Тестирование / tsure052

УДК

Автор: О.Ю.Пескова

Методическое пособие «Теория и практика организации защиты информационных систем» по курсу «защита информационных систем». Часть 2. Таганрог: изд.-во ТРТУ, 2001. с.

Во второй части данного методического пособия рассматриваются службы безопасности в сетевых операционных системах, а также организация безопасной работы в глобальных и локальных компьютерных сетях.

Библиогр.: назв.

Рецензент П.П.Кравченко, д-р техн. наук, профессор, зав. кафедрой МОП ЭВМ ТРТУ

2

1.БЕЗОПАСНОСТЬ СЕТЕВЫХ ОПЕРАЦИОННЫХ СИСТЕМ

1.1.БЕЗОПАСНОСТЬ INTRANETWARE

1.1.1. ПОДСИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В INTRANETWARE

7 октября 1997 года Национальный центр по компьютерной безопасности США (Nations Computer Security Center) объявил о том, что сетевая операционная среда NetWare 4.11, входящая в продукт IntranetWare компании Novell, получила сертификат по классу С2 в соответствии с Красной книгой (C2 RedBook) и отныне может быть использована в правительственных подразделениях и учреждениях, в которых необходимо установить защищенные сетевые решения. NetWare 4.11 является первой сетевой операционной системой, получившей подобный сертификат.

Безопасность сетевой операционной системой как единого целого определяется безопасностью следующих ее составляющих: аппаратного и программного обеспечения сервера; аппаратного и программного обеспечения клиентских рабочих станций; среды передачи данных; сетевых протоколов.

Для проверки соответствия сетевой аппаратуры требованиям безопасности фирмой Novell был разработан ряд спецификаций, которые относятся к написанию драйверов накопителей информации (жестких дисков, магнитной ленты, СD-ROM), драйверов сетевых карт и к структуре и параметрам аппаратуры. Сеть, построенная на основе IntranetWare с использованием аппаратных компонент, прошедших сертификацию в соответствии с программой "Novell C2 Yes Tested and Approved", при выполнении остальных условий сертификации считается соответствующей классу С2. В настоящее время единственной сертифицированной по классу С2 рабочей станцией является Assure ЕС Workstation. В качестве безопасной среды передачи данных рассматривался защищенный Ethernet кабель. Для других типов сред передачи данных сертификация не производилась.

Защищенная конфигурация предусматривает использование следующих сетевых протоколов:

•NetWare Core Protocol (NCP). NCP включает в себя порядка 500 типов информационных сообщений, которые обеспечивают связь клиентов с рабочими станциями, файловый сервис, службу выработки и передачи сообщений, поддержку NDS, помещение заданий на печать в очередь и т. д.

3

•Storage Management Services Protocol (SMSP). SMSP используется для резервного копирования файловой системы и NDS.

•Print Server Status and Control Protocol. Этот протокол используется для контроля состояния текущего задания печати.

•Printer Control Protocoi (PCP). Используется для конфигурации принтеров, отправки

задания на печать на принтер и определения статуса принтера.

Защищенная конфигурация IntranetWare допускает использование в качестве протоколов сетевого уровня только стека IPX. Использование TCP/IP, AppleTalk, SAA и NACS не допускается.

Рассмотрим основные механизмы обеспечения безопасности сервера NetWare.

Средства идентификации и аутентификации пользователей. Существует возможность интерактивной регистрации пользователей в сети со своих рабочих станций. Каждый пользователь проходит процедуру идентификации и аутентификации перед тем как получить доступ к ресурсам сети. Проверка полномочий пользователя осуществляется не только в момент регистрации, а идет в течение всего сеанса работы в сети. Если полномочия пользователя стали недействительными (истекло указанное сетевым администратором время работы пользователя в сети, администратор изменил полномочия пользователя во время работы последнего в сети и т.д.), работа пользователя в сети будет немедленно прекращена. Данная особенность отличает IntranetWare от такой распространенной операционной системы, как Windows NТ, где проверка полномочий пользователей осуществляется только в момент регистрации.

Разграничение полномочий пользователей по доступу к ресурсам сервера

(дискреционный метод доступа). Все параметры, управляющие работой IntranetWare, содержатся в единой распределенной тиражированной базе данных – NDS (Novell Directory Service). Механизмы образования прав пользователей на объекты NDS и объекты файловой системы различны и будут рассмотрены позднее.

