На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

NetWare и   WINDOWS 95

Многие системы NetWare состоят из рабочих станции, работающих под управле­нием Windows 95. Различия в технологиях обеих операционных систем предо­ставляют хакерам дополнительные возможности проникновения в сеть. В следу­ющих разделах я расскажу вам о том, как избежать подобных проблем.
QcHOBHbh ПРОБЛЕМЫ  WINDOWS 95
По умолчанию в Windows 95 используются длинные имена файлов и свои паке­ты. Это может лишь привести к новым, достаточно специфическим проблемам. Если сервер NetWare не поддерживает длинных имен (пространство имен OS/2), то это может привести к краху сервера. Однако еще худшим является использо­вание пакетов Windows 95. Для их использования нужна как минимум операци­онная система Novell NetWare 3.11. Если же вы используете более ранние версии NetWare, то это может привести к блокировке и отказам сети, вызванным конф­ликтами между буфером сетевого соединения NetWare и буфером сетевой карты.
Существует несколько решений этой проблемы. Например, можно обновить программное обеспечение сервера и подключить поддержкудлинныхимен. Кроме того, можно изменить файл system.ini так, чтобы отключить поддержку длинных имен и пакетов Windows 95. Для этого вам нужно изменить следующие строки:
[nwredir]
SupportBurst=0
SupportLFN=0
Однако лучшим решением является обновление программного обеспечения. В
противном случае хакер может зарегистрироваться на сервере и попытаться вы­звать сбой сервера, воспользовавшись файлами с длинными именами. Если пе­ред этим хакер отредактировал файлы ncf или другие файлы конфигурации, то он сможет заставить систему перегрузиться. И все это из-за безобидной ошибки некорректной регистрации в системе.
ПРОБЛЕМЫ  СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ
Одна из наиболее важных проблем совместного использования Windows 95 и Novell
NetWare кроется в самой Windows 95. Если вы сконфигурировали систему на совместное использование файлов и принтеров, то у пользователей, не работа­ющих в Windows 95, могут возникнуть серьезные проблемы. Все они связаны с методами взаимодействия этих операционных систем.
Используемые в NetWare службы для работы с файлами и печатью действуют согласно разработанному компанией Novell протоколу SAP (Service Advertising Protocol), с которым взаимодействуют пакеты протокола RIP (Routing Information Protocol). Для передачи пакетов обоих протоколов в NetWare используется сете­вое широковещание (network broadcast). Серверы NetWare и различное сетевое оборудование, поддерживающее протоколы SAP и RIP, динамически использу­ют совместные данные.
Так как рабочая станция Windows 95 не воспринимает информации протоколов
SAP и RIP, то это может привести к сбоям или блокировке сети. Из-за этого
дополнительные SAP-пакеты могут привести к снижению трафика сети и вы­звать ее блокировку (вспомните АСК-штормы протокола TCP/IP). К сожале­нию, из-за несовершенства интерфейса Windows 95 создает огромное количество SAP-пакетов. В связи с этим компания Novell выпустила несколько программ-дополнений для Novell NetWare 3.x и 4.x. Самым лучшим решением этой проблемы является отказ от совместного использования файлов и принтеров в Windows 95. Вместо этого используйте собственные службы Novell NetWare или Client/ F PS для сетей Microsoft.
Эта проблема не так проста, как кажется поначалу. Воспользовавшись дополни­тельными SAP-пакетами, хакер может проникнуть в вашу систему.
ПАРОЛИ   WINDOWS 95 и NOVELL NETWARE
В Windows 95 есть свой собственный файл с паролями. В этом файле хранятся
пароли самой операционной системы, а также пароли для серверов NetWare и Windows NT. Однако хакеры достаточно просто могут взломать эти пароли с помощью атаки грубой силы. Для предотвращения этой проблемы нужно вос­пользоваться пакетом дополнений Windows 95 Service Pack 1. Чтобы загрузить его, посетите Web-сайт компании Microsoft, расположенный по адресу http://www.microsoft.com.
Даже после установки этого пакета хакер может воспользоваться файлом под­качки win386.swp. Этот файл может содержать строку с введенным пользовате­лем паролем. С помощью простейшей утилиты просмотра диска (вроде хакер сможет просмотреть содержимое файла подкачки и найти пароль.
