Реферати

Реферат: Забезпечення безпеки середи Novell NetWare 5

Експертиза товарів 2. МІНІСТЕРСТВО УТВОРЕННЯ І НАУКИ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ ФЕДЕРАЛЬНЕ АГЕНТСТВО ПО УТВОРЕННЮ державна освітня установа вищого професійного утворення

Роль інновацій у туризмі. XXI в. - століття подорожей і відкритих границь. Численні турфирми пропонують клієнтам тури на будь-який смак і доход, і при бажанні турист може потрапити в будь-яку крапку планети. Залишається тільки вибрати, за допомогою кого здійснити заповітну мрію, а вибирати їсти з чого: вулиці пестрят від яскравих вивісок з назвами турфирм, що запрошують потенційних туристів провести відпустка в казкових заморських країнах.

Основні психологічні мотиви, що впливають на решение молоді жити окремо від батьків. Федеральне агентство по утворенню Курсова робота з дисципліни "Психологічний практикум" на тему: Основні психологічні мотиви, що впливають на решение молоді жити окремо від батьків

Демонологія. У християнській демонології можна виділити два основних напрямки, розходження між який лежить у головному для демонології питанні про можливості диявола і його статусі у світі. Перший напрямок, що успадкував ідеї раннехристианских дуалістичних єресей, істотно розширює права і можливості диявола; друге виникає як реакція на єретичні парадокси і рухається потребою пояснити місце диявола у світі так, щоб не применшити абсолютної компетенції Бога у всіх питаннях буття; перше так чи інакше розмежовує утвору Бога і диявола (чи доброго і злого принципу і т.п.), допускаючи однак їхнє співіснування, друге ж цілком відмовляє дияволу в здатності на яке-небудь утвір, обмежуючи його діяльність областю удаваності, мороку, ілюзії.

Дослідження ціни і цінової еластичності. Міністерство утворення і науки Російської Федерації Всеросійський заочний фінансово-економічний інститут Факультет менеджменту і маркетингу

Багато років NetWare фірми Novell користувалася репутацією однією з найнадійніших операційних систем з тих, що є на ринку. Поки інші випускали мережеві ОС, для забезпечення, безпеці яких адміністратор повинен володіти талантом справжнього чарівника, Novell завжди дотримувалася тієї точки зору, що мережева операційна система надійної і безпечної повинна бути спочатку, а права доступу до системних ресурсів треба надавати тільки по мірі необхідності. Але чи є NetWare тією самою "нірваною", про яку ми всі мріємо? У Novell хочуть, щоб ми так думали, однак для забезпечення безпеки середи NetWare доводиться проробляти набагато більше роботи, ніж багато які можуть собі представити.

У цій статті ми розглянемо, як можна забезпечити середу NetWare. Зверніть увагу на те, що ми зупинимося тільки на ОС NetWare 5. х - інші продукти фірми Novell, такі, як BorderManager і GroupWise, мають свої особливості і також потребують вживання тих або інакших заходів по забезпеченню безпеки перед їх використанням.

Безпека файлів і об'єктів NDS

Незважаючи на те, що кожна конкретна реалізація NDS володіє своїми особливостями, адміністратор повинен розбиратися в правилах безпеки, застосовних до всіх об'єктів NDS. Уясняти наші рекомендації і освоївши декілька практичних методів, він повинен уміти забезпечити безпеку NDS, принаймні, відносно об'єктів. Нижче приведені деякі рекомендації по забезпеченню такої безпеки об'єктів дерева NDS.

За умовчанням об'єкту Admin наданий повний доступ до всіх об'єктів дерева NDS, тому він завжди буде "ласим шматком" для тих, що атакують. Надзвичайно важливо вжити особливі заходи обережності по відношенню до нього. У різних випадках заходи, що робляться можуть розрізнюватися, проте існує декілька загальних прийомів:

Перейменуйте об'єкт Admin у відповідності зі стандартною угодою про іменування і вмістіть його в звичайний контейнер користувача.

