Gestione della sicurezza di rete

Una rete Novell Small Business Suite mantiene i dati nel file system e nel database eDirectory. Nel file system sono memorizzati i file e le applicazioni utilizzati dagli utenti della rete. Nel database eDirectory sono memorizzate le informazioni utilizzate per mantenere e gestire la rete, ad esempio l'accesso alle risorse di rete, la stampa e la sicurezza.

L'accesso ai file, alle directory e agli oggetti eDirectory può essere facilmente gestito da diversi punti in eDirectory, nel file system o in entrambi. Un eventuale intruso deve passare attraverso diversi livelli di sicurezza non visibili all'utente prima di poter provare ad accedere a una directory o a un file.

Controllo dell'accesso alla rete

Il controllo dell'accesso determina quali informazioni e risorse sono disponibili per quali utenti e quali azioni gli utenti possono eseguire sulla rete. Il controllo dell'accesso è implementato utilizzando le tecniche descritte di seguito.

• Autenticazione. L'amministratore di rete controlla chi può eseguire il login alla rete aggiungendo i conti utente tramite Novell Easy Administration Tool^TM (NEAT).

  Autenticazione significa che agli utenti che eseguono il login alla rete e all'albero eDirectory può essere concesso o negato l'accesso. Se l'accesso viene concesso, gli utenti possono accedere solo ai server per i quali possiedono i relativi diritti. Quando gli utenti eseguono il login a un server, possono accedere solo ai volumi, alle directory e ai file per i quali possiedono i relativi diritti.

  È possibile controllare i diritti per utenti e gruppi che richiedono accesso a tutte le risorse, ad esempio dati e programmi in file e directory. È anche possibile proteggere tutti gli oggetti da accessi non autorizzati a livello di server.

  Il software Novell Modular Authentication Service (NMAS^TM) prevede altri metodi di login per l'autenticazione degli utenti a eDirectory. Questi nuovi metodi forniscono una maggiore sicurezza nell'accesso alle risorse di rete. È necessario installare NMAS su un server NetWare 6 e sulla workstation client Novell. Dopo l'installazione di NMAS, i nuovi metodi di login vengono installati e gestiti tramite ConsoleOne^TM. Per ulteriori informazioni su questo servizio, consultare il manuale Novell Modular Authentication Service Administration Guide (Novell Modular Authentication Service Guida all'amministrazione) (documentazione di NetWare 6).

• Sicurezza eDirectory. La sicurezza eDirectory controlla l'accesso agli oggetti eDirectory e alle relative proprietà. È possibile concedere o negare l'accesso agli oggetti eDirectory a utenti o gruppi. Ad esempio, se a un utente vengono concessi i diritti di operatore su un oggetto Stampante, l'utente può modificare i parametri di stampa per quell'oggetto Stampante.

  È possibile utilizzare ConsoleOne^TM per impostare tutti i diritti sugli oggetti.

• Sicurezza del file system. Il file system viene protetto controllando l'accesso ai file, alle directory e ai volumi di rete. È possibile concedere agli utenti o ai gruppi diversi tipi di diritti, inclusi i tipi di accesso e la possibilità di eseguire diverse azioni all'interno del file system di rete. Ad esempio, è possibile concedere l'accesso in sola lettura alle applicazioni e ai file di dati sui server di rete, in modo che possano essere utilizzati ma non modificati.

  È possibile concedere o negare l'accesso alle directory e ai file tramite NEAT. Per ulteriori informazioni, consultare Gestione del file system NetWare.

• Servizi di crittografia. Novell Certificate Server prevede dei servizi di crittografia basati su chiave pubblica che sono integrati dall'origine in eDirectory e che consentono di creare, emettere e gestire i certificati per gli utenti e per i server. Mediante questi servizi è possibile proteggere la trasmissione di dati riservati attraverso canali di comunicazione pubblica, quale Internet.

  Per ulteriori informazioni sui servizi di crittografia, consultare il manuale Novell Certificate Server Administration Guide (Novell Certificate Server Guida all'amministrazione) (documentazione di NetWare 6).

• Servizi di firewall. BorderManager^TM 3.6 offre servizi di firewall. Servizi di Firewall e Caching/Proxy di Boarding Manager 3.6 sono disponibili in Novell Small Business Suite 6.

  Per istruzioni sull'installazione, consultare il file PARTNERS.PDF sul CD Novell and Partner Solutions.

  Informazioni complete su BorderManager 3.6 sono disponibili nel manuale Novell BorderManager Enterprise Edition Overview and Planning (Novell BorderManager Enterprise Edition Informazioni generali e pianificazione).

Creazione di un piano per la protezione della rete

Quando si crea un piano per la protezione della rete, tenere presente che le informazioni del file system e del database eDirectory sono mantenute in due sistemi separati. Per creare il piano più efficiente possibile, analizzare quale metodo assicura la protezione migliore per ogni server e per ogni workstation.

Si consiglia di effettuare i seguenti task per evitare perdite di dati sulla rete, ridurre la vulnerabilità del sistema e recuperare il sistema in caso di guasto.

• Utilizzare l'utility SECURE CONSOLE per bloccare funzioni importanti sulla console del server. Per ulteriori informazioni su questa utility, consultare Protezione della console del server oppure "SECURE CONSOLE nel manuale Utilities Reference (Riferimento per le utility) (documentazione di NetWare 6).
• Utilizzare un gruppo di continuità (UPS) in caso di interruzioni di corrente. Consultare Utilizzo di un gruppo di continuità.
• Prevenire infezioni causate da virus spiegando agli utenti i pericoli dei virus nel software. Consultare Prevenzione di infezioni da virus.
• Impostare le opzioni per la firma dei pacchetti NCP^TM in modo che il client e il server debbano firmare ogni pacchetto di dati. Consultare Prevenzione della falsificazione di pacchetti.
• Sviluppare una metodologia di backup soddisfacente per le esigenze della società. Consultare Implementazione di una strategia di backup e ripristino.

Utilizzo di un gruppo di continuità

Un gruppo di continuità (UPS) è un componente essenziale della rete. Infatti, non solo un UPS aiuta a prevenire eventuali danni ai computer in caso di sbalzi di tensione, ma previene anche la perdita di dati durante le interruzioni di corrente. Tutti i server dovrebbero essere muniti di un UPS e tutte le workstation di una protezione contro gli sbalzi di tensione.

Per ulteriori informazioni, consultare la sezione "Preventing Power Supply Errors (Prevenzione degli problemi di alimentazione)" del manuale Server Operating System Administration Guide (Guida all'amministrazione del sistema operativo del server) (documentazione di NetWare 6).

Se la società non possiede un UPS, si consiglia almeno di investire in un connettore di controllo della tensione per ciascun computer sulla rete, per prevenire una perdita di dati in caso di sbalzi di tensione.

Utilizzo della funzione Transaction Tracking System

NetWare comprende una funzione per il monitoraggio delle transazioni denominata Transaction Tracking System (TTS). Se un file viene contrassegnato come transazionale, TTS può prevenire il danneggiamento dei record del file annullando le transazioni incomplete e tenendo traccia dei dati annullati.

NOTA:  I file contrassegnati come transazionali non possono essere cancellati né rinominati.

TTS può inoltre annullare le troncature e le estensioni dei file, nonché le modifiche multiple apportate alla stessa area dati durante un'unica transazione. TTS può infine annullare le operazioni interrotte di annullamento delle transazioni in caso di guasto al server NetWare nel corso di tali operazioni.

Al contrario, TTS non è in grado di proteggere da questo tipo di errori per qualsiasi tipo di applicazione che invia chiamate con blocco dei record e memorizza le informazioni nei record, compresi i database tradizionali, alcune applicazioni di e-mail e alcuni scheduler di appuntamenti per gruppi di lavoro.

I file che non sono organizzati in record discreti (ad esempio i file di elaborazione testi) non sono protetti da TTS.

Le transazioni eseguite in una rete possono essere salvate in modo non corretto se si verifica una delle seguenti situazioni:

• Un'interruzione di corrente in un server o in una workstation durante una transazione
• Un guasto hardware in un server o in una workstation durante una transazione, ad esempio un errore di parità su una scheda di rete
• Un blocco di sistema in un server o una workstation (errore software) durante una transazione
• Un guasto in un componente della trasmissione di rete, ad esempio un hub, un ripetitore o un cavo, durante una transazione

Se si verifica un guasto del server e il file è stato contrassegnato come transazionale, TTS annulla la transazione quando il server viene riavviato. Se si verifica un guasto in una workstation o in un componente della trasmissione di rete, TTS annulla immediatamente la transazione.

