11. Организация объектов и безопасность сети


Сеть должна обеспечивать удобство доступа к своим ресурсам — дисковым томам, разделяемым принтерам, устройствам архивации, модемам и другим устройствам коллективного использования — в сочетании с эффективной системой их защиты от несанкционированного доступа. Эти функции с успехом решены в NetWare, разные поколения имеют свои характерные отличия, но в них прослеживаются и общие принципы защиты ресурсов. В NetWare 4.x также имеется развитая система сетевого аудита — пассивной системы всестороннего и независимого (даже от самого главного администратора!) наблюдения за действиями пользователей.

11.1 Организация сетей NetWare 3.x

Серверо-центрическая организация сетей NetWare 3.x построена на основе баз данных Bindery, отдельных и независимых для каждого сервера. Базу называют плоской (flat base) в том смысле, что все ее объекты имеют одинаковое отношение к организующему общему элементу — серверу. В многосерверной сети серверы со своими базами находятся в общем линейном списке, и поиск требуемого сервера ведется перебором списка. Из этого естественно вытекает требование к уникальности имен серверов в пределах общей сети.

База данных Bindery состоит из трех системных файлов, находящихся в каталоге SYS:SYSTEM. Файл NET$OBJ.SYS содержит список именованных объектов: пользователей, рабочих групп, файл-серверов, серверов и очередей печати. Файл NET$PROP.SYS содержит списки характеристик объектов: пароль, ограничения и балансы бюджетов, списки разрешенных пользователей, членство в группах, учитываемые ресурсы. Файл NET$VAL.SYS содержит наборы значений свойств объектов.

База каждый раз открывается при монтировании тома SYS: и закрывается при его размонтировании, ее целостность защищается средствами TTS. Открытое состояние базы является обязательным условием для регистрации пользователей.

Система оперирует категориями пользователь (User), идентифицируемый именем регистрации Login_Name, и группа (Group), идентифицируемая именем Group_Name. Группы облегчают управление множеством пользователей, сокращая объем вводимой информации для управления их свойствами. Каждый пользователь может принадлежать к нескольким группам.

Пользователь SUPERVISOR и группа EVERYONE создаются системой и не могут быть удалены. SUPERVISOR обладает абсолютными правами на сервере, и эти права не могут быть ограничены. Каждый пользователь автоматически становится членом группы EVERYONE, хотя впоследствии может быть из нее исключен. При инсталляции также создается пользователь GUEST (гость), обладающий, в дополнение к правам члена EVERYONE, правами чтения и сканирования своего почтового каталога и первоначально неограниченным бюджетом.

О каждом каждого пользователе в Bindery содержится информация, описывающая его бюджет на данном сервере и статус по отношению к другим пользователям и группам, определяющая возможности и условия использования ресурсов сервера.

Информация об опекунских назначениях является принадлежностью системы каталогов и не входит в Bindery.

По уровню привилегий различают рядовых пользователей, их менеджеров бюджета, менеджеров групп и администратора сети (SUPERVISOR).

Рядовой пользователь может использовать ресурсы сети в пределах, отпущенных ему его менеджером бюджета.

Менеджер бюджета пользователя может удалять и модифицировать часть объектов Bindery:

  • удалять подчиненных пользователей и группы;
  • включать подчиненного пользователя в подчиненную группу;
  • назначать подчиненного пользователя менеджером бюджета;
  • изменять баланс и ограничение бюджета, пароль, полное имя, процедуру регистрации, список подчиненных пользователей и групп, список менеджеров, эквивалентность по защите, ограничения станций;
  • задавать опекунские назначения в каталогах в пределах своих прав;
  • ограничивать дисковое пространство пользователей в рамках своих лимитов;
  • создавать и удалять им же созданные очереди заданий на печать.
Менеджер бюджета сам является объектом Bindery и может быть пользователем или группой. Связи менеджеров бюджета с пользователями (группами) могут задаваться с двух сторон: у каждого пользователя и группы имеется список Managed Users and Groups ("кому является менеджером") и список Managers ("кого имеет менеджером"). Списки обслуживаются утилитой SYSCON.

Менеджер рабочей группы обладает правами менеджера бюджета в пределах подчиненных ему групп и пользователей и в дополнение имеет право создания новых объектов Bindery — пользователей и рабочих групп. Он не может назначать нового менеджера рабочей группы и изменять ограничения своего бюджета (если он не назначен менеджером своего бюджета). Менеджеры рабочих групп являются не объектами Bindery, а элементами набора характеристики "Managers" объекта "SUPERVISOR", он назначается администратором из числа существующих пользователей или групп с помощью "Опций администратора" SYSCON.

Администратор сети (SUPERVISOR) обладает всеми правами управления всеми категориями пользователей и групп.

Система не позволяет ни одному менеджеру наделять другие объекты правами и предоставлять ресурсы большие, чем имеет сам менеджер.

Оператор консоли — привилегия, которой администратор сети или группы может наделить пользователя или группу с помощью опций администратора SYSCON. Оператор консоли может использовать утилиту FCONSOLE.EXE для:

  • посылки сообщений пользователям;
  • закрытия сервера;
  • доступа к списку соединений (просмотр и сброс);
  • получения информации о версии NetWare;
  • смены системного времени и даты;
  • разрешения или запрета регистрации пользователей;
  • разрешения или запрета работы TTS.

11.2 Организация сетей NetWare 4.x

В сети с сервисом Каталогов (NetWare Directory Service, NDS) все объекты сети включены в общую иерархическую структуру — Каталог, или дерево Каталогов, который может охватывать большое количество серверов и станций, иметь свои "филиалы" в произвольных местах, связанных любыми коммуникациями. При этом большое количество объектов не затрудняет их поиск благодаря иерархической организации (преимущество по сравнению с "плоской" bindery). В одной сети может присутствовать несколько деревьев Каталогов, но клиент сети может быть зарегистрирован только в одном из них. База данных объектов едина для каждого дерева, ее копии хранятся на разных серверах. При регистрации в Каталоге пользователь получает доступ (в пределах отпущенных ему прав) сразу ко всем активным ресурсам сети (точнее, данного дерева), а не одиночного сервера, как в NetWare 3.x.

Все классы элементов Каталога имеют пиктографические изображения, используемые в утилитах Windows. В утилитах DOS приходится обходиться без них, и путешествие по Каталогу напоминает работу с дисковыми каталогами DOS без оболочки.

Дерево изображается в перевернутом виде, его корень является вершиной иерархической структуры Каталога. Корень изображается планетой Земля и обозначением [Root].

Дерево имеет ветви — контейнеры (Container), на которых расположены другие ветви и объекты-листья (Leaf Object) — серверы, пользователе, тома, принтеры и пр., ради которых это дерево и выращивалось. В NetWare определено 19 типов объектов-листьев и имееется интерфейс прикладного уровня (API), позволяющий определять объекты дополнительных классов и включать их в организационную структуру Каталога.

Каждый объект Каталога может принадлежать только одному контейнеру.

В NetWare 4.x определено 3 типа контейнеров.

Контейнер-страна (Country container object) может располагаться только непосредственно под корнем, его имя — двухбуквенное сокращение названия страны в стандарте ISO (Россия — RU), обозначение в структуре имен — C (например, C=RU).

Для сетей, в которых международные связи не планируются, контейнер-страну можно и не создавать, но лучше учитывать перспективы

Контейнер-организация (Organisation container object) объединяет все объекты, принадлежащие конкретной организации (фирме), он может располагаться непосредственно под корнем или под страной (если контейнер-страна существует). Имя длиной до 64 символов может содержать пробелы, прописные и строчные буквы. Обозначение в структуре имен — O (например, O = "Piter Press" или O = PPRESS). В дереве можно создать любое количество контейнеров-организаций.

Контейнеры-подразделения (Organisation Unit) служат для структурирования объектов внутри организации, они могут располагаться только ниже контейнера-организации и иметь несколько уровней иерархии. Имя также может иметь длину до 64 символов и содержать пробелы, прописные и строчные буквы, но, поскольку это наиболее часто употребимый элемент, лучше использовать сокращения. Обозначение в структуре имен — OU (например, OU = COMPULIT).

В принципе корень [Root] также является контейнером, но так не говорят (это подразумевается, как и то, что мы все живем на Земле).

Листья (Leaf Objects) — конечные элементы дерева — могут быть созданы в любом контейнере. Их имена так же могут быть длинными, и их так же рекомендуется по возможности сокращать. Обозначение имени листа — CN (Common Name, а не Leaf Object — для совместимости с X.500).

Контекст объекта (Context) — это имя контейнера, в котором он непосредственно находится. Каждый объект может принадлежать только одному контексту, но возможно задание псевдонима (alias), который может в данном контейнере представлять объект любого другого контекста.

Полное Каталоговое имя объекта (Complete name, NDS Path name) включает его собственное имя и имена всех вышестоящих контейнеров, ведущих к самому корню дерева, и разделяемых точкой. Имена всех объектов NDS, входящих в имя, записываются слева направо и разделяются точкой. Крайним левым элементом полного имени является Common Name (CN), крайним правым — Organisation (O) или Country (C), между ними могут располагаться имена Organisation Unit (OU). Неполное имя (Partial name) объекта также начинается с CN, но заканчиваться может на любом элементе.

Например, в организации PPRESS страны RU существует подразделение COMPULIT, в котором есть еще одно подразделение AUTHORS, а в нем — пользователь MUG. Его полное имя будет выглядеть как MUG.AUTHORS.COMPULIT.PPRESS.RU и имя его контекста — AUTHORS.COMPULIT.PPRESS.RU, это написание имен называется нетипизированным (typeless name). Типизированное имя (typed name) включает и классификаторы объектов, при этом тот же пример будет выглядеть как CN=MUG.OU=AUTHORS.OU=COMPULIT.O=PPRESS.C=RU и имя контекста OU=AUTHORS.OU=COMPULIT.O=PPRESS.C=RU

Использование псевдонимов позволяет сокращать использование длинных сложных имен объектов, принадлежащих любым контекстам.

Каждый объект Каталога имеет набор свойств, в терминологии NetWare называемых атрибутами (Properties, в NWADMIN доступны через пункт меню Details), которые имеют определенные значения (Value). Наборы атрибутов для разных типов объектов различны, не все атрибуты необходимо задавать, многие устанавливаются автоматически при создании объекта. Атрибуты могут использоваться утилитами NetWare 4.x для поиска объектов по определенным признакам и их сочетаниям.

Управление доступом к объектам Каталога напоминает управление доступом к файлам и каталогам NetWare.

Существуют пять видов прав доступа к объекту (Object Rights), применимых к объектам или разделам дерева Каталогов. Права могут предоставляться пользователям и группам.

Таблица 11.1 Права доступа к объектам Каталога
SUPERVISOR неограниченный контроль над объектом
BROWSE право просмотра списков объектов
CREATE право создания новых объектов
DELETE право удаления объектов
RENAME право переименования объекта.

Для управления возможностями изменения свойств объектов существуют права доступа к атрибутам (Property Rights). Права могут предоставляться пользователям и группам для каждого конкретного атрибута объекта.

Таблица 11.2 Права доступа к атрибутам объектов Каталога
SUPERVISOR неограниченный контроль над атрибутом
READ право чтения значения атрибута
COMPARE право сравнения атрибута с заданным значением
WRITE право изменять значение атрибута
ADD OR DELETE SELF право добавлять или удалять свой объект к атрибуту-списку объектов.

Права доступа к объектам и атрибутам назначаются непосредственно пользователям и группам, а также наследуются от вышестоящих элементов иерархии (как и с файлами и каталогами). Наследование регулируется фильтрами наследуемых прав (Inheritance Rights Filter, IRF), по умолчанию прозрачными. Эффективные права доступа пользователя получаются суммированием всех прав, полученных группами, к которым он принадлежит. Индивидуальное назначение прав пользователюблокирует наследование. По умолчанию никакие права не предоставляются, их необходимо назначать явно.

База данных дерева Каталога может быть поделена на разделы (Partitions), которые могут храниться на разных серверах сети. Раздел представляет собой логическую часть дерева, начинающуюся от какого-либо контейнера и включающую все нижестоящие объекты. При установке NetWare 4.x создается корневой раздел (Root Partition).

Родительский раздел (Parent Partition) может содержать разделы-потомки (Chirld Partition). Корневой раздел является самым старшим из разделов Каталога.

Раздел базы может иметь дубликаты — копии, хранящиеся на разных серверах. Дубликаты существуют трех видов:

Главный дубликат (Master replica) — ОС считает его эталоном при операциях по изменению структуры.

Дубликат для чтения-записи (Read-Write Replica) — информация в нем может обновляться с последующей передачей в главный дубликат (своего рода кэш-буфер записи).

Дубликат только для чтения (Read-Only Replica) — информация с него может только считываться (кэш-буфер чтения).

При обращении объекта к серверу, не хранящему дубликатов раздела этого объекта, сервер строит себе список обратных ссылок (backlink), которые периодически проверяются на совместимость с базой раздела.

ОС имеет сложный механизм синхронизации дубликатов, основанный на времени внесения изменений.

Создание и обслуживание Каталога выполняется утилитами NETADMIN и NWADMIN.

Разбиение на разделы и создание дубликатов на разных серверах сети позволяет повысить надежность хранения базы данных Каталога и увеличить скорость отклика на запросы к базе.

Неудачное разбиение и расположение дубликатов может замедлить работу сети из-за обилия дальних запросов и повышения трафика синхронизации дубликатов.

К системе обслуживания каталогов относится ряд SET-команд сервера.

SET NDS TRACE TO SCREEN = OFF (ON) — вывод трассы дублирования разделов на экран;
SET NDS TRACE TO FILE = OFF (ON) — вывод трассы дублирования разделов в файл;
SET NDS TRACE FILENAME = SYSTEM\DSTRACE.DBG — задание имени файла трассы дублирования (файл размером около 500 кбайт с циклической перезаписью в случае переполнения);
SET NDS TRACE FILE LENGTH TO ZERO = OFF (ON) — очистка (ON) файла трассы дублирования и автоматический сброс флага в OFF, последующая трасса пишется с начала файла;
SET NDS CLIENT NCP RETRIES = 3 (1-20) — количество повторных попыток связи с неотвечающим объектом NDS, после которого связь разрывается;
SET NDS EXTERNAL REFERENCE LIFE SPAN=192 (1-384) — время жизни неиспользуемой внешней ссылки (в часах);
SET NDS INACTIVITY SYNCHRONIZATION INTERVAL = 30 (2-1440) — периодичность (в минутах) сеансов синхронизации неизмененных разделов. При выдаче команды происходит немедленная синхронизация;
SET NDS SYNCHRONIZATION RESTRICTIONS = OFF (ON, ver, ver)- отключение ограничений на версию NDS или перечисление версий, с которыми необходимо устанавливать синхронизацию (например, ON, 401, 402);
SET NDS SERVERS STATUS = UP/DOWN- установка состояния всех объектов-серверов в локальной базе. После установки UP реальное состояние установится после первого же сеанса проверки;
SET NDS JANITOR INTERVAL = 60 (1-10080 минут) — интервал запуска "сборщика мусора" базы NDS, очищающего освободившееся дисковое пространство;
SET NDS BACKLINK INTERVAL = 780 (2-10080 минут) — интервал проверки совместимости обратных ссылок;
SET BINDERY CONTEXT = ou_name[;ou_name] — заносит имена контекстов (до 16) в список эмуляторов Bindery (доступно и из STARTUP.NCF)

Таблица 11.3 Объекты-контейнеры
Country контейнер-страна
Organisation контейнер-организация
Organisation Unit контейнер-подразделение

Таблица 11.4 Объекты-листья
User пользователь
Group группа пользователей (объединяющий признак)
Profile профиль (хранитель профильной процедуры регистрации)
Organisation Role список прав доступа пользователей к ресурсам Каталога
Alias псевдоним, используется для представления другого объекта в данном контексте (значок ставится в сочетании с пиктограммой представляемого объекта)
NetWare Server сервер с ОС NetWare
Bindery Object продукт модернизации сервера NetWare 3.x и младше
Volume дисковый том NetWare
Directory Map отображение каталога файл-сервера
Bindery Queue очередь печати на сервере с Bindery
Print Queue очередь печати NetWare 4.x
Print Server сервер печати (запущенная программа PSERVER)
Printer принтер
AFP Server сервер протокола AppleTalk Filling Protocol.
Messagin Server сервер MHS
Message Routing Group группа связанных серверов MHS
Distribution List список объектов-получателей сообщений MHS
Computer компьютер (не сервер)
External Entity ссылка на объект, не принадлежащий Каталогу

При инсталляции NetWare 4.x создается единственный пользователь (User) ADMIN с неограниченными правами во вновь созданном дереве. При подключении нового сервера к сети используется ADMIN уже существующего дерева.

Все пользователи Каталога для удобства администрирования могут объединяться в любые группы (Group), для которых деление на контейнеры не является преградой.

Привилегии пользователей и групп определяются правами, назначенными им в объектах и атрибутах объектов Каталога (нет жесткого деления привилегий, как это было в Bindery).

Удобным средством предоставления прав являются организационные списки (Organizational Role). Это объекты Каталога, которым можно назначить определенные права. Далее каждый пользователь, включенный в этот список, получает эквивалентность ему по защите.

В Bindery эквивалентность по защите назначалась по отношению к реальному пользователю, что нарушало его суверенитет.

Доступ к сервису Каталогов (NDS) имеют только клиенты NetWare 4.x (для станций DOS/Windows это запросчик VLM, для Windows 95 — клиент Microsoft с установленной службой каталогов или клиент Novell). Для обеспечения преемственности версий в NetWare 4.x существует эмуляция Bindery, позволяющая старым клиентам (с оболочкой NETx) подключаться к серверу NetWare 4.x под именами пользователей, находящихся с ним в одном контексте и пользоваться ресурсами ограниченного списка контекстов.

11.3 Безопасность

Безопасность хранения данных, — конфиденциальность и предотвращение несанкционированного изменения или уничтожения — обеспечивается несколькими путями. О надежности защиты имеет смысл говорить лишь в предположении, что неконтролируемый физический доступ потенциальных нарушителей к файл-серверу исключен. В противном случае искушенный нарушитель может получить доступ ко всем файлам сервера, хотя для непрерывно работающих в сети клиентов это событие не останется незамеченным.

Защита регистрации

В NetWare защита регистрации включает в себя систему имен и паролей пользователей, ограничения времени и списка возможных станций.

Блокировать попытку подбора правильного сочетания имени и пароля пользователя помогает активизация системы обнаружения/захвата нарушителя (Intruder Detection/Lockout) "Опций администратора" SYSCON.EXE. Система позволяет выявить нарушителя, пытающегося зарегистрироваться с неверным паролем подряд более заданного количества раз (по умолчанию — 7). Счетчик ошибок обнуляется при успешной регистрации или по истечении периода времени сброса неверных попыток с момента последней ошибочной попытки (по умолчанию — 30 мин). Если включен захват нарушителя, то по достижении порога ошибочных попыток бюджет пользователя, именем которого пытаются воспользоваться, блокируется на время, определенное периодом блокирования бюджета (по умолчанию 15 мин).

При установленном сервисе системы учета на сервере создается двоичный файл регистрации событий NET$ACCT.DAT. В нем содержится хронология всех регистраций и разрегистраций пользователей на сервере, а также фиксируются попытки регистрации нарушителей. Просмотр журнала в текстовом виде и его очистку выполняет утилита PAUDIT.EXE.

Защита от несанкционированного подключения к сети

Защиту регистрации можно попытаться взломать, посылая серверу "самодельные" пакеты запросов, в которых используется информация из перехваченных пакетов сеансов легальных пользователей. Технически мониторинг всех пакетов сети с шинной топологией возможен на любой рабочей станции при соответствующих возможностях сетевого адаптера и программного обеспечения. Организационной мерой пресечения попыток таких нарушений является ограничение физического доступа потенциальных нарушителей к станциям сети.

Для архитектуры Ethernet несанкционированное подключение к толстому кабелю можно осуществить незаметно для системы (если передатчик нарушителя не обнаружит себя посылкой пакета, в котором будет содержаться адрес узла, отличный от известных администратору сети). При визуальном осмотре кабеля лишний трансивер, скорее всего, будет замечен.

Для тонкого кабеля незаметное подключение возможно лишь при использовании существующих разъемов (разрыв сегмента на несколько секунд не приведет к потере соединений). При разрезании кабеля и установке новых разъемов эта процедура, занимающая несколько минут, почти наверняка приведет к потере какого-либо установленного соединения, что может привлечь внимание пользователей. Драйвер сетевого адаптера сервера этого не заметит, поскольку обрыв кабеля распознается при отсутствии обоих терминаторов, а в этом случае на каждом обрезке сегмента останется по одному из них.

Для витой пары дополнительное подключение возможно лишь к свободным портам хабов, а использование интеллектуальных хабов со встроенной защитой вообще не позволит осуществить подключение без ведома администратора.

Оптоволокно в качестве среды передачи также сильно затрудняет несанкционированный доступ.

Мониторинг пакетов может иметь целью "подглядывание" пароля, обеспечивающего доступ к важным ресурсам. NetWare-386 по умолчанию использует шифрованные пароли. Если сервер работает в сети совместно с серверами 2.0 или 2.1x с необновленными утилитами, или со станциями, использующими оболочку из версии 2.x, необходимо разрешить использование и нешифрованных паролей консольной командой

SET ALLOW UNENCRYPTED PASSWORDS = ON, по умолчанию OFF.

Подделав пакет NCP, пользователь на рабочей станции может выдать себя за более привилегированного пользователя (SUPERVISOR) и получить несанкционированный доступ к системе и ресурсам. Для защиты от подделки пакетов применяется сигнатура пакетов NCP — подпись, меняющаяся от пакета к пакету. Пакеты NCP с некорректной сигнатурой игнорируются, но на станцию, консоль и в журнал системных ошибок отправляется диагностическое сообщение с адресом станции и регистрационным именем.

Уровень сигнатуры для сервера определяется командой
SET NCP PACKET SIGNATURE OPTION = 1 (0-3),
доступной и из STARTUP.NCF. Во время работы его можно только увеличивать. Значения уровней: 0 — сервер никогда не подписывает пакеты; 1 — подписывает только по запросу клиента; 2 — подписывает, если клиент способен подписывать; 3 — всегда подписывает и требует подписи от клиентов (иначе не позволит регистрацию).
Применение сигнатур может снижать производительность сервера, но является необходимой мерой предосторожности при наличии на сервере особо ценной информации и доступности станций или кабелей для потенциальных нарушителей. Уровень сигнатур сервера должен быть согласован с возможностями станций.

Защита посредством назначения прав доступа и атрибутов

Защита через права обеспечивает разграничение доступа к каталогам и файлам. Здесь необходимо следить за опекунскими назначениями, масками прав и назначениями эквивалентности по защите. Особого внимания заслуживает каталог SYS:SYSTEM, который содержит ключевые элементы защиты.

Файл AUTOEXEC.NCF может содержать пароль удаленной консоли в команде LOAD REMOTE, дающий доступ к консоли сервера с рабочей станции.

В NetWare 4.x используйте шифрование пароля удаленной консоли (см. вопрос в главе 1)

Этот же каталог является единственным хранителем .NLM-файлов после выполнения команды SECURE CONSOLE, и гарантированное отсутствие в нем пиратских модулей усиливает защиту системы.

На сервере NetWare 3.x файлы Bindery, хранящие имена, пароли и привилегии всех пользователей, при наличии права записи в SYS:SYSTEM, можно подменить, записав свои файлы NET$OBJ.OLD, NET$PROP.OLD и NET$VAL.OLD и выполнив утилиту BINDREST.

Для усиления защиты в особо ответственных случаях стоит удалить INSTALL.NLM из каталога SYS:SYSTEM, чтобы исключить возможность переименования томов с консоли сервера, в результате которого при некотором знании системы можно получить новую Bindery с двумя пользователями GUEST и SUPERVISOR, не требующими пароля, но обладающими своими штатными правами. В "мирных целях" при наличии копий старой Bindery эти манипуляции можно использовать для переустановки потерянного пароля супервизора с сохранением всех пользователей и групп.

Рядовые пользователи не должны иметь никаких прав в каталоге SYS:SYSTEM. В каталогах SYS:PUBLIC и SYS:LOGIN они должны иметь права сканирования и чтения [R F] для нормального использования утилит, в каталоге SYS:MAIL — права создания и записи [W C] для использования электронной почты.

Право контроля доступа [A] в корневом каталоге означает возможность присвоения любого права доступа во всем томе.

Защита файлов и каталогов с помощью атрибутов подразумевает взвешенное назначение права модификации, позволяющего снимать сдерживающие атрибуты.

Проверка надежности системы безопасности осуществляется утилитой SECURITY.EXE, хранящейся в SYS:SYSTEM. Она выявляет пользователей, для которых не требуется пароля или имеющих ненадежный пароль (совпадающий с именем, короче 5 символов или со сроком использования более 60 дней, а также без требования уникальности), имеющих эквивалентность по защите SUPERVISOR, или имеющих права в корневых каталогах, или имеющих чрезмерные права в каталогах SYS:SYSTEM, SYS:LOGIN, SYS:PUBLIC, SYS:MAIL.

Для обычной работы в сети администраторам системы и рабочих групп следует создавать отдельные имена регистрации — бюджеты без чрезвычайных привилегий, чтобы их станцией, случайно оставленной в зарегистрированном состоянии, не смог воспользоваться нарушитель с целью завладения дополнительными правами (при выполнении задач администрирования можно и повысить бдительность).

Чтобы не попасть в ловушку при утере пароля, SUPERVISOR может назначить пользователю, которому он абсолютно доверяет, эквивалентность себе по защите, или, что безопаснее, назначить его менеджером своего бюджета.

Также рекомендуется иметь на дискете копию Bindery, в которой SUPERVISOR не имеет пароля, и при необходимости восстановить ее с помощью BINDREST.EXE (правда, для этого нужно получить доступ в SYS:SYSTEM по записи, но это можно и обойти).

Отражение и дублирование сервера

Надежность хранения данных обеспечивается встроенными средствами SFT операционной системы. Более высокий уровень отказоустойчивости обеспечивается применением SFT III — операционной системы с зеркальным сервером. Эта система подразумевает наличие сервера-дублера, совпадающего с основным сервером по объему оперативной (не менее 12 Мбайт) и дисковой памяти, подключенным локальным сетям и даже по применяемому видеоадаптеру. Серверы связываются между собой через специальные скоростные MSL (Mirrored Server Link) адаптеры по специальной линии связи. В зависимости от модели MSL-адаптера и линии связи (коаксиал, витая пара или оптоволокно) допускается удаленность серверов от десятков метров до нескольких километров, что обеспечивает живучесть сети даже при пожарах, авариях и стихийных бедствиях.

В нормальном режиме все запросы обслуживаются только основным сервером, а MSL обеспечивает на резервном сервере состояние памяти и дисковой системы, идентичное основному. В случае аварии основного сервера в работу включается резервный. Новая версия оболочки (запросчика) позволяет рабочей станции автоматически (без обращения к пользователю) переключаться на резервный сервер в случае потери соединения с основным сервером.

Зеркальные серверы позволяют производить техобслуживание, требующее остановки сервера, без прерывания работы пользователей. Вся информация о сбоях и ошибках выводится на консоль и записывается в файл-журнал. SFT III — первый продукт Novell, поставляемый со средствами тестирования, позволяющими имитировать сбои и системные ошибки и анализировать реакцию системы.

SFT III в зависимости от версии может вносить ограничения на используемые сетевые продукты. По причине исключительной редкости применения (только в самых ответственных сетях) цена аппаратных и программных средств довольно высокая.

Для NetWare 4.x поддержка зеркального сервера SFT III включена в обычную поставку на CD-ROM в виде опции утилиты INSTALL.

Дублирование сервера, в отличие от SFT III, является стандартной мерой обеспечения надежности хранения данных и означает периодическое копирование томов (каталогов, файлов) на внешний по отношению к серверу носитель. Дублирование возможно на другой сервер, локальный диск станции (внутренний или сменный), магнитную ленту или дискеты. В случае потери данных на сервере они могут быть восстановлены с копии с сохранением их сетевых атрибутов, списков доверенных пользователей и групп. В зависимости от требований к надежности и свежести копий применяется различное количество носителей для каждого набора данных и дисциплина их чередования. В любом случае носителей должно быть не менее двух с тем, чтобы всегда была хоть одна целая копия (отказ сервера во время копирования может привести к потере данных и на сервере, и на используемом носителе одновременно).

Сетевой аудит в NetWare 4.x

Аудит в NetWare 4.x позволяет отслеживать действия пользователей по работе с деревом Каталогов NDS, а также события файлов, каталогов, очередей, серверов и пользователей.

Аудит NDS устанавливает наблюдение за событиями дерева Каталогов, относящимися к данному контейнеру (возможно наблюдение 27 классов событий), выполняемыми определенным списком пользователей разных контейнеров.

Установка аудита относится только к указанному контейнеру и не распространяется на дочерние контейнеры, для которых при необходимости аудит включается явно.

Аудит событий файлов и каталогов позволяет отслеживать открытие, закрытие, создание, удаление, восстановление, чтение, запись, перемещение и модификацию. Возможен сбор информации о событиях, вызванных любыми пользователями (Global Events), о событиях, связанных с определенным файлом и определенным пользователем (User and File events) и о событиях, связанных с действиями любых пользователей над данным файлом или выбранных пользователей над любыми файлами (User or File Events).

События очередей печати включают создание, удаление и изменение очередей, создание и обслуживание заданий печати.

События сервера включают изменение даты и времени, остановку и загрузку сервера, монтирование и размонтирование томов и некоторые другие.

Пользовательские события включают вход и выход из сети, изменение учетной информации.

При просмотре или создании файлов отчетов для сокращения объема выводимой информации могут применяться фильтры пользователей и событий.

Аудит объектов назначается администратором, и после передачи паролей аудиторам (можно и нескольким) управляется ими. Все действия по системе аудита выполняются только с помощью утилиты AUDITCON.EXE.

Для обеспечения возможности одновременной работы нескольких аудиторов в опциях AUDITCON необходимо установить Allow Concurrent Auditor Logins.

Аудиторы могут отключать аудит объектов, но для возможности его включения они должны обладать правом SUPERVISOR по отношению к данному объекту.

Система аудита сугубо пассивная, она не ограничивает действий пользователей, а только наблюдает за ними.

 

 

Дополнительно

11. Организация объектов и безопасность сети

11. Организация объектов и безопасность сети

Сеть должна обеспечивать удобство доступа к своим ресурсам — дисковым томам, разделяемым принтерам, устройствам архивации, модемам и другим устройствам коллективного использования — в сочетании с эффективной системой их защиты от несанкционированного доступа. Эти функции с успехом решены в NetWare, разные поколения имеют свои характерные отличия, но в них прослеживаются и общие принципы защиты ресурсов. В NetWare 4.x также имеется развитая система сетевого аудита — пассивной системы всестороннего и независимого (даже от самого главного администратора!) наблюдения за действиями пользователей.

11.1 Организация сетей NetWare 3.x

Серверо-центрическая организация сетей NetWare 3.x построена на основе баз данных Bindery, отдельных и независимых для каждого сервера. Базу называют плоской (flat base) в том смысле, что все ее объекты имеют одинаковое отношение к организующему общему элементу — серверу. В многосерверной сети серверы со своими базами находятся в общем линейном списке, и поиск требуемого сервера ведется перебором списка. Из этого естественно вытекает требование к уникальности имен серверов в пределах общей сети.

База данных Bindery состоит из трех системных файлов, находящихся в каталоге SYS:SYSTEM. Файл NET$OBJ.SYS содержит список именованных объектов: пользователей, рабочих групп, файл-серверов, серверов и очередей печати. Файл NET$PROP.SYS содержит списки характеристик объектов: пароль, ограничения и балансы бюджетов, списки разрешенных пользователей, членство в группах, учитываемые ресурсы. Файл NET$VAL.SYS содержит наборы значений свойств объектов.

База каждый раз открывается при монтировании тома SYS: и закрывается при его размонтировании, ее целостность защищается средствами TTS. Открытое состояние базы является обязательным условием для регистрации пользователей.

Система оперирует категориями пользователь (User), идентифицируемый именем регистрации Login_Name, и группа (Group), идентифицируемая именем Group_Name. Группы облегчают управление множеством пользователей, сокращая объем вводимой информации для управления их свойствами. Каждый пользователь может принадлежать к нескольким группам.

Пользователь SUPERVISOR и группа EVERYONE создаются системой и не могут быть удалены. SUPERVISOR обладает абсолютными правами на сервере, и эти права не могут быть ограничены. Каждый пользователь автоматически становится членом группы EVERYONE, хотя впоследствии может быть из нее исключен. При инсталляции также создается пользователь GUEST (гость), обладающий, в дополнение к правам члена EVERYONE, правами чтения и сканирования своего почтового каталога и первоначально неограниченным бюджетом.

О каждом каждого пользователе в Bindery содержится информация, описывающая его бюджет на данном сервере и статус по отношению к другим пользователям и группам, определяющая возможности и условия использования ресурсов сервера.

Информация об опекунских назначениях является принадлежностью системы каталогов и не входит в Bindery.

По уровню привилегий различают рядовых пользователей, их менеджеров бюджета, менеджеров групп и администратора сети (SUPERVISOR).

Рядовой пользователь может использовать ресурсы сети в пределах, отпущенных ему его менеджером бюджета.

Менеджер бюджета пользователя может удалять и модифицировать часть объектов Bindery:

  • удалять подчиненных пользователей и группы;
  • включать подчиненного пользователя в подчиненную группу;
  • назначать подчиненного пользователя менеджером бюджета;
  • изменять баланс и ограничение бюджета, пароль, полное имя, процедуру регистрации, список подчиненных пользователей и групп, список менеджеров, эквивалентность по защите, ограничения станций;
  • задавать опекунские назначения в каталогах в пределах своих прав;
  • ограничивать дисковое пространство пользователей в рамках своих лимитов;
  • создавать и удалять им же созданные очереди заданий на печать.
Менеджер бюджета сам является объектом Bindery и может быть пользователем или группой. Связи менеджеров бюджета с пользователями (группами) могут задаваться с двух сторон: у каждого пользователя и группы имеется список Managed Users and Groups ("кому является менеджером") и список Managers ("кого имеет менеджером"). Списки обслуживаются утилитой SYSCON.

Менеджер рабочей группы обладает правами менеджера бюджета в пределах подчиненных ему групп и пользователей и в дополнение имеет право создания новых объектов Bindery — пользователей и рабочих групп. Он не может назначать нового менеджера рабочей группы и изменять ограничения своего бюджета (если он не назначен менеджером своего бюджета). Менеджеры рабочих групп являются не объектами Bindery, а элементами набора характеристики "Managers" объекта "SUPERVISOR", он назначается администратором из числа существующих пользователей или групп с помощью "Опций администратора" SYSCON.

Администратор сети (SUPERVISOR) обладает всеми правами управления всеми категориями пользователей и групп.

Система не позволяет ни одному менеджеру наделять другие объекты правами и предоставлять ресурсы большие, чем имеет сам менеджер.

Оператор консоли — привилегия, которой администратор сети или группы может наделить пользователя или группу с помощью опций администратора SYSCON. Оператор консоли может использовать утилиту FCONSOLE.EXE для:

  • посылки сообщений пользователям;
  • закрытия сервера;
  • доступа к списку соединений (просмотр и сброс);
  • получения информации о версии NetWare;
  • смены системного времени и даты;
  • разрешения или запрета регистрации пользователей;
  • разрешения или запрета работы TTS.

11.2 Организация сетей NetWare 4.x

В сети с сервисом Каталогов (NetWare Directory Service, NDS) все объекты сети включены в общую иерархическую структуру — Каталог, или дерево Каталогов, который может охватывать большое количество серверов и станций, иметь свои "филиалы" в произвольных местах, связанных любыми коммуникациями. При этом большое количество объектов не затрудняет их поиск благодаря иерархической организации (преимущество по сравнению с "плоской" bindery). В одной сети может присутствовать несколько деревьев Каталогов, но клиент сети может быть зарегистрирован только в одном из них. База данных объектов едина для каждого дерева, ее копии хранятся на разных серверах. При регистрации в Каталоге пользователь получает доступ (в пределах отпущенных ему прав) сразу ко всем активным ресурсам сети (точнее, данного дерева), а не одиночного сервера, как в NetWare 3.x.

Все классы элементов Каталога имеют пиктографические изображения, используемые в утилитах Windows. В утилитах DOS приходится обходиться без них, и путешествие по Каталогу напоминает работу с дисковыми каталогами DOS без оболочки.

Дерево изображается в перевернутом виде, его корень является вершиной иерархической структуры Каталога. Корень изображается планетой Земля и обозначением [Root].

Дерево имеет ветви — контейнеры (Container), на которых расположены другие ветви и объекты-листья (Leaf Object) — серверы, пользователе, тома, принтеры и пр., ради которых это дерево и выращивалось. В NetWare определено 19 типов объектов-листьев и имееется интерфейс прикладного уровня (API), позволяющий определять объекты дополнительных классов и включать их в организационную структуру Каталога.

Каждый объект Каталога может принадлежать только одному контейнеру.

В NetWare 4.x определено 3 типа контейнеров.

Контейнер-страна (Country container object) может располагаться только непосредственно под корнем, его имя — двухбуквенное сокращение названия страны в стандарте ISO (Россия — RU), обозначение в структуре имен — C (например, C=RU).

Для сетей, в которых международные связи не планируются, контейнер-страну можно и не создавать, но лучше учитывать перспективы

Контейнер-организация (Organisation container object) объединяет все объекты, принадлежащие конкретной организации (фирме), он может располагаться непосредственно под корнем или под страной (если контейнер-страна существует). Имя длиной до 64 символов может содержать пробелы, прописные и строчные буквы. Обозначение в структуре имен — O (например, O = "Piter Press" или O = PPRESS). В дереве можно создать любое количество контейнеров-организаций.

Контейнеры-подразделения (Organisation Unit) служат для структурирования объектов внутри организации, они могут располагаться только ниже контейнера-организации и иметь несколько уровней иерархии. Имя также может иметь длину до 64 символов и содержать пробелы, прописные и строчные буквы, но, поскольку это наиболее часто употребимый элемент, лучше использовать сокращения. Обозначение в структуре имен — OU (например, OU = COMPULIT).

В принципе корень [Root] также является контейнером, но так не говорят (это подразумевается, как и то, что мы все живем на Земле).

Листья (Leaf Objects) — конечные элементы дерева — могут быть созданы в любом контейнере. Их имена так же могут быть длинными, и их так же рекомендуется по возможности сокращать. Обозначение имени листа — CN (Common Name, а не Leaf Object — для совместимости с X.500).

Контекст объекта (Context) — это имя контейнера, в котором он непосредственно находится. Каждый объект может принадлежать только одному контексту, но возможно задание псевдонима (alias), который может в данном контейнере представлять объект любого другого контекста.

Полное Каталоговое имя объекта (Complete name, NDS Path name) включает его собственное имя и имена всех вышестоящих контейнеров, ведущих к самому корню дерева, и разделяемых точкой. Имена всех объектов NDS, входящих в имя, записываются слева направо и разделяются точкой. Крайним левым элементом полного имени является Common Name (CN), крайним правым — Organisation (O) или Country (C), между ними могут располагаться имена Organisation Unit (OU). Неполное имя (Partial name) объекта также начинается с CN, но заканчиваться может на любом элементе.

Например, в организации PPRESS страны RU существует подразделение COMPULIT, в котором есть еще одно подразделение AUTHORS, а в нем — пользователь MUG. Его полное имя будет выглядеть как MUG.AUTHORS.COMPULIT.PPRESS.RU и имя его контекста — AUTHORS.COMPULIT.PPRESS.RU, это написание имен называется нетипизированным (typeless name). Типизированное имя (typed name) включает и классификаторы объектов, при этом тот же пример будет выглядеть как CN=MUG.OU=AUTHORS.OU=COMPULIT.O=PPRESS.C=RU и имя контекста OU=AUTHORS.OU=COMPULIT.O=PPRESS.C=RU

Использование псевдонимов позволяет сокращать использование длинных сложных имен объектов, принадлежащих любым контекстам.

Каждый объект Каталога имеет набор свойств, в терминологии NetWare называемых атрибутами (Properties, в NWADMIN доступны через пункт меню Details), которые имеют определенные значения (Value). Наборы атрибутов для разных типов объектов различны, не все атрибуты необходимо задавать, многие устанавливаются автоматически при создании объекта. Атрибуты могут использоваться утилитами NetWare 4.x для поиска объектов по определенным признакам и их сочетаниям.

Управление доступом к объектам Каталога напоминает управление доступом к файлам и каталогам NetWare.

Существуют пять видов прав доступа к объекту (Object Rights), применимых к объектам или разделам дерева Каталогов. Права могут предоставляться пользователям и группам.

Таблица 11.1 Права доступа к объектам Каталога
SUPERVISOR неограниченный контроль над объектом
BROWSE право просмотра списков объектов
CREATE право создания новых объектов
DELETE право удаления объектов
RENAME право переименования объекта.

Для управления возможностями изменения свойств объектов существуют права доступа к атрибутам (Property Rights). Права могут предоставляться пользователям и группам для каждого конкретного атрибута объекта.

Таблица 11.2 Права доступа к атрибутам объектов Каталога
SUPERVISOR неограниченный контроль над атрибутом
READ право чтения значения атрибута
COMPARE право сравнения атрибута с заданным значением
WRITE право изменять значение атрибута
ADD OR DELETE SELF право добавлять или удалять свой объект к атрибуту-списку объектов.

Права доступа к объектам и атрибутам назначаются непосредственно пользователям и группам, а также наследуются от вышестоящих элементов иерархии (как и с файлами и каталогами). Наследование регулируется фильтрами наследуемых прав (Inheritance Rights Filter, IRF), по умолчанию прозрачными. Эффективные права доступа пользователя получаются суммированием всех прав, полученных группами, к которым он принадлежит. Индивидуальное назначение прав пользователюблокирует наследование. По умолчанию никакие права не предоставляются, их необходимо назначать явно.

База данных дерева Каталога может быть поделена на разделы (Partitions), которые могут храниться на разных серверах сети. Раздел представляет собой логическую часть дерева, начинающуюся от какого-либо контейнера и включающую все нижестоящие объекты. При установке NetWare 4.x создается корневой раздел (Root Partition).

Родительский раздел (Parent Partition) может содержать разделы-потомки (Chirld Partition). Корневой раздел является самым старшим из разделов Каталога.

Раздел базы может иметь дубликаты — копии, хранящиеся на разных серверах. Дубликаты существуют трех видов:

Главный дубликат (Master replica) — ОС считает его эталоном при операциях по изменению структуры.

Дубликат для чтения-записи (Read-Write Replica) — информация в нем может обновляться с последующей передачей в главный дубликат (своего рода кэш-буфер записи).

Дубликат только для чтения (Read-Only Replica) — информация с него может только считываться (кэш-буфер чтения).

При обращении объекта к серверу, не хранящему дубликатов раздела этого объекта, сервер строит себе список обратных ссылок (backlink), которые периодически проверяются на совместимость с базой раздела.

ОС имеет сложный механизм синхронизации дубликатов, основанный на времени внесения изменений.

Создание и обслуживание Каталога выполняется утилитами NETADMIN и NWADMIN.

Разбиение на разделы и создание дубликатов на разных серверах сети позволяет повысить надежность хранения базы данных Каталога и увеличить скорость отклика на запросы к базе.

Неудачное разбиение и расположение дубликатов может замедлить работу сети из-за обилия дальних запросов и повышения трафика синхронизации дубликатов.

К системе обслуживания каталогов относится ряд SET-команд сервера.

SET NDS TRACE TO SCREEN = OFF (ON) — вывод трассы дублирования разделов на экран;
SET NDS TRACE TO FILE = OFF (ON) — вывод трассы дублирования разделов в файл;
SET NDS TRACE FILENAME = SYSTEM\DSTRACE.DBG — задание имени файла трассы дублирования (файл размером около 500 кбайт с циклической перезаписью в случае переполнения);
SET NDS TRACE FILE LENGTH TO ZERO = OFF (ON) — очистка (ON) файла трассы дублирования и автоматический сброс флага в OFF, последующая трасса пишется с начала файла;
SET NDS CLIENT NCP RETRIES = 3 (1-20) — количество повторных попыток связи с неотвечающим объектом NDS, после которого связь разрывается;
SET NDS EXTERNAL REFERENCE LIFE SPAN=192 (1-384) — время жизни неиспользуемой внешней ссылки (в часах);
SET NDS INACTIVITY SYNCHRONIZATION INTERVAL = 30 (2-1440) — периодичность (в минутах) сеансов синхронизации неизмененных разделов. При выдаче команды происходит немедленная синхронизация;
SET NDS SYNCHRONIZATION RESTRICTIONS = OFF (ON, ver, ver)- отключение ограничений на версию NDS или перечисление версий, с которыми необходимо устанавливать синхронизацию (например, ON, 401, 402);
SET NDS SERVERS STATUS = UP/DOWN- установка состояния всех объектов-серверов в локальной базе. После установки UP реальное состояние установится после первого же сеанса проверки;
SET NDS JANITOR INTERVAL = 60 (1-10080 минут) — интервал запуска "сборщика мусора" базы NDS, очищающего освободившееся дисковое пространство;
SET NDS BACKLINK INTERVAL = 780 (2-10080 минут) — интервал проверки совместимости обратных ссылок;
SET BINDERY CONTEXT = ou_name[;ou_name] — заносит имена контекстов (до 16) в список эмуляторов Bindery (доступно и из STARTUP.NCF)

Таблица 11.3 Объекты-контейнеры
Country контейнер-страна
Organisation контейнер-организация
Organisation Unit контейнер-подразделение

Таблица 11.4 Объекты-листья
User пользователь
Group группа пользователей (объединяющий признак)
Profile профиль (хранитель профильной процедуры регистрации)
Organisation Role список прав доступа пользователей к ресурсам Каталога
Alias псевдоним, используется для представления другого объекта в данном контексте (значок ставится в сочетании с пиктограммой представляемого объекта)
NetWare Server сервер с ОС NetWare
Bindery Object продукт модернизации сервера NetWare 3.x и младше
Volume дисковый том NetWare
Directory Map отображение каталога файл-сервера
Bindery Queue очередь печати на сервере с Bindery
Print Queue очередь печати NetWare 4.x
Print Server сервер печати (запущенная программа PSERVER)
Printer принтер
AFP Server сервер протокола AppleTalk Filling Protocol.
Messagin Server сервер MHS
Message Routing Group группа связанных серверов MHS
Distribution List список объектов-получателей сообщений MHS
Computer компьютер (не сервер)
External Entity ссылка на объект, не принадлежащий Каталогу

При инсталляции NetWare 4.x создается единственный пользователь (User) ADMIN с неограниченными правами во вновь созданном дереве. При подключении нового сервера к сети используется ADMIN уже существующего дерева.

Все пользователи Каталога для удобства администрирования могут объединяться в любые группы (Group), для которых деление на контейнеры не является преградой.

Привилегии пользователей и групп определяются правами, назначенными им в объектах и атрибутах объектов Каталога (нет жесткого деления привилегий, как это было в Bindery).

Удобным средством предоставления прав являются организационные списки (Organizational Role). Это объекты Каталога, которым можно назначить определенные права. Далее каждый пользователь, включенный в этот список, получает эквивалентность ему по защите.

В Bindery эквивалентность по защите назначалась по отношению к реальному пользователю, что нарушало его суверенитет.

Доступ к сервису Каталогов (NDS) имеют только клиенты NetWare 4.x (для станций DOS/Windows это запросчик VLM, для Windows 95 — клиент Microsoft с установленной службой каталогов или клиент Novell). Для обеспечения преемственности версий в NetWare 4.x существует эмуляция Bindery, позволяющая старым клиентам (с оболочкой NETx) подключаться к серверу NetWare 4.x под именами пользователей, находящихся с ним в одном контексте и пользоваться ресурсами ограниченного списка контекстов.

11.3 Безопасность

Безопасность хранения данных, — конфиденциальность и предотвращение несанкционированного изменения или уничтожения — обеспечивается несколькими путями. О надежности защиты имеет смысл говорить лишь в предположении, что неконтролируемый физический доступ потенциальных нарушителей к файл-серверу исключен. В противном случае искушенный нарушитель может получить доступ ко всем файлам сервера, хотя для непрерывно работающих в сети клиентов это событие не останется незамеченным.

Защита регистрации

В NetWare защита регистрации включает в себя систему имен и паролей пользователей, ограничения времени и списка возможных станций.

Блокировать попытку подбора правильного сочетания имени и пароля пользователя помогает активизация системы обнаружения/захвата нарушителя (Intruder Detection/Lockout) "Опций администратора" SYSCON.EXE. Система позволяет выявить нарушителя, пытающегося зарегистрироваться с неверным паролем подряд более заданного количества раз (по умолчанию — 7). Счетчик ошибок обнуляется при успешной регистрации или по истечении периода времени сброса неверных попыток с момента последней ошибочной попытки (по умолчанию — 30 мин). Если включен захват нарушителя, то по достижении порога ошибочных попыток бюджет пользователя, именем которого пытаются воспользоваться, блокируется на время, определенное периодом блокирования бюджета (по умолчанию 15 мин).

При установленном сервисе системы учета на сервере создается двоичный файл регистрации событий NET$ACCT.DAT. В нем содержится хронология всех регистраций и разрегистраций пользователей на сервере, а также фиксируются попытки регистрации нарушителей. Просмотр журнала в текстовом виде и его очистку выполняет утилита PAUDIT.EXE.

Защита от несанкционированного подключения к сети

Защиту регистрации можно попытаться взломать, посылая серверу "самодельные" пакеты запросов, в которых используется информация из перехваченных пакетов сеансов легальных пользователей. Технически мониторинг всех пакетов сети с шинной топологией возможен на любой рабочей станции при соответствующих возможностях сетевого адаптера и программного обеспечения. Организационной мерой пресечения попыток таких нарушений является ограничение физического доступа потенциальных нарушителей к станциям сети.

Для архитектуры Ethernet несанкционированное подключение к толстому кабелю можно осуществить незаметно для системы (если передатчик нарушителя не обнаружит себя посылкой пакета, в котором будет содержаться адрес узла, отличный от известных администратору сети). При визуальном осмотре кабеля лишний трансивер, скорее всего, будет замечен.

Для тонкого кабеля незаметное подключение возможно лишь при использовании существующих разъемов (разрыв сегмента на несколько секунд не приведет к потере соединений). При разрезании кабеля и установке новых разъемов эта процедура, занимающая несколько минут, почти наверняка приведет к потере какого-либо установленного соединения, что может привлечь внимание пользователей. Драйвер сетевого адаптера сервера этого не заметит, поскольку обрыв кабеля распознается при отсутствии обоих терминаторов, а в этом случае на каждом обрезке сегмента останется по одному из них.

Для витой пары дополнительное подключение возможно лишь к свободным портам хабов, а использование интеллектуальных хабов со встроенной защитой вообще не позволит осуществить подключение без ведома администратора.

Оптоволокно в качестве среды передачи также сильно затрудняет несанкционированный доступ.

Мониторинг пакетов может иметь целью "подглядывание" пароля, обеспечивающего доступ к важным ресурсам. NetWare-386 по умолчанию использует шифрованные пароли. Если сервер работает в сети совместно с серверами 2.0 или 2.1x с необновленными утилитами, или со станциями, использующими оболочку из версии 2.x, необходимо разрешить использование и нешифрованных паролей консольной командой

SET ALLOW UNENCRYPTED PASSWORDS = ON, по умолчанию OFF.

Подделав пакет NCP, пользователь на рабочей станции может выдать себя за более привилегированного пользователя (SUPERVISOR) и получить несанкционированный доступ к системе и ресурсам. Для защиты от подделки пакетов применяется сигнатура пакетов NCP — подпись, меняющаяся от пакета к пакету. Пакеты NCP с некорректной сигнатурой игнорируются, но на станцию, консоль и в журнал системных ошибок отправляется диагностическое сообщение с адресом станции и регистрационным именем.

Уровень сигнатуры для сервера определяется командой
SET NCP PACKET SIGNATURE OPTION = 1 (0-3),
доступной и из STARTUP.NCF. Во время работы его можно только увеличивать. Значения уровней: 0 — сервер никогда не подписывает пакеты; 1 — подписывает только по запросу клиента; 2 — подписывает, если клиент способен подписывать; 3 — всегда подписывает и требует подписи от клиентов (иначе не позволит регистрацию).
Применение сигнатур может снижать производительность сервера, но является необходимой мерой предосторожности при наличии на сервере особо ценной информации и доступности станций или кабелей для потенциальных нарушителей. Уровень сигнатур сервера должен быть согласован с возможностями станций.

Защита посредством назначения прав доступа и атрибутов

Защита через права обеспечивает разграничение доступа к каталогам и файлам. Здесь необходимо следить за опекунскими назначениями, масками прав и назначениями эквивалентности по защите. Особого внимания заслуживает каталог SYS:SYSTEM, который содержит ключевые элементы защиты.

Файл AUTOEXEC.NCF может содержать пароль удаленной консоли в команде LOAD REMOTE, дающий доступ к консоли сервера с рабочей станции.

В NetWare 4.x используйте шифрование пароля удаленной консоли (см. вопрос в главе 1)

Этот же каталог является единственным хранителем .NLM-файлов после выполнения команды SECURE CONSOLE, и гарантированное отсутствие в нем пиратских модулей усиливает защиту системы.

На сервере NetWare 3.x файлы Bindery, хранящие имена, пароли и привилегии всех пользователей, при наличии права записи в SYS:SYSTEM, можно подменить, записав свои файлы NET$OBJ.OLD, NET$PROP.OLD и NET$VAL.OLD и выполнив утилиту BINDREST.

Для усиления защиты в особо ответственных случаях стоит удалить INSTALL.NLM из каталога SYS:SYSTEM, чтобы исключить возможность переименования томов с консоли сервера, в результате которого при некотором знании системы можно получить новую Bindery с двумя пользователями GUEST и SUPERVISOR, не требующими пароля, но обладающими своими штатными правами. В "мирных целях" при наличии копий старой Bindery эти манипуляции можно использовать для переустановки потерянного пароля супервизора с сохранением всех пользователей и групп.

Рядовые пользователи не должны иметь никаких прав в каталоге SYS:SYSTEM. В каталогах SYS:PUBLIC и SYS:LOGIN они должны иметь права сканирования и чтения [R F] для нормального использования утилит, в каталоге SYS:MAIL — права создания и записи [W C] для использования электронной почты.

Право контроля доступа [A] в корневом каталоге означает возможность присвоения любого права доступа во всем томе.

Защита файлов и каталогов с помощью атрибутов подразумевает взвешенное назначение права модификации, позволяющего снимать сдерживающие атрибуты.

Проверка надежности системы безопасности осуществляется утилитой SECURITY.EXE, хранящейся в SYS:SYSTEM. Она выявляет пользователей, для которых не требуется пароля или имеющих ненадежный пароль (совпадающий с именем, короче 5 символов или со сроком использования более 60 дней, а также без требования уникальности), имеющих эквивалентность по защите SUPERVISOR, или имеющих права в корневых каталогах, или имеющих чрезмерные права в каталогах SYS:SYSTEM, SYS:LOGIN, SYS:PUBLIC, SYS:MAIL.

Для обычной работы в сети администраторам системы и рабочих групп следует создавать отдельные имена регистрации — бюджеты без чрезвычайных привилегий, чтобы их станцией, случайно оставленной в зарегистрированном состоянии, не смог воспользоваться нарушитель с целью завладения дополнительными правами (при выполнении задач администрирования можно и повысить бдительность).

Чтобы не попасть в ловушку при утере пароля, SUPERVISOR может назначить пользователю, которому он абсолютно доверяет, эквивалентность себе по защите, или, что безопаснее, назначить его менеджером своего бюджета.

Также рекомендуется иметь на дискете копию Bindery, в которой SUPERVISOR не имеет пароля, и при необходимости восстановить ее с помощью BINDREST.EXE (правда, для этого нужно получить доступ в SYS:SYSTEM по записи, но это можно и обойти).

Отражение и дублирование сервера

Надежность хранения данных обеспечивается встроенными средствами SFT операционной системы. Более высокий уровень отказоустойчивости обеспечивается применением SFT III — операционной системы с зеркальным сервером. Эта система подразумевает наличие сервера-дублера, совпадающего с основным сервером по объему оперативной (не менее 12 Мбайт) и дисковой памяти, подключенным локальным сетям и даже по применяемому видеоадаптеру. Серверы связываются между собой через специальные скоростные MSL (Mirrored Server Link) адаптеры по специальной линии связи. В зависимости от модели MSL-адаптера и линии связи (коаксиал, витая пара или оптоволокно) допускается удаленность серверов от десятков метров до нескольких километров, что обеспечивает живучесть сети даже при пожарах, авариях и стихийных бедствиях.

В нормальном режиме все запросы обслуживаются только основным сервером, а MSL обеспечивает на резервном сервере состояние памяти и дисковой системы, идентичное основному. В случае аварии основного сервера в работу включается резервный. Новая версия оболочки (запросчика) позволяет рабочей станции автоматически (без обращения к пользователю) переключаться на резервный сервер в случае потери соединения с основным сервером.

Зеркальные серверы позволяют производить техобслуживание, требующее остановки сервера, без прерывания работы пользователей. Вся информация о сбоях и ошибках выводится на консоль и записывается в файл-журнал. SFT III — первый продукт Novell, поставляемый со средствами тестирования, позволяющими имитировать сбои и системные ошибки и анализировать реакцию системы.

SFT III в зависимости от версии может вносить ограничения на используемые сетевые продукты. По причине исключительной редкости применения (только в самых ответственных сетях) цена аппаратных и программных средств довольно высокая.

Для NetWare 4.x поддержка зеркального сервера SFT III включена в обычную поставку на CD-ROM в виде опции утилиты INSTALL.

Дублирование сервера, в отличие от SFT III, является стандартной мерой обеспечения надежности хранения данных и означает периодическое копирование томов (каталогов, файлов) на внешний по отношению к серверу носитель. Дублирование возможно на другой сервер, локальный диск станции (внутренний или сменный), магнитную ленту или дискеты. В случае потери данных на сервере они могут быть восстановлены с копии с сохранением их сетевых атрибутов, списков доверенных пользователей и групп. В зависимости от требований к надежности и свежести копий применяется различное количество носителей для каждого набора данных и дисциплина их чередования. В любом случае носителей должно быть не менее двух с тем, чтобы всегда была хоть одна целая копия (отказ сервера во время копирования может привести к потере данных и на сервере, и на используемом носителе одновременно).

Сетевой аудит в NetWare 4.x

Аудит в NetWare 4.x позволяет отслеживать действия пользователей по работе с деревом Каталогов NDS, а также события файлов, каталогов, очередей, серверов и пользователей.

Аудит NDS устанавливает наблюдение за событиями дерева Каталогов, относящимися к данному контейнеру (возможно наблюдение 27 классов событий), выполняемыми определенным списком пользователей разных контейнеров.

Установка аудита относится только к указанному контейнеру и не распространяется на дочерние контейнеры, для которых при необходимости аудит включается явно.

Аудит событий файлов и каталогов позволяет отслеживать открытие, закрытие, создание, удаление, восстановление, чтение, запись, перемещение и модификацию. Возможен сбор информации о событиях, вызванных любыми пользователями (Global Events), о событиях, связанных с определенным файлом и определенным пользователем (User and File events) и о событиях, связанных с действиями любых пользователей над данным файлом или выбранных пользователей над любыми файлами (User or File Events).

События очередей печати включают создание, удаление и изменение очередей, создание и обслуживание заданий печати.

События сервера включают изменение даты и времени, остановку и загрузку сервера, монтирование и размонтирование томов и некоторые другие.

Пользовательские события включают вход и выход из сети, изменение учетной информации.

При просмотре или создании файлов отчетов для сокращения объема выводимой информации могут применяться фильтры пользователей и событий.

Аудит объектов назначается администратором, и после передачи паролей аудиторам (можно и нескольким) управляется ими. Все действия по системе аудита выполняются только с помощью утилиты AUDITCON.EXE.

Для обеспечения возможности одновременной работы нескольких аудиторов в опциях AUDITCON необходимо установить Allow Concurrent Auditor Logins.

Аудиторы могут отключать аудит объектов, но для возможности его включения они должны обладать правом SUPERVISOR по отношению к данному объекту.

Система аудита сугубо пассивная, она не ограничивает действий пользователей, а только наблюдает за ними.