Наши друзья
|
Защита сетей Novell NetWare
Как уже отмечалось в главе 15, в настоящее время на рынке сетевых програ мных продуктов доминируют три операционные системы. Novell NetWare бы.1:
самой первой сетевой операционной системой, разработанной специально для
персональных компьютеров. Но и сейчас она не сдает своих позиций и является одной из наиболее распространенных сетевых операционных систем для серверов локальных и глобальных сетей, а также серверов Internet. В этой главе я расскажу вам об основных понятиях Novell NetWare, а также о некоторых проблемах обеспечения ее безопасности. Прочитав главу, вы узнаете следующее:
Novell NetWare — это операционная система, разработанная для персональных компьютеров. Изначально она создавалась с целью организации сетей, содержащих файловые серверы и серверы печати.
» Администратор сети Novell NetWare наделяет каждого пользователя правами доступа к файлам и каталогам. Эти права определяют, может ли пользователь получить доступ к каталогу или файлу.
По умолчанию пользователям сети предоставляются определенные права
доступа к определенным каталогам.
» В сетях NetWare используется свой собственный набор протоколов передачи данных. Для их подключения к Internet необходимо использовать специальный шлюз.
» В Novell NetWare имеются свои средства аудита.
» Для наблюдения и управления сетью администратору предоставляется ряд специальных утилит. Одной из наиболее широко используемых утилит обеспечения безопасности является программа
» Чтобы помочь администратору обнаружить постороннее вмешательство, в Novell NetWare используется система IDS.
» Хакеры обладают множеством возможностей проникновения в сети Novell NetWare. Большинство атак на эти сети построено на основе используемых в Novell NetWare методов хранения паролей и учетных записей.
» Администраторы должны регулярно проверять учетные записи пользователей системы, чтобы вовремя обнаружить попытки внедрения хакеров.
» В сетях NetWare все данные (за исключением паролей) передаются «от-текстом». Другими передаваемые данные не зашифро-
вываются.
» Novell NetWare подвержена атакам грубой силы и атакам словаря.
» IntranetWare предоставляет средства обеспечения безопасного соединения с Internet.
ВВЕДЕНИЕ в NOVELL NETWARE
Novell NetWare — это сетевая операционная система, с помощью которой можно совместно использовать сетевые файлы, принтеры и другие службы (например, соединения TCP/IP). Она зарекомендовала себя как надежная сетевая система с развитыми средствами обеспечения безопасности. Вплоть до настоящего времени Novell NetWare является одной из самых распространенных сетевых платформ, разработанных для персональных компьютеров. Как уже говорилось, основной конкурент NetWare — новая операционная система компании Microsoft Windows NT. Многие люди часто проводят аналогию между NetWare и Unix. Отмечу, однако, что эти операционные системы создавались на различных платформах и для различных целей. Например, сети Unix построены на более открытой компьютерной платформе, чем Novell NetWare. По умолчанию пользователи Unix обладают доступом к большинству сетевых объектов, а в NetWare пользователи должны получить соответствующие права у администратора системы. Но есть у них и схожие черты. Например, Novell NetWare позволяет обслуживать сети, состоящие из рабочих станций Macintosh, DOS и Windows. Кроме того, с помощью встроенной в NetWare собственной файловой системы NFS можно присоединяться к машинам Unix.
ОСНОВЫ БЕЗОПАСНОСТИ В СЕТЯХ NETWARE
В связи с огромным ростом количества локальных сетей компьютерные специалисты разработали для них стандарты безопасности. Раньше всех появилась модель среды хостов. Можно представлять себе эту среду в виде нескольких терминалов без своих собственных операционных систем, дисководов или памяти, подключенных к одному мощному серверу. В таких системах использовалась одна операционная система, а основной проблемой являлось обеспечение безопасности
пользователей, подключенных к одному центральному процессу.