РЕГИСТРАЦИЯ 95
Существует достаточно специфическая ошибка, проявляющаяся в комбинации операционных систем Windows 95 и Novell NetWare 3.11 (на которых не установ­лены последние пакеты дополнений). Если объем файла с паролями Windows 95 (файл с расширением pwl) примерно равен 900 байтам против стандартного значения 600 байт, то рабочая станция зарегистрируется в системе без требова­ния ввести пароль.
Хакеры могут использовать эту ошибку двумя способами. Во-первых, хакер мо­жет создать PWL-файл (размером в 900 байт), содержащий адрес «жертвы». После этого он перегрузит машину и войдет в систему. Во-вторых, хакер может просто подобрать PWL-файл с неконтролируемой рабочей станции и воспользо­ваться им при следующей загрузке.
IntranetWare
Обычно для соединения сети Novell NetWare с Internet на каждой рабочей стан­ции загружается набор протоколов TCP/IP. Эти протоколы работают совместно с «родными» протоколами NetWare — SPX/IPX. Благодаря этому каждая рабо­чая станция становится узлом Internet. Однако в этом случае сетевой админист­ратор теряет контроль над системой: машина каждого пользователя может послу­жить плацдармом для нападения.
Кроме того, все серверы NetWare поставляются вместе с бесплатной реализаци­ей поддержки протокола TCP/IP — модулем tcpip.nlm. С его помощью и благодаря стеку протоколов TCP/IP сервера IntranetWare позволяет всем рабочим станциям выполнять приложения Internet на основе IPX-протокола. При этом пользователю не нужны IP-адреса или поддержка стека протоколов TCP/IP.
IntranetWare работает в качестве брандмауэра сетей NetWare. Для предоставления доступа к Internet и реализации политики безопасности эта программа обладает совместимостью со стандартными средствами безопасности NetWare. Доступ можно контролировать по времени дня, приложениям, конкретным IP-адресам или именам доменов. Например, в оболочке К-12 можно запретить всем студен­там посещать нежелательные Web-сайты. Точно так же IntranetWare позволяет фильтровать приходящие данные.
В следующей главе вы узнаете о том, что большинство Unix-систем построено на открытых стандартах и поставляется вместе со многими IP-службами. Откры­тая архитектура Unix привела к огромному количеству брешей в системе безопас­ности Internet. С другой стороны, Novell NetWare является коммерческим про­граммным продуктом и не содержит IP-служб. Благодаря этому сети NetWare гораздо более защищены от посягательств из Internet. С помощью IntranetWare
можно создать недорогой, прозрачный для пользователей системы брандмауэр.
Для дальнейшего повышения уровня безопасности можно поставить на сервере две сетевые карты, причем одна из них будет работать с протоколом IP. а другая -с протоколом IPX. За более подробной информацией обратитесь к главе 3. Если же на сайте используется несколько серверов, то можно установить на одном из них IntranetWare и использовать его в качестве шлюза. Таким образом вы сможе­те полностью изолировать свою сеть от этого шлюза.
При совместном использовании IntranetWare и брандмауэра в сети, использую­щей протоколы IP и IPX, эта программа может существенно облегчить настрой­ку соединения. Например, она может выступать в качестве сервера-посредни­ка. Далее я познакомлю вас с основами работы IntranetWare и расскажу о неко­торых недостатках этой программы.
УПРАВЛЕНИЕ ДОСТУПОМ
Политика безопасности корпорации может содержать ограничения на доступ к Internet по времени суток. Можно свести к минимуму нагрузку на соединение Internet с помощью отсекания не очень важных приложений и групп. Так вы
сможете обеспечить надежный доступ к Internet более важным приложениям и
группам.
Например, предположим, что вашему исследовательскому или инженерному отделу для проведения некоторой работы нужен круглосуточный доступ к Internet. С другой стороны, бухгалтерский отдел практически не нуждается в доступе к Internet. Этому отделу нужно предоставить доступ только после четырех часов дня. Именно в это время спадает трафик Internet. Кроме того, у вас могут быть временные служащие, работающие с 9 до 13 часов. Поэтому можно запретить им доступ к Internet именно в эти часы.
Если использовать обычный метод доступа к Internet (набор протоколов TCP/IP на каждой рабочей станции), то для управления доступом пользователей к Internet придется установить достаточно сложный брандмауэр. Для его реализации по­требуется как минимум еще одна сетевая карта и дополнительное программное
обеспечение.
предоставляет средства управления доступом по времени суток.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика