Программное обеспечение ПКРефераты >> Кибернетика >> Программное обеспечение ПК
В NetWare 4.x введена аддитивность лицензии: ограничение определяется суммой приобретенных лицензий, которые к тому же могут сниматься с одного сервера и устанавливаться на другой. Лицензия может быть на 5, 10, 25, 50, 100, 250, 500 и 1000 пользователей.
Безопасность
Безопасность хранения данных - конфиденциальность и предотвращение несанкционированного изменения или уничтожения - обеспечивается несколькими путями. О надежности защиты имеет смысл говорить лишь в предположении, что неконтролируемый физический доступ потенциальных нарушителей к файл-серверу исключен. В противном случае искушенный нарушитель может получить доступ ко всем файлам сервера, хотя для непрерывно работающих в сети клиентов это событие не останется незамеченным.
Защита регистрации
В NetWare защита регистрации включает в себя систему имен и паролей пользователей, ограничения времени и списка возможных станций.
Блокировать попытку подбора правильного сочетания имени и пароля пользователя помогает активизация системы обнаружения/захвата нарушителя (Intruder Detection/Lockout) опций администратора SYSCON.EXE или NET- ADMIN (NWADMIN) . Система позволяет выявить нарушителя, пытающегося зарегистрироваться с неверным паролем подряд более заданного количества раз (по умолчанию - 7). Счетчик ошибок обнуляется при успешной регистрации или по истечении периода времени сброса неверных попыток с момента последней ошибочной попытки (по умолчанию - 30 мин). Если включен захват нарушителя, то по достижении порога ошибочных попыток бюджет пользователя, именем которого пытаются воспользоваться, блокируется на время, определенное периодом блокирования бюджета (по умолчанию 15 мин).
При установленном сервисе системы учета на сервере создается двоичный файл регистрации событий NET$ACCT.DAT. В нем содержится хронология всех регистрации и разрегистраций пользователей на сервере, а также фиксируются попытки регистрации нарушителей. Просмотр журнала в текстовом виде и его очистку выполняет утилита PAUDIT.EXE.
Защита от несанкционированного подключения к сети
Защиту регистрации можно попытаться взломать, посылая серверу «самодельные» пакеты запросов, в которых используется информация из перехваченных пакетов сеансов легальных пользователей. Технически мониторинг всех пакетов сети с шинной топологией возможен на любой рабочей станции при соответствующих возможностях сетевого адаптера и программного обеспечения. Организационной мерой пресечения попыток таких нарушений является ограничение физического доступа потенциальных нарушителей к станциям сети.
Для архитектуры Ethernet несанкционированное подключение к толстому кабелю можно осуществить незаметно для системы (если передатчик нарушителя не обнаружит себя посылкой пакета, в котором будет содержаться адрес узла, отличный от известных администратору сети). При визуальном осмотре кабеля лишний трансивер скорее всего будет замечен.
Для тонкого кабеля незаметное подключение возможно лишь при использовании существующих разъемов (разрыв сегмента на несколько секунд не приведет к потере соединений). При разрезании кабеля и установке новых разъемов эта процедура, занимающая несколько минут, почти наверняка приведет к потере какого-либо установленного соединения, что может привлечь внимание пользователей. Драйвер сетевого адаптера сервера этого не заметит, поскольку обрыв кабеля распознается при отсутствии обоих терминаторов, а в этом случае на каждом обрезке сегмента останется по одному из них.
Для витой пары дополнительное подключение возможно лишь к свободным портам хабов, а использование интеллектуальных хабов со встроенной защитой вообще не позволит осуществить подключение без ведома администратора.
Оптоволокно в качестве среды передачи также сильно затрудняет несанкционированный доступ.
Мониторинг пакетов может иметь целью «подглядывание» пароля, обеспечивающего доступ к важным ресурсам. NetWare-386 по умолчанию использует шифрованные пароли.
Если сервер работает в сети совместно с серверами 2.0 или 2.1х с необновленными утилитами или со станциями, использующими оболочку из версии 2.x, необходимо разрешить использование и нешифрованных паролей консольной командой
SET ALLOW UNENCRYPTED PASSWORDS = ON, по умолчанию OFF.
Подделав пакет NCP, пользователь на рабочей станции может выдать себя за более привилегированного пользователя (SUPERVISOR) и получить несанкционированный доступ к системе и ресурсам. Для защиты от подделки пакетов применяется сигнатура пакетов NCP - подпись, меняющаяся от пакета к пакету. Пакеты NCP с некорректной сигнатурой игнорируются, но на станцию, консоль и в журнал системных ошибок отправляется диагностическое сообщение с адресом станции и регистрационным именем.
Уровень сигнатуры для сервера определяется командой SET NCP PACKET SIGNATURE OPTION = 1 (0-3), доступной и из STARTUP. NCF. Во время работы его можно только увеличивать. Значения уровней: 0 - сервер никогда не подписывает пакеты; 1 - подписывает только по запросу клиента; 2 - подписывает, если клиент способен подписывать; 3 - всегда подписывает и требует подписи от клиентов (иначе не позволит регистрацию).
Применение сигнатур может снижать производительность сервера, но является необходимой мерой предосторожности при наличии на сервере особо ценной информации и доступности станций или кабелей для потенциальных нарушителей. Уровень сигнатур сервера должен быть согласован с возможностями станций.
Защита посредством назначения прав доступа и атрибутов
Защита через права обеспечивает разграничение доступа к каталогам и файлам. Здесь необходимо следить за опекунскими назначениями, масками прав и назначениями эквивалентности по защите. Особого внимания заслуживает каталог SYS:SYSTEM, который содержит ключевые элементы защиты.
Файл AUTOEXEC.NCF может содержать пароль удаленной консоли в команде LOAD REMOTE, дающий доступ к консоли сервера с рабочей станции.
Этот же каталог является единственным хранителем .NLM-файлов после выполнения команды SECURE CONSOLE, и гарантированное отсутствие в нем пиратских модулей усиливает защиту системы.
На сервере NetWare 3.x файлы Bindery» хранящие имена, пароли и привилегии всех пользователей, при наличии права записи в SYS:SYSTEM можно подменить, записав свои файлы NET$OBJ.OLD, NET$PROP.OLD и NET$VAL.OLD и выполнив утилиту BINDREST.
Для усиления защиты в особо ответственных случаях стоит удалить IN-STALL.NLM из каталога SYS:SYSTEM, чтобы исключить возможность переименования томов с консоли сервера, в результате которого при некотором знании системы можно получить новую Bindery с двумя пользователями GUEST и SUPERVISOR, не требующими пароля, но обладающими своими штатными правами. В «мирных целях» при наличии копий старой Bindery эти манипуляции можно использовать для переустановки потерянного пароля супервизора с сохранением всех пользователей и групп.
Рядовые пользователи не должны иметь никаких прав в каталоге SYS:SYS-ТЕМ. В каталогах SYS:PUBLIC и SYS:LOGIN они должны иметь права сканирования и чтения [R F] для нормального использования утилит, в каталоге SYS:MAIL - права создания и записи [W С] для использования электронной почты.