На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита сетей Novell NetWare

Как уже отмечалось в главе 15, в настоящее время на рынке сетевых програ мных продуктов доминируют три операционные системы. Novell NetWare бы.1:
самой первой сетевой операционной системой, разработанной специально для
персональных компьютеров. Но и сейчас она не сдает своих позиций и является одной из наиболее распространенных сетевых операционных систем для серве­ров локальных и глобальных сетей, а также серверов Internet. В этой главе я расскажу вам об основных понятиях Novell NetWare, а также о некоторых про­блемах обеспечения ее безопасности. Прочитав главу, вы узнаете следующее:
Novell NetWare — это операционная система, разработанная для персо­нальных компьютеров. Изначально она создавалась с целью организации сетей, содержащих файловые серверы и серверы печати.
» Администратор сети Novell NetWare наделяет каждого пользователя права­ми доступа к файлам и каталогам. Эти права определяют, может ли пользо­ватель получить доступ к каталогу или файлу.
По умолчанию пользователям сети предоставляются определенные права
доступа к определенным каталогам.
» В сетях NetWare используется свой собственный набор протоколов пере­дачи данных. Для их подключения к Internet необходимо использовать спе­циальный шлюз.
»   В Novell NetWare имеются свои средства аудита.
» Для наблюдения и управления сетью администратору предоставляется ряд специальных утилит. Одной из наиболее широко используемых утилит обес­печения безопасности является программа
» Чтобы помочь администратору обнаружить постороннее вмешательство, в Novell NetWare используется система IDS.
» Хакеры обладают множеством возможностей проникновения в сети Novell NetWare. Большинство атак на эти сети построено на основе используе­мых в Novell NetWare методов хранения паролей и учетных записей.
» Администраторы должны регулярно проверять учетные записи пользовате­лей системы, чтобы вовремя обнаружить попытки внедрения хакеров.
»   В сетях NetWare все данные (за исключением паролей) передаются «от-текстом». Другими передаваемые данные не зашифро-
вываются.
»   Novell NetWare подвержена атакам грубой силы и атакам словаря.


»   IntranetWare предоставляет средства обеспечения безопасного соединения с Internet.
ВВЕДЕНИЕ в NOVELL NETWARE
Novell NetWare — это сетевая операционная система, с помощью которой мож­но совместно использовать сетевые файлы, принтеры и другие службы (напри­мер, соединения TCP/IP). Она зарекомендовала себя как надежная сетевая си­стема с развитыми средствами обеспечения безопасности. Вплоть до настоящего времени Novell NetWare является одной из самых распространенных сетевых плат­форм, разработанных для персональных компьютеров. Как уже говорилось, основной конкурент NetWare — новая операционная система компании Microsoft Windows NT. Многие люди часто проводят аналогию между NetWare и Unix. Отмечу, однако, что эти операционные системы создавались на различных плат­формах и для различных целей. Например, сети Unix построены на более откры­той компьютерной платформе, чем Novell NetWare. По умолчанию пользовате­ли Unix обладают доступом к большинству сетевых объектов, а в NetWare пользо­ватели должны получить соответствующие права у администратора системы. Но есть у них и схожие черты. Например, Novell NetWare позволяет обслуживать сети, состоящие из рабочих станций Macintosh, DOS и Windows. Кроме того, с помощью встроенной в NetWare собственной файловой системы NFS можно присоединяться к машинам Unix.
ОСНОВЫ БЕЗОПАСНОСТИ В   СЕТЯХ NETWARE
В связи с огромным ростом количества локальных сетей компьютерные специ­алисты разработали для них стандарты безопасности. Раньше всех появилась модель среды хостов. Можно представлять себе эту среду в виде нескольких терминалов без своих собственных операционных систем, дисководов или памяти, подклю­ченных к одному мощному серверу. В таких системах использовалась одна опе­рационная система, а основной проблемой являлось обеспечение безопасности
пользователей, подключенных к одному центральному процессу.
