Информатика в техническом университете / Информатика в техническом университете. Телекоммуникации и сети
.pdf8.Архитектура сетевых ОС NetWare
8.6.Механизмы защиты информации
Авторизация доступа к данным сети
В ОС NetWare реализованы три уровня защиты данных (рис. 8.48). Под аутентификацией здесь понимается
•процесс подтверждения подлинности клиента при его подключении к сети;
•процесс установления подлинности пакетов, передаваемых между серве ром и PC.
Права по отношению к файлу (каталогу) определяют, какие операции пользо ватель может выполнить с файлом (каталогом). Администратор для каждого клиента сети определяет права по отношению к любому сетевому файлу или каталогу.
Атрибуты определяют некоторые системные свойства файлов (каталогов). Они могут быть назначены администратором для любого сетевого файла или каталога.
Например, чтобы записать данные в файл, клиент должен: знать свой идентификатор и пароль для подключения к сети; иметь право записи данных в этот файл; файл должен иметь атрибут, разрешающий запись данных.
Атрибуты файла (каталога) имеют более высокий приоритет, чем права пользователей к этому файлу.
Аутентификация пользователей при подключении к сети
Подключение к сети вьшолняется с помощью утилиты LOGIN.EXE. Эта программа передает на сервер идентификатор, введенный пользователем (рис. 8.49). По этому идентификатору NetWare вьшолняет поиск соответствующего объекта пользователя в системной БД сетевых ресурсов. Если в БД хранится значение пароля для этого клиента, то NetWare посьшает на PC зашифрованный
Клиент 1 |
Клиент 2 |
Уровни |
|
Аутентис[)икация 1 |
Аутенти(]^икация 2 |
защиты |
|
7 |
|||
|
|
||
Права 1 |
\ |
|
|
Права 2 |
2 |
||
1 |
1 |
|
|
Атрибуты |
3 |
||
i
Каталог или файл
Рис. 8.48. Уровни защиты данных в ОС NetWare
510
1
этап
этап
8.6. Механизмы защиты информации
Рабочая станция |
|
Файловый сервер |
Н |
|
|
Идентификатор клиента |
L-*^ |
Зашифрованный |
|
|
с помощью пароля |
Расшифровка личного ключа |
|
личный ключ станции |
с помощью пароля, |
|
|
введенного пользователем |
|
|
Запрос (пакет) на продолжение |
|
|
работы, ю^да вставляется |
|
|
подпись (Proof-проверка), |
|
|
полученная с помощью |
|
Проверка с помощью |
личного ключа |
|
|
|
|
открытого ключа |
|
|
Proof-подписи и передача |
|
|
подтверждения проверки |
Запрос к службе |
|
|
аутентификации |
|
Посылка случайного |
|
|
|
В каждый NCP-пакет |
|
числа (Nonce) |
|
|
|
включается подпись пакета |
|
|
(Proof-проверка), получаемая |
|
|
в результате кодирования |
|
|
контрольной суммы пакета |
|
|
и числа Nonce с помощью |
|
|
личного ключа |
|
|
Рис. 8.49. Аутентификация клиента
с помощью пароля личный (закрьпый) ключ станции (симметричное пшфрование). На PC этот ключ расшифровьюается с помоицэю пароля, введенного пользо вателем, и используется для получения подписи запроса (пакета) к серверу о продолжении работы. Сервер расшифровьгоает эту подпись с помощью откры того ключа (асимметричное шифрование), проверяет ее и посылает подтверж дение на PC. В дальнейшем каждый NCP-пакет может снабжаться подписью, получаемой в результате кодирования личным ключом контрольной суммы пакета и случайного числа Nonce. Это число генерируется для каждого сеан са. Поэтому подписи пакетов не повторяются для разных сеансов, даже если пользователь вьшолняет те же самые действия.
Использование сигнатур для передачи NCP-пакетов
Необходимость применения сигнатуры (подписи) NCP-пакетов связана со скандалом, разьправшимся в 1992 г. Тогда голландский студент предложил про стой способ «взламывания» файлового сервера NetWare, основыванный на парал лельной работе хаккера и пользователя, имеющего требуемые права (рис. 8.50).