После этого появилась модель клиент-сервер. Эта среда представляла собой множество достаточно автономных машин, присоединенных к одному или нескольким хостам, позволявшим присоединяться к различным вычислительным средам. В этой модели пользователи могут хранить приложения на файловом сервере или на рабочей станции. В отличие от среды хостов, где вся обработка данных проводилась в одном месте, среда клиент-сервер предполагает хранение файлов и на сервере, и на рабочей станции.
Эта глава посвящена описанию элементов управления безопасностью используемой в Novell NetWare среды клиент-сервер. Сети NetWare являются распределенными сетями. Информация в них хранится в нескольких различных местах. Именно поэтому безопасность всей сети состоит из обеспечения безопасности сервера
и обеспечения безопасности рабочих станций. Таким образом, вы должны обес-460- -
Глава 16. Защита сетей Novell NetWare
печить физическую безопасность не только на уровне сервера, но и на уровне сетевых рабочих станций. Если же хакер получит доступ к рабочей станции, то он сможет поместить на ней свои программы. Такие программы могут, например, отобразить на экране пользователя изображение, напоминающее экран регистрации в системе, с требованием ввести пароль и имя пользователя. С их помощью хакер сможет получить имена и пароли всех пользователей сети.
Определяя необходимые уровни управления вашей средой NetWare, обязательно
проанализируйте потенциальные угрозы для хранимых на сервере приложений.
Другими словами, вам нужно выяснить, какая опасность может угрожать размещенным на сервере данным. Например, если вам нужно использовать среду клиент-сервер только для совместного использования общедоступных устройств
(вроде принтеров или накопителей данных), использования одной центральной версии административного продукта (например, электронной таблицы или текстового процессора) или получения доступа к хосту, то в этом случае не требуется высокого уровня управления безопасностью системы. Но если же вам нужно поддерживать очень важную корпоративную базу данных, то тут уже потребуется
более серьезное отношение к определению и настройке средств безопасности. ПРИСОЕДИНЕНИЕ ПОЛЬЗОВАТЕЛЕЙ И КОМПЬЮТЕРОВ
При установке любой сети прежде всего устанавливается программное обеспечение сервера. Далее в этой главе предполагается, что вы уже установили сервер и он находится в рабочем состоянии. После установки сервера начинают присоединять к сети рабочие станции. Чтобы присоединить рабочую станцию к файловому серверу Novell NetWare, нужно подключить к машине сетевую карту, установить оболочку NetWare Shell (она будет определять, является ли набранная пользователем команда командой DOS или командой NetWare) и драйвер протокола IPX. (Дело в том, что в Novell NetWare используется свой собственный сетевой протокол — IPX.) Так как сеть NetWare обычно содержит несколько файловых серверов, то администратор должен выделить для каждого пользователя один из них. Другими словами, каждый пользователь должен будет регистрироваться только на одном (своем) файловом сервере. Для этого можно воспользоваться пакетным файлом или файлом net.cfg{on располагается на каждой рабочей станции). Чтобы предоставить пользователям возможность присоединяться ко всем файловым серверам с помощью одного и того же пароля, добавьте к сценарию входа (log-in script) буквы накопителей (drive mappings), которые определяют логические диски на сетевом томе. Благодаря этому после регистрации на своем сервере пользователь будет присоединен ко всем определенным вами накопителям. Например, сценарий входа в систему может определять накопитель Q: как каталог Jamsa_Pr\Hacker_Pma сервере NewBooks. Однако для обращения к этому каталогу пользователю достаточно будет воспользоваться присвоенной ему буквой накопителя Q:.
Администратор сети присваивает всем пользователям определенные права доступа к файлам и каталогам. То есть администратор присваивает привилегии доступа и полномочия доступа (access entitlement) его идентификатору или группе, к которой принадлежит пользователь. Привилегии доступа предоставляют специальные права доступа к файлу или каталогу, а полномочия доступа предоставляют специальные права доступа к каталогу и всем его подкаталогам. Например, если пользователь обладает полномочием доступа к каталогу JamsaPr, то по умолчанию он будет обладать такими же правами доступа и к подкаталогу Наскег_Рг.
