окументі TID (Technical Information Document) № 2941164, доступному на Web-сайті Novell. p>
Віддалене адміністрування Незважаючи на те що будь адміністратор мережі може призвести цілий ряд причин, по яких віддалене адміністрування сервера необхідно, до його практичної реалізації слід підійти з усією серйозністю. До складу ОС NetWare 5.x входить традиційне додаток Rconsole і написана на мові Java утиліта віддаленого адміністрування RconsoleJ. Обидві програми мають один і той же недолік - працюють поверх незашифрованих з'єднань.
Вимоги безпеки, пред'являються до такого роду додатками, дуже високі, оскільки, якщо зловмисник отримає доступ до керуючої консолі, він зможе зробити майже все, що йому потрібно. Існує великий набір засобів для створення привілейованих облікових записів і відповідної модифікації існуючих. Проте консольний доступ необхідний майже завжди. p> І Rconsole і RconsoleJ є джерелами додаткового ризику за наступними двох причин:
Модулі віддаленого адміністрування, що завантажуються при запуску системи, використовують паролі, зберігаються у звичайному текстовому файлі. Хоча компанія Novell і пропонує засоби для їх шифрування, адміністратори часто продовжують зберігати списки паролів у вигляді простих текстових файлів, що є прекрасною метою для можливої вЂ‹вЂ‹атаки. Паролі необхідно шифрувати завжди. Хоч це і не забезпечує стовідсоткової безпеки, але все ж краще, ніж нічого.
Сполуки, встановлювані Rconsole і RconsoleJ, небезпечні, тому що більша частина інформації при цьому відкрито передається в текстовому вигляді. Перехоплюючи пакунки зломщик може отримати важливу інформацію, недоступну іншим способом.
Якщо віддалене адміністрування вам абсолютно необхідно, можливі два шляхи її захисту:
Вивчіть і використовуйте програмне забезпечення для віддаленого адміністрування, яка передає інформацію поверх захищених з'єднань.
Використовуйте вбудовані додатки NetWare при дотриманні наступних умов:
Щоб уникнути перехоплення пакетів, замість концентраторів застосовуйте правильно сконфігуровані комутатори.
Зберігайте в найсуворішому секреті пароль віддаленого адміністрування і регулярно змінюйте його.
Переконайтеся в тому, що після використання консоль залишається заблокованою.
Ніколи не застосовуйте незашифровані паролі.
Не заводьте сеанс віддаленого адміністрування за допомогою виконуваного файлу, розташованого в розділі DOS. У цьому випадку проста перезавантаження дозволить зловмисникові отримати пароль.
Secure Console
Для того щоб в якійсь мірою нейтралізувати атаку, якщо зломщик отримає доступ до консолі, використовуйте утиліту Secure Console. Вона підвищує рівень безпеки, запобігаючи завантаження будь-яких модулів, крім розташованих у каталогах SYS: SYSTEM або C: NWSERVER. Крім того, вона запобігає доступ з клавіатури в системний відладчик і забороняє робити зміну системних дати і часу.
Контекст Bindery
Вже багато років існують додатки, що дозволяють перехоплювати інформацію Bindery. Ці кошти здатні обманювати NetWare і перехоплювати пересилаються по мережі пакети. Такий засіб може встановити фальшиве з'єднання з сервером, змусивши його "думати", що запити виходять від робочої станції адміністратора. За допомогою цих додатків атакуючий цілком в змозі змінити стандартні права доступу користувача на права доступу адміністратора і отримати в своє розпорядження всі мережеві паролі.
Часто програми або служби, особливо успадковані, вимагають включення підтримки контексту Bindery, не залишаючи інших альтернатив адміністратору. Якщо не можна замінити ці програми або служби на сумісні з NDS, атаку можна запобігти, зробивши ряд заходів, указаних у розділі "Безпека NCP". Якщо включення підтримки Bindery не є необхідним, всі контексти повинні бути видалені.
Механізм реплікації
Одна з переваг використання NDS полягає в можливості розбиття кореневої БД на окремі розділи і забезпечення надмірності шляхом створення їх дублікатів. Найбільшою ступеня надмірності, по Novell, можна досягти, як мінімум, трьома репліками кожного розділу NDS, але при цьому ви не зобов'язані використовувати комп'ютери з ОС NetWare для зберігання копій бази даних. За допомогою продукту e-Directory фірми Novell ви можете розташовувати ваші репліки на інших платформах. br/>
Версії Directory Services
Служба Directory Services представлена ​​модулем ds.nlm і декількома додатковими модулями. Через значних відмінностей її версій суворе дотримання загальноприйнятих стандартів стає нагальною необхідністю. Так як служба довідника - найважливіший компонент ОС NetWare, багато адміністраторів не наважуються здійснювати оновлення цих модулів, що може вилитися в інші проблеми, включаючи і ті, які виникають при спробі об'єднати різні...