После этого появилась модель клиент-сервер. Эта среда представляла собой мно­жество достаточно автономных машин, присоединенных к одному или несколь­ким хостам, позволявшим присоединяться к различным вычислительным сре­дам. В этой модели пользователи могут хранить приложения на файловом сер­вере или на рабочей станции. В отличие от среды хостов, где вся обработка данных проводилась в одном месте, среда клиент-сервер предполагает хранение файлов и на сервере, и на рабочей станции.
Эта глава посвящена описанию элементов управления безопасностью используе­мой в Novell NetWare среды клиент-сервер. Сети NetWare являются распределен­ными сетями. Информация в них хранится в нескольких различных местах. Имен­но поэтому безопасность всей сети состоит из обеспечения безопасности сервера
и обеспечения безопасности рабочих станций. Таким образом, вы должны обес-460- -


Глава 16. Защита сетей Novell NetWare
печить физическую безопасность не только на уровне сервера, но и на уровне сетевых рабочих станций. Если же хакер получит доступ к рабочей станции, то он сможет поместить на ней свои программы. Такие программы могут, напри­мер, отобразить на экране пользователя изображение, напоминающее экран регистрации в системе, с требованием ввести пароль и имя пользователя. С их помощью хакер сможет получить имена и пароли всех пользователей сети.
Определяя необходимые уровни управления вашей средой NetWare, обязательно
проанализируйте потенциальные угрозы для хранимых на сервере приложений.
Другими словами, вам нужно выяснить, какая опасность может угрожать разме­щенным на сервере данным. Например, если вам нужно использовать среду клиент-сервер только для совместного использования общедоступных устройств
(вроде принтеров или накопителей данных), использования одной центральной версии административного продукта (например, электронной таблицы или тек­стового процессора) или получения доступа к хосту, то в этом случае не требуется высокого уровня управления безопасностью системы. Но если же вам нужно поддерживать очень важную корпоративную базу данных, то тут уже потребуется
более серьезное отношение к определению и настройке средств безопасности. ПРИСОЕДИНЕНИЕ ПОЛЬЗОВАТЕЛЕЙ И КОМПЬЮТЕРОВ
При установке любой сети прежде всего устанавливается программное обеспече­ние сервера. Далее в этой главе предполагается, что вы уже установили сервер и он находится в рабочем состоянии. После установки сервера начинают присое­динять к сети рабочие станции. Чтобы присоединить рабочую станцию к файло­вому серверу Novell NetWare, нужно подключить к машине сетевую карту, уста­новить оболочку NetWare Shell (она будет определять, является ли набранная пользователем команда командой DOS или командой NetWare) и драйвер про­токола IPX. (Дело в том, что в Novell NetWare используется свой собственный сетевой протокол — IPX.) Так как сеть NetWare обычно содержит несколько файловых серверов, то администратор должен выделить для каждого пользовате­ля один из них. Другими словами, каждый пользователь должен будет регистри­роваться только на одном (своем) файловом сервере. Для этого можно восполь­зоваться пакетным файлом или файлом net.cfg{on располагается на каждой рабо­чей станции). Чтобы предоставить пользователям возможность присоединяться ко всем файловым серверам с помощью одного и того же пароля, добавьте к сценарию входа (log-in script) буквы накопителей (drive mappings), которые опре­деляют логические диски на сетевом томе. Благодаря этому после регистрации на своем сервере пользователь будет присоединен ко всем определенным вами накопителям. Например, сценарий входа в систему может определять накопи­тель Q: как каталог Jamsa_Pr\Hacker_Pma сервере NewBooks. Однако для обра­щения к этому каталогу пользователю достаточно будет воспользоваться присво­енной ему буквой накопителя Q:.
Администратор сети присваивает всем пользователям определенные права доступа к файлам и каталогам. То есть администратор присваивает привилегии доступа и полномочия доступа (access entitlement) его идентификатору или группе, к которой принадлежит пользователь. Привилегии доступа предоставляют специальные права доступа к файлу или каталогу, а полномочия доступа предоставляют специальные права доступа к каталогу и всем его подкаталогам. Например, если пользователь обладает полномочием доступа к каталогу JamsaPr, то по умолчанию он будет обладать такими же правами доступа и к подкаталогу Наскег_Рг.
