אבטחת מערכות על Novell

1

מערכות מערכות אבטחת Novell NovellאבטחתNetWareNetWare

2

זה זה מה ? ?NovellNovellמה

- שרותי קבצים ומדפסותFile & Print Services

)קצת שרותי אפליקציה ואינטרנט )עדיין לא פופולרי

:תמיכה מובנית בתחנותWin95,8/DOS/Win3.11/Macintosh/OS/2/WinNT /Win 2000

:פרוטוקולIPX/SPX בגירסא( מבוסס גם 4.11 TCP/IP)

5.1 ו 5בגירסהA גם Pure IP

3

מערכות מערכות גרסאות גרסאותההפעלהההפעלה

3.11 : BINDERY חלשה ביותר מבחינה ,

אבטחתית

3.12 :BINDERY עדיין מכילה פרצות. הנפוצה ,

ביותר.

3.2 :YEAR 2K ,BINDERY

4.0 :NDS.גרסא ראשונה ודי בעייתית ,

4.1 :NDS.הגרסא בנפוצה ביותר ,

4.11 :INTRANetWare” ,NDS”

4.2 :YEAR 2K, NDS

5 מערכת תומכת Tcp-Ip

5.1כולל תוספות מעבר למערכת ההפעלה

4

זה זה מה ? ?BinderyBinderyמה

בשרת בודד - לוגייםמגדיר את כל האובייקטים ה SERVER

( אובייקטים אפשריים: משתמשUser( קבוצה ,)Group ,)( וכו’Printerמדפסת )

- לכל אובייקט מוגדרים מאפייניםProperties

- לכל מאפיין יש ערךValue

5

זה זה מה ? ?NDSNDSמהNetWare Directory Services: NDS

בכל השרתיםלוגייםמגדיר את כל האובייקטים ה

.מודל של עץ משאבים ברשת, מבוזר וגלובלי

-מוסיף רמה נוספת של אבטחה על מודל הBINDERY

ה“שטוח” - חלוקת הרשאות גמישה, חסימת הרשאות, מספר

מנהלי רשת וכו’

-הAuthentication מאפשר למשתמש לקבל גישה לכל

, אשר 3של גרסאות LOGINהמורשים לו, בניגוד ל- המשאבים

גישה למשאבים של שרת בודדהיה מאפשר

NDS 8 5.1 במערכת ההפעלהA

6

- ב -אובייקטים ב NDSNDSאובייקטים

אובייקטים מספרלדוגמא:

Container Objects - אובייקטים מכיליםאחרים

Leaf Objects.) האובייקטים - ) רוב עלים

7

: לדוגמא עץ

8

- ה ברמת - הרשאות ה ברמת Bindery/NDSBindery/NDSהרשאות -אין קשר ל( הרשאות לוגיות בלבדData)

-בBindery רמות של מנהלים:3 יש

Supervisor כל יכול במערכת -

File Server Console Operator יכולים לשלוח - Enable/Disable Loginהודעות, לשנות תאריך ושעה,

Workgroup Manager יכול להגדיר/למחוק - משתמשים, אך מוגבל...

-ב NDS כמעט ואין הגבלה על רמת ההרשאות שניתן להעניק:

לכל אובייקט ניתן להגדיר הרשאה לכל אובייקטאחר

גם של( ניתן להגביל את ההרשאותAdmin)

9

זה זה מה ? ?File SystemFile Systemמה

:בכל שרת יש מערכת קבצים פנימית, המחולקת לכמה רמות

( דיסקים פיזייםHardware)

( כרכים לוגייםVolumes( מינימום אחד - ):SYS)

( ספריותDirectories)

( קבציםFiles)

-לVolumes, Directories, Files יש מאפיינים המגדירים ( וכן מאפיינים נוספים trustee assignmentהרשאות גישה )

(Attributes)

10

קיימים ?קיימים ?Trustee RightsTrustee Rightsאילו אילו

Readקריאה )והרצה( של קובץ/ספרייה -

Filescan ביצוע - listingלספרייה/קבצים

Write קיים - כתיבה לקובץ

Create חדשים - יצירה של קובץ/ספרייה

Eraseמחיקה של קובץ/ספרייה -

Modify( שינוי תכוניות - Attributes או שם של )קובץ/ספרייה

Access Control הרשאה להעניק למשתמשים אחרים - לקבצים/ספריותהרשאה

Supervisory כנ”ל - לא ניתן לחסימה )עוד מעט - נראה….(

11

קיימים ?קיימים ?AttributesAttributesאילו אילו

RO - Read Only

H - Hidden

P - Purge

Di - Delete-inhibit

Sh - Shareable

Ci - Copy-inhibit

Dm - Don’t migrate

Dc - Don’t compress

Rw - Read-write

Sy - System

A - Atchive-needed

Ri - Rename-inhibit

T - Transactional

X - eXecute-only

Ic - Immediate compress

Ds - Don’t suballocate

* File only Attributes* File & Directory attributes

12

? ההרשאות מערכת עובדת ?איך ההרשאות מערכת עובדת איך

ההרשאות מקשרות בין User/Group/Container לבין ספרייה/קובץ

( כל ההרשאות עוברות בהורשה Inherited)

13

דוגמא - ההרשאות דוגמא - מערכת ההרשאות מערכת

14

??David??Marketing

אפקטיביות הרשאות

SYS:

\DATA

\MKTG

\1999

\AUGUST

.\file1.doc

.\file2.xls

.\file3.pptDavid [RF]

Marketing [RWCEMF]]RF[David

]RWCEMF[Marketing

15

SYS:

\DATA

\MKTG

\1999

\AUGUST

.\file1.doc

.\file2.xls

.\file3.pptDavid [RF]

Marketing [RWCEMF]

]CEM[David

??David??Marketing

אפקטיביות הרשאות

]CEM[David]RWCEMF[Marketing

16

??David??Marketing

אפקטיביות הרשאות

SYS:

\DATA

\MKTG

\1999

\AUGUST

.\file1.doc

.\file2.xls

.\file3.pptDavid [RF]

Marketing [RWCEMF]]RCEMF[David

]RWCEMF[Marketing

]CEM[Accounting

17

) ( ? המשך ההרשאות מערכת עובדת (איך ( ? המשך ההרשאות מערכת עובדת איך

-ניתן לחסום את ההורשה של הרשאות באמצעות ה IRM

Inherited Rights Mask - IRM

-המסיכה מוגדרת ברמת הקובץ/ספרייה ללא קשר לUsers’וכו

המסיכה/פילטר מתפקדת כמו ‘מסננת’ הרשאות

תעבורנה בירושה כן במסיכה קובעים אילו הרשאות

לא הנורשות בלבד הסינון מתבצע עבור ההרשאות( ברמת הספרייה עצמה(להרשאות

18

R W C E M F A S IRMDirectoryR W F

SubDirectory R W F

IRMIRM - מחדל מחדל - ברירת ברירת

19

R F S IRMDirectoryR W C E M F

SubDirectory R F

IRMIRM... ...המשך - המשך -

]RWCEMFA[David

R W C E M F A

20

SYS:

\DATA

\MKTG

\1999

\AUGUST

.\file1.doc

.\file2.xls

.\file3.pptDavid [RF]

Marketing [RWCEMF]

]CEM[David

]CEM[David]RWCEMF[Marketing

אפקטיביות הרשאות

]CEM[David]RWCEMF[Marketing

R F S

21

SYS:

\DATA

\MKTG

\1999

\AUGUST

.\file1.doc

.\file2.xls

.\file3.pptDavid [RF]

Marketing [RWCEMF]

]CEM[David

]CEM[David]RWCEMF[Marketing

אפקטיביות הרשאות

]CEM[David]RF[Marketing

R F S

22

- ה בין הקשר - מה ה בין הקשר - BinderyBinderyמה - ל ? ?F.SF.Sל -הBindery( מאמת Authenticates את המשתמש בכניסה )

לשרת.

כל פעילות שקשורה להגדרות לוגיות של אובייקטים.Bindery/NDSמול ה- מתבצעת

-פאשלה” ב“Bindery -ה : Login Script נשמר בספריית ,SYS:MAIL\object id תוקן.4. בגירסא

כאשר משתמש מנסה לגשת לקובץ/ספריה - ההרשאה שלו שמוגדר בקובץ/ספרייה Trustee Listנבדקת מול ה-

(. Inheritanceאו על-פי ההורשה )Effective Rightsנקרא:

23

אבטחה אבטחה מנגנוני מנגנונינוספיםנוספים

24

במערכת האבטחה במערכת נקודות האבטחה נקודות

( השרת (Serverמחשב התקשורת רשת

) לוגית ) אבטחה התחנות

וביקורת בקרה

25

::SERVER SERVER CONSOLECONSOLEה- ה-

השרת של העיקרית הבקרה עמדת

) מהרשת ) - וכן עצמו השרת משמע פיזית נגיש(RCONSOLE אוXCONSOLE.)

. - , לפריצה מטרה להוות עלול אבל ניהול יכולות מאפשר

26

מקנה לפורץ:CONSOLEהשתלטות על ה-

יכולת להעלות לזכרוןNLM - ים כרצונו, לדוגמא-

BURGLAR.NLM.

)יכולת למחוק ולהרוס מידע )ואת כל השרת למעשה

( יכולת להחדיר וירוס למערכתvirus.nlm).…

העתקה של המידע דרך תוכנת הגיבוי לקלטת

( להוריד את השרתDOWN.)

