang
Sikkerhedspolitikken omfatter alle maskiner involveret i udvikling og
produktionsbrug af ORDB.
Udviklingsmaskinerne og nogle af produktionsmaskinerne er under direkte
kontrol af ORDB bestyrelsen. Navne servere som stilles til rådighed af
godvillige medlemmer er ikke under samme kontrol og kan derfor udgøre en
større risiko.
Indtrykket hos forfatteren er, at hvert medlem som gratis stiller navne
server til rådighed er blevet vurderet af bestyrelsen som troværdig og
betroet til ikke bevidst ikke arbejde imod ORDBs formål.
Det forslås at bestyrelsen vurdrerer risikoen for ubevidste handlinger
(f.eks. inkompetence eller forsømmelse) i ORDBs risiko model og tager
denne risiko i betragtning ved evaluringer af tilbud om nye navne
servere.
1.4 Overholdelse
Enhver afvigelse fra sikkerhedspolitikken skal bringes foran bestyrelsen
og evt. ejeren af den pågældende navne server. Det giver ejeren mulighed
for hurtigt at rette problemet samtidigt med at det giver bestyrelsen
indblik i antallet af problemet og svartiden med at rette problemer.
I tvivlstilfælde er det op til bestyrelsen at udpege en person til at
rette problemet og giver en tidsramme, eller til at afvise problemet som
en afvigelse fra sikkerhedspolitikken.
Skulle et frivilligt medlem udsætte ORDBs zone for unødvendig risiko som
ikke er blevet rettet op på indenfor en rimelig tidsramme kan
bestyrelsen fjerne navneserveren fra relays.ordb.org zonen og kræve at
zonen bliver slettet fra maskinen.
1.5 Vedtagelse
Denne politik skal vedtages af bestyrelsen og/eller ved en
generalforsamling. Revisioner af denne politik skal ligeledes vedtages
af bestyrelsen og/eller ved en general forsamling.
2 BESKYTTELSE AF ORDBS VÆRDIER
2.1 Sikkerhedskopiering af ORDBs data
Det er vigtigt at sikkerhedskopiering af vigtige data finder sted
regelmæssigt, og at det sker på en metode således at produktion kan
genoprettes enkelt og hurtigt hvis det bliver nødvendigt.
ORDBs produktionsmaskiner må ikke have mulighed for at påvirke driften
af sikkerhedskopieringen. Derfor bør produktionsmaskinerne ikke have
nogen form for skriveadgang eller fjernadgang til sikkerhedskopien.
Mindst een gang hver 24. time skal der tages en komplet sikkerhedskopi
af:
* CVS repositoriet
* Open relay databasen, plus evt. extra tabeller
Det anbefales at der ugenligt tages sikkerhedskopier af:
* Maillist arkiver.
Medlemmer som frivilligt stiller en navneserver til rådighed må IKKE
tage sikkerhedskopier af ORDBs zone da tilgængeligheden af zonen
ønskes begrænset.
Mere information om implementation af dette punkt kan findes i:
[ ORDB-specific URL til beskrivelse af sikkerhedskopiering og
genoprettelse. ]
2.2 Validering mod domæneregister
Validering mod domæneregister skal indeholde hemmelig information, som
f.eks. et password eller være kryptografisk signeret. Validering alene
baseret på ORDBs email adresse er utilstrækkelig.
Mere information om implementation af dette punkt kan findes i:
[ ORDB-specific URL til information om validering. ]
2.3 Aktive netværkstjenester
Navneservere bør have et minimum af aktive netværkstjenester, men få
specifikke krav om valg af netværkstjenester kan stilles til medlemmer
som frivilligt stiller navneserver til rådighed.
ORDB stiller dog krav til hvordan der tillades fjernadgang til maskiner
der indeholder ORDBs zone. Aktive netværkstjenester bør ikke have kendte
sikkerhedsfejl eller åbenlyse opsætningsproblemer.
2.4 Fjernadgang
Navneservere skal kræve to faktor brugervalidering for kommandolinie
adgang. Dette krav vil drastisk øge indsatsen en angriber skal gøre for
at hoppe fra maskine til maskine. Yderligere vil korrekt brug af to
faktor validering gøre login lettere for daglige brugere af serveren.
Mere information om implementation af dette punkt kan findes i:
[ ORDB-specific URL til opsætning af sshd ]
2.5 Integritetscheck
Navneservere skal regelmæssigt køre et integritestcheck af alle
systemfiler således sandsynligheden for at opdage indbrud og ændrede
filer drejes til ORDBs fordel.
Databasen med hash checksums som bruges til integritetscheck skal
beskyttes ved at placeres på en anden maskine.
Mere information om implementation af dette punkt kan findes i:
[ ORDB-specific URL til opsætning af mtree, samhain, etc ]
2.6 Volume og misbrugbegræsning
Ved design, implementation og code review af ORDBs tjenester skal der
findes og håndhæves en balance mellem at give gyldige brugere adgang til
den nødvendige information, og at tillade spammere at lave ubegrænsede
opslag mod databasen for at finde åbne relays.
Mere information om implementation af dette punkt kan findes i:
ordb.org/documentation/SECURITY
(Jeg taler ikke, og har paa intet tidspunkt talt, paa ORDBs vegne.)
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.area51.dk/