ПОЛЬЗОВАТЕЛИ,  ГРУППЫ и серверы
Как уже говорилось, NetWare оперирует с понятиями «пользо­вателей» и «групп». Более того, система ограничивает права доступа каждого субъекта рамками сервера. Другими слова-
если у вас есть несколько серверов, то вам создать свои экземпляры пользователей на каждом из них.
Учетная запись user относится к одному из пользователей системы. При уста­новке привилегий доступа пользователя вы указываете NetWare разрешать этому проделывать определенные операции с выбранными
лами и каталогами. Если вы не указали прав пользователя для какого-либо файла или каталога, то по умолчанию он не сможет получить доступ к этим • ресурсам.
Учетная запись group относится к одной из групп системы. Под группой понимается совокупность пользователей, совместно использующих одни и те же характеристики безопасности. NetWare позволяет устанавливать гии безопасности для целой группы и включать в группу новых пользователей. После включения в группу нового пользователя у него появятся привилегии, присвоенные этой группе. Кроме у него останутся все собственные правило, администратор распределяет пользователей по группам с уже установленными правами, а не назначает права для каждого пользователя.
Каждый созданный администратором пользователь становится участником груп­пы EVERYONE. Предоставленные группе права распространяются на всех ее уча­стников. Кроме того, администратор может каждому пользователю эквивалентность безопасности (security equivalence) по отношению к какому-либо другому пользователю. Другими словами, этому пользователю будут присвоены те же привилегии и полномочия, что и у второго пользователя.
В спецификации файла NetWare входят каталоги, подкаталоги и файлы. Сис­темные администраторы (которых в NetWare называют супервизорами) обладают особой учетной записью с полными правами доступа ко всем файлам. Они мо­гут изменять права доступа каждого из пользователей.
ПОПЕЧИТЕЛЬСТВО
Назначение попечительства — это функция управления доступом. С ее помощью идентификатору какого-либо пользователя (или группы) предоставляются неко­торые виды доступа к определенному каталогу, подкаталогу или файлу. Если попечительство назначено на уровне каталога, то оно автоматически переносит­ся на все входящие подкаталоги и файлы. Чтобы определить права доступа пользователя к какому-то каталогу, NetWare суммирует все его права.
Например, некоторая компания хочет установить сеть NetWare в отделе продаж. Допустим, что администратору сети нужно определить для всех работников это­го отдела права на доступ к каталогу Sales/General. Но, кроме того, администра­тор должен предоставить директору по продажам и исполнительному директору права доступа к каталогу Sales. Для этого администратор создаст группу Sales,
участники которой будут обладать доступом к каталогу Sales/General, и группу
Sales Management, участники которой будут обладать доступом к каталогу Sales (и всем входящим в него подкаталогам). Каждый работник отдела продаж будет зарегистрирован в качестве участника группы Sales, а директор по продажам и исполнительный директор станут участниками группы Sales Management. Таким
образом, администратор предоставит необходимые права каждому работнику
отдела с помощью всего лишь двух наборов привилегий безопасности. Отме­тим, что количество работников здесь не имеет абсолютно никакого значения.
Администратор,.   СУПЕРВИЗОРЫ и ЭКВИВАЛЕНТЫ
На продолжении всей этой главы я буду оперировать
Щ нами «администратор», «супервизор» и «эквивалент суперви­зора». Все они относятся к людям, управляющим работой сети Novell NetWare. Вы должны четко понимать возможнос­ти и назначение каждого из этих людей. Далее приводится краткое определение каждого термина.
Администратор. Администратором называется человек, в чьи обязанно­сти входит управление сетью— диагностика состояния рабочих стан­ций, создание учетных записей, прокладка сетевых коммуникаций, на­блюдение за работой сервера и т. д. Отметим, что термин «администра­тор» никоим образом не определяет уровень доступа к сети.
• Супервизор. Учетная запись супервизора обладает наивысшим уровнем
в        NetWare. Она предоставляет человеку привилегии полно­го доступа к каждому файлу и каталогу, расположенному на сервере. На каждом сервере может быть только одна учетная запись су­первизора.