Служба аудита. Под аудитом здесь и в дальнейшем будем понимать службу регистрации событий в сети. IntranetWare имеет встроенную утилиту аудита – AUDITCON. Отдельно регистрируются события в NDS и в файловой системе. Управление доступом к журналу аудита и к конфигурации аудита осуществляется через NDS, при этом достигается независимость управления аудитом от сетевого администратора. Результаты аудита расположены в области памяти, недоступной для

4

всех пользователей, включая администратора. Возможно хранение на сервере результатов аудита защищенных рабочих станций.

Служба запрета повторного использования объектов. Сервер IntranetWare

обеспечивает такую стратегию повторного использования объектов, чтобы предотвратить неавторизованный доступ к исключенному из NDS или файловой системы, но еще содержащемуся в памяти объекту.

Автоматическая конфигурация подсистем безопасности сервера. В директории

SYS:SYSTEM имеется файл SECURE.NCF, запуск которого устанавливает настройки параметров сервера таким образом, чтобы обеспечить конфигурацию сервера в соответствии с требованиями С2.

Тесты проверки целостности системы. В соответствии с требованиями С2

сертификации, фирма Novell разработала тесты для проверки функционирования аппаратного и программного обеспечения системы. Эти тесты реализованы в виде клиентских утилит NSTEST и NWTEST. Для запуска этих утилит необходима рабочая станция, на которой установлена любая среда MS Windows, а на сервере должны быть запущены утилиты CDROM и SBACKUP. Утилита NSTEST проверяет правильность функционирования системы при считывании и записи с жесткого диска.

1.1.2. ОРГАНИЗАЦИЯ ДОСТУПА К ОБЬЕКТАМ NDS И ФАЙЛОВОЙ СИСТЕМЫ

Система разграничения доступа к объектам NDS и файловой системы в IntranetWare представлена в виде систем ограничений на работу пользователя в сети и прав на объекты NDS и файловой системы. В IntranetWare действуют следующие ограничения на работу пользователей в сети:

•Ограничение на время работы пользователей в сети. Поскольку аутентификация пользователей IntranetWare представляет собой непрерывно идущий процесс, то работа пользователя в сети будет прекращена сразу по наступлению соответствующего ограничения.

•Ограничение по одновременному числу сетевых соединений.

•Ограничение по сетевому адресу, что ограничивает пользователей, разрешая им вход в сеть только с авторизованных рабочих станций.

•Ограничения на пароль пользователя. Может быть регламентирована длина,

частота смен, возможность или невозможность повторного использования пароля.

5

•Права на объекты NDS и файловой системы представляют собой две отдельные системы. В IntranetWare определены следующие права на файлы:

Рассмотрим систему распределения прав на объекты файловой системы.

На любой объект файловой системы может быть назначен опекун (trustee) – Пользователь, Группа, Контейнер и вообще любой объект NDS с указанием набора прав, которые опекун имеет данный объект файловой системы.

Если объект NDS не назначен впрямую опекуном данного объекта файловой системы, но ему назначены права на вышестоящую директорию, то это назначение наследуется на интересующий нас объект файловой системы. Прямое назначение прав отменяет наследование за исключением того случая, когда на вышестоящий объект файловой системы было назначено право Supervisor.

Для блокировки наследования прав на нижестоящий объект файловой системы может быть пользован фильтр наследуемых прав (Inherited Rights Filter – IRF). Наследование права Supervisor блокировано быть не может.

Эффективные права пользователей на объекты файловой системы определяются как суперпозиция назначений опекунства (с учетом наследования и фильтрации), сделанных для данного пользователя, а также для всех объектов, для которых данный пользователь является эквивалентом по безопасности (security equivalence). Пользователь является эквивалентом по безопасности следующим объектам:

•всем Контейнерам (включая [Root]), в которые он входит;

•Группам, членом которых он является;

6

•объектам NDS Organizational Role, исполнителям которых он назначен. (объект Organizational Role введен в соответствии с требованиями Х.500; с точки зрения распределения прав он напоминает объект Group, но в Organizational Role присутствуют не члены (members), а исполнители (occupants))

•всем объектам, которым он впрямую назначен эквивалентом по безопасности. Следует отметить, что соотношение эквивалентности по безопасности не является

транзитивным, то есть, если А эквивалентен по безопасности В, а В эквивалентен по безопасности С, то из этого не следует эквивалентность по безопасности объекта А объекту С. Так например, если пользователь JSmith из одного контейнера эквивалентен по безопасности пользователю MAvilla из другого контейнера, то он получит права, впрямую назначенные MAvilla, но не получит прав, назначенных контейнеру, в который входит MAvilla.