511
Команды или данные Admin
Адрес Admin (откуда)
г
Перехваченный IPX-пакет
8. Архитектура сетевых ОС NetWare |
|
||||
|
Кадр, |
|
|
|
Ответный кад]^, |
|
поступивший |
|
|
|
направляемый |
|
HaFS |
|
|
|
на станцию hacker |
|
от станции hacker |
|
|
Результаты |
|
|
|
|
|
|
выполнения |
|
Адрес FS |
|
|
|
команды |
Заголовок |
|
|
|
хаккера |
|
Адрес |
|
|
|
Адрес |
|
кадра |
|
|
FS |
||
|
haclcer |
|
|
Admin |
|
|
Адрес |
|
|
|
(куда) |
|
|
|
|
Адрес |
|
|
Admin |
чн: |
Блок ЕСВ |
||
|
(откуда) |
|
|||
|
Команды |
ImmAddress |
Адрес |
||
|
хаккера |
|
|
|
haclcer |
|
Адрес |
|
Заголовок, |
|
|
|
Admin |
|
скопированнй |
|
|
|
(откуда) |
|
из перехваченного |
|
|
|
Команды |
|
IPX-пакета |
|
|
|
|
|
|
|
|
|
хаккера |
|
|
|
|
Рабочая |
-f |
|
|
|
|
станция |
|
|
|
|
|
hacker |
|
|
|
|
|
|
Пакет, формируемый |
|
|
||
|
хаккером |
|
|
|
|
Рис. 8.50. Организация несанкциоюфованного доступа к файловому серверу
На PC хаккера (hacker) функционирует программа, которая перехватьшает пакеты, передаваемые по пшне сети. При формировании пакета программа хаккера выполняет следующие действия:
•переписывает в заголовок формируемого IPX-пакета заголовок перехва ченного пакета;
•записывает в поле данных требуемую команду.
Далее пакет посылается на файловый сервер. Файловый сервер пересылает адрес станции hacker в поле ImmAddress блока ЕСВ и использует данные заго ловка пакета IPX, чтобы определить номер соединения и возможность вьшолнения команды. Но в заголовке пакета хаккера записан адрес пользователя (адрес Admin), который имеет требуемые права. Поэтому команда хаккера вьшолняется.
При формировании сетевым адаптером заголовка ответного кадра адрес станции, куда непосредственно передается кадр, выбирается из поля ImmAddress блока ЕСВ, т. е. станция hacker воспринимается файловым сервером как мар шрутизатор или мост. Напомним, что адрес конечной станции-получателя хра нится в заголовке пакета IPX (в данном случае это адрес Admin, хотя для хаккера это не имеет значения). Таким образом, ответ посылается на станцию hacker, где и обрабатывается.
512
8.6. Механизмы защиты информации
Подпись NCP-пакета (специальное поле в этом пакете) делает невозмож ным параллельную работу хаккера и пользователя. Подпись (сигнатура) паке та - это шифр, для формирования которого используется номер пакета, его содержимое и случайное число Nonce. Шифр создается с помощью открьггого ключа. Важно отметить, что сигнатура изменяется в каждом пакете. Спрогно зировать последовательность подписей практически невозможно.
NCP-пакеты могут подписываться и PC, и файловым сервером. Для иншщирования включения подписи в NCP-пакеты администратор должен вьшолнить следующие действия (для NetWare 3.12/ 4.х/5.х):
1. С консоли файлового сервера необходимо ввести SET-команду SET NCP Packet Signatm'e Option = уровень (по умолчанию 1).
Здесь уровень имеет одно из следующих значений: 0 - сервер не подписывает пакет,
1 - сервер подписывает пакет, если этого требует клиент (уровень на станщш больше или равен двум),
2 - сервер подписывает пакет, если клиент также способен это сделать (уровень на станции больше или равен 1),
3 - сервер подписывает пакет и требует этого от всех клиентов (иначе под ключение к сети невозможно).
2. На PC в конфигурационный файл (например, в раздел Netware DOS Reques-ter файла net.cfg) необходимо включить строку:
Signature Level = уровень (по умолчанию 1)
Можно задать один из следующих уровней: 0 - клиент не подписьшает пакет,
1 - клиент подписьшает пакет, если этого требует сервер (уровень на серве ре больше или равен 2),
2 - клиент подписьшает пакет, если сервер также способен это сделать (уровень на сервере больше или равен 1),
3 - клиент подписьшает пакет и требует этого от всех серверов (иначе под ключение к сети невозможно).
В табл. 8.14 перечислены различные сочетания уровней на сервере и PC, а также варианты подписи пакета.
Таблица 8.14. Варианты подписи пакета
Уровень на PC |
Уровень на сервере |
|
|
||
0 |
1 |
2 |
3 |
|
|
|
|
||||
0 |
— |
- |
- |
N |
1 |
1 |
— |
- |
+ |
+ |
|
2 |
— |
+ |
+ |
+ |
|
3 |
N |
+ |
+ |
+ |
1 |
Примечание: + - пакеты подписываются; — |
пакеты не подписываются; N ~ PC не подклю |
||||
чается к сети.
513
8. Архитектура сетевых ОС NetWare
Определение эффективных прав пользователей к каталогам и файлам
Права, которые могут быть предоставлены пользователю (или группе пользо вателей) по отношению к каталогу или файлу, перечислены в табл. 8.15.
Таблица 8.15. Список возможных прав к каталогу или файлу
1 Право |
f Обозначение 1 |
|
Описание |
j |
Supervisor |
S |
Предоставляет все права по отношению к каталогу |
||
|
|
или файлу, включая возможность назначения этого |
||
|
|
права другим пользователям. Не блокируется фильт |
||
|
|
ром наследуемых прав IRF. Это право не может быть |
||
|
|
удалено ниже по дереву каталогов |
|
|
Read |
R |
Чтение существующего файла (просмотр содержи |
||
|
|
мого текстового файла, просмотр записей в файле БД |
||
|
|
и т. д.) |
|
|
Write |
W |
Запись в существующий файл (добавление, удаление |
||
|
|
частей текста, редактирование записей БД) |
|
|
Create |
С |
1. Создание в каталоге новых файлов (и запись в |
||
|
|
них) и подкаталогов. |
|
|
|
|
2. На уровне файла позволяет восстанавливать файл, |
||
|
|
если он был ошибочно удален |
|
|
Erase |
E |
Удаление существующих файлов и каталогов |
|
|
Modify |
M |
Изменение имен и атрибутов (файлов и каталогов), |
||
|
|
но не содержимого файлов |
|
|
File Scan |
|
1. Просмотр в каталоге имен файлов и подкаталогов. |
||
|
F |
2. По отношению |
к файлу - возможность |
видеть |
|
структуру каталогов |
от корневого уровня до |
этого |
|
|
|
|||
|
|
файла (путь доступа) |
|
|
Access |
|
Возможность предоставлять другим пользователям |
||
Control |
A |
все права, кроме Supervisor. Возможность изменять |
||
|
фильтр наследуемых прав IRF |
| |
||
|
|
|||
Права и фильтры (маски) наследуемых прав назначаются администрато ром сети с помощью утилит NetWare. Но назначение прав для каждого пользо вателя по отношению ко всем требуемым файлам и каталогам является уто мительной задачей. В NetWare предлагается механизм наследования прав. Введем некоторые определения.
•опекун (Trustees) - это пользователь (или группа пользователей, или дру гой объект), которому администратор с помощью утилиты (например, FILER) явно назначает права к какому-либо файлу или каталогу. Такие права назьюаются опекунскими назначениями;
•фильтр наследуемых прав (IRF - Inherited Right Filter) - свойство файла (каталога), определяющее, какие права данный файл (каталог) может унасле довать от родительского каталога. Фильтр назначается администратором с помощью утилиты (например FILER);
514
|
|
8.6. Механизмы защиты информации |
|
|||||
|
|
|
|
1 |
Наследуемые права |
|
||
|
|
|
|
1 |
(включая права группы 1) |
|
||
|
|
|
1 |
IRF |
1 |
|
|
|
|
11 |
|
|
• |
|
|
I |
|
I |
|
Файл или каталог |
|
|||||
|
|
|
|
|
1 |
|
||
Есть |
|
|
Пользователь |
|
Только группа 2 |
^ Н е т |
||
супервизорное |
|
и, может быть, |
|
является |
опекунов |
|||
право |
|
|
группа 2 являются |
опекуном |
|
|||
|
|
|
опекунами файла |
|
|
|||
Эффективные |
|
у |
(каталога) |
|
|
1 |
Эффективные |
|
права = S |
|
r^j,, |
|
|
|
права = |
||
^ |
|
Эффективные |
|
|
1 |
наследуемые |
||
|
|
права = опекунские |
|
; |
поава & IRF |
|||
|
|
назначения |
|
|
|
Эффективные |
|
|
|
|
(пользователя |
|
|
права = опекунские |
|
||
|
|
|
1 группы 2) + |
|
|
назначения |
|
|
|
|
№ |
|
|
|
(группы 2) + |
|
|
|
|
наследуемые права |
|
|
||||
|
|
только от группы 1 |
|
наследуемые права |
|
|||
|
|
& IRF |
|
|
|
& 1RF |
|
|
Рис. 8.51. Схема определения ОС NetWare эффективных прав пользователя к файлу или каталогу:
+и & - логические операции ИЛИ и И
•наследуемые права - права, передаваемые (распространяемые) от роди тельского каталога;
•эффективные права - права, которыми пользователь реально обладает по отношению к файлу или каталогу.
На рис. 8.51 представлена схема формирования ОС NetWare эффективных хфав пользователя к файлу или каталогу. Здесь предполагается, что пользова тель является участником гругш 1 и 2.
Важно подчеркнуть, что к этим эффективньп^ правам добавляются эффек тивные права тех пользователей, которые указаны в списке Security Equal То (эквивалентны по защите).
Рассмотрим гфимер, иллюстрирующий приведенную вьппе схему. Предпо ложим, что пользователь John работает с каталогами D1, D2, D3 и файлом F1:
FSA^0L:D1\D2\D3\F1
и не является участником групп. В табл. 8.16 показаны изменения эффектив ных прав пользователя John по отношению к указанным каталогам и файлу.
Таблица 8.16. Изменение эффективных прав пользователя
Право |
1 Права и фильтры |
Примечания |
1 |
Корень тома FS/VOL: |
|
|
|
Наследуемые права |
- |
|
|
IRF |
SRWCEMFA |
|
|
Опекунские права для John |
- |
|
|
Права пользователей из списка |
- |
|
|
Security Equal То |
- |
|
|
Эффективные права |
|
|
|
515
8. Архитектура сетевых ОС NetWare |
|
|
||||
право |
I |
Права и фильтры |
Окончание табл. 8.16 |
|||
Примечания |
|
|||||
Наследуемые права |
1Каталог D1 |
|
|
|
|
|
IRF |
|
SRWCEMFA |
|
|
|
|
Опекунские права для John |
|
RW |
F |
|
|
|
Права пользователей из списка |
|
- |
|
|
|
|
Security Equal То |
|
|
|
|
|
|
Эффективные права |
|
RW |
F |
См. вторую |
ветвь |
на |
|
|
Каталог D2 |
|
рис. 8.51 |
|
|
|
|
|
|
|
|
|
Наследуемые права |
! |
RW |
F |
|
|
|
IRF |
|
SR CEMFA |
|
|
|
|
Опекунские права для John |
|
- |
|
|
|
|
Права пользователей из списка |
|
|
А |
|
|
|
Security Equal То |
|
|
|
|
|
|
Эффективные права |
|
R |
FA |
См. четвертую ветвь на |
||
|
|
|
|
рис. 8.51 + права от поль |
||
|
|
|
|
зователей, эквивалентных |
||
|
Каталог D3 |
|
по защите |
|
|
|
|
|
|
|
|
||
Наследуемые права |
|
R |
FA |
|
|
|
IRF |
|
S WCEM |
|
|
|
|
Опекунские права для John |
|
S |
|
|
|
|
Права пользователей из списка |
|
|
А |
|
|
|
Security Equal То |
|
|
|
|
|
|
Эффективные права |
|
SRWCEMFA |
См. первую |
ветвь |
на |
|
|
|
ФайлР! |
|
рис. 8.51 |
|
|
|
|
|
|
|
|
|
Наследуемые права |
|
SRWCEMFA |
|
|
|
|
IRF |
|
|
FA |
|
|
|
Опекунские права для John |
|
WC |
|
|
|
|
Права пользователей из списка |
|
|
А |
|
|
|
Security Equal То |
|
|
|
|
|
|
Эффективные права |
|
SRWCEMFA |
См. первую |
ветвь |
на |
|
|
|
|
|
рис. 8.51 (право S не мас |
||
|
|
|
|
кируется) |
|
|
Атрибуты каталогов и файлов
Атрибуты файла (каталога) устанавливаются администратором сети с по мощью утилиты (например FLAG) и управляют доступом к этому файлу или каталогу. Атрибуты файлов и каталогов перечислены в табл. 8.17.
516
8.6. Механизмы защиты информации
Таблица 8.17. Атрибуты файлов и каталогов NetWare
Атрибут |
I Обозначение | |
Описание |
|
Delete Inhibit |
Атрибуты NetWare 3.x/4,x/5.x |
||
Di |
|
Запрещает пользователю удалять файл или |
|
|
|
|
каталог |
Hidden |
Н |
I |
Делает файл или каталог невидимым для |
|
|
|
команды DIR и предотвращает его копирова |
|
|
|
ние и удаление. Однако команда NDIR поз |
|
|
|
воляет его увидеть, если пользователь обла |
|
|
дает правом File Scan для каталога |
|
Purge |
|
|
Указывает ОС физически затирать файл |
|
|
или каталог при его удалении (delete). После |
|
|
|
этого файл или каталог нельзя восстановить |
|
Rename Inhibit |
Ri |
I |
Запрещает пользователю переименовывать |
|
|
файл или каталог |
|
System |
Sy |
I |
Устанавливается для файлов или ката |
|
|
логов, используемых только ОС (далее см. |
|
|
|
атрибут Н) |
|
Normal |
N |
I |
Опция (не атрибут) утилиты FLAG, поз |
|
|
воляющая сбросить все атрибуты |
|
All |
АН |
I |
Опция (не атрибут) утилиты FLAG, позво |
|
|
ляющая установить все атрибуты |
|
Следующие атрибуты справедливы только для файлов |
|||
Archive Needed |
|
|
Автоматически устанавливается для фай |
|
|
лов, которые были модифицированы, но ни |
|
|
|
куда не архивировались |
|
Copy Inhibit |
Ci |
|
Запрещает копировать файл (только для |
|
|
ОС Macintosh) |
|
Execute Only |
|
|
Защищает файл от копирования. Уста |
|
|
навливается для файлов *.ЕХЕ и *.СОМ. |
|
|
|
Только пользователь с правами Supervisor |
|
|
|
может установить этот атрибут. Этот атрибут |
|
|
|
не может быть снят даже пользователем с |
|
|
|
правами Supervisor. Файл с этим атрибутом |
|
|
|
можно только удалить |
|
Read Only |
Ro |
|
Запрещает запись в файл, автоматически |
|
|
устанавливаются атрибуты Rename Inhibit и |
|
|
|
Delete Inhibit. NetWare показывает значение |
|
|
|
Read Write (Rw), когда атрибут Read Only |
|
|
|
снимается |
|
Shareable |
Sh |
|
Позволяет нескольким пользователям од |
|
|
новременно получать доступ к файлу (обыч |
|
|
|
но используется с Ro) |
|
Transactional |
|
|
Показывает, что TTS ведет неявные тран- |
|
|
закции для этого файла |
|
517
|
|
8. Архитектура сетевых ОС NetWare |
|
||
|
|
|
|
Окончание табл. |
8.17 |
[ |
Атрибут |
[ Обозначение [ |
|
Описание |
|
|
|
Атрибуты только для NetWare 4.х/5.х |
|
||
|
Don't Migrate |
Dm |
Запрещает |
миграцию (перемещение) файла |
|
|
|
или каталога на магнитооптическое устройство |
|||
|
Immediate Comp |
Ic |
Для файла - |
файл будет сжат как только про |
|
|
ress |
цессор освободится. Для каталога - файлы сжи |
|||
|
|
маются после их изменения или при копирова |
|||
|
|
нии файлов в каталог |
|
||
|
Don't Compress |
Dc |
Запретить системе сжимать файл или каталог |
||
|
|
Флаги статуса файла |
\ |
||
|
Compressed |
Со |
Показывает, что файл сжат |
|
|
|
Can't Compress |
Сс |
Показывает, что файл не может быть сжат |
|
|
|
Migrated |
М |
Файл был перезаписан на магнитооптический |
||
|
|
диск |
|
1 |
|
Права доступа к объектам NDS и их свойствам
Выше отмечалось, что СБДСР представляет собой совокупность объек тов, их свойств и значений этих свойств. В NetWare 4.х/5.х эта БД называется NDS (NetWare Directory Services), а в NetWare 3.x - Bindery. Отличия NDS от Bindery описаны в отдельном разделе, который посвящен глобальному сетево му каталогу (NDS).
Объекты NDS связаны между собой в иерархическую структуру, которую часто называют деревом NDS. На верхних уровнях дерева (ближе к корню [Root]) описываются логические ресурсы, которые принято называть контей нерными объектами. На самом нижнем (листьевом) уровне располагаются описания физических ресурсов, которые называют оконечными объектами.
Вкачестве контейнерных объектов используются объекты типа [Root] (ко рень), С (страна), О (организация), OU (организационная единица). Оконечные объекты - это User (пользователь), Group (группа), NetWare Server (сервер NetWare), Volume (том файлового сервера). Directories (директория тома) и т. д. Оконечные объекты имеют единое обозначение - CN.
ВNetWare 4.х/5.х разработан механизм защиты дерева NDS. Этот меха низм очень похож на механизм защиты файловой системы, который был рас смотрен вьппе. Чтобы облегчить понимание этого механизма, оконечный объект можно интерпретировать как файл, а контейнерный объект - как каталог, в котором могут быть созданы другие контейнерные объекты (как бы подката логи) и оконечные объекты (как бы файлы). На рис. 8.52 представлена схема дерева NDS.
Вотличие от файловой системы в механизме защиты дерева права по отно шению к какому-либо объекту можно предоставить любому контейнерному или оконечному объекту дерева NDS. В частности допустимо рекурсивное на значение прав объекта по отношению к этому же объекту.
518
8.6, Механизмы защиты информации
[Root]
] с
О
Н ^ои
CN
CN
1 ои
CN
CN
Рис. 8.52. Схема дерева М^^:
[Root], С, О, о и - KOHreiiHq)Hbie объекты; CN - оконечные объекты
Права, которые могут быть предоставлены объекту по отношению к друго му или тому же самому объекту, перечислены в табл. 8.18.
Таблица 8.18. Список возможных прав по отношению к объекту
1 |
право |
Обозначение |
Описание |
|
Supervisor |
S |
Гарантирует все привилегии по отношению к |
|
|
|
объекту и его свойствам. В отличие от файловой |
|
|
|
системы это право может быть блокировано |
|
|
|
фильтром наследуемых прав IRF, который может |
|
|
|
быть назначен для каждого объекта |
|
Browse |
В |
Обеспечивает просмотр объекта в дереве NDS |
|
Create |
С |
Это право может быть назначено только по от |
|
|
|
ношению к контейнерному объекту (контейнеру). |
|
|
|
Позволяет создавать объекты в данном и во всех |
|
|
|
дочерних контейнерах. |
|
Delete |
D |
Позволяет удалять объект из дерева NDS |
|
Rename |
R |
Позволяет изменять имя объекта |
Администратор сети может для каждого объекта в дереве NDS опреде лить значения свойств этого объекта. Для объекта User - это имя Login, тре бования к паролю, пароль пользователя, пользовательский сценарий подключе ния и т. д. Механизм защиты NDS предоставляет также возможность назначать права по отношению к свойствам любого объекта (табл. 8.19).
519