Følg med tiden og versionerne

Nu er det tid til en snak mere om sikkerhed, selvom det måske synes at ligge lidt fra sikkerhed. Dagens emne er at følge med tiden, og meget passende er det jo i januar og vi har lige haft nytår - i sidste uge.

Det føles som om tiden går stærkt og både du og dine applikationer skal opdateres med "ny viden". Applikationerne afvikles typisk på en applikationsserver, som har et operativsystem, på noget hardware som har noget firmware - masser af skildpadder hele vejen ned.

Det betyder at du skal:

• Indsamle information om systemerne som skal opdateres, gerne med automatisk værktøjer som NeXpose fra Rapid7 (kommercielt produkt og der findes alternativer)
• Planlægge opdateringen - vi kan ikke ændre servere midt på dagen og enheder som har mange brugere/servere - der hedder det kl 04:00-05:00 nat.
• Udføre opdateringen, som indeholder mange trin, som at hente den gamle firmware, installationsfiler - HVIS nu det går galt undervejs. Husk også at gemme en backup af systemet eller konfigurationen inden du starter
• Skrive en opsummering. Hvad lykkedes og hvad måtte du rulle tilbage af opdateringer, ændringer. Huske at skrive noter undervejs, ellers ved du ikke hvad der skete :-)

Derefter har du en funklende ny og fantastisk infrastruktur. Korrekt?

Nej, for dagens emne er mere en huskekage om at DU skal opdateres. Hvornår har du sidst læst release notes for den nye firmware til dine core switche? og dine firewalls? og dine routere?

Personligt har jeg læst (og i nogle tilfælde genlæst) release notes og dokumenter for følgende - indenfor de sidste 14 dage:

• F5 BigIP version 11 release note og manualer - meget er radikalt forskelligt, ikke mindst på high-availability siden er det helt anderledes end før!
• Dell switch firmware - release notes og manualer - vi havde et hjørne på version 3.1something som skulle opgraderes til 4.something - major releases, uha!
• Juniper Junos diverse 10.4 og 11.4 release notes, bøger, manualer, og Day One dokumenter.
• CentOS dokumentation
• Debian dokumentation

RTFM! Det betaler sig at investere tid til læsning af dokumentation - og hvis nogen mener at man giver fortabt når man åbner manualen, så smiler jeg altid indeni. Joken om at manualen er sidste udvej er meget sjov. I den virkelige verden er der så meget guld at hente i dokumentation, at man skylder sig selv at læse den. NB: hvis du skulle være i den uheldige situation at der ingen dokumentation er - så er det et klart faresignal og du bør gøre opmærksom på det.

Det er samtidig også et godt tidspunkt for ansatte og ledere at se sig omkring, er der områder vi arbejder med hvor vi reelt er bagefter? Mangler vi personer som kan tage over for hinanden, så vi kan holde sommerferien i ro og mag, uden at forstyrre hinanden med dumme opringninger.

Spørgsmålet bliver derfor, står du stille i din udvikling eller følger du med tiden?

Kan du sige hvilke store nye features der er blevet tilgængelige i seneste software version - vælg selv en af dine vigtigste forretningskritiske systemer som udgangspunkt. Ved du om disse ville kunne forbedre jeres forretning? Har du overblik over jeres muligheder, såfremt der skal udvides med mere kapacitet? Ved du om jeres udstyr kører på grænsen med antal sessions, brugere, Gigabytes, båndbredde, antal switch-enheder i samme stack osv.

Det er vigtigt at vide hvor man skal hen og vi kan ikke regne med at vores viden idag kan bringe os til pensionsalderen uden at lære nyt. Det vidste jeg allerede da jeg efter ca. 25 års skolegang, gymnasie, studiejob og universitet var færdig som cand. scient - og idag 10 år efter bruger jeg stadig mange timer på at trawle igennem bøger som Junos Security, igen og igen efter guldkorn.

Min Sensei indenfor et helt andet område er begyndt at prikke til mig og de andre om at der er graduering i Maj - sådan et vink med en vognstang, I skal koncentrere jer og arbejde hårdt, og ikke stagnere.

Det kan jeg også bruge i min dagligdag, for NÅR man nu har læst en masse dokumentation og opdateret sin viden er det i min verden naturligt at gå efter en certificering som gerne skulle vise at man har kompetence indenfor sit fag. Der findes en masse gode certificeringer (og dårlige ligeså) som vil give dig værdi fordi de tvinger dig til at få et overblik over teknologien som du er afhængig af, du vil kunne se mulighederne og udnytte teknologien bedre - og så bliver det mere sikkert!

Hvordan bliver det mere sikkert af at læse? Det gør det fordi du så læser hvad man IKKE skal bruge af features mere, og hvad man bør bruge istedet. Lad os straks tage et par korte eksempler:

• SSH version 1, secure shell - som erstattede Telnet, RCP, Rlogin osv. Den er idag dømt ude og vi SKAL bruge SSHv2 - version 2, alle steder. Jeg bøvler selv lidt med key login på switche, men det skal nok komme på plads.

• Management netværk - ved at skille dine administrative adgang fra den normale traffik kan du sikre at andre ikke kan logge ind. De fleste firewalls tillader kun logins fra bestemte netværksranges og der skal specifikt åbnes for flere IP ranges. Det samme kan man nemt implementeres i andre enheder, eksempelvis switche fra Dell:

 
management access-list "Management"
permit ip-source 172.16.1.0 mask 255.255.255.0 service snmp priority 1
permit ip-source 172.16.1.0 mask 255.255.255.0 service http priority 2
permit ip-source 172.16.1.0 mask 255.255.255.0 service ssh priority 3

• Roller til adgangskontrol. Mange nye softwarereleases giver mere fintmasket adgang til ressourcer og gør det nemmere at give specifik adgang - og ikke bare give alle adgang til alt.

Vi skal altså lære hvilke features man brugte tidligere, men ikke skal bruge mere - selvom de sjældent fjernes af producenten. De nye features som letter vores arbejde skal vi til gengæld være hurtigere til at implementere og derved lette vores arbejde med systermerne. Der er jo ingen grund til at gøre alt på en gammeldags og besværlig måde :-)

Når man derved anvender sin viden bliver netværket mere sikkert - fordi man udnytter de mekanismer der i fællesskab giver et godt netværk. Mekanismerne der arbejder sammen danner Defense in Depth, sikkerhed i flere lag - og du er en del af sikkerheden.

Hvilke certificeringer og nye emner vil du sætte dig ind i igennem 2012?