На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

НАСТРОЙКА ПАРОЛЕЙ

Во время регистрации пользователя на сервере NetWare 4.12 автоматически за­шифровывает его пароль и передает его по сети серверу. Благодаря этому хакер не сможет перехватить пароль с помощью сети. В предыдущих версиях операци­онной системы (включая Novell NetWare 3.11 и 3.12) использовалась абсолютно иная схема шифрования паролей. Поэтому сети, содержащие серверы с различ­ными версиями NetWare? могут указать пользователю (в файле autoexec, ncf) не использовать средства шифрования паролей. Для этого используется параметр «ALLOW UNENCRYPTED PASSWORD* («Разрешить незашифрованные пароли»).
Отмечу также, что в NetWare не предусмотрены средства шифрования передава­емой информации, за исключением паролей.
Рабочая станция запрашивает у сервера одноразовый ключ.
2. Сервер посылает рабочей станции уникальный одноразовый ключ длиной в 8 байт,
3. Рабочая станция зашифровывает пароль с помощью идентификатора пользователя. В результате получается некоторое значение, состоящее из 16 байт. Именно это значение хранится в расположенном на сервере файле связей.
4. После этого рабочая станция зашифровывает полученное значение с по­мощью одноразового ключа. В результате получается значение длиной
в 8 б,айт.
5. Рабочая станция пересылает зашифрованный пароль серверу.
6. Сервер проделывает операции 3 и 4 и сравнивает полученное значение с тем, которое пришло от рабочей станции. Если оба значения совпада­ют, то регистрация завершается; если же нет, то сервер посылает сооб­щение о запрещении доступа.
УТИЛИТА SYSCON
Администраторы NetWare используют утилиту syscon для управления большин­ством параметров системы. Например, с ее помощью можно создавать новых пользователей и группы, устанавливать пароли и назначать права доступа. Ад­министраторы с правами супервизора могут с помощью этой утилиты установить элементы управления паролем для каждого пользователя в отдельности. Только супервизор может использовать syscon для изменения паролей и прав пользовате­лей. Кроме того, этой утилитой могут воспользоваться и обычные пользовате­ли. Например, с ее помощью можно просматривать некоторые параметры сис­темы. Однако это создает некоторые дополнительные проблемы обеспечения безопасности.
УПРАВЛЕНИЕ ПАРОЛЯМИ
Как известно, можно управлять паролями пользователей с помощью командной строки. Однако многие супервизоры предпочитают использовать для этого ути­литу syscon. Она существенно облегчает работу со всеми паролями сразу и обла­дает достаточно развитым пользовательским интерфейсом. Например, с ее по-
ШИФРОВАНИЕ ПАРОЛЕЙ
прежде, чем послать пароль Novell NetWare
зашифровывает его. Далее описаны шесть этапов этого промощью можно запретить пользователям использовать старые пароли (до десяти паролей). Для этого нужно перейти в меню Account Restrictions и установить флажок Require Unique Passwords. Если же его не установить, то Novell NetWare лишь запретит пользователям применять предыдущий пароль. Как правило, су­первизоры всегда устанавливают этот флажок (что и вам советую).
В Novell NetWare не предусмотрено эффективных элементов управления для создания паролей. Однако можно указать минимальную длину пароля. Для это­го нужно перейти в меню Account Restrictions и установить флажок Minimum
Password Length. Отмечу также, что в Novell NetWare разрешается использовать в пароле несколько одинаковых символов. Кроме того, система не позволяет супервизору просматривать пароли пользователей. Как правило, требуется, чтобы длина пароля была не менее восьми символов.
И наконец, в NetWare есть средство, с помощью которого супервизор может заставить пользователей регулярно изменять пароли. Для этого перейдите в меню Account Restrictions и установите флажки Force Periodic Password Changes и Days Between Forced Changes. Обычно на смену пароля дается не более 90 дней.
Супервизоры могут также потребовать от пользователей изменять пароль при пер­вой регистрации в системе. Для этого нужно перейти в меню Account Restrictions и установить флажок Require Password.
УПРАВЛЕНИЕ ДОСТУПОМ СЕРВЕРУ
Супервизор может предоставить пользователям права доступа к расположенным в сети файлам и каталогам. Все они хранятся на файловых серверах. Каждый
файловый сервер содержит свое определение безопасности и идентификаторы
пользователей. Напомню, что созданный супервизором сценарий входа может содержать указания на автоматическое подключение пользователей ко всем фай­ловым серверам сети. При этом новый пароль пользователя будет рассылаться всем серверам сети. При изменении пароля NetWare предложит пользователю определить, хочет ли он синхронизировать новый пароль со всеми серверами сети. Если какой-либо сервер в это время выключен, то NetWare не будет изменять пароль до тех пор, пока пользователь не попытается зарегистрироваться на нем.
