אבטחת מערכות על novell
DESCRIPTION
TRANSCRIPT
1
מערכות מערכות אבטחת Novell NovellאבטחתNetWareNetWare
2
זה זה מה ? ?NovellNovellמה
- שרותי קבצים ומדפסותFile & Print Services
)קצת שרותי אפליקציה ואינטרנט )עדיין לא פופולרי
:תמיכה מובנית בתחנותWin95,8/DOS/Win3.11/Macintosh/OS/2/WinNT /Win 2000
:פרוטוקולIPX/SPX בגירסא( מבוסס גם 4.11 TCP/IP)
5.1 ו 5בגירסהA גם Pure IP
3
מערכות מערכות גרסאות גרסאותההפעלהההפעלה
3.11 : BINDERY חלשה ביותר מבחינה ,
אבטחתית
3.12 :BINDERY עדיין מכילה פרצות. הנפוצה ,
ביותר.
3.2 :YEAR 2K ,BINDERY
4.0 :NDS.גרסא ראשונה ודי בעייתית ,
4.1 :NDS.הגרסא בנפוצה ביותר ,
4.11 :INTRANetWare” ,NDS”
4.2 :YEAR 2K, NDS
5 מערכת תומכת Tcp-Ip
5.1כולל תוספות מעבר למערכת ההפעלה
4
זה זה מה ? ?BinderyBinderyמה
בשרת בודד - לוגייםמגדיר את כל האובייקטים ה SERVER
( אובייקטים אפשריים: משתמשUser( קבוצה ,)Group ,)( וכו’Printerמדפסת )
- לכל אובייקט מוגדרים מאפייניםProperties
- לכל מאפיין יש ערךValue
5
זה זה מה ? ?NDSNDSמהNetWare Directory Services: NDS
בכל השרתיםלוגייםמגדיר את כל האובייקטים ה
.מודל של עץ משאבים ברשת, מבוזר וגלובלי
-מוסיף רמה נוספת של אבטחה על מודל הBINDERY
ה“שטוח” - חלוקת הרשאות גמישה, חסימת הרשאות, מספר
מנהלי רשת וכו’
-הAuthentication מאפשר למשתמש לקבל גישה לכל
, אשר 3של גרסאות LOGINהמורשים לו, בניגוד ל- המשאבים
גישה למשאבים של שרת בודדהיה מאפשר
NDS 8 5.1 במערכת ההפעלהA
6
- ב -אובייקטים ב NDSNDSאובייקטים
אובייקטים מספרלדוגמא:
Container Objects - אובייקטים מכיליםאחרים
Leaf Objects.) האובייקטים - ) רוב עלים
7
: לדוגמא עץ
8
- ה ברמת - הרשאות ה ברמת Bindery/NDSBindery/NDSהרשאות -אין קשר ל( הרשאות לוגיות בלבדData)
-בBindery רמות של מנהלים:3 יש
Supervisor כל יכול במערכת -
File Server Console Operator יכולים לשלוח - Enable/Disable Loginהודעות, לשנות תאריך ושעה,
Workgroup Manager יכול להגדיר/למחוק - משתמשים, אך מוגבל...
-ב NDS כמעט ואין הגבלה על רמת ההרשאות שניתן להעניק:
לכל אובייקט ניתן להגדיר הרשאה לכל אובייקטאחר
גם של( ניתן להגביל את ההרשאותAdmin)
9
זה זה מה ? ?File SystemFile Systemמה
:בכל שרת יש מערכת קבצים פנימית, המחולקת לכמה רמות
( דיסקים פיזייםHardware)
( כרכים לוגייםVolumes( מינימום אחד - ):SYS)
( ספריותDirectories)
( קבציםFiles)
-לVolumes, Directories, Files יש מאפיינים המגדירים ( וכן מאפיינים נוספים trustee assignmentהרשאות גישה )
(Attributes)
10
קיימים ?קיימים ?Trustee RightsTrustee Rightsאילו אילו
Readקריאה )והרצה( של קובץ/ספרייה -
Filescan ביצוע - listingלספרייה/קבצים
Write קיים - כתיבה לקובץ
Create חדשים - יצירה של קובץ/ספרייה
Eraseמחיקה של קובץ/ספרייה -
Modify( שינוי תכוניות - Attributes או שם של )קובץ/ספרייה
Access Control הרשאה להעניק למשתמשים אחרים - לקבצים/ספריותהרשאה
Supervisory כנ”ל - לא ניתן לחסימה )עוד מעט - נראה….(
11
קיימים ?קיימים ?AttributesAttributesאילו אילו
RO - Read Only
H - Hidden
P - Purge
Di - Delete-inhibit
Sh - Shareable
Ci - Copy-inhibit
Dm - Don’t migrate
Dc - Don’t compress
Rw - Read-write
Sy - System