• Эквивалент супервизора. На файловом сервере может быть только одна учетная запись супервизора, могут возникнуть ситуации, когда пра­вами супервизора должны обладать несколько человек. Для этого NetWare предусмотрены учетные записи эквивалентов супервизора. Пользователь с такой учетной записью обладает всеми правами суперви­зора, однако таковым не является (у системы может быть лишь супервизор!). Отмечу, что чем меньше таких учетных записей в систе­ме, тем проблем для супервизора.
МАСКА   УНАСЛЕДОВАННЫХ ПРАВ
При создании нового каталога или файла NetWare автоматически присваивает ему некоторые определенные права доступа. Для этого в системе используется так называемая маска унаследованных прав (inherited rights mask). Например, бла­годаря этой маске всем пользователям присваиваются права на чтение и про­смотр имен файлов. (Это правило не распространяется на каталоги Root и SYSTEM — доступ к ним может получить только супервизор или эквивалент су­первизора.) Супервизор может изменить маску унаследованных прав для своего нового файла или каталога. Если он не предоставит пользователю права на по­печительство файла или каталога, то именно маска унаследованных прав будет определять его уровень доступа. Но если пользователь обладает правами попечи­тельства, то они превосходят права, определенные маской. Другими словами, приоритет прав попечительства выше приоритета маски.
И права попечительства, и маска унаследованных прав содержат набор основных дескрипторов доступа, перечисленных в таблице 16.1.
Право_
S (Supervisor) R (Read)
W (Write)
С (Create)
Е (Erase)
М (Modify) F (File Scan) A (Access Control)
Описание
Все права; они не могут быть отменены для файла или подкаталога.
Чтение файлов и выполнение программ.
Чтение и изменение файлов.
Создание файлов и подкаталогов; при установке на уровне файла пользователю предоставляются права восстановление файла после его удаления.
Удаление каталога вместе со всеми подкаталогами
и файлами.
Изменение атрибутов каталога и файла.
Просмотр имен файлов, входящих в каталог.
Изменение прав попечительства и маски унаследованных прав для каталога (например, используется для децентрализованного управления _безопасностью)._
Дескрипторы доступа Novell NetWare.
ПРАВА приложений
Как уже говорилось, супервизоры присваивают пользовате­лям права доступа к файлам и каталогам. Однако с ростом сложности программ стало достаточно полезным присваивать права приложениям, а не их
Например, для этого можно воспользоваться бесплатно рас­пространяемой программой aprite. С ее помощью можно предоставить права приложениям, которые могут отличаться от прав пользователей, использу-| ющих приложение. Эта система позволяет пользователям изменять свои иден­тификаторы во время выполнения приложения. Программа дает возмож­ность работать с несколькими уровнями безопасности, основанными на ис­пользуемых в NetWare средствах обеспечения безопасности. Кроме того, она содержит встроенное средство управления и просмотра своей безопасности, а также средство автоматической проверки на наличие вирусов. Чтобы за­грузить программу, посетите Web-сайт Джима ЭбраЙта, расположенный по адресу http://www.coil.com/"ebright/aprite.zip.
ПРИОРИТЕТ ПРАВ ПОПЕЧИТЕЛЬСТВА
Как уже говорилось, NetWare позволяет супервизору предоставлять пользовате­лям различные права доступа, которые либо предоставляются по умолчанию, либо специально указываются супервизором. Однако атрибуты файла или ката­лога обладают большим приоритетом. Другими словами, именно они определя­ют права доступа пользователя, несмотря на права, предоставленные суперви­зором или маской унаследованных прав. Отмечу также, что некоторые из атри­бутов не влияют на права пользователя. Далее приводится список атрибутов, которые могут повлиять на права доступа пользователя.
Атрибут_Описание_
X Запрет на копирование файла.
D Запрет на удаление файла или каталога.
ДО Запрет на удаление, переименование или изменение
файла.
R Запрет на_ переименование файла или каталога._
Атрибуты файлов и каталогов, изменяющие права доступа пользователя.
Все атрибуты безопасности NetWare (вроде идентификаторов, учетных записей и прав попечительства) хранятся в файле связей (bindery file). Этот файл зашиф­рован и заблокирован от постороннего доступа. Никогда не пытайтесь редакти­ровать или удалять его.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика