 |
Secure Shell как средство замены уязвимых сервисов TCP/IP 4 глава
|
|
|
|
Каталоги %systemroot% и %systemroot%\system32 имеют по умолчанию право доступа Change для группы "Everyone". Это может привести к самым разнообразным последствиям типа замещения части системных dll "троянскими" и т.п. При этом они могут быть вызваны из самых разных программ – в том числе, из программ, работающих с системными правами доступа. Для защиты достаточно правильно установить права доступа. Кстати, программа DumpAcl позволяет вывести права доступа для различных объектов – файлов, реестра, принтеров и т.п. в общий список, удобный для просмотра. В реестре есть ключ <HKLM\SYSTEM\CurrentControlSet\Control\Lsa> со значением Notification Packages: REG_MULTI SZ: FPNWCLNTX
Эта DLL существует в сетях, связанных с Netware. Поддельная FPNWCLNT.DLL в каталоге %systemroot%\system32 может проследить все пароли. После копирования и перезагрузки все изменения паролей и создание новых пользователей будут отслеживаться этой dll и записываться открытым текстом в файл c:\temp\pdwchange.out. Для защиты достаточно удалить этот ключ и защитить эту часть реестра от записи.
Исполняемые файлы могут быть переименованы в файлы с любым расширением или без расширения, но они все равно запустятся из командной строки (например, переименовав notepad.exe в notepad.doc, можно запустить "start notepad.doc"). Так можно прочесть и файл rollback.exe, переименованный в readme.doc.
Большая часть реестра доступна для записи группе "Everyone". Это же относится и к удаленному доступу к реестру. Может оказаться опасным, особенно в сочетании с автоматическим импортом reg-файлов. В реестре NT4.0 появился ключ <HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg>, при наличии которого доступ к реестру отрыт только администраторам. В NT Server этот ключ существует по умолчанию, в NTWS может быть добавлен. Подробности см. http://support.microsoft.com/support/kb/articles/Q155/3/63.asp.
|
|
|
2). Проблемы приложений. В FrontPage 1.1 пользователь 1USR_* имеет право доступа Full Control к каталогу _vti_bin и Shtml.exe. Если взломщик узнал пароль IUSR_<hostname>, то он может получить доступ к каталогу с исполняемыми файлами. В FrontPage'97 это упущение исправлено. Подробности см. http://support.microsoft.com/support/kb/articles/Q162/l/44.asp.
При запуске администратором в Windows NT 3.51 File Manager из панели MS Office 7.0, он получает доступ, к каталогу, на который у него нет прав доступа. Это связано с тем, что File Manager наследует права 'backup and restore permissions от панели Office, которые используются для записи пользовательских настроек в реестр. Ошибка исправлена начиная с Office7.0а. Подробности см. http://support.microsoft.com/support/kb/articles/Q146/6/04.asp.
Служба FTP позволяет устанавливать пассивные соединения на основе адреса порта, указанного клиентом. Это может быть использовано взломщиком для выдачи опасных команд службе FTP. Реестр содержит ключ <HKLM\System\CurrentControlSet\Services\MSFTPSVC\Parameters> со значением <EnablePortAttack: REG_DWORD: >. Это значение должно быть установлено в "0", а не "1". Подробности см. http://support.microsoft.com/support/kb/articles/Q147/6/21.asp.
Возможна также ошибка при аутентификации – Internet Explorer для Microsoft NT будет пытаться прозрачно подтверждать подлинность к любому запрашиваемому Web-серверу, используя NT-пароль пользователя. Клиент не знает, имела ли место аутентификация. Побочным эффектом таких действий является то, что пользователь может прекомпилировать очень большую базу паролей и немедленно обнаружить, использовался ли один из этих паролей. Подробности см.: http://www.efsl.com/security/ntie/.
3). Проблемы Internet Information Server 1.0 (IIS). Пользователь Anonymous может получить в IIS права пользователей домена при установке IIS на контроллер домена (PDC). Подробности см. http://www.microsoft.com/kb/articles/ql47/6/91.htm.
IIS допускает использование batch-файлов в качестве CG1-приложений. Это опасно, поскольку batch-файлы выполняются в контексте командного процессора (cmd.exe). Подробности см. http://www.microsoft.com/kb/articles/q 155/0/56.htm, http://www.microsoft.com/kb/articles/q 148/1/88. htm и http://www.omna.com/iis-bug.htm.
|
|
|
В IIS 1.0 адрес типа 'http://www.domain.com/..\.." позволяет просматривать и скачивать файлы вне корневого каталога web-сервера.
Адрес 'http://www.domain.corn/scripts..\..\scriptname" позволяет выполнить указанный скрипт. По умолчанию пользователь Guest или IUSR_WWW имеет права на чтение всех файлов во всех каталогах. Они могут быть просмотрены, скачаны и запущены. Адрес "http://www.domain.com/scripts/exploit.bat>PATH\target.bat" создаст файл target.bat. Если файл существует, он будет обрезан. К тем же последствиям приведет адрес http://www.domain.com/scripts/script_name%OA%OD>P ATH\target.bat. Подробности по адресу http://www.omna.com/iis-bug.htm.
Если соединиться через telnet с портом 80, команда "GET../.." <сг> приведет к краху IIS и сообщению "The application, exe\inetinfo.dbg, generated an application error The error occurred on date@ time The exception generated was c0000005 at address 53984655 (TCP_AUTHENT::TCP_AUTHENT".
4). Атаки типа Denial of Service.
а) Ping o"Death. Фрагментированный ICMP-пакет большого размера может привести к зависанию системы. Так, команда
ping -1 65527 -s 1 hostname
на NT 3.51 приведет к "синему экрану" с сообщением
STOP: 0X000000IE
KMODE_EXCEPTION_NOT_HANDLED – TCPIP.SYS
или
STOP: 0x00000000A
IRQL_NOT_LESS_OR_EQUAL – TCPIP.SYS
Подробности можно найти по следующему адресу http://www.microsoft.com/kb/articles/ql32/4/70.htm. Исправление: 3-й Service Pack с последующей установкой ICMP-fix;
б) SYN-атака. Послав большое количество запросов на TCP-соединение (SYN) с недоступным обратным адресом, получим следующий результат. При получении запроса система выделяет ресурсы для нового соединения, после чего пытается ответить на запрос (послать "SYN-ACK") по недоступному адресу. По умолчанию NT версий 3.5-4.0 будет пытаться повторить подтверждение пять раз – через 3, 6, 12, 24 и 48 с. После этого еще 96 с система может ожидать ответ, и только после этого освободит ресурсы, выделенные для будущего соединения. Общее время занятости ресурсов составляет 189 с. С подробностями можно ознакомиться по адресу http://www.microsoft.com/kb/articles/ql42/6/41.htm. Исправление: 3-й Service Pack;
в) WinNuke (другие названия - "встроенная черная дверь", "синий экран смерти"). Атака осуществляется с компьютеров Apple Winnuke при передаче срочных (OutOffiand) данных. Происходит посылка данных в 139-й порт, что приводит к перезагрузке NT 4.0, либо выводу "синего экрана смерти" даже с установленным 2-м Service Pack. Исправление: 3-й Service Pack с последующей установкой ООВ fix. Это исправление включено также в ICMP-fix;
|
|
|
г) аналогичная посылка данных в 135-й и некоторые другие порты приводит к значительной загрузке процессора RPCSS.EXE. На NTWS это приводит к существенному замедлению работы, NTS практически замораживается. Исправление: 3-й Service Pack.
Стабильность самой Windows NT [70] достигается использованием микроядерной архитектуры и объектного подхода на уровне ОС.
В соответствии с концепцией микроядра значительная часть модулей ОС функционирует в пользовательском режиме, а в режиме ядра выполняются только те коды, которые обеспечивают либо непосредственное управление аппаратурой, либо выполнение низкоуровневых операций ОС (например, переключение контекстов процессов или перемещение страниц между диском и ОЗУ). Эти коды и образуют так называемое микроядро. Высокоуровневые функции ОС поддерживаются пользовательскими процессами, работающими в режиме сервера и более защищенными друг от друга.
При объектном подходе в Windows NT определены различные типы объектов, описывающих файлы и каталоги файлов, секции памяти, процессы, порты передачи сообщений между процессами и другие системные ресурсы. Любая операция доступа к ресурсам осуществляется через посредство специальной программы - менеджера объектов. Прежде чем выполнить запрос, менеджер проверяет правомочность запрошенной операции. Это делается в соответствии с дескриптором безопасности объекта, хранимым в едином для системы списке контроля доступа Access Control List (ACL).
В Windows NT предусмотрены два основных механизма защиты, которые определяют доступ пользователей к ресурсам (объектам) через полномочия:
1) либо на уровне файлов, что используется для управления доступом к файлам и каталогам на локальном компьютере;
2) либо на уровне разделяемых каталогов, что используется для контроля доступа к сетевым ресурсам.
Эти механизмы предъявляют разные требования к конфигурации, сопровождению, администрированию и имеют различные способы дискреционного контроля доступа, когда владелец ресурса или файла управляет доступом к данному ресурсу и правами других пользователей по отношению к нему.
|
|
|
Кратко рассмотрим достоинства и недостатки указанных механизмов защиты.
1). Защита на уровне фатов.
Достоинства:
• обеспечивает высокую степень детализации управления доступом к файлам;
• основывается на файловой системе NTFS и осуществляет подробную ревизию доступа к различным ресурсам;
• обеспечивает дополнительную защиту от случайного удаления или манипуляций с файлами. Полезна для защиты и администрирования доступа к папкам на рабочем столе NT.
Недостатки:
• требует дополнительного администрирования и обслуживания в сетевых средах с часто меняющимися полномочиями и бюджетами пользователей.
2). Защита на уровне разделяемых каталогов. Достоинства:
• как правило, простое обслуживание по сравнению с защитой на уровне файлов (вместо множества списков ACL достаточно манипулировать членством пользователей в группах);
• может применяться к дисковым томам с файловыми системами NTFS и FAT;
• позволяет свести к минимуму нарушения защиты при передаче файлов между серверами. В некоторых случаях перемещение каталогов с полномочиями на уровне файлов может потребовать изменения в новой системе списков ACL или полномочий.
Недостатки:
• не контролирует операций пользователей после получения ими доступа к разделяемому ресурсу;
• не дает такого детального контроля доступа, как полномочия на уровне файлов;
• получив доступ к локальному компьютеру, пользователь имеет доступ ко всем файлам на ней.
Дополнительным средством защиты может стать установка Service Pack 3. Многие проблемы безопасности NT 4.0 были устранены в нем. Список исправлений весьма внушителен. В первую очередь это атаки типа Denial of Service – WinNuke, ошибка со 135-м портом, перехват сообщений SMB ("man-in-the-middle attack" – "третий посередине") и т.д.
С момента появления SP3 вышло еще несколько обновлений (hot-fixes), доступных на ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3. Перечислим некоторые из них с указанием устраняемых проблем:
1) asp-fix – устраняет проблемы производительности с Active Server Pages I.Ob, установленных на IIS3.0;
2) dblclick-fix – устраняет то, что некоторые программы (например, Visio Professional 4.x) после установки SP3 стали реагировать на двойной щелчок мыши как на одинарный. Включен в состав getadmin-fix;
3) dns-fix – устраняет некоторые проблемы, связанные с сервером DNS;
4) getadmin-fix – решает проблему, связанную с программой getadmin.exe, которая позволяла пользователям (кроме Guest) добавить себя в группу Administrators локального компьютера. Также включает dblclick-fix и Java-fix;
|
|
|
5) icmp-fix – решает проблему с зависанием системы при получении фрагментированного lCMP-пакета большого размера. Включает также oob-fix;
6) iis-fix – устраняет остановку I1S 2.0 и 3.0 при получении большого CGI-запроса (от 4 до 8k);
7) Java-fix – устраняет зависание IE3.02 при открытии страниц с Java после установки SP3. Включен в состав getadmin-fix;
8) Im-fix – позволяет отключить аутентификацию Lan Manager (LM) и добавляет в реестр новый параметр к следующему ключу:
HKLM\System\CurrentControlSet\control\LSA
Value: LMCompatibilityLevel
Value Type: REG_DWORD – Number.
Возможные значения: "О", " 1", "2", по умолчанию – "О". "О" – использовать аутентификацию LM и Windows NT authentication (default). "1" – использовать аутентификацию Windows NT, a LM – только по запросу сервера. "2" – никогда не использовать аутентификацию LM. В последнем случае невозможно соединение с Windows 95 и Windows for Workgroups;
9) Isa-fix – устраняет ошибку доступа в Lsass.exe, возникающую при передаче неправильного размера буфера удаленным клиентом при соединении с LSA (Local Security Authority) через именованный канал (named pipe);
10) ndis-fix – устраняет ошибку, вызывающую утечку памяти и синий экран с сообщением о неверной команде в ndis.sys при использовании промежуточных драйверов NDIS;
11) oob-fix – устраняет то, что посылка "Out of Band" – данных в 139-й порт приводила к зависанию или перезагрузке системы (атака WinNuke). Первоначальный вариант исправления, включенный в SP3, не решил все проблемы. Включен в состав icmp-fix;
12) scsi-fix – устраняет ошибки при работе с системами защиты от сбоев (Fault Tolerant Systems);
13) simptcp-fix – устраняет то, что атака Denial of Service, состоящая в посылке большого количества UDP-дейтаграмм с ложного адреса на 19-й порт, при установленных Simple TCP/IP services, приводила к повышенному UDP-трафику;
14) winsupd-fix – исправляет ошибку в WINS, приводящую к его завершению при получении неверных пакетов UDP;
15) zip-fix – устраняет проблемы с ATAPl-версией Iomega Zip.
В заключение данного раздела отметим, что безопасность сетей, построенных с использованием Windows NT, может быть повышена с помощью продуктов третьих фирм.
5.2.3. ОС NetWare
Рассмотрим основные принципы защиты и возможные методы взлома ОС на примере NetWare фирмы Novell [53].
Архитектуру сетевой ОС можно классифицировать в соответствии с логическим или физическим компонентом, на уровне которого группируются сетевые ресурсы. В NetWare 3.x - это сервер сети, в Windows NT - домен (домен - это совокупность пользователей, серверов и рабочих станций, учетная информация о которых централизованно хранится в общей базе данных SAM - Security Account Manager), а для NetWare 4.x - вся сеть как совокупность взаимодействующих элементов.
В NetWare 3.x на каждом сервере имеется собственная база сетевых ресурсов BINDERY. Серверы этой сетевой ОС логически не связаны друг с другом, и каждый находится под управлением своего супервизора (SUPERVISOR). Для работы с сетевыми ресурсами сервера пользователь сначала должен зарегистрироваться на данном конкретном сервере, причем и имя, и пароль пользователя могли меняться от сервера к серверу. В NetWare 4.x компания Novell сетевые ресурсы хранятся в распределенной базе - службе каталогов NDS. Благодаря службе каталогов NetWare 4.x позволяет строить корпоративные сети с централизованным управлением. Теперь, чтобы воспользоваться сетевыми ресурсами, где бы они не находились (при наличии соответствующих прав), пользователю достаточно один раз зарегистрироваться в NDS. В NetWare 4.x вводится понятие администратора сети (Admin), отвечающего за централизованное управление всей сетью. При желании централизованное управление может быть заменено децентрализованным.
Консоль сервера. Наиболее уязвимый участок системы безопасности NetWare - консоль сервера. Рассмотрим интрасеть, в которую входят несколько серверов интрасети и удаленные серверы (через каналы глобальной сети). В сети функционируют электронная почта, распределенные базы данных; на серверах имеются файлы и программы пользователей. Часть из этой информации строго конфиденциальна, к некоторой части доступ ограничен, остальная информация общедоступна.
Как правило, отдельные серверы отключают на ночь или на выходные, что особенно характерно для удаленных филиалов. Для обслуживания сервера назначают оператора консоли. В его обязанности входит включение и выключение сервера, изменение конфигурации сервера, запуск отдельных загружаемых модулей NetWare (NLM-модулей). Очень часто для включения и выключения сервера (но не для управления сервером) назначают еще несколько человек, которые работают по принципу: кто раньше приходит, тот и запускает сервер, а кто позже уходит, тот его выключает.
Проблема состоит в том, что лицо, имеющее доступ к консоли, может нарушить (умышленно или непреднамеренно) целостность, конфиденциальность и надежность данных и системы в целом. По сути, такое лицо обладает всеми правами администратора, причем эти права никак нельзя ограничить.
Рассмотрим логическую цепочку, ведущую к серьезным нарушениям безопасности сетевой ОС.
1). Чтобы корректно остановить какой-либо сервер, человек (оператор консоли или технический работник) должен иметь доступ к консоли сервера (возможно, через удаленную консоль). В NetWare 3.x используется утилита FCONSOLE, посредством которой можно останавливать сервер, не задействуя консоль сервера.
Предположим, что злоумышленник в лице оператора консоли, технического работника или вообще постороннего лица получил доступ к консоли сервера. По данным американской прессы около 70 % случаев взлома компьютерных систем совершаются своими же работниками.
2). Такой злоумышленник без труда просмотрит структуру и содержание каталогов и томов сервера через MONITOR.NLM (опция File open/lock activity). При этом будут перечислены даже файлы с атрибутами "Hidden file" и "System file".
3). Используя модуль ED1T.NLM, злоумышленник может просмотреть любой небольшой текстовый файл, а если таковой файл не имеет атрибут "Read only", то изменить его не составит труда.
4). У злоумышленника появляется возможность запустить модуль удаленной консоли со своим паролем. При желании он может заблокировать основную консоль сервера через MONITOR.NLM.
5). Через удаленную консоль (RCONSOLE.EXE) посредством опции "Transfer Files To Server" злоумышленник может переписать с рабочей станции в любой каталог этого сервера какой угодно файл, в том числе и NLM-модуль. Если в целевом каталоге уже есть файл с аналогичным именем (даже с атрибутами "Delete inhibit", "Read only", "Rename inhibit"), то он заменяется на новый, правда, у нового файла всегда будет атрибут "Read/Write". Вместе с тем, если у уже имеющегося файла был один из атрибутов "Hidden file" или "System file", то новый файл не будет записан на место старого, хотя его и можно переписать под другим именем.
6). Существует ряд общедоступных NLM-модулей для копирования файлов (можно написать и свой). Например, модуль COPY.NLM, поставляемый вместе с программой PowerChute Plus для ИБП фирмы АРС, позволяет копировать файлы из одного каталога сервера в другой. Этот модуль отказывается копировать только тогда, когда в целевом каталоге уже есть аналогичные файлы с атрибутом "Read only". Посредством такой программы практически любой файл сервера может быть скопирован в тот каталог сервера, куда злоумышленнику разрешен доступ по сети.
7). Запуск на сервере команды SECURE CONSOLE, которая выгружает DOS и позволяет запускать NLM-модули только из каталога SYS:SYSTEM. не спасает положения, поскольку с помощью п.п. 5 и 6 любой NLM-модуль можно переписать в системный каталог и запустить оттуда. Но эта команда запрещает менять дату на сервере и обращаться к отладчику ОС.
8). Злоумышленник в большинстве случаев может выгрузить уже функционирующие NLM-модули и, самое неприятное, запустить любые NLM-модули на сервере даже в режиме ядра сетевой ОС (кольцо 0 центрального процессора), причем специально созданные NLM-модули могут разрушить целостность, надежность и защищенность системы, а также позволить злоумышленнику скрыть свое проникновение в сеть.
Это особенно критично, если сервер, к консоли которого получил доступ злоумышленник, содержит основную копию (master replica) или копию чтения/записи (read/write replica) раздела NDS (NDS partition), а также если сервер участвует в синхронизации времени в сети в качестве сервера времени. Это может привести к порче и даже разрушению NDS.
Подводя итоги, можно утверждать, что злоумышленник, получивший доступ к консоли, в общем случае может:
• подменить системные NLM-модули;
• установить и запустить любые NLM-модули (в том числе с вирусами, сбойные или нарушающие безопасность системы);
• выгрузить уже запущенные NLM-модули;
• просмотреть и изменить текстовые файлы средствами сетевой ОС;
• скопировать любые файлы, в том числе и с конфиденциальной информацией;
• изменить конфигурацию сервера и, вообще, сделать сервер неработоспособным.
Если задействовать систему аудита, то факт вторжения можно обнаружить в журнале транзакций, при условии, что сервер еще работоспособен. Однако регистрировать все подозрительные события довольно накладно с точки зрения ресурсов сервера, а анализировать каждый сервер интрасети на факт вторжения злоумышленника очень хлопотно.
Можно сформулировать две главные и взаимосвязанные причины недостаточной эффективности системы безопасности NetWare 3.0 по управлению серверами.
1). Основные средства управления сервером сосредоточены на консоли, и их нельзя задействовать через административные утилиты типа NETADMIN и NWadmin.
2). Лицо, имеющее доступ к консоли, автоматически получает все права и привилегии администратора (оператора) сервера (на самом деле даже больше).
Если хотя бы одна причина была бы устранена, то влияние другой стало бы значительно меньшим.
По сравнению с другими ОС управление сервером KetWare не имеет аналогов. Подтверждением того может служить следующее: предоставление в Windows NT пользователю права останавливать сервер (или права осуществлять резервное копирование) никоим образом не подразумевает автоматического предоставления еще каких-либо административных прав. Более того, в Windows NT или Unix можно создать бюджет фиктивного пользователя, входной сценарий (профиль) которою будет заключаться только в остановке сервера (или выполнении иной административной функции). Такой пользователь в принципе никаких других программ запустить не сможет.
Надежное администрирование в сетевой ОС предполагает выделение трех логических ролей: администратора сети, администратора сервера и администратора аудита. Эти обязанности может выполнять один человек, но не одновременно. В NetWare 4.x функция администратора сети состоит в управлении NDS. Месторасположение NDS и журналов аудита на файловом сервере напрямую не связано с файловыми системами сервера. Доступ к ним на уровне файловых операций невозможен.
Функции администраторов аудита и сети в NetWare 4.x четко определены. Но важная функция управления временем в сети переложена на администратора сервера. Поскольку NDS представляет распределенную и тиражируемую базу, то некорректное изменение времени на сервере (для сервера времени) может привести к искажению NDS.
В NetWare 4.x администратор сервера ассоциирован с оператором консоли. Однако в противовес администратору аудита и администратору сети он не имеет представления в NDS. Точнее администратор сети через NDS может определить оператора консоли для сервера (в качестве свойства сервера как объекта NDS). Но это назначение не несет никакой функциональной нагрузки. Этот пользователь не получает никаких новых прав или возможностей. Чтобы управлять сервером NetWare 4.x, ему надо иметь доступ к консоли не зависимо от того, объявлен он оператором консоли или нет. В NetWare 3.x опредление пользователя в базе Bindery как оператора консоли позволяет управлять сервером через утилиту FCONSOLE (но эти функции ограничены по сравнению с доступом через консоль). В то же время все действия лица, получившего доступ к консоли сервера NetWare, отождествляются с действиями самого сервера. Если, например, через консоль создаются файлы, то их владельцем считается сам сервер.
Какие же методы способны ограничить возможность несанкционированного и разрушительного вторжения через консоль? Для этого, в первую очередь, надо реализовать принципы минимизации привилегий и разграничения полномочий на уровне управления сервером. Но с помощью ряда технических и организационных мер можно значительно снизить возможность несанкционированного вторжения через консоль.
1). Необходимо ограничить круг лиц, имеющих доступ к консоли. Лучше всего размещать серверы в специальных комнатах, недоступных для посторонних, однако в реальной жизни это не всегда возможно. Поэтому лучше закрыть доступ к консоли на аппаратном уровне с помощью пароля или замка на сервере. Можно также установить пароль на консоль через MONITOR.NLM, хотя такой вариант сам по себе недостаточно надежный. Использование удаленной консоли снижает безопасность системы, поэтому ей лучше не пользоваться. Доступ к консоли должны иметь только администратор сети и администратор данного подразделения, тогда никто, кроме них, не сможет изменять настройку, устанавливать, запускать и удалять программы на сервере.
2). Для технического персонала, ответственного за включение/выключение сервера, предпочтительнее использовать продукты третьих фирм. Установка на сервере источника бесперебойного питания Smart-UPS фирмы АРС позволяет не только обеспечивать сервер электропитанием при неполадках с электричеством. Программа PowerChute Plus для Smart-UPS предоставляет возможность корректно останавливать сервер и отключать электропитание с рабочей станции сети. Более того, она позволяет программировать включение и выключение сервера (и электропитание) по расписанию. Администратору необходимо только предоставить права на чтение каталог? с PowerChute Plus техническому персоналу и сообщить пароль для запуска этой программы Однако технический персонал не сможет выполнять какие-либо другие административные обязанности.
3). Для наименее защищенных серверов рекомендуется запускать систему аудита, а важнейшим системным файлам присваивать атрибуты "Hidden file" и "System file". На такие серверы не следует устанавливать основные копии или копии чтения/записи разделов NDS и, кроме того, лучше не использовать их в качестве серверов времени.
4). По возможности особо конфиденциальную информацию необходимо шифровать. Например, для электронной почты можно использовать алгоритмы RSA, PGP или DES, а для баз данных встроенные системы шифрования. При таких условиях доступ к конфиденциальной информации будет закрыт даже для администратора сети.
Клиенты сети. Сетевой адрес узла в сети IPX/SPX имеет вид <адрес сети>:<адрес хоста>, где в качестве <адреса хоста> выступает МАС-адрес сетевой платы. Вместе с тем многие платы допускают изменение данного адреса программным способом. Для клиентов NetWare это достигается настройкой параметра "NODE ADDRESS" в разделе "Link Driver" конфигурационного файла
NET.CFG. После такой операции клиент получает совершенно другой <адрес хоста>. Дело осложняется в сети, где широко используются коммутирующие концентраторы (сейчас это становится повсеместным), поскольку там задействовано очень мало <адресов сетей>, а иногда только один адрес (если не используется глобальная сеть). У злоумышленника появляются неплохие шансы установить на своем ПК тот жеадрес, что и у административного компьютера.
Все транзакции в NetWare будут отслеживать только "фиктивные" сетевые адреса, в результате отловить злоумышленника, использующего такую подмену, не так-то просто. Следовательно, ограничения на допустимые сетевые адреса, которые устанавливает администратор и с которых пользователь может загрузиться в сеть, оказываются, как правило, неэффективными. Более того, если в сети уже работает компьютер с аналогичным сетевым адресом, то злоумышленник может перехватывать его пакеты. Против этого в NetWare 4.x и 3.12 предусмотрена возможность подписи пакетов, однако по умолчанию она не задействована (вернее, настройка по умолчанию выставлена так: сервер подписывает пакеты только по требованию клиента - клиент подписывает пакеты только по требованию сервера). Поэтому рекомендуется установить опцию подписи сетевых пакетов либо на клиентах, где работает административный персонал, либо на серверах (такой вариант может привести к снижению производительности сети).
Главный администратор сети. Самые большие привилегии в сети у главного администратора сети. Владея ресурсами администратора, злоумышленник может без труда разрушить работу всей интрасети, поэтому бюджету администратора необходимо уделить особое внимание. По умолчанию администратор в NDS имеет контекст СN=Аdmin.О=<организация>, где <организация> - имя организации. Поскольку имя, место в контексте и права администратора известны всем, то попытки НСД будут предприниматься, в первую очередь, именно здесь. К тому же по умолчанию NetWare не фиксирует неудачные попытки проникновения в систему с правами администратора. Поэтому имеет смысл создать специальный контейнер в рамках контекста организации и поместить туда бюджет особого пользователя. Данному пользователю нужно присвоить все полномочия главного администратора, после чего объект СN=Аdmin.О=<организация> следует удалить. Но в NetWare 4.x вторично не запрашивается пароль пользователя, если неправильно набрано имя. Простым перебором распространенных имен можно установить имя, причем эти попытки даже не будут фиксироваться. Поэтому администратору следует дать особенное имя. Используя возможности фильтра наследуемых прав (Inherited Rights Filter), необходимо также запретить обычным пользователям просматривать содержание созданного контейнера.
|
|
|