A - Atchive-needed
Ri - Rename-inhibit
T - Transactional
X - eXecute-only
Ic - Immediate compress
Ds - Don’t suballocate
* File only Attributes* File & Directory attributes
12
? ההרשאות מערכת עובדת ?איך ההרשאות מערכת עובדת איך
ההרשאות מקשרות בין User/Group/Container לבין ספרייה/קובץ
( כל ההרשאות עוברות בהורשה Inherited)
13
דוגמא - ההרשאות דוגמא - מערכת ההרשאות מערכת
14
??David??Marketing
אפקטיביות הרשאות
SYS:
\DATA
\MKTG
\1999
\AUGUST
.\file1.doc
.\file2.xls
.\file3.pptDavid [RF]
Marketing [RWCEMF]]RF[David
]RWCEMF[Marketing
15
SYS:
\DATA
\MKTG
\1999
\AUGUST
.\file1.doc
.\file2.xls
.\file3.pptDavid [RF]
Marketing [RWCEMF]
]CEM[David
??David??Marketing
אפקטיביות הרשאות
]CEM[David]RWCEMF[Marketing
16
??David??Marketing
אפקטיביות הרשאות
SYS:
\DATA
\MKTG
\1999
\AUGUST
.\file1.doc
.\file2.xls
.\file3.pptDavid [RF]
Marketing [RWCEMF]]RCEMF[David
]RWCEMF[Marketing
]CEM[Accounting
17
) ( ? המשך ההרשאות מערכת עובדת (איך ( ? המשך ההרשאות מערכת עובדת איך
-ניתן לחסום את ההורשה של הרשאות באמצעות ה IRM
Inherited Rights Mask - IRM
-המסיכה מוגדרת ברמת הקובץ/ספרייה ללא קשר לUsers’וכו
המסיכה/פילטר מתפקדת כמו ‘מסננת’ הרשאות
תעבורנה בירושה כן במסיכה קובעים אילו הרשאות
לא הנורשות בלבד הסינון מתבצע עבור ההרשאות( ברמת הספרייה עצמה(להרשאות
18
R W C E M F A S IRMDirectoryR W F
SubDirectory R W F
IRMIRM - מחדל מחדל - ברירת ברירת
19
R F S IRMDirectoryR W C E M F
SubDirectory R F
IRMIRM... ...המשך - המשך -
]RWCEMFA[David
R W C E M F A
20
SYS:
\DATA
\MKTG
\1999
\AUGUST
.\file1.doc
.\file2.xls
.\file3.pptDavid [RF]
Marketing [RWCEMF]
]CEM[David
]CEM[David]RWCEMF[Marketing
אפקטיביות הרשאות
]CEM[David]RWCEMF[Marketing
R F S
21
SYS:
\DATA
\MKTG
\1999
\AUGUST
.\file1.doc
.\file2.xls
.\file3.pptDavid [RF]
Marketing [RWCEMF]
]CEM[David
]CEM[David]RWCEMF[Marketing
אפקטיביות הרשאות
]CEM[David]RF[Marketing
R F S
22
- ה בין הקשר - מה ה בין הקשר - BinderyBinderyמה - ל ? ?F.SF.Sל -הBindery( מאמת Authenticates את המשתמש בכניסה )
לשרת.
כל פעילות שקשורה להגדרות לוגיות של אובייקטים.Bindery/NDSמול ה- מתבצעת
-פאשלה” ב“Bindery -ה : Login Script נשמר בספריית ,SYS:MAIL\object id תוקן.4. בגירסא
כאשר משתמש מנסה לגשת לקובץ/ספריה - ההרשאה שלו שמוגדר בקובץ/ספרייה Trustee Listנבדקת מול ה-
(. Inheritanceאו על-פי ההורשה )Effective Rightsנקרא:
23
אבטחה אבטחה מנגנוני מנגנונינוספיםנוספים
24
במערכת האבטחה במערכת נקודות האבטחה נקודות
( השרת (Serverמחשב התקשורת רשת
) לוגית ) אבטחה התחנות
וביקורת בקרה
25
::SERVER SERVER CONSOLECONSOLEה- ה-
השרת של העיקרית הבקרה עמדת
) מהרשת ) - וכן עצמו השרת משמע פיזית נגיש(RCONSOLE אוXCONSOLE.)
. - , לפריצה מטרה להוות עלול אבל ניהול יכולות מאפשר
26
מקנה לפורץ:CONSOLEהשתלטות על ה-
יכולת להעלות לזכרוןNLM - ים כרצונו, לדוגמא-
BURGLAR.NLM.
)יכולת למחוק ולהרוס מידע )ואת כל השרת למעשה
( יכולת להחדיר וירוס למערכתvirus.nlm).…
העתקה של המידע דרך תוכנת הגיבוי לקלטת
( להוריד את השרתDOWN.)
“ להכנס למצבDEBUG.ולעשות כרצונו ”
27
אבטחה פיזית: יש לשמור את השרת בחדר מחשב מאובטח
ונעול.
:אבטחה לוגית
חזקה.RCONSOLE- סיסמת
. )רק ב- REMOTE ENCRYPT: RCONSOLE- אכיפת הצפנה ב-
4)
REMOVE DOS- פקודת
- SECURE CONSOLE:
.(MONITOR.NLM עם סיסמא )Console- נעילת ה-
מספיקה על מנת להשתלט על כל CONSOLEהשתלטות על ה-
השרת!
- ה - אבטחת ה CONSOLECONSOLEאבטחת
Remove Dos
SYS:SYSTEM מספריית רק מודולים הפעלת
ושעה תאריך שינוי מונע
Debugger- ל כניסה מונע
28
התקשורת התקשורת רשת רשת
.רשת התקשורת “מתווכת” בין התחנות לשרת
:)סוגי התעבורה ברשת )חלוקה לוגית
-Data
- סיסמאות
NCP (NetWare Core Protocol- )- “פקודות מערכת”
(telnet )לדוגמא: Novell- תקשורת שאינה קשורה ל-
29
( ניתן “להאזין” לתשדורת ברשתSniffing)
Data)לא במיוחד אפקטיבי )קשה לניתוח -
-סיסמאות - עלולות לעבור ברשת בClearText.
כדי להבטיח שסיסמאות יעברו בצורה מוצפנת:
Set Allow Unencrypted Password = NO
NCP Packetsניתן לזייף אותן, ועל-ידי כך לחדור למערכת -
תקשורת אחרת - ניתן להשתמש באינפורמציה כדי לחדור
וכו’Novell (telnet,pop3)ל-
SniffingSniffing
30
NCP Packet SignatureNCP Packet Signature
-מנגנון “חתימה אלקטרונית” לNCP Packets מאפשר זיהוי -
ודאי של התחנה, כלומר מונע התחזות/זיוף
-קיים כברירת מחדל במערכת3.12החל מ
Level 0לא מאפשר חתימה -
Level 1מאפשר חתימה, מחכה לבקשה מהצד השני -
Level 2מאפשר חתימה, מבקש מהצד השני -
Level 3מחייב חתימה -
Server Client
31
גישה - בקרת לוגית גישה - אבטחה בקרת לוגית אבטחה
:סיסמאות
- אורך מינימלי בתוים Minimum Password Length
- תדירות החלפת סיסמאות Periodic Password Change
( 8סיסמאות ייחודיות - )דורות Unique Passwords
Grace Logins
Station Restriction
Time Restriction
- מספר חיבורים בו-זמנית Concurrent Connections
32
בקרת גישה - המשךבקרת גישה - המשך
Intruder Detection/Lockout:
- כמה נסיונות כושלים Failed Login Attempts
פרק זמן X
נעילה לפרק זמן Y
- נעילת חשבונות ידנית Account Disabled
- פקיעת תוקף החשבוןExpiry Date
)…מידור הנתונים / הרשאות לקבצים וספרייות )כבר ראינו
33
ביקורת/ ביקורת/בקרה Auditing- Auditing - בקרה
קבצי log:במערכת
File Server Error Log
-רישום הודעות ה Console - CONLOG.NLM
-ה- 3ב ,Accounting מוסיף רישום Login/Logout
SECURITY.EXE (: מוצא 3 )בגירסאSup.Equiv משתמשים ,
תוים, משתמשים לא פעילים 5סיסמא, סיסמא קטנה מ-ללא
וכו’
34
Auditing- Auditing - המשךהמשך
ומעלה: 4 בגירסא Auditcon
:מאפשר לדגום נתונים לפי קריטריונים שונים
- כניסה ויציאה
NDS- שינויים ב-
- גישה לקבצים/ספריות
מאפשר קיום Auditor -נפרד מה Admin וללא שליטתו ,
סמכויות()הפרדת
עלול לגרום לעומס, בעיקר בנפח אכסון מומלץ להתקין
SP8A.
35
CHECKLISTCHECKLIST:: השרת על פיזית הגנה
ביטולGUEST.. חזקה סיסמאות מדיניות
INTRUDER DETECTION. - ה .CONLOGוהפעלת, RCONSLEאבטחתSTATION RESTRICTIONS.TIME RESTRICTIONS.SET NCP PACKET SIGNATURE. :אופציונליACCOUNTING. ביטולSUPERVISOR SECURITY EQUIVALENTS. של מדוקדקת .TRUSTEE RIGHTSבדיקה גרסה עדכון
גיבוי קלטות אבטחת