Права пользователей на объекты NDS включают права на объект NDS в целом и права на его свойства Права на объекты NDS и на свойства объектов NDS определены в следующих таблицах:

Различают права на все свойства объектов и на их избранные свойства.

7

Аналогично файловой системе, при определении эффективных прав на объекты NDS действуют понятия отношений опекунства, наследования, фильтрации наследуемых прав, эквивалентности по безопасности. Но имеется и ряд существенных различий:

•назначение прав на избранное свойство объекта определяет права на заданное свойство не зависимо от того, какие права были назначены на все свойства объекта;

•права на избранные свойства объекта не наследуются;

•супервизорские права на объект в целом влекут за собой супервизорские права на все его свойства;

•наследование супервизорского права может быть заблокировано фильтром наследуемых прав или прямым назначением.

Последнее свойство делает администрирование в IntranetWare исключительно

гибким. В зависимости от политики безопасности в организации можно реализовать как централизованное, так и децентрализованное управление NDS.

Под централизованным будем понимать такое управление NDS, когда главный администратор обладает полным набором прав на все объекты NDS (кроме, возможно, объектов управления аудитом).

Под децентрализованным, или распределенным понимается такое управление, когда главный администратор не имеет полного контроля над всеми объектами NDS, и выделяются контейнеры, в которые назначается свой администратор контейнера. Права главного администратора на данный контейнер могут быть заблокированы либо полностью, либо частично.

Реализация децентрализованного управления требует наделения контейнерного администратора супервизорскими правами на соответствующий контейнер.

Необходимость в децентрализованном управлении возникает в одном из следующих случаев:

•большие размеры организации, когда главный администратор физически не в состоянии контролировать NDS в целом;

•наличие удаленных отделений, связь с которыми осуществляется по относительно узкополосным линиям связи; в этом случае централизованное администрирование неудобно как в чисто организационном аспекте, так и с точки зрения создания трафика при администрировании через WAN;

8

•наличие серверов, содержащих информацию с более высокой степенью конфиденциальности, чем все остальные; случае целесообразно выделять такие серверы в отдельный контейнер и назначать туда выделенного контейнерного

администратора.

Для удобства применения администратором системы прав и ограничений на работу пользователей введен объект NDS Template (шаблон), который позволяет определять некоторый набор параметров, характеризующий свойства объекта NDS User. Далее при создании нового объекта User не требуется заново задавать эти параметры. Достаточно лишь указать, что при создании этого объекта используется соответствующий шаблон. В шаблоне, наряду с традиционной системой ограничений на работу пользователя в сети, можно задавать также такие параметры, как права вновь создаваемого Пользователя на объекты NDS и файловой системы, права других объектов NDS на данного Пользователя, максимальный размер информации, который данный Пользователь может держать на томе и т.п. За счет применения объекта NDS Template удается унифицировать описания Пользователей, имеющих однотипные права в системе и, тем самым, облегчить задачу контроля безопасности в части системы прав пользователей.

При большом числе объектов ручной контроль над системой прав и ограничений становится весьма затруднительным. В этих случаях целесообразно применять дополнительные программные средства для контроля за безопасностью в NDS,

например, программу Каne Security Analyst (KSA) фирмы Intrusion Detection.

Таким образом, IntranetWare имеет развитую систему разграничения прав и полномочий пользователей. К ее основным особенностям можно отнести следующие:

•гибкость, т.е возможность выбора централизованной или децентрализованной модели администрирования. которая позволяет полностью адаптировать схему администрирования в сети к особенностям конкретной организации;

•меньшие по сравнению с другими операционными системами затраты времени на администрирование, что достигается за счет иерархической структуры NDS и динамической схемы назначения прав пользователей;

•высокие требования к квалификации сетевого администратора, которые обусловлены динамической схемой назначения прав пользователей и многообразием приемов администрирования; в сложных сетях целесообразно наличие дополнительной службы, осуществляющей контроль за действиями сетевого администратора.

9