Забезпечення безпеки середовища Novell NetWare 5
Багато років NetWare фірми Novell користувалася репутацією однією з найнадійніших операційних систем з наявних на ринку. Поки інші випускали мережеві ОС, для забезпечення, безпеки яких адміністратор повинен володіти талантом справжнього чарівника, Novell завжди дотримувалася тієї точки зору, що мережева операційна система надійної та безпечної повинна бути спочатку, а права доступу до системних ресурсів потрібно надавати тільки в міру необхідності. Але чи є NetWare тієї самої "нірваною", про яку ми всі мріємо? У Novell хочуть, щоб ми так думали, однак для забезпечення безпеки середовища NetWare доводиться проробляти набагато більше роботи, ніж багато хто може собі уявити.
У цій статті ми розглянемо, як можна убезпечити середу NetWare. Зверніть увагу на те, що ми зупинимося тільки на ОС NetWare 5.х - інші продукти фірми Novell, такі, як BorderManager і GroupWise, мають свої особливості і теж потребують прийнятті тих чи інших заходів щодо забезпечення безпеки перед їх використанням.
Безпека файлів і об'єктів NDS
Незважаючи на те, що кожна конкретна реалізація NDS володіє своїми особливостями, адміністратор повинен розбиратися в правилах безпеки, застосовних до всіх об'єктів NDS. З'ясувавши наші рекомендації і освоївши кілька практичних методів, він повинен вміти забезпечити безпеку NDS, принаймні, щодо об'єктів. Нижче наведені деякі рекомендації щодо забезпечення такої безпеки об'єктів дерева NDS.
Типово об'єкту Admin надано повний доступ до всіх об'єктів дерева NDS, тому він завжди буде "ласим шматком" для атакуючих. Надзвичайно важливо зробити особливі запобіжні заходи по відношенню до нього. У різних випадках вживаються заходи можуть відрізнятися, проте існує кілька загальних прийомів:
Перейменуйте об'єкт Admin у відповідності зі стандартним угодою про іменуванні і помістіть його в звичайний користувальницький контейнер.
Надайте адміністраторам повноваження, достатні для виконання їх завдань, - і не більше.
Використовуйте перейменовану обліковий запис адміністратора тільки в тих випадках, коли це абсолютно необхідно.
Створіть новий об'єкт з ім'ям Admin, заблокуйте його і ведіть аудит даного об'єкта, регулярно перевіряючи журнал безпеки.
Все вищесказане може здатися вам очевидним, але ви здивуєтеся, дізнавшись, як рідко ці рекомендації застосовуються на практиці.
Переконайтеся в тому, що обліковий запис guest видалена - вона завжди є об'єктом для атаки. Зверніть увагу на повноваження, успадковані об'єктами. Якщо не використовуються фільтри успадкованих повноважень (Inheritance Rights Filters - IRF), останні передаються зверху вниз по дереву NDS і права доступу, надані на одному рівні, можуть діяти і там, де це не було передбачено. В особливо заплутаних випадках адміністратор завжди може переглянути повноваження конкретного об'єкта, а потім блокувати небажані права за допомогою IRF або установкою явних обмежень. Типово доступ до реєстраційного довідником з правом читання дозволений всім користувачам, навіть тим, хто не зареєстрований в системі.
Використовуючи надані об'єкту Public за замовчуванням права на перегляд дерева NDS і утиліту CX, атакуючий цілком зуміє просканувати атрибути структури дерева, що в подальшому може бути використано для отримання більш повного доступу до системі. Проте можливості цієї утиліти істотно обмежуються забороною об'єкту Public доступу до об'єкта Root. Ви повинні бути обережні, змінюючи таким чином права доступу, оскільки деяким додаткам може знадобитися доступ до об'єкта Root.
Безпека на фізичному рівні
Важливий аспект забезпечення безпеки - розміщення всіх компонентів мережі в безпечних місцях. Ніколи не виставляйте на загальний огляд ваш центр управління мережею (Network Operating Center - NOC). Зловмисники полюють за будь-якою інформацією, і, коли її стає достатньо для атаки, не сумнівайтеся, рано чи пізно вона буде зроблена. Переконайтеся в наявності резервних джерел живлення і засобів кондиціонування повітря, оскільки їх вихід з ладу спричинить відмову всієї корпоративної мережі.
Захист керуючої консолі
Якщо консоль серверу не використовується, її потрібно заблокувати. У утиліті Scrsaver.nlm, що поставляється в складі ОС NetWare 5.0, реалізований новий метод блокування серверної консолі: у відміну від попередніх версій утиліти Console Lock утиліта Scrsaver.nlm для забезпечення безпеки звертається до служби NDS. Для того щоб розблокувати консоль, ви повинні ввести ім'я користувача і пароль NDS. Потім Scrsaver по списком контролю доступу (Access Control List - ACL) перевіряє, чи володіє даний користувач правами доступу до конкретного сервера і, якщо це так, розблокує консоль. Додаткова інформація про це міститься в д...
