Tavaly ősszel jött egy hirtelen riasztás. Egyik ügyfelünknél rendszerfrissítések felrakása után meghülyült az ISA2000 szerver. Nem is akárhogyan: a jó öreg LSASS ablakot dobálta fel és a BRC (Big Red Counter) lenullázódása után újraindult.

Első lépésben nyilván kilőttük rá a teljes víruskereső, spyware kereső és ad removal készletünket. Azt mondanom sem kell, hogy a gép naprakészen patchelt volt, a víruskeresője friss adatbázissal bírt. Eredmény semmi. Akkoriban írtam a Technet/Security listára is – nagyon szívesen belinkelném a szálat, de a lista kereső része egy kalap szar. Használható választ akkor nem kaptam, csak egy gyorsolvasó kolléga bosszantott a ‘vírusod van, haver‘ válasszal. (Harmath Zoli is próbálkozott egy darabig, de hamar kiszállt.)

Első körben arra tippeltünk, hogy van a belső hálón egy valamilyen fertőzött gép és valahogyan az teríti le a szervert. Ennek persze ellentmond az, hogy a szerver fullra foltozott, tehát nem lenne szabad érzékenynek lennie erre a hibára. De nem volt jobb ötletünk. Nosza, tegyük ellenállóvá az ISÁ-t. De hogyan? Packetfiltert nem tudunk a belső lábára tenni. Akkor? A mélypontot egy kolléga megjegyzése jelentette: tegyünk fel egy Zonealarmot, hogy megvédje az ISÁ-t.

Végül ‘vak tyúk is talál szemet‘ alapon lekapcsoltuk a víruskergetőt és megszűnt az újraindulgatás. A későbbi finomítások során kiderült, hogy a víruskereső (NOD32) tkp. jó,de az IMON modulja (HTTP scan) nem bírja elviselni az ISÁ-t. (Mindkettő webproxy akart lenni, csak más szinten.)

Jó. Hogyan tovább?

Kolléga levelezésbe kezdett a forgalmazóval és – mint utólag kiderült -némi félreértés után arra jutottak, hogy frissíteni kell ISA2004-re, azzal már remekül megy az IMON modul. A frissítés megtörtént, IMON felugrott, LSASS ablak kussban maradt, hurrá.

Három nap múlva jött a visszajelzés, hogy az ISA időnként váratlanul betonkeményre fagy. Kolléga rutinból kikapcsolta az IMON modult, a fagyások eltűntek. Wazzup?

Ekkor csináltuk meg azt, amit már rögtön az elején meg kellett volna: összehoztunk egy találkozót az ügyfél, az üzemeltető és a forgalmazó között, a tetthelyen. Itt ült ki a döbbenet a forgalmazó arcára, ő ugyanis végig abban a hitben élt, hogy az IMON modult a klienseken kapcsoltuk be, ISA firewall client mellett. Erre gondolt, amikor azt mondta, hogy nincs probléma, kompatibilis mint állat: internetböngészés közben figyeli a HTTP forgalmat a gépen és a gyanús tartalmakat kikapkodja jól. A program ISA szerveren ellenjavallt.

A következő döbbenet az volt, hogy az ISA2004 szerverenjól működik az IMON: azaz nemcsak arra képes, hogy explorerből böngészve figyelje a HTTP forgalmat,hanem az ISA webproxyját is képes volt ellenőrizni: amikor vírusos tartalmat akartunk letölteni (Eicar), akkor a kliens olyan üzenetet kapott vissza a proxytól, hogy szabály tiltja a hozzáférést, miközben a NOD32 logjában láttuk, hogy az IMON akciózott. Igaz, a csoda nem tartott sokáig. A teszt során egész pontosan fél óráig, aztán elszállt a Firewall service és nem is lehetett újraindítani, csak szerver restarttal.

Tanulság? Nincs. Csak egy újabb retkes hiba, amely nem akkor jelentkezik, amikor csinálunk valamit, hanem azután, persze sztochasztikus kivárással.

Imádom ezt a szakmát.