ПОЛЬЗОВАТЕЛИ, ГРУППЫ и серверы
Как уже говорилось, NetWare оперирует с понятиями «пользователей» и «групп». Более того, система ограничивает права доступа каждого субъекта рамками сервера. Другими слова-
если у вас есть несколько серверов, то вам создать свои экземпляры пользователей на каждом из них.
Учетная запись user относится к одному из пользователей системы. При установке привилегий доступа пользователя вы указываете NetWare разрешать этому проделывать определенные операции с выбранными
лами и каталогами. Если вы не указали прав пользователя для какого-либо файла или каталога, то по умолчанию он не сможет получить доступ к этим • ресурсам.
Учетная запись group относится к одной из групп системы. Под группой понимается совокупность пользователей, совместно использующих одни и те же характеристики безопасности. NetWare позволяет устанавливать гии безопасности для целой группы и включать в группу новых пользователей. После включения в группу нового пользователя у него появятся привилегии, присвоенные этой группе. Кроме у него останутся все собственные правило, администратор распределяет пользователей по группам с уже установленными правами, а не назначает права для каждого пользователя.
Каждый созданный администратором пользователь становится участником группы EVERYONE. Предоставленные группе права распространяются на всех ее участников. Кроме того, администратор может каждому пользователю эквивалентность безопасности (security equivalence) по отношению к какому-либо другому пользователю. Другими словами, этому пользователю будут присвоены те же привилегии и полномочия, что и у второго пользователя.
В спецификации файла NetWare входят каталоги, подкаталоги и файлы. Системные администраторы (которых в NetWare называют супервизорами) обладают особой учетной записью с полными правами доступа ко всем файлам. Они могут изменять права доступа каждого из пользователей.
ПОПЕЧИТЕЛЬСТВО
Назначение попечительства — это функция управления доступом. С ее помощью идентификатору какого-либо пользователя (или группы) предоставляются некоторые виды доступа к определенному каталогу, подкаталогу или файлу. Если попечительство назначено на уровне каталога, то оно автоматически переносится на все входящие подкаталоги и файлы. Чтобы определить права доступа пользователя к какому-то каталогу, NetWare суммирует все его права.
Например, некоторая компания хочет установить сеть NetWare в отделе продаж. Допустим, что администратору сети нужно определить для всех работников этого отдела права на доступ к каталогу Sales/General. Но, кроме того, администратор должен предоставить директору по продажам и исполнительному директору права доступа к каталогу Sales. Для этого администратор создаст группу Sales,
участники которой будут обладать доступом к каталогу Sales/General, и группу
Sales Management, участники которой будут обладать доступом к каталогу Sales (и всем входящим в него подкаталогам). Каждый работник отдела продаж будет зарегистрирован в качестве участника группы Sales, а директор по продажам и исполнительный директор станут участниками группы Sales Management. Таким
образом, администратор предоставит необходимые права каждому работнику
отдела с помощью всего лишь двух наборов привилегий безопасности. Отметим, что количество работников здесь не имеет абсолютно никакого значения.
Администратор,. СУПЕРВИЗОРЫ и ЭКВИВАЛЕНТЫ
На продолжении всей этой главы я буду оперировать
Щ нами «администратор», «супервизор» и «эквивалент супервизора». Все они относятся к людям, управляющим работой сети Novell NetWare. Вы должны четко понимать возможности и назначение каждого из этих людей. Далее приводится краткое определение каждого термина.
Администратор. Администратором называется человек, в чьи обязанности входит управление сетью— диагностика состояния рабочих станций, создание учетных записей, прокладка сетевых коммуникаций, наблюдение за работой сервера и т. д. Отметим, что термин «администратор» никоим образом не определяет уровень доступа к сети.
• Супервизор. Учетная запись супервизора обладает наивысшим уровнем
в NetWare. Она предоставляет человеку привилегии полного доступа к каждому файлу и каталогу, расположенному на сервере. На каждом сервере может быть только одна учетная запись супервизора.
