На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

УПРАВЛЕНИЕ ДОСТУПОМ ПРИЛОЖЕНИЙ

Если использовать обычный метод доступа к Internet (набор протоколов TCP/IP
на каждой рабочей станции), то администратор не сможет управлять доступом пользователей к приложениям. Чтобы решить эту проблему, ему потребуется установить брандмауэр стоимостью около 10 тысяч долларов. Кроме того, после этого пользователям придется регистрироваться на отдельном хосте.
IntranetWare предоставляет средства управления доступом на уровне приложе­ний. Администратор может запретить некоторым типам приложений доступ к Internet. Например, он может запретить всем пользователям присоединяться к сайтам с помощью протокола FTP. Такие же ограничения могут быть наложены на приложения Telnet, Web, Mail и т. д. Причем эти ограничения можно наложить как на исходящие, так и на поступающие пакеты. По умолчанию вы должны
запретить большинству пользователей доступ извне. Благодаря этому они не смогут
запустить никаких служб (вроде FTP) и тем самым открыть бреши в системе.
УПРАВЛЕНИЕ с помощью IP-АДРЕСОВ
Если использовать обычный метод доступа к Internet (набор протоколов TCP/IP на каждой рабочей станции), то администратор не сможет фильтровать приходя­щие данные. Чтобы решить эту проблему, ему потребуется установить на каж­дой рабочей станции дополнительное программное обеспечение. Однако это
достаточно дорого и неудобно.
IntranetWare предоставляет средства фильтрации данных, исходя из IP-адресов или имен доменов. Можно разрешить пользователям доступ к любому количе­ству сайтов или вообще запретить доступ. Кроме того, можно создать несколько профилей с различными ограничениями и использовать их для разных групп или
даже пользователей.
СРЕДСТВА АУДИТА INTRANETWARE
Как уже говорилось, с помощью средств аудита администраторы могут следить
за работой соединения Internet. Кроме того, желательно, чтобы получаемая
информация могла быть отсортирована по различным критериям. Воспользо­вавшись этими сведениями, администратор системы NetWare может получить гораздо больше данных о брешах в системе безопасности системы. Более того, с их помощью можно получить информацию о трафике сети и использовать ее при дальнейшем планировании расширения системы.
Если использовать обычный метод доступа к Internet (набор протоколов TCP/IP
на каждой рабочей станции), то невозможно будет использовать средства аудита,
так как каждая рабочая станция является самостоятельным узлом Internet. Что­бы решить эту проблему, потребуется установить достаточно дорогой и сложный
в управлении брандмауэр.
IntranetWare предоставляет полную информацию о доступе к Internet: время до­ступа, имя пользователя, использованные приложения, адреса удаленных хос­тов и т. д.
БЕЗОПАСНОСТЬ INTRANETWARE
Как и NetWare, IntranetWare является достаточно защищенной программой. Од­нако и у нее есть некоторые недостатки, которыми может воспользоваться хакер.
КАК ОБОЙТИ INTRANETWARE
В главе 20 вы узнаете о сценариях CGI. Сценарием CGI называется программа, с помощью которой Web-серверы предоставляют броузерам динамические дан­ные. IntranetWare содержит несколько таких сценариев (они написаны на языке программирования BASIC). Один из них - convert.bas - преобразует файлы в формат HTML и посылает их пользователю. Ниже приведен пример использова­ния сценария convert.bas для работы на сервере www.just_hacked.com:
http://www.just_hacked.com/scripts/convert.bas?readme.txt
Если каталог со сценариями содержит то сервер IntranetWare
вернет его в виде файла формата HTML такие файлы можно просматривать с помощью броузера. Программа convert.bas представляет собой достаточно полез­ную утилиту. К сожалению, она не ограничивает прав доступа пользователя к серверу Internet. Благодаря этому хакер может использовать ее для проведения атак:
http://www.just_hacked. com/scripts/convert.bas? . . /. ./ _любой_файл_тома_ауs
Две точки после знака вопроса представляют собой относительный В на-
шем примере относительный URL указывает на том SYS:. Другими словами, эту строку можно записать в следующем виде:
convert  SYS :   любой_файл_тома sys
С помощью ошибки программы convert.bas хакер легко сможет получить копию файлов вроде autoexec.пс, или Idrenwle.ncj Для этого он может воспользоваться
следующей строкой:
http ://www.just_hacked. com/scripts/convert.bas?. ./ . . / autoexec.ncf
Таким образом, хакер сможет преобразовать файл autoexec.ncf формату HTML и просмотреть его содержимое с помощью броузера. Компания Novell исправи­ла эту ошибку с помощью недавних пакетов дополнений. Загрузите один из них, чтобы избежать подобных ситуаций. Кроме того, можно вообще удалить файл convert.bas.
Ошибки IntranetWar   FTP NLM
В IntranetWare существует несколько проблем, связанных с FTP NLM. Стан­дартные системы предоставляют пользователям права чтения и просмотра содер­жимого каталога SYS:ETC. Таким образом, анонимный пользователь может по­лучить доступ к файлам этого каталога с помощью командной строки FTP. Если вы используете программу inetcfg (как это рекомендуется в документации на IntranetWare) для настройки утилиты rconsole, то у вас могут возникнуть некото­рые проблемы. Как уже говорилось, пароли этой утилиты хранятся в незашиф­рованном виде. Если вы не зашифруете пароль, то хакер сможет прочитать его. Кроме того, в каталоге SYS:ETC располагаются пароль сообщества SNMP, ин­формация о протоколах, адресах и других установках системы. Представьте себе, что значит вся эта информация для хакера! Однако если вы отключите эти пра­ва, то пользователи не смогут использовать анонимного FTP.
Другой основной проблемой NetWare 4. 1 является программа ftpserv.nlm. Дело в том, что система может предоставить некоторым пользователям FTP
расширенные права доступа. Казалось бы, чего проще: отключи NLM, а затем снова подключи, и система вернется в исходное состояние. по проше-
ствии некоторого периода времени система снова предоставит такому пользова­телю расширенные права доступа. Использование программы Fetch в качестве может предоставить пользователю полные права доступа. Един­ственно возможное решение этой ситуации состоит в отключении поддержки протокола FTP.
ЗАЩИТА IntranetWar от       из INTERNET
Существуют способы, с помощью которых хакер может взломать сервер netWare из Internet. К счастью, для этого необходимо выполнение огромного количества определенных условий. Многие из них будут недостижимы, если вы последуете описанным в этой главе советам.
Во-первых, хакер может воспользоваться сценариями CGI. Например, если вы разместите не очень «хороший» сценарий в месте, где этот сценарий будет обла­дать правами на запись, то хакер перенаправляет его. Так он сможет изменить NCF-файлы. '
Давайте представим себе сценарий, который добавляет к файлу (вроде листа
рассылки) строку текста. Если хакер перенаправит сценарий, то он сможет добавить несколько строк к файлу sys:etc\ldremote.ncf wnmys:etc\autaexec.ncf.
UNLOAD REMOTE
LOAD REMOTE ПАРОЛЬ_ХАКЕРА
LOAD XCONSOLE
Добавив эти строки, хакер может воспользоваться протоколом Telnet для регис­трации на сервере, воспользоваться своим паролем и выбрать VT-100. Благодаря этому он получит удаленный доступ к серверу после следующей перезагрузки сервера. •
Более того, если вы постараетесь защитить систему с помощью брандмауэра, основанного на использовании NLM, то хакер может попросту выключить бран­дмауэр. При удачном стечении обстоятельств хакеру даже удастся перегрузить брандмауэр после того, как он получит доступ к серверу. Благодаря этому он получит возможность проделывать любые операции, не оставляя никаких следов.
И наконец, хакер может получить доступ к серверу с помощью FTP NLM. Если он получит доступ к серверу с помощью анонимного FTP и права на запись и чтение тома SYS:, то рн изменит NCF-файлы и существенно расширит свои права.
ЗАЩИТА ФАЙЛА ПАРОЛЕЙ
Пользователи Internet могут получить доступ к файлу паролей сервера IntranetWare. Воспользовавшись одним из описанных ранее методов, хакер может захватить
этот файл.
Файлы NDS расположены в каталоге : VAI     Конечно же, хакер должен
получить к ним доступ. Как уже говорилось, для этого у него есть несколько способов. Получив доступ к файлам NDS, хакер получит доступ ко всей системе.
РЕЗЮМЕ
В этой главе вы узнали о средствах обеспечения безопасности Novell NetWare.
Кроме того, вы познакомились с основными типами атак и методами защиты от нападений хакеров. В следующей главе я расскажу вам о Unix-системах и о том, как защитить их от вторжений извне. Но прежде убедитесь, что усвоили следу­ющее:
Novell NetWare — это операционная система, разработанная специально для персональных компьютеров. Изначально она создавалась с целью орга­низации сетей, содержащих файловые серверы и серверы печати.
✓ Администратор сети Novell NetWare наделяет каждого пользователя права­ми доступа к файлам и каталогам. Эти права определяют, может ли пользо­ватель получить доступ к каталогу или файлу.
По умолчанию пользователям сети предоставляются определенные права доступа к определенным каталогам.
Нужно как можно реже использовать идентификатор супервизора. Вместо него применяется идентификатор эквивалента супервизора.
✓ В сетях NetWare используется свой собственный набор протоколов пере­дачи данных. Для их подключения к Internet необходимо использовать специальный шлюз.
В Novell NetWare имеются свои средства аудита.
наблюдения и управления сетью администратору предоставляется ряд специальных утилит. Одной из наиболее широко используемых утилит обеспечения безопасности является программа syscon.
Чтобы помочь администратору обнаружить постороннее вмешательство, в Novell NetWare используется система IDS.
•/ Хакеры обладают множеством возможностей проникновения в сети Novell NetWare. Большинство атак на эти сети построено на основе используемых
в Novell NetWare методов хранения паролей и учетных записей.
✓ Администраторы должны регулярно проверять учетные записи пользователей системы, чтобы вовремя обнаружить попытки внедрения хакеров.
В сетях NetWare все данные (за исключением паролей) передаются «от­крытым текстом». Другими словами, передаваемые данные не зашифро­вываются.
Novell NetWare подвержена атакам грубой силы и атакам словаря.
s IntranetWare предоставляет средства обеспечения безопасного соединения с Internet.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика