Забезпечення безпеки середовища Novell NetWare 5
Багато років NetWare фірми Novell користувалася репутацією однією з найнадійніших операційних систем з наявних на ринку. Поки інші випускали мережеві ОС, для забезпечення, безпеки яких адміністратор повинен мати талант справжнього чарівника, Novell завжди дотримувалася тієї точки зору, що мережева операційна система надійної та безпечної повинна бути спочатку, а права доступу до системних ресурсів потрібно надавати тільки в міру необхідності. Але чи є NetWare тієї самої "нірваною", про яку ми всі мріємо? У Novell хочуть, щоб ми так думали, однак для забезпечення безпеки середовища NetWare доводиться проробляти набагато більше роботи, ніж багато хто може собі уявити.
У цій статті ми розглянемо, як можна убезпечити середу NetWare. Зверніть увагу на те, що ми зупинимося тільки на ОС NetWare 5.х - інші продукти фірми Novell, такі, як BorderManager і GroupWise, мають свої особливості і теж потребують прийняття тих чи інших заходів щодо забезпечення безпеки перед їх використанням.
Безпека файлів і об'єктів NDS
Незважаючи на те, що кожна конкретна реалізація NDS має своїми особливостями, адміністратор повинен розбиратися в правилах безпеки, застосовних до всіх об'єктів NDS. З'ясувавши наші рекомендації і освоївши декілька практичних методів, він повинен вміти забезпечити безпеку NDS, принаймні, у відношенні об'єктів. Нижче наведені деякі рекомендації щодо забезпечення такої безпеки об'єктів дерева NDS.
За замовчуванням об'єкту Admin наданий повний доступ до всіх об'єктів дерева NDS, тому він завжди буде "ласим шматком" для атакуючих. Надзвичайно важливо зробити особливі запобіжні заходи по відношенню до нього. У різних випадках вживаються заходи можуть відрізнятися, проте існує кілька загальних прийомів:
Перейменуйте об'єкт Admin у відповідності зі стандартним угодою про іменуванні і помістіть його в звичайний користувальницький контейнер.
Надайте адміністраторам повноваження, достатні для виконання їх завдань, - і не більше.
Використовуйте перейменовану обліковий запис адміністратора тільки в тих випадках, коли це абсолютно необхідно.
Створіть новий об'єкт з ім'ям Admin, заблокуйте його і ведіть аудит даного об'єкта, регулярно перевіряючи журнал безпеки.
Все вищесказане може здатися вам очевидним, але ви здивуєтеся, дізнавшись, як рідко ці рекомендації застосовуються на практиці.
Переконайтеся в тому, що обліковий запис guest видалена - вона завжди є об'єктом для атаки. Зверніть увагу на повноваження, успадковані об'єктами. Якщо не використовуються фільтри успадкованих повноважень (Inheritance Rights Filters - IRF), останні передаються зверху вниз по дереву NDS і права доступу, надані на одному рівні, можуть діяти і там, де це не було передбачено. В особливо заплутаних випадках адміністратор завжди може переглянути повноваження конкретного об'єкта, а потім блокувати небажані права за допомогою IRF або установкою явних обмежень. За замовчуванням доступ до реєстраційного довіднику з правом читання дозволений всім користувачам, навіть тим, хто не зареєстрований в системі.
Використовуючи надані об'єкту Public за замовчуванням права на перегляд дерева NDS і утиліту CX, атакуючий цілком зуміє просканувати атрибути структури дерева, що в подальшому може бути використано для отримання більш повного доступу до системи. Проте можливості цієї утиліти істотно обмежуються забороною об'єкту Public доступу до об'єкта Root. Ви повинні бути обережні, змінюючи таким чином права доступу, оскільки деяким додатків може знадобитися доступ до об'єкта Root.
Безпека на фізичному рівні
Важливий аспект забезпечення безпеки - розміщення всіх компонентів мережі в безпечних місцях. Ніколи не виставляйте на загальний огляд ваш центр управління мережею (Network Operating Center - NOC). Зловмисники полюють за будь-якою інформацією, і, коли її стає досить для атаки, не сумнівайтеся, рано чи пізно вона буде зроблена. Переконайтеся в наявності резервних джерел живлення і засобів кондиціонування повітря, оскільки їх вихід з ладу спричинить за собою відмову всієї корпоративної мережі.
Захист керуючої консолі
Якщо консоль сервера не використовується, її потрібно заблокувати. У утиліті Scrsaver.nlm, що поставляється в складі ОС NetWare 5.0, реалізований новий метод блокування серверної консолі: на відміну від попередніх версій утиліти Console Lock утиліта Scrsaver.nlm для забезпечення безпеки звертається до служби NDS. Для того щоб розблокувати консоль, ви повинні ввести ім'я користувача і пароль NDS. Потім Scrsaver за списком контролю доступу (Access Control List - ACL) перевіряє, чи має даний користувач правами доступу до конкретного сервера і, якщо це так, розблокує консоль. Додаткова інформація про це міститься в документі TID (Technical Information Document) № 2941164, доступному на Web-сайті Novell.
Віддалене адміністрування
Незважаючи на те що будь-який адміністратор мережі може навести цілий ряд причин, по яких віддалене адміністрування сервера необхідно, до його практичної реалізації слід підійти з усією серйозністю. До складу ОС NetWare 5.x входить традиційне додаток Rconsole і написана на мові Java утиліта віддаленого адміністрування RconsoleJ. Обидві програми мають один і той же недолік - працюють поверх незашифрованих сполук.
Вимоги безпеки, які пред'являються до такого роду програм, дуже високі, оскільки, якщо зловмисник одержить доступ до керуючої консолі, він зможе зробити майже все, що йому потрібно. Існує великий набір засобів для створення привілейованих облікових записів і відповідної модифікації існуючих. Тим не менш консольний доступ необхідний майже завжди.
І Rconsole і RconsoleJ є джерелами додаткового ризику за такими двох причин:
Модулі віддаленого адміністрування, що завантажуються при запуску системи, використовують паролі, які зберігаються в звичайному текстовому файлі. Хоча компанія Novell і пропонує засоби для їх шифрування, адміністратори часто продовжують зберігати списки паролів у вигляді простих текстових файлів, що є прекрасною метою для можливої атаки. Паролі необхідно шифрувати завжди. Хоч це і не забезпечує стовідсоткової безпеки, але все ж краще, ніж нічого.
Сполуки, що встановлюються Rconsole і RconsoleJ, небезпечні, тому що більша частина інформації при цьому відкрито передається в текстовому вигляді. Перехоплюючи пакети, зломщик може отримати важливу інформацію, недоступну іншим способом.
Якщо віддалене адміністрування вам абсолютно необхідно, можливі два шляхи її захисту:
Вивчіть і використовуйте програмне забезпечення для віддаленого адміністрування, що передає інформацію поверх захищених з'єднань.
Використовуйте вбудовані додатки NetWare при дотриманні наступних умов:
Щоб уникнути перехоплення пакетів, замість концентраторів застосовуйте правильно сконфігуровані комутатори.
Зберігайте в найсуворішому секреті пароль віддаленого адміністрування і регулярно змінюйте його.
Переконайтеся в тому, що після використання консоль залишається заблокованою.
Ніколи не застосовуйте незашифровані паролі.
Не заводьте сеанс віддаленого адміністрування за допомогою файлу, що виконується, розташованого в розділі DOS. У цьому випадку проста перезавантаження дозволить зловмисникові отримати пароль.
Secure Console
Для того щоб в якійсь мірі нейтралізувати атаку, якщо зломщик отримає доступ до консолі, використовуйте утиліту Secure Console. Вона підвищує рівень безпеки, запобігаючи завантаження будь-яких модулів, крім розташованих у каталогах SYS: \ SYSTEM або C: \ NWSERVER. Крім того, вона запобігає доступ з клавіатури в системний відладчик і забороняє виробляти зміна системних дати і часу.
Контекст Bindery
Вже багато років існують додатки, що дозволяють перехоплювати інформацію Bindery. Ці засоби здатні обманювати NetWare і перехоплювати пересилаються по мережі пакети. Такий засіб може встановити фальшиве з'єднання з сервером, змусивши його "думати", що запити виходять від робочої станції адміністратора. З допомогою цих програм атакуючий цілком в змозі змінити стандартні права доступу користувача на права доступу адміністратора і отримати в своє розпорядження всі мережеві паролі.
Часто програми або служби, зокрема, успадковані, вимагають включення підтримки контексту Bindery, не залишаючи інших альтернатив адміністратора. Якщо не можна замінити ці програми або служби на сумісні з NDS, атаку можна запобігти, вдавшись ряд заходів, вказаних у розділі "Безпека NCP". Якщо включення підтримки Bindery не є необхідним, все контексти повинні бути видалені.
Механізм реплікації
Одна з переваг використання NDS полягає в можливості розбиття кореневої БД на окремі розділи і забезпечення надмірності шляхом створення їх дублікатів. Найбільшою мірою надмірності, за Novell, можна досягти, як мінімум, трьома репліками кожного розділу NDS, але при цьому ви не зобов'язані використовувати комп'ютери з ОС NetWare для зберігання копій бази даних. За допомогою продукту e-Directory фірми Novell ви можете розташовувати ваші репліки на інших платформах.
Версії Directory Services
Служба Directory Services представлена модулем ds.nlm і декількома додатковими модулями. З-за значних відмінностей її версій суворе дотримання загальноприйнятих стандартів стає нагальною необхідністю. Так як служба довідника - найважливіший компонент ОС NetWare, багато адміністраторів не вирішуються здійснювати оновлення цих модулів, що може вилитися в інші проблеми, включаючи і ті, які виникають при спробі об'єднати різні версії NetWare в одне дерево. Тим не менше потрібно відзначити, що тестування нових модулів перед їх використанням слід проводити обов'язково, тому що відомі випадки, коли в службах довідника виявлялися серйозні помилки.
Безпека NCP
Фірмовий протокол Novell - NetWare Core Protocol (NCP) - застосовується в мережах NetWare для організації взаємодії з клієнтськими машинами. У ряді випадків NCP-пакети можуть бути підмінені зловмисником, що дозволяє йому отримати доступ до інформації про різних компонентах мережі. Деякі засоби для здійснення цього процесу стали надбанням громадськості. Найвідоміше і потужне серед них - Pandora. Ця утиліта призначена виключно для отримання інформації з серверів NetWare.
Протистояти такого роду вторгненням можна, відхиляючи NCP-пакети невірної довжини і з неправильними компонентами, а також встановлюючи на клієнтах і серверах значення рівня підпису NCP-пакетів, що дорівнює 3.
Аудит
Одним з найбільш важливих аспектів політики безпеки є аудит. Засіб Novell AuditCon дозволяє відстежувати всі події в середовищі NetWare, починаючи з її файлової системи і закінчуючи NDS. Тому його слід регулярно використовувати. Необхідно вести аудит аутентифікації супервізора, змін об'єктів NDS, сценаріїв реєстрації в системі і повноважень користувачів.
На додаток до стандартних засобів Novell деякі сторонні фірми теж випустили утиліти для аудиту середовища NetWare; ці продукти містять у собі кошти як виявлення вторгнення, так і спостереження за відповідністю користувальницьких повноважень прийнятій політиці безпеки.
Повноваження користувачів
Методика призначення користувальницьких повноважень повинна бути ретельно продумана ще на стадії планування мережі NetWare. Нижче приводиться список компонентів, яким при виробленні цієї методики необхідно приділити особливу увагу. Пам'ятайте про необхідність компромісу: надто сувора політика безпеки призведе до збільшення частки помилкових відмов у доступі, а дуже м'яка - до утворення "дірок" в системі захисту. Отже:
Одне з поширених засобів відбиття атак - обмеження числа активних сеансів для кожної окремої облікового запису. Заборона багаторазової реєстрації з однаковими обліковими атрибутами допоможе запобігти атаці в робочі години, принаймні на час сеансу того чи іншого користувача. Потрібно взяти до уваги, що деякі версії служби довідника не цілком адекватно реагують на припинення користувацького сеансу зв'язку, в результаті чого часто виникає плутанина з звільняються сполуками. Але в останніх версіях служби довідника ця помилка виправлена, тому і в NetWare 5.x і в Directory Services 8 усе працює нормально.
Обмеживши час доступу до певних облікових записів, ви знижуєте ймовірність атак на ці записи в певні години. Зазвичай цей захід застосовується в робочий час.
Процес виявлення вторгнень включає в себе аспекти, які слід прийняти до уваги. Це максимальне число невдалих спроб реєстрації і час скидання блокування облікового запису. Перший параметр визначає, скільки спроб дається користувачу для реєстрації в системі до тих пір, поки його обліковий запис не буде заблокована. Заблокована після останньої невдалої спроби обліковий запис може бути, потім розблокована автоматично або адміністратором. Цей параметр по можливості повинен мати мінімальне значення. Час скидання блокування облікового запису позначає проміжок часу, протягом якого обліковий запис користувача буде заблокованою до тих пір, поки не відбудеться автоматичного скидання блокування. У більшості випадків цим параметром слід присвоювати максимальне значення, внаслідок чого стане неможливо зареєструватися без втручання адміністратора.
Користувальницькі шаблони допомагають адміністраторам створювати облікові записи, базуючись на корпоративній політиці безпеки. При відсутності шаблонів, як правило, зростає ймовірність помилки, особливо в умовах браку часу. Використовуйте шаблони відповідно до організаційної схемою NDS.
Адміністратор може встановлювати обмеження на аутентифікацію для певних вузлів. Даний метод, зокрема, запобігає спробам аутентифікації з робочих станцій, які не належать локальної мережі. Це, правда, зажадає зайвих зусиль від адміністратора, але згодом забезпечує дуже високий рівень безпеки. Метод найбільш ефективний тоді, коли робочі станції користувачів є стаціонарними; у випадку ж з мобільними станціями при реалізації даного методу адміністратору належить вирішити багато проблем.
Обмеження термінів дії облікових записів особливо ефективно при використанні тимчасових облікових записів. Навіть якщо відсутнє постійне адміністрування, такі записи через певний проміжок часу стають недоступними.
Часто використовується і вважається досить ефективним способом атаки на мережу вгадування пароля. Короткі паролі для такого типу атак більш уразливі. Зазвичай встановлюють мінімальну довжину пароля в 5-6 символів. Можна розглянути й інші випадки застосування паролів.
Параметром примусової зміни пароля задається значення, що визначає, через скільки днів користувачеві доведеться змінити пароль. Після закінчення зазначеного часу йому буде надано певну кількість спроб реєстрації для зміни паролю до того, як доступ до облікового запису буде заблоковано. Розблокування облікового запису вимагатиме втручання адміністратора. Зазвичай рекомендується привласнювати цьому параметру значення, рівне 60-90 дням.
За допомогою параметра надаються спроб доступу (grace-logins) можна визначити, скільки разів поспіль користувачеві дозволяється намагатися зареєструватися для зміни паролю. Якщо привласнити занадто великого значення цьому параметру, система безпеки піддається ризику, що є зворотним боком методу примусової зміни пароля. Тому надавайте цим параметром мінімальне значення.
Web-сервери і FTP-сервери Novell
Під час інсталяції Web-служб Novell в розділ томи SYS записується певна кількість сценаріїв і засобів управління додатками, зокрема NetBasic, Perl і Sewse, які можуть представляти небезпеку в тому випадку, якщо зловмисник спробує використовувати їх у своїх цілях. Необхідно обов'язково видалити їх звідти, щоб у майбутньому вони не стали джерелом виникнення проблем.
Зазвичай не рекомендується використовувати FTP-сервери в корпоративному середовищі. Але якщо це неминуче, розміщуйте FTP-службу і дані на власному окремому томі. Не тримайте їх на томі SYS.
Зауваження про рівень безпеки C2
Вимоги до програмно-апаратних засобів щодо забезпечуваного ними рівня безпеки A, B, C і D описані в документі Trusted Computer System Evaluation Criteria (TCSEC), опублікованому Національним центром комп'ютерної безпеки (NCSC) США. Даний документ зазвичай іменують Помаранчевої книгою. Це одна з кількох книг відомої "кольорової" серії керівних документів Агентства національної безпеки США (National Security Agency - NSA). Відповідно до положень Помаранчевої книги основою забезпечення безпеки на рівні C2 є метод дискреційного управління доступом (Discretionary Access Control - DAC). Система не сертифікується в якості відповідає вимогам рівня C2 до тих пір, поки не отримає "добро" від NSA. Такі системи повинні забезпечувати досить високий ступінь безпеки.
Фірма Novell не тільки відмовилася від ідеї претендувати на офіційне підтвердження відповідності ОС NetWare 5.х вимогам безпеки рівня С2, але навіть не спромоглася підготувати документ, що описує, яким чином можна привести її продукт у відповідність з цими вимогами. Чи означає це, що в компанії вважають такий рівень безпеки зайвим? Або, може бути, керівництво фірми не впевнене в тому, що її продукт зможе успішно пройти сертифікаційні випробування? Однозначної відповіді у нас немає.
Засвідчують центри Novell
В ОС NetWare 5.0 не тільки з'явилася підтримка технології асиметричного шифрування для забезпечення безпеки сеансів зв'язку клієнтів з серверами - тепер адміністратори NetWare можуть використовувати свої власні засвідчують центри (Certificate Authority - CA), інтегровані зі службою NDS. Продукт Novell Certificate Server 2.0 підтримує специфікацію електронної пошти S / MIME (Secure MIME) для клієнтів Microsoft Outlook 98/2000, Novell GroupWise 5.5 (c пакетом розширення) і Netscape Messenger. Цим же продуктом підтримуються Web-браузери Microsoft Internet Explorer 4.x і 5.x, а також Netscape Navigator 4.x.