• Эквивалент супервизора. На файловом сервере может быть только одна учетная запись супервизора, могут возникнуть ситуации, когда правами супервизора должны обладать несколько человек. Для этого NetWare предусмотрены учетные записи эквивалентов супервизора. Пользователь с такой учетной записью обладает всеми правами супервизора, однако таковым не является (у системы может быть лишь супервизор!). Отмечу, что чем меньше таких учетных записей в системе, тем проблем для супервизора.
МАСКА УНАСЛЕДОВАННЫХ ПРАВ
При создании нового каталога или файла NetWare автоматически присваивает ему некоторые определенные права доступа. Для этого в системе используется так называемая маска унаследованных прав (inherited rights mask). Например, благодаря этой маске всем пользователям присваиваются права на чтение и просмотр имен файлов. (Это правило не распространяется на каталоги Root и SYSTEM — доступ к ним может получить только супервизор или эквивалент супервизора.) Супервизор может изменить маску унаследованных прав для своего нового файла или каталога. Если он не предоставит пользователю права на попечительство файла или каталога, то именно маска унаследованных прав будет определять его уровень доступа. Но если пользователь обладает правами попечительства, то они превосходят права, определенные маской. Другими словами, приоритет прав попечительства выше приоритета маски.
И права попечительства, и маска унаследованных прав содержат набор основных дескрипторов доступа, перечисленных в таблице 16.1.
Право_
S (Supervisor) R (Read)
W (Write)
С (Create)
Е (Erase)
М (Modify) F (File Scan) A (Access Control)
Описание
Все права; они не могут быть отменены для файла или подкаталога.
Чтение файлов и выполнение программ.
Чтение и изменение файлов.
Создание файлов и подкаталогов; при установке на уровне файла пользователю предоставляются права восстановление файла после его удаления.
Удаление каталога вместе со всеми подкаталогами
и файлами.
Изменение атрибутов каталога и файла.
Просмотр имен файлов, входящих в каталог.
Изменение прав попечительства и маски унаследованных прав для каталога (например, используется для децентрализованного управления _безопасностью)._
Дескрипторы доступа Novell NetWare.
ПРАВА приложений
Как уже говорилось, супервизоры присваивают пользователям права доступа к файлам и каталогам. Однако с ростом сложности программ стало достаточно полезным присваивать права приложениям, а не их
Например, для этого можно воспользоваться бесплатно распространяемой программой aprite. С ее помощью можно предоставить права приложениям, которые могут отличаться от прав пользователей, использу-| ющих приложение. Эта система позволяет пользователям изменять свои идентификаторы во время выполнения приложения. Программа дает возможность работать с несколькими уровнями безопасности, основанными на используемых в NetWare средствах обеспечения безопасности. Кроме того, она содержит встроенное средство управления и просмотра своей безопасности, а также средство автоматической проверки на наличие вирусов. Чтобы загрузить программу, посетите Web-сайт Джима ЭбраЙта, расположенный по адресу http://www.coil.com/"ebright/aprite.zip.
ПРИОРИТЕТ ПРАВ ПОПЕЧИТЕЛЬСТВА
Как уже говорилось, NetWare позволяет супервизору предоставлять пользователям различные права доступа, которые либо предоставляются по умолчанию, либо специально указываются супервизором. Однако атрибуты файла или каталога обладают большим приоритетом. Другими словами, именно они определяют права доступа пользователя, несмотря на права, предоставленные супервизором или маской унаследованных прав. Отмечу также, что некоторые из атрибутов не влияют на права пользователя. Далее приводится список атрибутов, которые могут повлиять на права доступа пользователя.
Атрибут_Описание_
X Запрет на копирование файла.
D Запрет на удаление файла или каталога.
ДО Запрет на удаление, переименование или изменение
файла.
R Запрет на_ переименование файла или каталога._
Атрибуты файлов и каталогов, изменяющие права доступа пользователя.
Все атрибуты безопасности NetWare (вроде идентификаторов, учетных записей и прав попечительства) хранятся в файле связей (bindery file). Этот файл зашифрован и заблокирован от постороннего доступа. Никогда не пытайтесь редактировать или удалять его. |