Обеспечение безопасности среды Novell NetWare 5
Обеспечение безопасности среды Novell NetWare 5Много лет NetWare фирмы Novell пользовалась репутацией одной из самых надежных операционных систем из имеющихся на рынке. Пока другие выпускали сетевые ОС, для обеспечения, безопасности которых администратор должен обладать талантом настоящего волшебника, Novell всегда придерживалась той точки зрения, что сетевая операционная система надежной и безопасной должна быть изначально, а права доступа к системным ресурсам нужно предоставлять только по мере необходимости. Но является ли NetWare той самой "нирваной", о которой мы все мечтаем? В Novell хотят, чтобы мы так думали, однако для обеспечения безопасности среды NetWare приходится проделывать гораздо больше работы, чем многие могут себе представить.В этой статье мы рассмотрим, как можно обезопасить среду NetWare. Обратите внимание на то, что мы остановимся только на ОС NetWare 5.х - прочие продукты фирмы Novell, такие, как BorderManager и GroupWise, имеют свои особенности и тоже нуждаются в принятии тех или иных мер по обеспечению безопасности перед их использованием.Безопасность файлов и объектов NDSНесмотря на то, что каждая конкретная реализация NDS обладает своими особенностями, администратор должен разбираться в правилах безопасности, применимых ко всем объектам NDS. Уяснив наши рекомендации и освоив несколько практических методов, он должен уметь обеспечить безопасность NDS, по крайней мере, в отношении объектов. Ниже приведены некоторые рекомендации по обеспечению такой безопасности объектов дерева NDS.По умолчанию объекту Admin предоставлен полный доступ ко всем объектам дерева NDS, поэтому он всегда будет "лакомым куском" для атакующих. Чрезвычайно важно предпринять особые меры предосторожности по отношению к нему. В разных случаях предпринимаемые меры могут различаться, тем не менее существует несколько общих приемов:Переименуйте объект Admin в соответствии со стандартным соглашением об именовании и поместите его в обычный пользовательский контейнер.Предоставьте администраторам полномочия, достаточные для выполнения их задач, - и не более.Используйте переименованную учетную запись администратора только в тех случаях, когда это абсолютно необходимо.Создайте новый объект с именем Admin, заблокируйте его и ведите аудит данного объекта, регулярно проверяя журнал безопасности.Все вышесказанное может показаться вам очевидным, но вы удивитесь, узнав, как редко эти рекомендации применяются на практике.Убедитесь в том, что учетная запись guest удалена - она всегда является объектом для атаки. Обратите внимание на полномочия, наследуемые объектами. Если не используются фильтры наследуемых полномочий (Inheritance Rights Filters - IRF), последние передаются сверху вниз по дереву NDS и права доступа, предоставленные на одном уровне, могут действовать и там, где это не было предусмотрено. В особо запутанных случаях администратор всегда может просмотреть полномочия конкретного объекта, а затем блокировать нежелательные права посредством IRF или установкой явных ограничений. По умолчанию доступ к регистрационному справочнику с правом чтения разрешен всем пользователям, даже тем, кто не зарегистрирован в системе.Используя предоставленные объекту Public по умолчанию права на просмотр дерева NDS и утилиту CX, атакующий вполне сумеет просканировать атрибуты структуры дерева, что в дальнейшем может быть использовано для получения более полного доступа к системе. Однако возможности этой утилиты существенно ограничиваются запретом объекту Public доступа к объекту Root. Вы должны быть осторожны, изменяя таким образом права доступа, так как некоторым приложениям может потребоваться доступ к объекту Root.Безопасность на физическом уровнеВажный аспект обеспечения безопасности - размещение всех компонентов сети в безопасных местах. Никогда не выставляйте на всеобщее обозрение ваш центр управления сетью (Network Operating Center - NOC). Злоумышленники охотятся за любой информацией, и, когда ее становится достаточно для атаки, не сомневайтесь, рано или поздно она будет предпринята. Убедитесь в наличии резервных источников питания и средств кондиционирования воздуха, поскольку их выход из строя повлечет за собой отказ всей корпоративной сети.Защита управляющей консолиЕсли консоль сервера не используется, ее нужно заблокировать. В утилите Scrsaver.nlm, поставляемой в составе ОС NetWare 5.0, реализован новый метод блокировки серверной консоли: в отличие от предыдущих версий утилиты Console Lock утилита Scrsaver.nlm для обеспечения безопасности обращается к службе NDS. Для того чтобы разблокировать консоль, вы должны ввести имя пользователя и пароль NDS. Затем Scrsaver по списку контроля доступа (Access Control List - ACL) проверяет, обладает ли данный пользователь правами доступа к конкретному серверу и, если это так, разблокирует консоль. Дополнительная информация об этом содержится в документе TID (Technical Information Document) № 2941164, доступном на Web-сайте Novell.Удаленное администрированиеНесмотря на то что любой администратор сети может привести целый ряд причин, по которым удаленное администрирование сервера необходимо, к его практической реализации следует подойти со всей серьезностью. В состав ОС NetWare 5.x входит традиционное приложение Rconsole и написанная на языке Java утилита удаленного администрирования RconsoleJ. Обе программы имеют один и тот же недостаток - работают поверх незашифрованных соединений.Требования безопасности, предъявляемые к такого рода приложениям, очень высоки, поскольку, если злоумышленник получит доступ к управляющей консоли, он сможет сделать почти все, что ему нужно. Существует большой набор средств для создания привилегированных учетных записей и соответствующей модификации существующих. Тем не менее консольный доступ необходим почти всегда.И Rconsole и RconsoleJ являются источниками дополнительного риска по следующим двум причинам:Модули удаленного администрирования, загружаемые при запуске системы, используют пароли, сохраняемые в обычном текстовом файле. Хотя компания Novell и предлагает средства для их шифрования, администраторы часто продолжают хранить списки паролей в виде простых текстовых файлов, являющихся прекрасной целью для возможной атаки. Пароли необходимо шифровать всегда. Хоть это и не обеспечивает стопроцентной безопасности, но все же лучше, чем ничего.Соединения, устанавливаемые Rconsole и RconsoleJ, небезопасны, так как большая часть информации при этом открыто передается в текстовом виде. Перехватывая пакеты, взломщик может получить важную информацию, недоступную иным способом.Если удаленное администрирование вам абсолютно необходимо, возможны два пути ее защиты:Изучите и используйте программное обеспечение для удаленного администрирования, передающее информацию поверх защищенных соединений.Используйте встроенные приложения NetWare при соблюдении следующих условий:Чтобы избежать перехвата пакетов, вместо концентраторов применяйте правильно сконфигурированные коммутаторы.Храните в строжайшем секрете пароль удаленного администрирования и регулярно изменяйте его.Убедитесь в том, что после использования консоль остается заблокированной.Никогда не применяйте незашифрованные пароли.Не запускайте сеанс удаленного администрирования с помощью исполняемого файла, расположенного в разделе DOS. В этом случае простая перезагрузка позволит злоумышленнику получить пароль.Secure ConsoleДля того чтобы в какой-то степени нейтрализовать атаку, если взломщик получит доступ к консоли, используйте утилиту Secure Console. Она повышает уровень безопасности, предотвращая загрузку любых модулей, кроме расположенных в каталогах SYS:\SYSTEM или C:\NWSERVER. Кроме того, она предотвращает доступ с к...
Другие файлы:
Администрирование Novell Netware 6.0/6.5
В книге подробно описана вся работа с популярной сетевой операционной системой NetWare 6 — от инсталляции ее на сервере до тонкостей управления с помо...
Опреционная система Novell Netware.История и обзор
Основана компания была в городе Прово, штат Юта, как Novell Data Systems Inc. в 1979 году. Занималась производством систем, работающих под управлением...
NetWare встречается с Linux
В середине марта Novell начала поставки Open Enterprise Server (OES) — первой системы NetWare, которая может работать и на Linux. В OES реализовано бо...
Novell NetWare: история развития, современное состояние, будущее
NetWare — сетевая операционная система и набор сетевых протоколов, которые используются в этой системе для взаимодействия с компьютерами-клиентами, по...
Программное обеспечение ПК
Компанией Novell разработано несколько поколений сетевых операционных систем, начиная с ELS (Entry Level System) NetWare, которые гли обслуживать до 8...