“ להכנס למצבDEBUG.ולעשות כרצונו ”

27

אבטחה פיזית: יש לשמור את השרת בחדר מחשב מאובטח

ונעול.

:אבטחה לוגית

חזקה.RCONSOLE- סיסמת

. )רק ב- REMOTE ENCRYPT: RCONSOLE- אכיפת הצפנה ב-

4)

REMOVE DOS- פקודת

- SECURE CONSOLE:

.(MONITOR.NLM עם סיסמא )Console- נעילת ה-

מספיקה על מנת להשתלט על כל CONSOLEהשתלטות על ה-

השרת!

- ה - אבטחת ה CONSOLECONSOLEאבטחת

Remove Dos

SYS:SYSTEM מספריית רק מודולים הפעלת

ושעה תאריך שינוי מונע

Debugger- ל כניסה מונע

28

התקשורת התקשורת רשת רשת

.רשת התקשורת “מתווכת” בין התחנות לשרת

:)סוגי התעבורה ברשת )חלוקה לוגית

-Data

- סיסמאות

NCP (NetWare Core Protocol- )- “פקודות מערכת”

(telnet )לדוגמא: Novell- תקשורת שאינה קשורה ל-

29

( ניתן “להאזין” לתשדורת ברשתSniffing)

Data)לא במיוחד אפקטיבי )קשה לניתוח -

-סיסמאות - עלולות לעבור ברשת בClearText.

כדי להבטיח שסיסמאות יעברו בצורה מוצפנת:

Set Allow Unencrypted Password = NO

NCP Packetsניתן לזייף אותן, ועל-ידי כך לחדור למערכת -

תקשורת אחרת - ניתן להשתמש באינפורמציה כדי לחדור

וכו’Novell (telnet,pop3)ל-

SniffingSniffing

30

NCP Packet SignatureNCP Packet Signature

-מנגנון “חתימה אלקטרונית” לNCP Packets מאפשר זיהוי -

ודאי של התחנה, כלומר מונע התחזות/זיוף

-קיים כברירת מחדל במערכת3.12החל מ

Level 0לא מאפשר חתימה -

Level 1מאפשר חתימה, מחכה לבקשה מהצד השני -

Level 2מאפשר חתימה, מבקש מהצד השני -

Level 3מחייב חתימה -

Server Client

31

גישה - בקרת לוגית גישה - אבטחה בקרת לוגית אבטחה

:סיסמאות

- אורך מינימלי בתוים Minimum Password Length

- תדירות החלפת סיסמאות Periodic Password Change

( 8סיסמאות ייחודיות - )דורות Unique Passwords

Grace Logins

Station Restriction

Time Restriction

- מספר חיבורים בו-זמנית Concurrent Connections

32

בקרת גישה - המשךבקרת גישה - המשך

Intruder Detection/Lockout:

- כמה נסיונות כושלים Failed Login Attempts

פרק זמן X

נעילה לפרק זמן Y

- נעילת חשבונות ידנית Account Disabled

- פקיעת תוקף החשבוןExpiry Date

)…מידור הנתונים / הרשאות לקבצים וספרייות )כבר ראינו

33

ביקורת/ ביקורת/בקרה Auditing- Auditing - בקרה

קבצי log:במערכת

File Server Error Log

-רישום הודעות ה Console - CONLOG.NLM

-ה- 3ב ,Accounting מוסיף רישום Login/Logout

SECURITY.EXE (: מוצא 3 )בגירסאSup.Equiv משתמשים ,

תוים, משתמשים לא פעילים 5סיסמא, סיסמא קטנה מ-ללא

וכו’

34

Auditing- Auditing - המשךהמשך

ומעלה: 4 בגירסא Auditcon

:מאפשר לדגום נתונים לפי קריטריונים שונים

- כניסה ויציאה

NDS- שינויים ב-

- גישה לקבצים/ספריות

מאפשר קיום Auditor -נפרד מה Admin וללא שליטתו ,

סמכויות()הפרדת

עלול לגרום לעומס, בעיקר בנפח אכסון מומלץ להתקין

SP8A.

35

CHECKLISTCHECKLIST:: השרת על פיזית הגנה

ביטולGUEST.. חזקה סיסמאות מדיניות

INTRUDER DETECTION. - ה .CONLOGוהפעלת, RCONSLEאבטחתSTATION RESTRICTIONS.TIME RESTRICTIONS.SET NCP PACKET SIGNATURE. :אופציונליACCOUNTING. ביטולSUPERVISOR SECURITY EQUIVALENTS. של מדוקדקת .TRUSTEE RIGHTSבדיקה גרסה עדכון

גיבוי קלטות אבטחת