ДоСТУГ   К ДОМАШНЕМУ каталогу
Напомню, что у каждого пользователя должен быть свой ственный каталог (домашний каталог) на сервере, где он смог бы сохранять плоды своей работы. Поэтому супервизор дол­жен сделать так, чтобы доступом к этому каталогу только его собственный хозяин. Чаще всего требуется, чтобы пользователь мог создавать подкаталоги только в своем домашнем
ИДЕНТИФИКАТОРЫ СУПЕРВИЗОРА   и ЭКВИВАЛЕНТОВ
Идентификаторы супервизора и эквивалента супервизора обладают доступом ко всем ресурсам системы даже в том случае, если это не указано для какого-либо каталога или файла. Поэтому необходимо запретить некоторым пользователям работать на правах супервизора. Кроме того, вам следует хорошенько присмат­ривать за использованием таких идентификаторов. К сожалению, структура раз­решений NetWare не позволяет средствам аудита регистрировать использование
идентификаторов этого уровня. В этой операционной системе нет средств для
определения того, к каким файлам и каталогам обладает доступом каждый кон­кретный пользователь. Поэтому вам придется воспользоваться программами, созданными компаниями третьей стороны.
Как уже говорилось, на сервере NetWare может быть только один идентифика­тор супервизора. Поэтому нужно избегать использования этого идентификатора
в качестве пароля для всех участников группы поддержки сети. То есть этот идентификатор должен быть известен только одному человеку — супервизору. Для остальных пользователей, нуждающихся в повышенных правах доступа, нужно определить идентификаторы эквивалентов супервизора (SE1D). Необходимо тща­тельно охранять идентификатор супервизора. Рекомендуется использовать его только для назначения эквивалентов супервизора и удаленного доступа к консо­ли файлового сервера.
Итак, нужно использовать идентификатор супервизора как можно реже. Одна­ко не стоит злоупотреблять и идентификаторами эквивалентов. Настоятельно увещевайте системных администраторов, чтобы они пользовались высшими пра­вами доступа только в самых экстренных случаях. Для обычной работы им будет достаточно прав пользователя.
Значит, каждому работнику обслуживающего персонала нужно присвоить два
идентификатора — один непривилегированный (вроде оператора очереди печати
или оператора сервера печати), а другой — SEID. Так как в NetWare нет средств аудита действий супервизора, то политика безопасности сети должна включать просмотр журнала регистрации событий. Благодаря этому журналу вы сможете определить, что кто-то воспользовался идентификатором эквивалента суперви­зора. Кроме того, должны существовать некоторые средства обнаружения реги­страции администраторов в системе.
ИСПОЛЬЗОВАНИЕ ИДЕНТИФИКАТОРОВ
Зачастую необходимо, чтобы некоторые пользователи системы могли изменять права доступа других пользователей. Например, управляющему проектом может
понадобиться подключить к работе новых сотрудников. Вместо того чтобы пре­доставлять ему права эквивалента супервизора, можно зарегистрировать его в качестве управляющего рабочей группы (workgroup manager). После этого адми­нистратор должен предоставить управляющему права попечительства на все ка­талоги в области сети супервизора.
Если создать различных управляющих рабочих групп во всех отделах компании, то это значительно уменьшит нагрузку на системных администраторов. Кроме того, если кто-то из управляющих предоставит пользователям избыточные пра­ва, то администратор легко сможет определить это и наказать виновного. Заме­тим, что эта операция отняла бы гораздо больше сил и времени, если бы ее совершил администратор.
ДЕТЕКТИРОВАНИЕ ВТОРЖЕНИЙ
В состав операционной системы Novell NetWare входит средство обнаружения вторжений — Intruder Detection System (IDS). По умолчанию это средство нахо­дится в нерабочем состоянии. При каждом некорректном входе в систему сервер издает звуковой сигнал. Кроме того, с его помощью можно заблокировать пользо­вателя, совершившего несколько попыток некорректной регистрации.
Для управления Intruder Detection используется несколько специальных пара­метров. Во-первых, можно установить, как долго сервер должен содержать ин­формацию о некорректной попытке регистрации. По умолчанию значению Bad Login Retention Time присваивается значение 30 минут. Однако можно изменять его в пределах от 10 минут до 7 дней. Кроме того, NetWare позволяет суперви­зору установить ограничение на количество некорректных регистрации в систе­ме, после которого учетная запись пользователя будет заблокирова­на. Время блокировки определяется параметром Length of Account Lockout. По умолчанию этому параметру присваивается значение 30 минут. Однако его тоже можно изменять его в пределах от 10 минут до 7 дней. В таблице 16.3 приведены
значения параметров Intruder Detection.
Как я уже говорил, при обнаружении вторжения сервер должен издать звуковой сигнал, а на консоли появится сообщение с именем пользователя и временем его некорректной регистрации в системе. Кроме того, там будет представлена информация о том, сколько некорректных попыток уже зарегистрировано, и адрес узла, с которого произошла попытка некорректной регистрации. Вся эта информация будет помещена в журнале регистрации ошибок сервера (File Server Error Log). Супервизор или эквивалент могут разблокировать учетную запись до того, как истечет время блокировки. Более того, они могут удалить журнал регистрации ошибок сервера.
БЛОКИРОВКА ПОЛЬЗОВАТЕЛЕЙ
Наиболее распространены два вида атак на сети: атака грубой силы и атака сло­варя. Обе они достаточно опасны для хостов Unix. Дело в том, что по умолча­нию Unix не отключает идентификатор пользователя после нескольких попыток некорректной регистрации. По умолчанию NetWare также не отключает иденти­фикатор пользователя, однако это может сделать супервизор системы.
Можно и нужно настроить NetWare так, чтобы она отключала учетные записи пользователей после определенного числа некорректных регистрации в системе. Для этого нужно воспользоваться утилитой syscon. В таблице 16.3 приводится список параметров и значений, которые нужно им присвоить.
Параметр Установка
Detect Intruder YES Intruder Detection Threshold x Incorrect Login Attempts x Lock Account After Detection YES Length of Account Lockout      x Days x Hours x minutes _Bad Login Retention Time_x Daysx Hoursx minutes.
Установки Net Wan Intruder Detection.
Присвоив параметру Detect Intruder значение YES, мы тем самым подключили процесс наблюдения за попытками неавторизованного доступа к системе. Обна­ружив такую попытку, система предпримет шаги, определенные с помощью установленных параметров. Значение поля Incorrect Login Attempts указывает системе допустимое количество некорректных регистрации. После превышения этого числа система отключит идентификатор пользователя. Присвоив парамет­ру Lock Account After Detection значение YES, мы указали системе отключать
идентификатор пользователя после определенного числа неправильных регист­рации. Значение счетчика таких регистрации сбрасывается после каждой пра­вильной регистрации в системе. Поэтому параметру Length of Account Lockout нужно присвоить максимальное значение (40 дней, 23 часа, 59 минут). Из-за этого пользователь вынужден будет сообщить администратору о том, что он не может зарегистрироваться в системе. Так вы сразу определите, чем вызвано такое поведение системы: некорректными действиями пользователя или попыт­кой взлома системы со стороны хакера. Значение параметра Bad Login Retention
Time определяет время хранения информации о предыдущих попытках некоррект­ной регистрации в системе. Эта информация удаляется после успешной регист­рации. Поэтому присвойте данному параметру максимальное значение (40 дней, 23 часа, 59 минут). Так вы сможете остановить хакера, пытающегося взломать систему с помощью атаки грубой силы.
NetWare 4.0 ХРАНИТ ПАРОЛИ во ФАЙЛЕ
Чтобы зарегистрироваться в сети с помощью рабочей стан­ции, пользователь запускает программу login.exe. Поставляе­мая вместе с Novell NetWare 4.0 программа login.exe обладает одним существенным недостатком      она создает файл под­качки и помещает туда имя и пароль пользователя. После за­вершения процесса регистрации программа удаляет этот файл. Однако может попытаться восстановить его и получить имя и пароль пользователя, записанные в виде обычного текста.
СЦЕНАРИЙ ВХОДА
После того как пользователь присоединится к серверу, система выполняет так называемый системный сценарий входа в сеть. С его помощью Novell NetWare присоединяет пользователей к другим серверам, указывает буквы накопителей и осуществляет некоторые другие функции. После системного сценария входа система выполняет сценарий входа пользователя.
Novell NetWare хранит все сценарии входа пользователей в каталоге SYS:MA1L. (В этом каталоге содержатся почтовые сообщения.) Так как пользователям нуж­но где-то хранить свою почту, то администратор должен наделить их правами создания файлов в каталоге SYS:MAIL. Однако в этом есть и обратная сторона: пользователь может создать в этом каталоге сценарии входа и для других пользо­вателей или хакеров.
Сценарий входа — это пакетный файл, содержащий некоторые команды для операционной системы. Однако с помощью этих команд хакер может заставить операционную систему выполнить практически любую операцию. Привилеги­рованный сценарий входа (например, если хакер изменил сценарий входа су­первизора) может выключить сервер, скопировать файлы в другое место или даже переформатировать жесткий диск пользователя. Более того, если хакер перепишет сценарий входа для эквивалента супервизора, то он сможет создать новых пользователей и предоставить им любые права доступа. (Для создания новых пользователей можно запустить из командной строки утилиту syscon.) Поэтому вы должны создать сценарии входа для всех пользователей. После этого пользователь уже не сможет написать свой собственный сценарий — ведь для этого ему придется изменить старый. Кроме того, можно поместить в конце системного сценария команду exit, которая предотвратит выполнение пользова­тельского сценария входа. Однако это не очень правильное решение — ведь
пользователь тоже хочет нормально работать. Поэтому старайтесь избегать таких
сценариев.
Чтобы определить, какими правами обладает какой-либо пользователь по отно­шению к различным каталогам и файлам, нужно проверить пользователей, по­мещенных в специальные группы и эквиваленты безопасности. Кроме того, вы должны избегать предоставления пользователям прав супервизора по отношению к какому-либо каталогу. Дело в том, что такой пользователь сможет управлять правами доступа к этому каталогу (и его подкаталогам) остальных пользовате­лей. Если в системе нужно организовать децентрализованное управление досту­пом к различным каталогам, то следует присвоить определенным пользователям права попечительства.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика