Gestion de la sécurité du réseau

Les réseaux Novell Small Business Suite conservent les données dans le système de fichiers et dans la base de données Novell eDirectory. Le système de fichiers stocke les applications et les fichiers exploités par les utilisateurs du réseau. La base de données Novell eDirectory stocke les informations nécessaires à la maintenance et à la gestion du réseau, comme les ressources réseau ou les options d'impression et de sécurité.

Vous gérez facilement l'accès aux fichiers, aux répertoires et aux objets Novell eDirectory depuis divers points des Novell eDirectory, du système de fichiers ou des deux. Les intrus doivent franchir plusieurs couches transparentes de protection avant même de tenter d'accéder à un répertoire ou à un fichier.

Contrôle de l'accès au réseau

Le contrôle d'accès permet de déterminer les informations et les ressources mises à la disposition de chaque utilisateur, et de fixer les opérations que ces utilisateurs sont autorisés à effectuer sur le réseau. Vous mettez en place le contrôle d'accès en utilisant les méthodes suivantes.

• Authentification En tant qu'administrateur d'un réseau, vous gérez les utilisateurs qui ont le droit de s'y loguer. Pour cela, vous pouvez ajouter des comptes utilisateur via l'outil d'administration facile de Novell (Novell Easy Administration Tool^TM - NEAT).

  L'authentification consiste à accorder ou à refuser l'accès aux utilisateurs qui se loguent au réseau et à l'arborescence Novell eDirectory. Si l'accès est accordé, les utilisateurs ne peuvent se loguer qu'aux serveurs pour lesquels ils disposent de droits d'accès. Lorsque les utilisateurs se connectent à un serveur, ils peuvent uniquement accéder aux volumes, répertoires et fichiers sur lesquels ils disposent de droits d'accès.

  Vous pouvez contrôler les droits des utilisateurs et des groupes qui ont besoin d'accéder à toutes les ressources, comme les données et les programmes stockés dans les fichiers et les répertoires. Vous pouvez également protéger tous les objets, au niveau du serveur, contre tout accès non autorisé.

  Le logiciel Services d'authentification modulaire Novell (Novell Modular Authentication Service ou NMAS^TM) propose des méthodes supplémentaires de login pour permettre aux utilisateurs de s'authentifier auprès des Novell eDirectory. Ces nouvelles méthodes de login offrent une meilleure sécurité d'accès aux ressources réseau. NMAS doit être installé sur un serveur NetWare 6 et sur le poste de travail du client Novell. Après l'installation de NMAS, les nouvelles méthodes de login sont installées et gérées à l'aide de ConsoleOne^TM. Pour plus d'informations sur ce service, reportez-vous au Novell Modular Authentication Service Administration Guide (Guide d'administration NMAS) (documentation NetWare 6).

• Sécurité des Novell eDirectory La fonction de sécurité des Novell eDirectory contrôle l'accès aux objets Novell eDirectory et à leurs propriétés. Vous pouvez accorder ou refuser à des utilisateurs ou à des groupes l'accès aux objets Novell eDirectory. Par exemple, si vous accordez à un utilisateur des droits d'opérateur sur un objet Imprimante, il peut alors modifier les paramètres d'impression correspondants.

  ConsoleOne^TM permet de configurer tous les droits sur les objets.

• Sécurité du système de fichiers Vous protégez le système de fichiers en contrôlant l'accès aux fichiers, aux répertoires et aux volumes du réseau. Vous pouvez accorder à des utilisateurs ou à des groupes divers types de droit, notamment des types d'accès et la possibilité d'effectuer certaines actions au sein du système de fichiers réseau. Par exemple, vous pouvez définir un accès en lecture seule à certaines applications et certains fichiers de données des serveurs réseau, afin que ces éléments puissent être utilisés mais pas modifiés.

  Vous attribuez ou refusez les droits d'accès aux répertoires et aux fichiers via l'outil NEAT. Pour plus d'informations, reportez-vous à la section Gestion du système de fichiers NetWare.

• Services de cryptographie Le serveur de certificats Novell propose des services de cryptographie avec clé publique qui sont intégrés dans les Novell eDirectory et permettent de concevoir, d'émettre et de gérer des certificats d'utilisateur et de serveur. Ces services permettent de protéger les transmissions de données confidentielles sur les voies de communication publiques telles qu'Internet.

  Pour plus d'informations sur les services de cryptographie, reportez-vous au Novell Certificate Server Administration Guide (Guide d'administration du Serveur de certificats Novell) (documentation NetWare 6).

• Services de pare-feu BorderManager^TM 3,6 propose des services de pare-feu. Les services de pare-feu et de caching/proxy de Boarding Manager 3.6 sont disponibles dans Novell Small Business Suite 6.

  Pour des instructions d'installation, reportez-vous au fichier PARTNERS.PDF sur le CD-ROM Novell and Partner Solutions.

  Vous trouverez des informations complètes sur BorderManager 3.6 dans Novell BorderManager Enterprise Edition Overview and Planning (Présentation et planification de Novell BorderManager Enterprise Edition).

Création d'un plan de protection du réseau

Lorsque vous créez un plan de protection réseau, n'oubliez pas que les informations du système de fichiers et de la base de données Novell eDirectory sont gérées séparément. Pour mettre en place un plan de protection réseau le plus efficace possible, déterminez les méthodes susceptibles d'assurer à chaque serveur et à chaque poste de travail une protection maximale.

Les tâches suivantes permettent d'éviter toute perte de données réseau, de rendre votre système moins vulnérable et de corriger une défaillance système.

• Servez-vous de l'utilitaire SECURE CONSOLE pour verrouiller les fonctions importantes sur la console du serveur. Pour plus d'informations sur cet utilitaire, reportez-vous à Sécurisation de la console du serveur or "SECURE CONSOLE dans Utilities Reference (Références sur les utilitaires) (documentation NetWare 6).
• Utilisez un onduleur qui servira en cas de panne de courant. Reportez-vous à Utilisation d'un onduleur.
• Évitez les virus en faisant prendre conscience aux utilisateurs des dangers que ces virus représentent. Reportez-vous à Prévention des infections virales.
• Définissez des options de signature de paquet NCP^TM pour contraindre le client et le serveur à signer chaque paquet de données. Reportez-vous à Prévention de la falsification des paquets.
• Élaborez une stratégie de sauvegarde efficace, adaptée aux besoins de votre société. Reportez-vous à la section Mise en place d'une stratégie de restauration et de sauvegarde.

Utilisation d'un onduleur

L'onduleur constitue un élément essentiel de votre réseau. Il permet non seulement d'éviter que votre ordinateur soit endommagé par les hausses ou les baisses de tension électrique, mais également d'éviter les pertes de données en cas de panne de courant. Chaque serveur doit être équipé d'un onduleur et tous les postes de travail doivent être protégés contre les pointes de courant.

Pour plus d'informations, reportez-vous à "Preventing Power Supply Errors (Prévention des problèmes d'alimentation électrique)" dans le Server Operating System Administration Guide (Guide d'administration du système d'exploitation serveur) (documentation NetWare 6).

Si votre réseau n'est pas équipé d'un onduleur, il est recommandé de vous procurer, au minimum, un connecteur protégé contre les pointes de courant pour chaque ordinateur du réseau, pour éviter toute perte de données en cas de surtension.

Utilisation du système de suivi des transactions (TTS)

NetWare inclut une fonction de surveillance des transactions appelée Système de suivi des transactions (Transaction Tracking System ou TTS). Ce système évite que les enregistrements d'un fichier possédant l'attribut Transactionnel ne soient endommagés ; en effet, il rétablit l'état antérieur de toutes les transactions incomplètes et conserve un enregistrement des données dont l'état a été rétabli.

REMARQUE :  Il est impossible de supprimer ou renommer un fichier possédant l'attribut Transactionnel.

Le système TTS peut également rétablir les fichiers tronqués ou développés, ainsi que les modifications multiples apportées à la même zone de données lors d'une unique transaction. Il peut même rétablir des opérations de restauration interrompues si le serveur Netware a échoué au milieu de ces transactions.

Toutefois, le système TTS ne garantit pas ce type de protection pour les applications qui émettent des appels de verrouillage d'enregistrement et stockent des informations dans les enregistrements ; il s'agit notamment des bases de données traditionnelles, ainsi que de certaines applications de messagerie électronique et d'agenda de groupe de travail.

Les fichiers qui ne sont pas organisés en enregistrements discrets (tels que les fichiers de traitement de texte) ne sont pas protégés par le système TTS.

Les transactions d'un réseau peuvent se trouver incorrectement sauvegardées dans les cas suivants :

• Coupure d'alimentation d'un serveur ou d'un poste de travail durant une transaction
• Panne matérielle du serveur ou du poste de travail durant une transaction (par exemple, une erreur de parité sur une carte réseau).
• Blocage logiciel d'un serveur ou d'un poste de travail durant une transaction
• Échec d'un composant de transmission réseau (hub, répéteur ou câble) durant une transaction

En cas d'échec du serveur, si le fichier possède l'attribut Tansactionnel, TTS rétablit la transaction lorsque le serveur redevient opérationnel. En cas d'échec d'un poste de travail ou d'un composant de transmission réseau, TTS rétablit immédiatement la transaction.

Pour plus d'informations sur le fonctionnement de TTS et son activation, reportez-vous à "Using the Transaction Tracking System (Utilisation du système de suivi des transactions) dans le Server Operating System Administration Guide (Guide d'administration du système d'exploitation serveur) (documentation NetWare 6).

Sécurisation de la console du serveur

Pour optimiser la sécurité, verrouillez la console du serveur et installez-la à un endroit où personne ne pourra redémarrer le serveur ni en modifier les options. Pour ajouter un niveau de sécurité supplémentaire, servez-vous de l'utilitaire SECURE CONSOLE.

IMPORTANT :  SECURE CONSOLE ne verrouille pas la console du serveur.

SECURE CONSOLE offre les protections suivantes :

• Il empêche le chargement des programmes NLM^TM depuis tout répertoire autre que les répertoires de démarrage SYS:SYSTEM ou C:\NWSERVER. Il évite toute saisie au clavier dans le débogueur du système d'exploitation.
• Il empêche toute modification de la date et de l'heure du serveur.

Pour utiliser SECURE CONSOLE, procédez comme suit :

1. A l'invite de la console du serveur, entrez :

   SECURE CONSOLE

2. (Facultatif) Pour protéger la console à chaque démarrage du serveur, ajoutez la commande SECURE CONSOLE au fichier AUTOEXEC.NCF du serveur.

   IMPORTANT :  Pour désactiver la commande SECURE CONSOLE, arrêtez le serveur et redémarrez-le. Si la commande SECURE CONSOLE se trouve dans le fichier AUTOEXEC.NCF, vous devez supprimer la commande du fichier avant d'arrêter le serveur ; sinon, elle s'exécutera automatiquement au redémarrage du serveur.

Pour empêcher les saisies au clavier sur la console, utilisez l'utilitaire SCRSAVER (économiseur d'écran), en procédant comme suit :

1. À l'invite de la console du serveur, entrez :

   SCRSAVER ENABLE

   Cette commande active l'économiseur d'écran avec les paramètres par défaut. Pour plus d'informations sur les paramètres de l'utilitaire SCRSAVER et leur modification, reportez-vous à "SCRSAVER" dans Utilities Reference (Référence sur les utilitaires) (documentation NetWare 6).

2. (Facultatif) Pour activer l'utilitaire SCRSAVER à chaque démarrage du serveur, ajoutez la commande SCRSAVER ENABLE au fichier AUTOEXEC.NCF du serveur.

3. Pour effacer l'économiseur d'écran, appuyez sur une touche quelconque et entrez votre nom d'utilisateur et votre mot de passe.

   IMPORTANT :  Le nom d'utilisateur que vous entrez pour effacer l'économiseur d'écran doit disposer des droit d'accès sur l'objet Serveur Novell eDirectory.

Prévention des infections virales

Le meilleur moyen d'éviter que des virus se répandent sur votre réseau est d'informer vos utilisateurs des dangers que ces virus représentent et d'imposer des procédures réduisant les risques d'infection.

Le logiciel de protection antivirus de Network Associates est compris dans Novell Small Business Suite. Pour plus d'informations et pour des instructions d'installation, consultez le fichier PARTNER.PDF sur le CD-ROM Novell and Partners Solution.

Il est également conseillé d'entreprendre les actions suivantes :

• Effectuez fréquemment une sauvegarde des données.
• Conservez plusieurs niveaux de sauvegarde dans vos archives afin de pouvoir restaurer une version précédente de tout fichier infecté.
• Conservez, pour chaque serveur et chaque poste de travail, une disquette amorçable protégée en écriture, sur laquelle vous stockerez la dernière version des utilitaires de recherche et de suppression des virus.
• Conservez une copie de sauvegarde des fichiers exécutables.
• Tenez-vous au courant des méthodes de propagation des derniers virus découverts.
• Apprenez aux utilisateurs du réseau à détecter les virus.
• Avertissez les utilisateurs des dangers que présentent les virus. Déconseillez-leur d'utiliser des disquettes et des fichiers provenant d'autres ordinateurs que ceux de la société.
• Déconseillez aux utilisateurs d'ouvrir des courriers électroniques provenant de sources inconnues.
• Apprenez aux utilisateurs à éteindre leur poste de travail dès qu'un virus est détecté.
• Limitez l'accès aux lecteurs de disquette du serveur en installant celui-ci dans une salle dont l'accès est surveillé. Placez un morceau de bande adhésive sur l'orifice des lecteurs pour vous rappeler de ne pas les utiliser inutilement.
• Évitez, autant que possible, de vous servir du compte Superviseur. Lorsque les droits et privilèges associés à un compte de login sont réduits, les virus sont moins susceptibles de détruire les données (et de se propager).
• Avertissez les utilisateurs des risques engendrés par le téléchargement de fichiers sur leur poste de travail à partir d'Internet. Recherchez les virus dans ces fichiers, si possible.

Prévention de la falsification des paquets

Une autre fonction de sécurité, la signature de paquet NCP, protège les serveurs et les clients en utilisant les services NCP (NetWare Core Protocol^TM).

La signature de paquet NCP empêche toute falsification des paquets, car elle demande au serveur et au client de signer chaque paquet NCP. La signature utilisée change à chaque paquet.

Les paquets NCP dotés de signatures incorrectes sont éliminés sans que la connexion entre le client et le serveur soit interrompue. Toutefois, un message d'alerte signalant le paquet non valide est envoyé au journal des erreurs, au client concerné et à la console du serveur. Le message d'alerte contient le nom de login et l'adresse du poste de travail du client concerné.

Pour plus d'informations, reportez-vous à "Using NCP Packet Signature (Utilisation de la signature de paquets NCP) " dans le Server Operating System Administration Guide (Guide d'administration du système d'exploitation serveur).

Mise en place d'une stratégie de restauration et de sauvegarde

Incluez dans votre plan de protection réseau une sauvegarde hors ligne complète du système de fichiers et de la base de données Novell eDirectory. Votre plan doit prévoir de sauvegarder les données à intervalle régulier. Vous devez aussi vous assurer que vous savez comment restaurer ces données. Pour plus d'informations sur les solutions de sauvegarde et de restauration, reportez-vous au Storage Management Services Administration Guide (Guide d'administration SMS) (documentation NetWare 6).