версії NetWare в одне дерево. Тим не менше потрібно відзначити, що тестування нових модулів перед їх використанням слід проводити обов'язково, так як відомі випадки, коли в службах довідника виявлялися серйозні помилки.
Безпека NCP
Фірмовий протокол Novell - NetWare Core Protocol (NCP) - застосовується в мережах NetWare для організації взаємодії з клієнтськими машинами. У ряді випадків NCP-пакети можуть бути підмінені зловмисником, що дозволяє йому отримати доступ до інформації про різні компонентах мережі. Деякі засоби для здійснення цього процесу стали надбанням громадськості. Найвідоміше і потужне серед них - Pandora. Ця утиліта призначена виключно для отримання інформації з серверів NetWare. p> Протистояти такого роду вторгненням можна, відхиляючи NCP-пакети невірної довжини і з неправильними компонентами, а також встановлюючи на клієнтах і серверах значення рівня підпису NCP-пакетів, рівне 3.
Аудит
Одним з найбільш важливих аспектів політики безпеки є аудит. Засіб Novell AuditCon дозволяє відстежувати всі події в середовищі NetWare, починаючи з її файлової системи і кінчаючи NDS. Тому його слід регулярно використовувати. Необхідно вести аудит аутентифікації супервізора, змін об'єктів NDS, сценаріїв реєстрації в системі і повноважень користувачів.
На додаток до стандартних засобів Novell деякі сторонні фірми теж випустили утиліти для аудиту середовища NetWare; ці продукти включають в себе засоби як виявлення вторгнення, так і спостереження за відповідністю користувальницьких повноважень прийнятої політики безпеки.
Повноваження користувачів
Методика призначення користувацьких повноважень повинна бути ретельно продумана ще на стадії планування мережі NetWare. Нижче наводиться список компонентів, яким при виробленні цієї методики необхідно приділити особливу увагу. Пам'ятайте про необхідність компромісу: надто сувора політика безпеки призведе до збільшення частки помилкових відмов у доступі, а надто м'яка - до утворення "Дірок" в системі захисту. Отже:
Одне з поширених коштів відбиття атак - обмеження числа активних сеансів для кожної окремої облікового запису. Заборона багаторазової реєстрації з однаковими обліковими атрибутами допоможе запобігти атаці в робочі години, принаймні на час сеансу того чи іншого користувача. Потрібно взяти до уваги, що деякі версії служби довідника не зовсім адекватно реагують на припинення користувацького сеансу зв'язку, в результаті чого часто виникає плутанина з освобождающимися сполуками. Але в останніх версіях служби довідника ця помилка виправлена, тому і в NetWare 5.x і в Directory Services 8 все працює нормально. p> Обмеживши час доступу до певним облікових записів, ви знизите ймовірність атак на ці записи в певні години. Зазвичай ця міра застосовується в робочий час. p> Процес виявлення вторгнень включає в себе аспекти, які слід взяти до уваги. Це Максимальна кількість невдалих спроб реєстрації та час скидання блокування облікового запису. Перший параметр визначає, скільки спроб дається користувачу для реєстрації в системі до тих пір, поки його обліковий запис не буде заблокована. Заблокована після останньої невдалої спроби обліковий запис може бути, потім розблокована автоматично або адміністратором. Цей параметр по можливості повинен мати мінімальне значення. Час скидання блокування облікового запису позначає проміжок часу, протягом якого облікова запис користувача буде заблокованою до тих пір, поки не відбудеться автоматичного скидання блокування. У більшості випадків цим параметром слід присвоювати максимальне значення, внаслідок чого стане неможливо зареєструватися без втручання адміністратора.
Користувальницькі шаблони допомагають адміністраторам створювати облікові записи, базуючись на корпоративній політики безпеки. За відсутності шаблонів, як правило, зростає ймовірність помилки, особливо в умовах браку часу. Використовуйте користувальницькі шаблони відповідно з організаційною схемою NDS.
Адміністратор може встановлювати обмеження на аутентифікацію для певних вузлів. Даний метод, зокрема, запобігає спроби аутентифікації з робочих станцій, які не належать локальної мережі. Це, правда, зажадає зайвих зусиль від адміністратора, але згодом забезпечує дуже високий рівень безпеки. Метод найбільш ефективний тоді, коли робочі станції користувачів є стаціонарними; в випадку ж з мобільними станціями при реалізації даного методу адміністратору належить вирішити багато проблем.
Обмеження термінів дії облікових записів особливо ефективно при використанні тимчасових облікових записів. Навіть якщо відсутнє постійне адміністрування, такі запису через певний проміжок часу стають недоступними.
Часто використовується і вважається досить ефективним способом атаки на мережу вгадування пароля. Короткі паролі для такого типу атак більш уразливі. Зазвичай встановлюю...