Надайте адміністраторам повноваження, достатні для виконання їх задач, - і не більш.

Використайте перейменований обліковий запис адміністратора тільки в тих випадках, коли це абсолютно необхідне.

Створіть новий об'єкт з ім'ям Admin, заблокуйте його і ведіть аудит даного об'єкта, регулярно перевіряючи журнал безпеки.

Все вищесказане може показатися вам очевидним, але ви здивуєтеся, взнавши, як рідко ці рекомендації застосовуються на практиці.

Пересвідчіться в тому, що обліковий запис guest видалений - вона завжди є об'єктом для атаки. Зверніть увагу на повноваження, успадковані об'єктами. Якщо не використовуються фільтри успадкованих повноважень (Inheritance Rights Filters - IRF), останні передаються зверху вниз по дереву NDS і права доступу, надані на одному рівні, можуть діяти і там, де це не було передбачене. У особливо заплутаних випадках адміністратор завжди може переглянути повноваження конкретного об'єкта, а потім блокувати небажані права за допомогою IRF або установкою явних обмежень. За умовчанням доступ до реєстраційного довідника з правом читання дозволений всім користувачам, навіть тим, хто не зареєстрований в системі.

Використовуючи надані об'єкту Public за умовчанням права на перегляд дерева NDS і утиліту CX, той, що атакує цілком зуміє просканировать атрибути структури дерева, що надалі може бути використано для отримання більш повного доступу до системи. Однак можливості цієї утиліти істотно обмежуються забороною об'єкту Public доступу до об'єкта Root. Ви повинні бути обережні, змінюючи таким чином права доступу, оскільки деяким додаткам може бути потрібен доступ до об'єкта Root.

Безпека на фізичному рівні

Важливий аспект забезпечення безпеки - розміщення всіх компонентів мережі в безпечних місцях. Ніколи не виставляйте на загальний огляд ваш центр управління мережею (Network Operating Center - NOC). Зловмисники полюють за будь-якою інформацією, і, коли її стає досить для атаки, не сумнівайтеся, рано або пізно вона буде зроблена. Пересвідчіться в наявності резервних джерел живлення і коштів кондиціонування повітря, оскільки їх вихід з ладу спричинить відмову всієї корпоративної мережі.

Захист керуючої консолі

Якщо консоль сервера не використовується, її треба заблокувати. У утиліті Scrsaver.nlm, що поставляється в складі ОС NetWare 5.0, реалізований новий метод блокування серверний консолі: на відміну від попередніх версій утиліти Console Lock утиліта Scrsaver.nlm для забезпечення безпеки звертається до служби NDS. Для того щоб розблокувати консоль, ви повинні ввести ім'я користувача і пароль NDS. Потім Scrsaver по списку контролю доступу (Access Control List - ACL) перевіряє, чи володіє даний користувач правами доступу до конкретного сервера і, якщо це так, розблокує консоль. Додаткова інформація про це міститься в документі TID (Technical Information Document) № 2941164, доступному на Web-сайте Novell.

Видалене адміністрування

Незважаючи на те що будь-який адміністратор мережі може привести цілий ряд причин, по яких видалене адміністрування сервера необхідне, до його практичної реалізації потрібно підійти з всією серйозністю. До складу ОС NetWare 5.x входить традиційний додаток Rconsole і написана на мові Java утиліта видаленого адміністрування RconsoleJ. Обидві програми мають один і той же недолік - працюють понад незашифрованих з'єднань.

Вимоги безпеки, що пред'являються до такого роду додаткам, дуже високі, оскільки, якщо зловмисник отримає доступ до керуючої консолі, він зможе зробити майже все, що йому треба. Існує великий набір коштів для створення привілейованих облікових записів і відповідної модифікації існуючих. Проте консольний доступ необхідний майже завжди.

І Rconsole і RconsoleJ є джерелами додаткового ризику по наступних двох причинах:

Модулі видаленого адміністрування, системи, що завантажуються при запуску, використовують паролі, що зберігаються в звичайному текстовому файлі. Хоч компанія Novell і пропонує кошти для їх шифрування, адміністратори часто продовжують зберігати списки паролів у вигляді простих текстових файлів, що є прекрасною метою для можливої атаки. Паролі необхідно шифрувати завжди. Хоч це і не забезпечує стопроцентной безпеки, але все ж краще, ніж нічого.

З'єднання, що встановлюються Rconsole і RconsoleJ, небезпечні, оскільки велика частина інформації при цьому відкрито передається в текстовому вигляді. Перехоплюючи пакети, зломщик може отримати важливу інформацію, недоступну інакшим способом.

Якщо видалене адміністрування вам абсолютно необхідне, можливі два шляхи її захисту:

Вивчіть і використайте програмне забезпечення для видаленого адміністрування, що передає інформацію понад захищених з'єднань.

Використайте вбудовані додатки NetWare при дотриманні наступних умов:

Щоб уникнути перехоплення пакетів, замість концентраторов застосовуйте правильно сконфигурированние комутатори.

Зберігайте в найсуворішому секреті пароль видаленого адміністрування і регулярно змінюйте його.

Пересвідчіться в тому, що після використання консоль залишається заблокованою.

Ніколи не застосовуйте незашифровані паролі.

Не запускайте сеанс видаленого адміністрування за допомогою файла, що виконується, розташованого в розділі DOS. У цьому випадку просте перезавантаження дозволить зловмиснику отримати пароль.

Secure Console

Для того щоб в якійсь мірі нейтралізувати атаку, якщо зломщик отримає доступ до консолі, використайте утиліту Secure Console. Вона підвищує рівень безпеки, запобігаючи завантаженню будь-яких модулів, крім розташованих в каталогах SYS:\SYSTEM або C:\NWSERVER. Крім того, вона запобігає доступу з клавіатури в системний відладчик і забороняє проводити зміну системних дати і часу.

Контекст Bindery

Вже багато років існують додатки, що дозволяють перехоплювати інформацію Bindery. Ці кошти здатні обманювати NetWare і перехоплювати пакети, що пересилаються по мережі. Такий засіб може встановити фальшиве з'єднання з сервером, примусивши його "думати", що запити обійдуть від робочої станції адміністратора. За допомогою цих додатків що атакує цілком спроможний змінити стандартні права доступу користувача на права доступу адміністратора і отримати в своє розпорядження всі мережеві паролі.

Часто додатки або служби, особливо успадковану, вимагають включення підтримки контексту Bindery, не залишаючи інших альтернатив адміністратору. Якщо не можна замінити ці додатки або служби на сумісні з NDS, атаку можна запобігти, зробивши ряд заходів, описаних нижче в розділі "Безпека NCP". Якщо включення підтримки Bindery не є необхідним, всі контексти повинні бути видалені.

Механізм реплікації

Одна з переваг використання NDS укладається в можливості разбиения коренева БД на окремі розділи і забезпечення надмірності шляхом створення їх дублікатів. Найбільшої міри надмірності, по Novell, можна досягнути, як мінімум, трьома репліками кожного розділу NDS, але при цьому ви не зобов'язані використати комп'ютери з ОС NetWare для зберігання копій бази даних. За допомогою продукту e-Directory фірми Novell ви можете розташовувати ваші репліки на інших платформах.

Версії Directory Services

Служба Directory Services представлена модулем ds.nlm і декількома додатковими модулями. Через значні відмінності її версій суворе дотримання загальноприйнятих стандартів стає насущною необхідністю. Оскільки служба довідника - самий важливий компонент ОС NetWare, багато які адміністратори не вирішуються здійснювати оновлення цих модулів, що може вилитися в інші проблеми, включаючи і ті, які виникають при спробі об'єднати різні версії NetWare в одне дерево. Проте треба відмітити, що тестування нових модулів перед їх використанням потрібно провести обов'язково, оскільки відомі випадки, коли в службах довідника виявлялися серйозні помилки.

Безпека NCP

Фірмовий протокол Novell - NetWare Core Protocol (NCP) - застосовується в мережах NetWare для організації взаємодії з клієнтськими машинами. У ряді випадків NCP-пакети можуть бути підмінені зловмисником, що дозволяє йому отримати доступ до інформації про різні компоненти мережі. Деякі кошти для здійснення цього процесу стали надбанням громадськості. Саме відоме і могутнє серед них - Pandora. Ця утиліта призначена виключно для отримання інформації з серверів NetWare.

Протистояти такого роду вторжениям можна, відхиляючи NCP-пакети невірної довжини і з неправильними компонентами, а також встановлюючи на клієнтах і серверах значення рівня підпису NCP-пакетів, рівне 3.

Аудит

Одним з найбільш важливих аспектів політики безпеки є аудит. Засіб Novell AuditCon дозволяє відстежувати всі події в середовищі NetWare, починаючи з її файлової системи і кінчаючи NDS. Тому його потрібно регулярно використати. Необхідно вести аудит аутентификація супервизора, змін об'єктів NDS, сценаріїв реєстрації в системі і повноважень користувачів.

У доповнення до стандартних коштів Novell деякі сторонні фірми також випустили утиліти для аудиту середи NetWare; ці продукти включають в себе кошти як виявлення вторгнення, так і спостереження за відповідністю призначених для користувача повноважень прийнятій політиці безпеки.

Повноваження користувачів

Методика призначення призначених для користувача повноважень повинна бути ретельно продумана ще на стадії планування мережі NetWare. Нижче приводиться список компонентів, яким при виробітку цієї методики необхідно приділити особливу увагу. Пам'ятайте про необхідність компромісу: дуже сувора політика безпеки приведе до збільшення частки помилкових відмов в доступі, а дуже м'яка - до утворення "дір" в системі захисту. Отже:

Одне з поширених коштів відображення атак - обмеження числа активних сеансів для кожного окремого облікового запису. Заборона багаторазової реєстрації з однаковими обліковими атрибутами допоможе запобігти атаці в робочі години, принаймні на час сеансу того або інакшого користувача. Треба брати до уваги, що деякі версії служби довідника не цілком адекватно реагують на припинення призначеного для користувача сеансу зв'язку, внаслідок чого часто виникає плутанина із з'єднаннями, що звільняються. Але в останніх версіях служби довідника ця помилка виправлена, тому і в NetWare 5.x і в Directory Services 8 все працює нормально.

Обмеживши час доступу до певних облікових записів, ви знизите імовірність атак на ці записи в певні години. Звичайно ця міра застосовується в робочий час.

Процес виявлення вторжений включає в себе аспекти, які потрібно брати до уваги. Це максимальне число невдалих спроб реєстрації і час скидання блокування облікового запису. Перший параметр визначає, скільки спроб дається користувачу для реєстрації в системі доти, поки його обліковий запис не буде заблокований. Заблокований після останньої невдалої спроби обліковий запис можливо, потім розблокована автоматично або адміністратором. Цей параметр по можливості повинен мати мінімальне значення. Час скидання блокування облікового запису означає проміжок часу, протягом якого обліковий запис користувача буде заблокованим доти, поки не станеться автоматичного скидання блокування. У більшості випадків цьому параметру потрібно привласнювати максимальне значення, внаслідок чого стане неможливо зареєструватися без втручання адміністратора.

Призначені для користувача шаблони допомагають адміністраторам створювати облікові записи, базуючись на корпоративній політиці безпеки. При відсутності шаблонів, як правило, зростає імовірність помилки, особливо в умовах недостачі часу. Використайте шаблони користувача відповідно до організаційної схеми NDS.

Адміністратор може встановлювати обмеження на аутентификація для певних вузлів. Даний метод, зокрема, запобігає спробам аутентификація з робочих станцій, не належних локальній мережі. Це, правда, зажадає зайвих зусиль від адміністратора, але згодом забезпечує дуже високий рівень безпеки. Метод найбільш ефективний тоді, коли робочі станції користувачів є стаціонарними; у випадку ж з мобільними станціями при реалізації даного методу адміністратору має бути вирішити багато які проблеми.

