Тестирование / tsure052

для текущего {родительского) каталога.

3.Если профиль для текущего каталога не найден, выполняется поиск "корневого" профиля управления доступом.

4.Если хотя бы один из профилей найден, то выполняется поиск данного пользователя

всписке пользователей этого профиля и предоставление прав, назначенных ему явно. Если пользователь в списке отсутствует, то права пользователя определяются сложением прав доступа всех групп, куда входит данный пользователь.

ВWarp Server предоставление пользователям прав доступа выполняется не только на основе содержимого АСР ресурсов, но и на основе административной авторизации их бюджетов или наличия привилегий оператора. Например, администратор обладает полным контролем над ресурсами домена, что дает ему возможность создавать, удалять и изменять определения любых бюджетов, групп, ресурсов и приложений, тогда как бюджет с привилегиями оператора печати может создавать, удалять или изменять только описания ресурсов печати. Административные возможности не ограничиваются определениями сетевых объектов, они также распространяются на физические ресурсы домена. Это означает, что бюджет администратора будет автоматически иметь полные права над всеми ресурсами домена независимо от того, определены ли права доступа для такого бюджета в АСР ресурсов или нет.

ВWarp Server существует два основных типа бюджетов, которые можно определить при создании бюджета: "администратор" и "пользователь". Для бюджета типа "администратор" не существует ограничений в плане административных возможностей в домене по отношению к пользователям/группам и ресурсам. Бюджет типа "пользователь" не имеет административной авторизации в домене и права доступа этого пользователя определяются содержимым ACL ресурсов. Однако ему могут быть предоставлены специальные функции, называемые привилегиями оператора. Они позволяют пользователю выполнять некоторые административные действия. Операторы бывают четырех типов:

•оператор печати (print operator), который управляет заданиями и очередями печати;

•оператор бюджетов (account operator), управляющий группами и пользователями;

•оператор последовательных устройств (СОММ operator), который управляет последовательными устройствами;

•оператор сервера (server operator), управляющий разделяемыми сетевыми ресурсами.

81

1.4.4. БЕЗОПАСНОСТЬ ФАЙЛОВОЙ СИСТЕМЫ HPFS386

Высокопроизводительная 32-разрядная файловая система - HPFS386 (High Performance File System 32-bit) представляет собой расширение стандартной файловой системы OS/2 - HPFS. HPFS386 обладает наилучшими характеристиками производительности при работе с дисками большого объема, а также обеспечивает более высокий уровень безопасности данных по сравнению с FAT и HPFS. HPFS386 позволяет снять ограничение на количество АСР (8192), ввести ограничения на пространство, занимаемое каталогами, контролировать доступ к данным со стороны не только удаленных, но и локальных пользователей. Поддержка HPFS386 может быть выбрана при установке Warp Server Advanced.

При использовании HPFS386 информация об управлении доступом к файлам и каталогам находится в файловой системе, а не в NET.ACC, как для дисковых разделов FAT и HPPS. При этом вместе с каждым файлом или каталогом хранится объект файловой системы, называемый Fnode, который содержит АСР данного файлового ресурса. Такая архитектура приводит к некоторым особенностям в работе по сравнению с FAT и HPFS, связанным с объектно-ориентированной организацией HPFS386. Одна из особенностей проявляется при создании каталогов и файлов локально на диске сервера, что приводит к наследованию ACL родительского каталога. Для разделов FAT и HPFS наследование ACL происходит только если каталог или файл создается удаленно. Локальное удаление файлов или каталогов в разделах HPFS386 всегда происходит вместе с ACL, в то время как в разделах с FAT и HPFS соответствующие ACL остаются. При перемещении файла модифицируется путь доступа к файлу в файловой системе для отражения его нового расположения, но при этом не происходит реального перемещения содержимого файла. Так как не происходит создания файла, команда MOVE оставляет исходный ACL неизменным, а команда COPY создает новый файл, который наследует ACL каталога, в который выполняется копирование.

В HPFS386 вводится понятие явных и неявных списков управления доступом. Неявный ACL - это обычно подразумеваемый или наследуемый ACL родительского каталога. В отличие от него явный ACL реально существует и не был унаследован от родителя. Примером, когда неявный ACL превращается в явный, может служить перемещение файла командой MOVE. Это гарантирует, что ACL файлов будут такими же, как у их родительских каталогов, а не такими, как у каталогов, в которые

82

выполняется перемещение файлов.

Использование разделов с HPFS386 позволяет контролировать доступ к их файлам также со стороны локальных пользователей сервера, причем независимо от того, запущены сетевые сервисы Warp Server или нет.

1.4.5. СИСТЕМА ЛОКАЛЬНОЙ БЕЗОПАСНОСТИ

Права доступа, заданные для ресурса, контролируются сервером только для удаленных пользователей, обращающихся к этому ресурсу с других рабочих станций. При инсталляции Warp Server Advanced можно установить средство контроля доступа со стороны локальных пользователей сервера, называемое системой локальной безопасности. Система локальной безопасности защищает файловые ресурсы только для разделов с файловой системой HPFS386. Авторизация локальных пользователей выполняется точно так же как и удаленных пользователей. Администраторы домена в любом случае обладают всеми правами на все файлы и права доступа для них в ACL не проверяются. Работая на сервере с установленной системой локальной безопасности, пользователь может получить доступ к файлу только если он обладает правами доступа к данному файлу. Если локальный пользователь запускает программу, то она может получить доступ к файлу, только если пользователь обладает соответствующими правами доступа к данному файлу. При этом системой рассматриваются права доступа локального пользователя, а не права доступа программы. Исключение составляет случай, когда администратор запускает программу в привилегированном режиме. Такая программа будет выполняться с правами доступа администратора.

На сервере с установленной системой локальной безопасности автоматически создается специальная группа с именем LOCAL. В данную группу не входит никто из пользователей и их невозможно туда включить. Права группы LOCAL предоставляются системным программам и пользователям локальной системы в случае, если на данной рабочей станции никто не зарегистрировался. Поэтому для того, чтобы Warp Server мог успешно стартовать, группе LOCAL должны быть назначены права на чтение и выполнение для системных каталогов и файлов операционной системы.

Ниже приведены примеры того, какие права доступа получает пользователь, работающий за консолью сервера с установленной системой локальной безопасности:

•если локальный пользователь нигде не зарегистрировался, то ему предоставляются права доступа группы LOCAL, и при этом отсутствует доступ к сетевым ресурсам

83

домена;

•если локальный пользователь зарегистрировался локально на сервере, то ему предоставляются его права доступа и права группы LOCAL, но отсутствует доступ к сетевым ресурсам домена;

•если локальный пользователь зарегистрировался в домене, то ему предоставляются его права доступа, права группы LOCAL и доступ к сетевым ресурсам домена.

Как идентификатор пользователя, так и его пароль должны храниться в базе данных бюджетов сервера с локальной безопасностью (файл NET.ACC) перед тем, как Warp Server выполнит авторизацию пользователя. Если Warp Server не обнаружит соответствующего идентификатора пользователя, то будут предоставлены только права доступа группы LOCAL локального сервера.

1.4.6. БЕЗОПАСНОСТЬ УДАЛЕННОГО ДОСТУПА

Служба удаленного доступа - RAS (Remote Access Services), называемая также сервером соединений (Connection Server), является компонентой OS/2 Warp Server, обеспечивающей доступ к локальной сети удаленным рабочим станциям. Использование возможностей удаленного доступа может сделать такую локальную сеть и ее ресурсы уязвимыми для несанкционированного доступа извне, поэтому RAS обладает средствами защиты, которые контролируют доступ к серверу соединений. Подсистема безопасности службы удаленного доступа выполняет две основные функции:

•Обеспечение защиты локальной сети от случайного, неавторизованного доступа извне. Подсистема безопасности гарантирует, что до тех пор, пока не будет выполнена аутентификация инициатора соединения, ни один сетевой пакет не будет передан вовне и ни один пакет не будет принят извне. В случае, если уже есть несколько внешних пользователей, которые были аутентифицированы и которые в данный момент подключены к локальной сети, подсистема безопасности гарантирует, что новый пользователь не увидит трафик между локальной сетью и любым из этих пользователей, пока не будет выполнена его аутентификация.

•Выполнение непрерывной проверки удаленных запросов. При получении сервером соединений запроса на обслуживание подсистема безопасности может определить, что запрос был послан неавторизованным пользователем, запрос был перехвачен и изменен в процессе его передачи, текущее сообщение является копией предыдущего.

84

Подсистема безопасности службы удаленного доступа может быть включена или отключена. За ее активизацию отвечает параметр конфигурации RAS, называемый параметром защиты, который устанавливается в окне. Его можно установить как на удаленной рабочей станции, так и на сервере соединений. Данная функция недоступна на рабочих станциях с Windows. Если подсистема безопасности отключена, любой пользователь может выполнить настройку параметров сервера соединений и, в частности, установить параметр защиты. Однако, после включения подсистемы безопасности только пользователь, назначенный администратором безопасности, может зарегистрироваться на защищенной рабочей станции и отключить параметр защиты, Включение и отключение подсистемы безопасности можно выполнить только локально. Эта операция не может быть выполнена удаленно.

После активизации подсистемы безопасности на сервере соединений пользователи удаленных рабочих станции с OS/2 или Windows при подключении к данному серверу соединений должны указывать имя пользователя RAS и его пароль. Каждая рабочая станция с установленной службой удаленного доступа содержит базу данных бюджетов пользователей RAS (не имеющую отношения к NET.ACC). Можно сконфигурировать серверы соединений так, чтобы каждый сервер использовал свою собственную базу независимо от других, либо чтобы они использовали общую базу данных бюджетов. Эта база данных содержит информацию о каждом пользователе: имя пользователя, парольный ключ и тип пользователя. RAS поддерживает пользователей трех видов:

1.Пользователи (user). "Рядовые" пользователи обладают наименьшими возможностями по управлению безопасностью. Они могут просматривать и изменять некоторую информацию (например, описание пользователя и парольную фразу) только в рамках своего бюджета на защищенной рабочей станции.

2.Администраторы (administrator). Пользователи данного типа имеют те же привилегии, что и "рядовые" пользователи, но могут также выполнять следующие функции:

•создавать и настраивать спецификации дозвона и ответа;

•управлять удаленными соединениями;

•настраивать параметры коммуникационных портов рабочих станций;

•обрабатывать ошибочные ситуации.

3.Администраторы безопасности (security administrator). Пользователи данного

85

типа имеют те же привилегии, что и администраторы, и кроме этого авторизованы для поддержания политики безопасности (например, задания максимального количества попыток подключения, допустимых для одного звонка). Администраторы безопасности могут просматривать, добавлять и удалять бюджеты пользователей в базе данных RAS. Такие пользователи могут изменить любую информацию в бюджетах других пользователей.

Для снижения вероятности распознания пароля база данных RAS поддерживает в качестве пароля группу слов, содержащую до 32 регистрозависимых символов, которые составляют парольную фразу. Для парольных фраз выполняется однонаправленная шифрация с использованием алгоритма хеширования, который представляет собой специальный метод преобразования исходного ключа в объектный ключ, при котором чрезвычайно сложно получить исходный ключ из объектного ключа.

Перед тем, как получить доступ к службе удаленного доступа сервера соединений, любому пользователю необходимо выполнить регистрацию и быть аутентифицированым этим сервером. Для того, чтобы пользователю не выполнять многократную регистрацию при подключении к нескольким серверам соединений, Warp Server предусматривает возможность, называемую однократной регистрацией. Чтобы использовать эту возможность пользователю необходимо иметь одно и то же имя и парольную фразу на каждом из защищенных серверов соединений, к которым пользователь собирается подключаться. Имя и парольная фраза пользователя, используемые при регистрации на первом сервере соединений, сохраняются в оперативной памяти на клиентской рабочей станции и используются для каждой из последующих регистраций на других защищенных серверах соединений. Пользователю необходимо снова участвовать в регистрации только в случае, если ранее введенное имя или парольная фраза не совпадают со значениями в базе данных бюджетов на каком-то из защищенных серверов соединений.

Если на сервере соединений включена подсистема безопасности, тогда у пользователей удаленных рабочих станций, оснащенных OS/2 или Windows, после дозвона на этот сервер запрашивается имя и парольная фраза. Если на удаленной рабочей станции с OS/2 также включена подсистема безопасности, тогда пользователь должен выполнить локальную регистрацию перед тем, как получить доступ к локальной службе удаленного доступа, например, для настройки ее параметров. Если на удаленной

86

рабочей станции с OS/2 включена защита, и если имя пользователя и парольная фраза на этой рабочей станции и сервере соединений совпадают, то система предложит пользователю зарегистрироваться только один раз локально, а затем, после дозвона до сервера, регистрация будет выполнена без участия пользователя (неявно). Если имя пользователя и парольная фраза на удаленной рабочей станции и сервере соединений не совпадут, система снова предложит пользователю зарегирегистрироваться.

После выполнения удаленной регистрации ответственность за обеспечение безопасности данных сетевых приложений лежит на этих приложениях, например на OS/2 LAN Server. Регистрация для таких приложений выполняется независимо от удаленной регистрации. Сначала регистрация выполняется на сервере соединений (регистрация №1), и лишь затем на контроллере домена Warp Server (регистрация № 2)и S/370 через шлюз (регистрация № 3). Таким образом к двум уровням системы безопасности OS/2 Warp Server добавляется еще один -проверка удаленных пользователей.

87

2.БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СЕТЕЙ

2.1.БЕЗОПАСНОСТЬ УДАЛЕННОГО ДОСТУПА К СЕТИ

2.1.1. РЕЖИМЫ УДАЛЕННОГО ДОСТУПА

По своей природе удаленный доступ к компьютерным системам приводит к появлению новых уязвимых мест в них из-за увеличения точек доступа к ним.

Существует три основных режима удаленного доступа:

Удаленный доступ к сервису - при этом виде доступ обычно ограничивается удаленным доступом к одному сервису, обычно почте, без предоставления доступа к каким-либо другим сетевым сервисам. Этот режим обычно является самым безопасным - число уязвимых мест ограничено.

Удаленное управление позволяет удаленному пользователю управлять персональным компьютером, физически расположенным в корпоративной сети организации. Удаленный компьютер используется только как клавиатура и дисплей: он выполняет подготовку данных для отправки в линию передачи данных и отображение принятой информации, все вычисления производятся на управляемом компьютере, который получает от управляющего компьютера вводимую пользователем информацию и посылает ответ. Удаленное управление ограничивает удаленных пользователей доступом к тем программам, которые запущены на корпоративном компьютере, что является плюсом с точки зрения безопасности.

При работе в режиме удаленного узла сети, удаленный компьютер соединяется с сервером удаленного доступа, который назначает удаленному компьютеру сетевой адрес. Все работающие программы находятся на удаленном компьютере вместе с локальной памятью. Режим удаленного узла предоставляет удаленным пользователям доступ ко всем сетевым сервисам, если только не используется программы управления доступом. Его использование приводит к появлению наивысшего уровня уязвимости систем.

2.1.2. ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ УДАЛЕННОГО ДОСТУПА

Сформулируем 4 основных проблемы защиты информации в системах удаленного доступа:

88

1.Идентификация пользователя - в системе должны иметься средства верификации того, что абонент на линии действительно является тем, за кого себя выдает.

2.Конфиденциальность обмена сообщениями - необходимо позаботиться о кодировании передаваемых данных.

3.Управление доступом к сети - прежде чем пользователь получит доступ к системе, необходимо установить его личность, поэтому система управления доступом должна представлять собой устройство, подключаемое к телефонной линии перед коммуникационным устройством.

4.Обнаружение несанкционированного доступа - если злоумышленник все-таки проник в сеть, необходимо иметь возможность определить, как был осуществлен доступ и какой урон понесет компания от несанкционированного входа.

Система защиты данных оказывается надежной лишь тогда, когда она обеспечивает решение всех четырех проблем. На Рис. 6 представлен пример системы удаленного доступа по телефонным линия с защитой. Пользователи получили аппаратные ключи для входа в систему, сеть оборудована устройством управления доступом, включенным перед устройством удаленного доступа. Кроме того, система оснащена сервером защиты, в задачу которого входит управление и мониторинг системы защиты.

Рис. 6 Пример организации системы защиты удаленного доступа

Наиболее простым является метод идентификации пользователя при помощи пароля, что обеспечивает так называемую однофакторную идентификацию. Парольные системы могут быть эффективны, если управляются должным образом, но

89

это бывает редко. Аутентификация, которая полагается исключительно на пароли, часто не может обеспечить адекватную защиту для систем по ряду причин. Пользователи имеют тенденцию создавать пароли, которые являются легкими для запоминания и, следовательно, легкими для угадывания. С другой стороны, если пользователи должны использовать пароли, сгенерированные из случайных символов, которые трудно угадывать, то пользователям также трудно их запомнить. Поэтому необходим надлежащий выбор пароля (компромисс между легкостью для запоминания пользователем и трудностью для угадывания другим человеком). Механизмы с использованием только паролей, особенно те, которые передают по сети пароль в открытом виде (в незашифрованной форме) уязвимы с точки зрения наблюдения и перехвата. Если после рассмотрения всех вариантов аутентификации, политика системы определяет, что системы аутентификации только на основе паролей приемлемы, то самой важной мерой защиты становится надлежащее управление созданием паролей, их хранением, слежением за истечением срока их использования, и удалением.

Как вариант - одноразовые пароли - системы запрос-ответ на основе криптографии, такие как S/Key Bellcore, и SecurID Security Dynamics. Они требуют,

чтобы пользователь использовал программный или аппаратный генератор паролей. Эти устройства создают уникальный пароль для каждого сеанса и требуют, чтобы пользователь как знал имя и пароль, так и обладал генератором паролей. Хотя этот метод все-таки уязвим к атакам повтора сеанса, именно этот подход обеспечивает минимально допустимый уровень безопасности для большинства соединений с удаленным доступом. Другой метод однофакторной идентификации состоит в том, чтобы система перезванивала пользователю, пытающемуся войти в систему (ответный вызов, обратный дозвон, callback). Получив звонок от пользователя, система отключается и сама перезванивает пользователю по тому номеру, с которого ему разрешено входить в систему. Недостаток в том, что злоумышленник может, воспользовавшись технологией переключения телефонного вызова) перехватить звонок, адресованный на зарегистрированный номер пользователя. Кроме того, ответный вызов совершенно не пригоден для мобильных пользователей, которым приходится входить в систему с разных телефонных номеров.

Двухфакторная система идентификации позволяет повысить надежность защиты системы. Этот метод предполагает применение пароля или персонального

90