Понятия безопасности сети

Введение

Администраторы IntranetWare^TM для Малого Бизнеса могут получить большую пользу, имея безопасную сеть. Чтобы сеть была безопасной, необходимо управлять доступом к информации и службам сети.

В этом разделе обсуждается, как сделать Вашу сеть безопасной: как защитить серверы, как защитить Дерево каталогов, как важно создавать резервные копии данных, как пользоваться источниками бесперебойного питания (UPS) и как использовать Transaction Tracking System^TM (Систему Контроля Транзакций - TTS^TM).

Управление безопасностью данных

Сети IntranetWare для Малого Бизнеса поддерживают данные в файловой системе и Базе данных каталогов. Файловая система хранит файлы и приложения пользователей сети. База данных каталогов хранит информацию, используемую для поддержки работы сети и управления ею, например, доступа к сетевым ресурсам, печати и безопасности. Фирма Novell® всегда заботилась о гарантии безопасности сетей Novell. Управление доступом к файлам, каталогам и объектам легко осуществляется из различных точек структуры Служб Каталогов Novell^TM (NDS^TM), структуры файловой системы или из обеих. Чтобы только попытаться получить несанкционированный доступ к каталогу или файлу, незваному гостю необходимо преодолеть несколько уровней безопасности.

Уровни безопасности

Контроль доступа является частью структуры NDS и файловой системы. Он определяет, какие действия могут выполнять пользователи в сети, и какая информация и ресурсы им доступны. Информацию об управлении доступом см. в разделе "Установка сетевой файловой системы и управление ею".

Первый уровень безопасности - это процесс регистрации и аутентификации. В соответствии с назначенными правами, вход в сеть и Дерево каталогов разрешается или запрещается. Если доступ разрешен, пользователю дается доступ только на те серверы, на которые этот пользователь имеет права доступа. Когда пользователь регистрируется на сервере, он может получить доступ только к тем томам, каталогам и файлам, на которые он имеет права доступа.

Администраторы могут управлять правами для пользователей и групп, которым необходим доступ ко всем ресурсам, таким как данные и программы, располагающиеся в файлах и каталогах. Администраторы также могут защищать все объекты от несанкционированного доступа на уровне сервера.

Доступ к объектам NDS обслуживается при помощи

• Аутентификации. Администратор сети управляет тем, кто может входить в сеть, добавляя пользовательские учетные записи при помощи Novell Easy Administration Tool (NEAT).
• Безопасности NDS. Службы Каталогов Novell (NDS) затрагивают управление Деревом каталогов и его объектами. Этот тип безопасности используется для управления такими объектами NDS, как доступ к процедурам регистрации, печать и т.д. администратор сети дает пользователю доступ к объектам сети или отказывает в доступе. Например, если пользователь имеет права оператора на объект Принтера, этот пользователь может изменять параметры печати для этого объекта. Все права на объекты устанавливаются в Администраторе NetWare. Подробнее см. раздел "Управление деревом каталогов и объектами" в Руководстве по установке (версия для Малого Бизнеса) или Контроль сети (оперативная документация по NetWare 4.11).
• Безопасности файловой системы. Этот тип безопасности затрагивает доступ пользователя к файлам и каталогам на сетевых томах и предоставляет управление приложениями и файлами данных на серверах сети. Администраторы сети могут давать или запрещать доступ пользователя к каталогам и файлам при помощи утилиты NEAT. Подробнее см. раздел "Установка сетевой файловой системы и управление ею".

Создание плана защиты данных

Создавая план защиты данных для своей сети, помните, что файловая система и информация баз данных NDS обслуживаются как отдельные системы. При создании наиболее эффективного для Вашей сети плана защиты данных проанализируйте, какие методы гарантируют наиболее эффективную защиту данных для каждого сервера и рабочей станции.

В следующем списке приведены действия, которые Вы можете выполнить, чтобы предотвратить потерю данных в сети, снизить уязвимость системы и восстановить после сбоя.