Обмеження термінів дії облікових записів особливо ефективне при використанні тимчасових облікових записів. Навіть якщо відсутнє постійне адміністрування, такі записи через певний проміжок часу стають недоступними.

Часто використовується і вважається вельми ефективним способом атаки на мережу вгадування пароля. Короткі паролі для такого типу атак більш вразливі. Звичайно встановлюють мінімальну довжину пароля в 5-6 символів. Можна розглянути і інші випадки застосування паролів.

Параметром примусової зміни пароля задається значення, що визначає, через скільки днів користувачу доведеться змінити пароль. Після закінчення вказаного часу йому буде надана певна кількість спроб реєстрації для зміни пароля до того, як доступ до облікового запису буде заблокований. Розблокований облікового запису зажадає втручання адміністратора. Звичайно рекомендується привласнювати цьому параметру значення, рівне 60-90 дням.

За допомогою параметра спроб доступу (grace-logins), що надаються можна визначити, скільки разів підряд користувачу дозволяється намагатися зареєструватися для зміни пароля. Якщо привласнити дуже велике значення цьому параметру, система безпеки зазнає ризику, що є оборотною стороною методу примусової зміни пароля. Тому привласнюйте цьому параметру мінімальне значення.

Web-сервери і FTP-сервери Novell

Під час інсталяції Web-служб Novell в розділ тому SYS записується деяка кількість сценаріїв і коштів управління додатками, зокрема NetBasic, Perl і Sewse, які можуть представляти небезпеку в тому випадку, якщо зловмисник спробує використати їх в своїх цілях. Необхідно обов'язково видалити їх звідти, щоб в майбутньому вони не стали джерелом виникнення проблем.

Звичайно не рекомендується використати FTP-сервери в корпоративному середовищі. Але якщо це неминуче, розміщуйте FTP-службу і дані на власному окремому томі. Не тримайте їх на томі SYS.

Зауваження про рівень безпеки C2

Вимоги до програмно-апаратних коштів відносно рівня безпеки, що забезпечується ними А, В, З і D описані в документі Trusted Computer System Evaluation Criteria (TCSEC), опублікованому Національним центром комп'ютерної безпеки (NCSC) США. Даний документ звичайно іменують Оранжевою книгою. Це одна з декількох книг відомої "кольорової" серії керівних документів Агентства національної безпеки США (National Security Agency - NSA). Відповідно до положень Оранжевої книги основою забезпечення безпеки на рівні C2 є метод дискреційного управління доступом (Discretionary Access Control - DAC). Система не сертифікується в якості що відповідає вимогам рівня C2 доти, поки не отримає "добро" від NSA. Такі системи повинні забезпечувати досить високу міру безпеки.

Фірма Novell не тільки відмовилася від ідеї претендувати на офіційне підтвердження відповідності ОС NetWare 5. х вимогам безпеки рівня С2, але навіть не спромоглася підготувати документ, що описує, яким чином можна привести її продукт у відповідність з цими вимогами. Чи Означає це, що в компанії вважають такий рівень безпеки зайвим? Або, можливо, керівництво фірми не упевнене в тому, що її продукт зможе успішно пройти сертификационние випробування? Однозначної відповіді у нас немає.

Засвідчуючі центри Novell

В ОС NetWare 5.0 не тільки з'явилася підтримка технології асиметричного шифрування для забезпечення безпеки сеансів зв'язку клієнтів з серверами - тепер адміністратори NetWare можуть використати свої власні засвідчуючі центри (Certificate Authority - CA), інтегровані зі службою NDS. Продукт Novell Certificate Server 2.0 підтримує специфікацію електронної пошти S/MIME (Secure MIME) для клієнтів Microsoft Outlook 98/2000, Novell GroupWise 5.5 (з пакетом розширення) і Netscape Messenger. Цим же продуктом підтримуються Web-браузери Microsoft Internet Explorer 4.x і 5.x, а також Netscape Navigator 4.x.