Безопасность NCP
Фирменный протокол Novell - NetWare Core Protocol (NCP) - применяется в сетях NetWare для организации взаимодействия с клиентскими машинами. В ряде случаев NCP-пакеты могут быть подменены злоумышленником, что позволяет ему получить доступ к информации о различных компонентах сети. Некоторые средства для осуществления этого процесса стали достоянием общественности. Самое известное и мощное среди них - Pandora. Эта утилита предназначена исключительно для получения информации с серверов NetWare.
Противостоять такого рода вторжениям можно, отклоняя NCP-пакеты неверной длины и с неправильными компонентами, а также устанавливая на клиентах и серверах значение уровня подписи NCP-пакетов, равное 3.
Аудит
Одним из наиболее важных аспектов политики безопасности является аудит. Средство Novell AuditCon позволяет отслеживать все события в среде NetWare, начиная с ее файловой системы и кончая NDS. Поэтому его следует регулярно использовать. Необходимо вести аудит аутентификации супервизора, изменений объектов NDS, сценариев регистрации в системе и полномочий пользователей.
В дополнение к стандартным средствам Novell некоторые сторонние фирмы тоже выпустили утилиты для аудита среды NetWare; эти продукты включают в себя средства как обнаружения вторжения, так и наблюдения за соответствием пользовательских полномочий принятой политике безопасности.
Полномочия пользователей
Методика назначения пользовательских полномочий должна быть тщательно продумана еще на стадии планирования сети NetWare. Ниже приводится список компонентов, которым при выработке этой методики необходимо уделить особое внимание. Помните о необходимости компромисса: слишком строгая политика безопасности приведет к увеличению доли ошибочных отказов в доступе, а слишком мягкая - к образованию "дыр" в системе защиты. Итак:
Одно из распространенных средств отражения атак - ограничение числа активных сеансов для каждой отдельной учетной записи. Запрет многократной регистрации с одинаковыми учетными атрибутами поможет предотвратить атаку в рабочие часы, по крайней мере на время сеанса того или иного пользователя. Нужно принять во внимание, что некоторые версии службы справочника не вполне адекватно реагируют на прекращение пользовательского сеанса связи, в результате чего часто возникает путаница с освобождающимися соединениями. Но в последних версиях службы справочника эта ошибка исправлена, поэтому и в NetWare 5.x и в Directory Services 8 все работает нормально.
Ограничив время доступа к определенным учетным записям, вы снизите вероятность атак на эти записи в определенные часы. Обычно эта мера применяется в рабочее время.
Процесс обнаружения вторжений включает в себя аспекты, которые следует принять во внимание. Это максимальное число неудачных попыток регистрации и время сброса блокировки учетной записи. Первый параметр определяет, сколько попыток дается пользователю для регистрации в системе до тех пор, пока его учетная запись не будет заблокирована. Заблокированная после последней неудачной попытки учетная запись может быть, затем разблокирована автоматически или администратором. Этот параметр по возможности должен иметь минимальное значение. Время сброса блокировки учетной записи обозначает промежуток времени, в течение которого учетная запись пользователя будет заблокированной до тех пор, пока не произойдет автоматического сброса блокировки. В большинстве случаев этому параметру следует присваивать максимальное значение, вследствие чего станет невозможно зарегистрироваться без вмешательства администратора.
Пользовательские шаблоны помогают администраторам создавать учетные записи, базируясь на корпоративной политике безопасности. При отсутствии шаблонов, как правило, возрастает вероятность ошибки, особенно в условиях нехватки времени. Используйте пользовательские шаблоны в соответствии с организационной схемой NDS.
Администратор может устанавливать ограничения на аутентификацию для определенных узлов. Данный метод, в частности, предотвращает попытки аутентификации с рабочих станций, не принадлежащих локальной сети. Это, правда, потребует лишних усилий от администратора, но впоследствии обеспечивает очень высокий уровень безопасности. Метод наиболее эффективен тогда, когда рабочие станции пользователей являются стационарными; в случае же с мобильными станциями при реализации данного метода администратору предстоит решить многие проблемы.
Ограничение сроков действия учетных записей особенно эффективно при использовании временных учетных записей. Даже если отсутствует постоянное администрирование, такие записи через определенный промежуток времени становятся недоступными.
Часто используется и считается весьма эффективным способом атаки на сеть угадывание пароля. Короткие пароли для такого типа атак более уязвимы. Обычно устанавливают минимальную длину пароля в 5-6 символов. Можно рассмотреть и другие случаи применения паролей.
Параметром принудительной смены пароля задается значение, определяющее, через сколько дней пользователю придется сменить пароль. По истечении указанного времени ему будет предоставлено определенное количество попыток регистрации для смены пароля до того, как доступ к учетной записи будет заблокирован. Разблокирование учетной записи потребует вмешательства администратора. Обычно рекомендуется присваивать этому параметру значение, равное 60-90 дням.
С помощью параметра предоставляемых попыток доступа (grace-logins) можно определить, сколько раз подряд пользователю разрешается пытаться зарегистрироваться для смены пароля. Если присвоить слишком большое значение этому параметру, система безопасности подвергается риску, являющемуся оборотной стороной метода принудительной смены пароля. Поэтому присваивайте этому параметру минимальное значение.
Web-серверы и FTP-серверы Novell
Во время инсталляции Web-служб Novell в раздел тома SYS записывается некое количество сценариев и средств управления приложениями, в частности NetBasic, Perl и Sewse, которые могут представлять опасность в том случае, если злоумышленник попытается использовать их в своих целях. Необходимо обязательно удалить их оттуда, чтобы в будущем они не стали источником возникновения проблем.
Обычно не рекомендуется использовать FTP-серверы в корпоративной среде. Но если это неизбежно, размещайте FTP-службу и данные на собственном отдельном томе. Не держите их на томе SYS.
Замечание об уровне безопасности C2
Требования к программно-аппаратным средствам в отношении обеспечиваемого ими уровня безопасности A, B, C и D описаны в документе Trusted Computer System Evaluation Criteria (TCSEC), опубликованном Национальным центром компьютерной безопасности (NCSC) США. Данный документ обычно именуют Оранжевой книгой. Это одна из нескольких книг известной "цветной" серии руководящих документов Агентства национальной безопасности США (National Security Agency - NSA). В соответствии с положениями Оранжевой книги основой обеспечения безопасности на уровне C2 является метод дискреционного управления доступом (Discretionary Access Control - DAC). Система не сертифицируется в качестве отвечающей требованиям уровня C2 до тех пор, пока не получит "добро" от NSA. Такие системы должны обеспечивать достаточно высокую степень безопасности.
Фирма Novell не только отказалась от идеи претендовать на официальное подтверждение соответствия ОС NetWare 5.х требованиям безопасности уровня С2, но даже не удосужилась подготовить документ, описывающий, каким образом можно привести ее продукт в соответствие с этими требованиями. Означает ли это, что в компании считают такой уровень безопасности излишним? Или, может быть, руководство фирмы не уверено в том, что ее продукт сможет успешно пройти сертификационные испытания? Однозначного ответа у нас нет.
Удостоверяющие центры Novell
В ОС NetWare 5.0 не только появилась поддержка технологии асимметричного шифрования для обеспечения безопасности сеансов связи клиентов с серверами - теперь администраторы NetWare могут использовать свои собственные удостоверяющие центры (Certificate Authority - CA), интегрированные со службой NDS. Продукт Novell Certificate Server 2.0 поддерживает спецификацию электронной почты S/MIME (Secure MIME) для клиентов Microsoft Outlook 98/2000, Novell GroupWise 5.5 (c пакетом расширения) и Netscape Messenger. Этим же продуктом поддерживаются Web-браузеры Microsoft Internet Explorer 4.x и 5.x, а также Netscape Navigator 4.x.