• Используйте утилиту SECURE CONSOLE, чтобы блокировать важные функции консоли сервера. Подробнее см. "Безопасность консоли сервера" или "Установка сетевой файловой системы и управление ею".
• Защитите сеть от вирусов, разъяснив пользователям опасность программных вирусов. См. "Предотвращение заражения вирусами."
• Установите опции пакетной сигнатуры NCP^TM так, чтобы клиент и сервер должны были "подписывать" каждый пакет данных. См. "Предотвращение подделки пакетов."
• Используйте источники бесперебойного питания (UPS) на случай отключения электроэнергии. См. "Использование источников бесперебойного питания."
• Используйте Transaction Tracking System (Систему Контроля Транзакций - TTS) для предотвращения повреждения данных. См. "Использование системы контроля транзакций."
• Разработайте эффективный метод резервного копирования, удовлетворяющий нуждам Вашей компании. См. "Резервное копирование и восстановление данных."
• Регулярно создавайте резервные копии своих данных.
  Убедитесь, что Вам известно, как восстанавливать данные.
  При возможности держите один сервер в режиме ожидания, чтобы подключить его к внешней дисковой подсистеме постоянного сервера в случае сбоя. Некоторые производители предлагают серверы для работы в режиме ожидания, позволяющие копировать данные из одной системы в другую.

Использование UPS

Источники бесперебойного питания (UPS) являются важной частью сети. Они не только помогают предотвратить повреждение компьютеров от скачков напряжения и возгорания, но также предотвращают потери данных при отключении питания. На каждом сервере должен быть установлен UPS, и каждая рабочая станция должна иметь защиту от скачков напряжения. Подробнее см. раздел "Активизация контроля UPS" в главе Управление сетью (оперативная документация по NetWare 4.11).

Если в Вашей компании нет UPS, рекомендуем приобрести как минимум соединитель для контроля скачков напряжения для каждого компьютера в сети во избежание потерь данных в случае скачков напряжения.

Используйте Систему контроля транзакций

Система контроля транзакций (Transaction Tracking System - TTS) предотвращает повреждение данных при помощи возврата неполных транзакций и хранения записи резервной копии данных.

По умолчанию TTS активна.

Сервер автоматически отключает TTS, если случается одно из следующих событий:

• Том SYS: полон. (Том SYS: - это том возврата TTS.)
• У сервера не хватает памяти для работы TTS.

Если TTS отключена, и Вы устранили проблемы, приведшие к ее отключению, используйте команду ENABLE TTS, чтобы вновь активизировать TTS. На консоли сервера введите следующее:

       ENABLE TTS <Enter>

Автоматический возврат неполных транзакций

Чтобы разрешить серверу автоматически возвращать неполные транзакции без какого-либо участия с Вашей стороны, выполните следующее.

Убедитесь, что TTS активна.

Процедура

1. На консоли сервера наберите

   
          LOAD SERVMAN <Enter>
   
   

2. В меню Available Options (Доступные опции) выберите Server Parameters (Параметры сервера).
3. В меню Categories (Категории) выберите Transaction Tracking (Контроль транзакций).
4. В меню Transaction Tracking (Контроль транзакций) выберите Auto TTS Backout Flag (Флаг автоматического возврата TTS).
5. Нажмите <Enter>, чтобы изменить значение на ON.
6. Нажмите <Esc> дважды, чтобы войти в меню Update Options (Опции обновления).
7. В меню Update Options (Опции обновления) выберите Update AUTOEXEC.NCF and STARTUP.NCF Now (Обновить AUTOEXEC.NCF и STARTUP.NCF сейчас).
   Появится окно, указывающее путь к файлу STARTUP.NCF.
8. Нажмите <Enter>, чтобы обновить этот файл.
9. Перезагрузите сервер, чтобы активизировать изменения.

Хранение протокола возвращенных данных

Чтобы сохранить протокол (TTS$LOG.ERR на томе SYS:) всех данных, возвращенных TTS, выполните следующие действия.

Убедитесь, что TTS активна.

Процедура

1. На консоли сервера наберите

   
        LOAD SERVMAN <Enter>
   
   

2. В меню Available Options (Доступные опции) выберите Server Parameters (Параметры сервера).
3. В меню Categories (Категории) выберите Transaction Tracking (Контроль транзакций).
4. В меню Transaction Tracking (Контроль транзакций) выберите TTS Abort Dump Flag (Флаг Дампа Прерывания TTS).
5. Нажмите <Enter>, чтобы изменить значение на ON.
6. Нажмите <Esc> дважды, чтобы перейти в меню Update Options (Опции обновления).
7. В меню Update Options (Опции обновления) выберите Update AUTOEXEC.NCF and STARTUP.NCF Now (Обновить AUTOEXEC.NCF и STARTUP.NCF сейчас). Появится окно, указывающее путь к файлу AUTOEXEC.NCF.
8. При необходимости нажмите <Enter>, чтобы обновить файл. Система запишет эти параметры в файл AUTOEXEC.NCF или обновит их, если они уже есть в этом файле.
   Если Вы не обновляете файл AUTOEXEC.NCF, параметры изменяются только до следующей перезагрузки сервера.

Безопасность консоли сервера

Консоль сервера наиболее безопасна, когда она заблокирована в таком месте, где никто не сможет перезагрузить сервер или вмешаться в его работу. Можно усилить безопасность, используя утилиту SECURE CONSOLE.

SECURE CONSOLE не блокирует консоль сервера; используйте опцию меню Lock File Server Console (Блокировка консоли файл-сервера) в утилите MONITOR чтобы предотвратить ввод с клавиатуры на консоль. (Наберите MONITOR в командной строке.)

Чтобы использовать SECURE CONSOLE, выполните следующие действия.

Процедура

1. На консоли сервера наберите

   
         SECURE CONSOLE <Enter>
   
   

2. (Необязательно) Чтобы обезопасить консоль при загрузке сервера, добавьте команду SECURE CONSOLE в файл AUTOEXEC.NCF сервера. Подробнее см. "Утилиты сервера".

   ВАЖНО: Чтобы удалить SECURE CONSOLE, необходимо отключить сервер и перезагрузить его. Если команда SECURE CONSOLE стоит в файле AUTOEXEC.NCF, необходимо сначала удалить ее.

Предотвращение вторжения вирусов

Не допускайте вирусы в сеть, объяснив пользователям в своей компании их опасность и постарайтесь снизить риск заражения следующим образом:

• Периодически создавайте резервные копии данных.
• Поддерживайте несколько уровней резервных копий, чтобы можно было восстановить данные из незараженного файла.
• Создайте защищенную от записи загрузочную дискету с новейшим антивирусным программным обеспечением для всех серверов и рабочих станций.
• Сохраняйте резервные копии исполняемых файлов.
• Изучайте технологии распространения новейших вирусов.
• Объясните пользователям сети, как обнаружить вирус.
• Предупредите пользователей сети об опасности вирусов. Убедите их не пользоваться дискетами и файлами, побывавшими в других компьютерах.
• Научите пользователей немедленно отключать их рабочие станции в случае обнаружения вируса.
• Ограничьте доступ к дисководам сервера, заблокировав сервер в безопасной комнате. Заклейте щели дисководов, чтобы не использовать их без необходимости.
• При возможности избегайте использования учетной записи Supervisor. Чем меньше привилегий Вы имеете при регистрации, тем меньше у вируса возможностей уничтожить данные (и распространиться).
• Если Ваша компания пользуется World Wide Web, предостерегите пользователей о загрузке файлов Web на рабочие станции. При возможности проверяйте файлы на вирусы.

Предотвращение подделки пакетов

Другая функция безопасности, NCP Packet Signature, защищает серверы и клиентов, используя службы NetWare Core Protocol^TM (NCP^TM).

NCP Packet Signature предотвращает подделку пакетов, требуя у сервера и у клиента "подпись" каждого пакета NCP. Подпись изменяется для каждого пакета.

Пакеты NCP с некорректной подписью отвергаются, не прерывая соединения клиента с сервером. Однако, в протокол ошибок, на консоль сервера и соответствующему клиенту отправляется уведомление о недопустимом пакете. Уведомление содержит регистрационное имя и адрес станции соответствующего клиента.

Дополнительную информацию о подписи пакетов см. в разделе "Предотвращение подделки пакетов" главы Управление сетью (оперативная документация по NetWare 4.11).

Разработка стратегии резервного копирования и восстановления

Включите в свой план защиты данных полное резервное копирование файловой системы и базы данных NDS.

Версия для Малого Бизнеса предоставляет для Вашей сети решение вопроса резервного копирования и восстановления при помощи системы управления хранением. Используя SBACKUP или приложения других производителей, разработайте план защиты данных, чтобы гарантировать защиту файловой системы и данных сети от потери.

В соответствии с необходимостью дайте полные права пользователям, выполняющим операции резервного копирования и восстановления.

Только один администратор должен выполнять и контролировать резервное копирование. Это поможет избежать проблем с неполными резервными копиями, получающимися в результате того, что пользователь не имел прав на определенные части Дерева каталогов.

Резервное копирование и восстановление данных

Резервное копирование данных сети является важной функцией, которую должен выполнять администратор, чтобы сеть работала без сбоев.

Сетевое окружение может быть разным, и процедуры для различных продуктов резервного копирования и восстановления различаются. Подробнее о резервном копировании и восстановлении для Малого Бизнеса см. "Резервное копирование и восстановление данных" в разделе Управление сетью или документацию, поставляемую с приложением резервного копирования.

ВАЖНО: Процедуры резервного копирования IntranetWare должны выполняться человеком, имеющим опыт работы с NetWare 4^TM и NDS. Если Вам необходима помощь, обратитесь к Авторизованному Реселлеру Novell^SM.

О резервном копировании и восстановлении

Версия для Малого Бизнеса включает архитектуру Storage Management System^TM (Системы управления хранением - SMS^TM), позволяющую Вам создавать резервные копии базы данных NDS, файловой системы или жесткого диска рабочей станции на внешний носитель.

В сетевом окружении наименее вероятна потеря одного сервера или его тома SYS:. При восстановлении после сбоя сервера или тома SYS: сохраняются назначения прав уполномоченных, информации о владельцах и другие атрибуты NetWare.

В случае сбоя оборудования, естественных сбоев, повреждения данных или некорректно удаленных или измененных данных можно вернуться к предыдущему состоянию данных.

О резервном копировании

Резервное копирование NDS может означать резервное копирование данных, расположенных на нескольких серверах. Чтобы создать резервную копию NDS, по крайней мере на одном сервере в Дереве каталогов должен быть загружен модуль TSANDS.NLM. Этот модуль делает возможным выборочное резервное копирование и восстановление фрагментов дерева NDS.

При помощи SBACKUP Вы можете начать резервное копирование Дерева каталогов с любого объекта-контейнера в дереве, и процесс будет продолжаться с указанной точки вниз к концу соответствующего фрагмента дерева. Можно создавать резервные копии всего Дерева каталогов или его фрагментов.

Во избежание проблем еженедельно создавайте резервные копии Дерева каталогов. Если Вы вносите изменения в Дерево каталогов, создайте резервную копию всей базы данных NDS.

Для лучшей защиты данных NDS следует выполнять полное резервное копирование NDS, при котором выполняется копирование схемы NDS и контейнеров, начиная с [Root].

Для резервного копирования файловой системы на каждом сервере, для которого создается резервная копия файловой системы, должен быть загружен соответсвующий SMS TSA. Для версии для Малого Бизнеса загрузите TSA410.NLM.

Если Вы хотите использовать программное обеспечение для резервного копирования, поставляемой с версией для Малого Бизнеса, см. "Резервное копирование и восстановление данных" в разделе Управление сетью (оперативная документация по NetWare 4.11).

О восстановлении

Если Вы регулярно выполняете резервное копирование, можно использовать программное обеспечение для резервного копирования для восстановления Дерева каталогов в его предыдущее состояние после сбоя.

Если повреждены данные, Вам нужно

1. Удалить поврежденные данные NDS.
2. Дать время для удаления поврежденных данных NDS по всей сети.
3. Восстановить данные NDS.

Специальные процедуры восстановления существуют для следующих сценариев:

• Потеря тома, отличного от SYS:
• Потеря тома SYS:
• Потеря всего сервера
• Потеря всего Дерева каталогов

Создание плана резервного копирования

Эффективное планирование уменьшает количество времени, необходимое для управления резервным копированием и восстановлением базы данных NDS.

При разработке плана защиты данных следует придерживаться следующих рекомендаций.

1. Выберите продукт для резервного копирования, сертифицированный для NetWare 4.
   Для работы с NDS и другими особенностями NetWare 4 программы резервного копирования других производителей должны быть сертифицированы Novell Labs. Они также должны поддерживать SMS и его программное обеспечение TSA.
   Убедитесь, что Вы имеете новейшее программное обеспечение для резервного копирования. Периодически спрашивайте в фирме Novell и у продавцов программного обеспечения о наличии новых версий программного обеспечения для резервного копирования, драйверов устройств, программного обеспечения TSA, файлов исправлений, версий NLM, электронных ресурсов распространения и т.д. Обратитесь к электронным источникам распространения фирмы Novell (NetWire, World Wide Web и компакт-диск NSEPro), чтобы получить обновления операционной системы NetWare 4, Служб Каталогов Novell (DS.NLM) и таких утилит NDS, как DSTRACE и DSREPAIR.
2. Убедитесь, что продукт, использовавшийся для резервного копирования серверов NetWare 4, использует TSANDS.NLM фирмы Novell для резервного копирования NDS и TSA410.NLM для резервного копирования файловой системы.
3. Перед резервным копированием или восстановлением убедитесь, что NDS полностью функциональна.
4. Регулярно создавайте резервные копии NDS.
   В сети с одним сервером репликация невозможна, так как нет другого сервера, на котором можно хранить реплику. В таком окружении необходимо поддерживать полные внешние резервные копии NDS. Это единственный способ восстановить потерянную информацию NDS.
   Частота резервного копирования NDS зависит от того, как часто Вы вносите изменения в Дерево каталогов. Для часто изменяемых Деревьев каталогов создавайте резервные копии NDS каждый раз во время полного резервного копирования сети. Всегда создавайте резервные копии NDS, прежде чем внести существенные изменения в Дерево каталогов.
5. Убедитесь в том, что каждая сессия резервного копирования и восстановления выполнена до конца. После каждой сессии проверяйте соответствующие файлы ошибок и протокола, чтобы убедиться, что процесс успешно завершен и созданы резервные копии всех данных.
6. Не изменяйте при восстановлении имена объектов NDS и контексты.
   Не используйте восстановление для "перестройки" Дерева каталогов. Процесс восстановления будет идти более ровно, если база данных NDS останется той же самой, и серверы будут восстанавливаться в те же объекты-контейнеры, что и раньше.
7. Всегда восстанавливайте информацию NDS перед восстановлением информации файловой системы.
   Восстановление объектов NDS повлияет на права файловой системы. Во избежание проблем всегда восстанавливайте информацию NDS до файловой системы.
8. Не забывайте "обновлять" программное обеспечение при переустановке сервера.
   После переустановки NetWare 4 или NDS с исходного носителя не забудьте повторно применить файлы исправлений ОС и скопировать обновленные драйверы, программное обеспечение NLM и утилиты до восстановления.

Необязательные службы

Этот раздел содержит обзор других служб безопасности версии для Малого Бизнеса.

Ревизия

Ревизия означает сбор и изучение записей с целью убедиться в том, что ресурсы сервера защищены Trusted Computing Base (TCB).

Сервер предоставляет защитные механизмы для записи ревизионной информации в защищенный след ревизии. Затем ревизоры могут просматривать эту информацию или конфигурировать сервер для сбора другой информации.

Полную информацию по использованию утилиты AUDITCON см. в разделе Список утилит (оперативная документация по NetWare 4.11).

Учет