Per informazioni sul funzionamento di TTS e su come abilitare e attivare questa funzione, consultare la sezione "Using the Transaction Tracking System (Uso di Transaction Tracking System) del manuale Server Operating System Administration Guide (Guida all'amministrazione del sistema operativo del server) (documentazione di NetWare 6).

Protezione della console del server

La console del server è maggiormente protetta se tenuta in un luogo sicuro chiuso a chiave, dove nessuno può riavviare il server o manometterlo. È inoltre possibile aggiungere un livello di sicurezza addizionale utilizzando l'utility SECURE CONSOLE.

IMPORTANTE:  SECURE CONSOLE non blocca la console del server.

SECURE CONSOLE fornisce le seguenti funzioni di protezione:

• Non permette il caricamento di programmi NLM^TM da tutte le directory ad eccezione delle directory di avvio, ossia SYS:SYSTEM o C:\NWSERVER. Impedisce l'immissione da tastiera nel programma di debug del sistema operativo.
• Non permette la modifica della data e dell'ora del server.

Per utilizzare SECURE CONSOLE, seguire la procedura descritta.

1. Al prompt della console del server, immettere:

   SECURE CONSOLE

2. (opzionale) Per proteggere la console ad ogni avvio del server, aggiungere il comando SECURE CONSOLE nel file AUTOEXEC.NCF del server.

   IMPORTANTE:  Per rimuovere SECURE CONSOLE, occorre chiudere il server e riavviarlo. Se il comando SECURE CONSOLE è nel file AUTOEXEC.NCF, occorre rimuoverlo dal file prima di chiudere il server. In caso contrario, verrà automaticamente eseguito al riavvio.

Per impedire l'immissione di dati da tastiera sulla console, utilizzare l'utility SCRSAVER (salvaschermo) nel modo seguente:

1. Al prompt della console, immettere:

   SCRSAVER ENABLE

   Questo comando abilita il salvaschermo con le impostazioni di default. Per informazioni sulle impostazioni del comando SCRSAVER e su come modificarle, consultare la sezione "SCRSAVER" nel manuale Utilities Reference (Riferimento per le utility) (documentazione di NetWare 6).

2. (opzionale) Per abilitare il comando SCRSAVER ad ogni avvio del server, aggiungere il comando SCRSAVER ENABLE nel file AUTOEXEC.NCF del server.

3. Per azzerare il salvaschermo, premere un tasto qualsiasi e immettere il proprio nome utente e la parola d'ordine.

   IMPORTANTE:  Il nome utente utilizzato per azzerare il salvaschermo deve disporre dei diritti di accesso all'oggetto Server eDirectory.

Prevenzione di infezioni da virus

Il modo migliore per proteggere la rete dai virus consiste nel descrivere agli utenti gli eventuali pericoli e nell'imporre procedure che diminuiscono i rischi di infezioni da virus.

Il software di protezione da virus di Network Associates è incluso in Novell Small Business Suite. Per ulteriori informazioni sul prodotto e per le istruzioni sull'installazione, consultare il file PARTNER.PDF sul CD Novell and Partners Solution.

Si consiglia inoltre di effettuare le seguenti operazioni:

• Eseguire frequentemente il backup dei dati.
• Mantenere diversi livelli di backup archiviati, in modo da poter recuperare il backup di una versione non infettata di un file.
• Mantenere un dischetto di avvio, protetto da scrittura, contenente l'ultima versione del programma di scansione e rimozione dei virus per tutti i server e le workstation.
• Mantenere un backup dei file eseguibili.
• Mantenersi aggiornati sulle tecniche di infezione dei virus più recenti.
• Spiegare agli utenti della rete come rilevare la presenza di virus.
• Informare gli utenti sui pericoli dei virus. Invitare gli utenti a non utilizzare dischetti e file provenienti da computer al di fuori dell'ambito lavorativo.
• Avvertire gli utenti sui rischi derivanti dall'apertura di e-mail proveniente da fonti sconosciute.
• Spiegare agli utenti la necessità di spegnere immediatamente la propria workstation se viene rilevata la presenza di un virus.
• Restringere l'accesso alle unità dischetto del server, tenendo il server in un luogo sicuro chiuso a chiave. Ricoprire le aperture delle unità con del nastro, come promemoria, per evitarne l'utilizzo quando non strettamente necessario.
• Evitare di utilizzare il conto Supervisore, se possibile. Minore è il livello di diritti e privilegi di cui dispone un conto di login, minore è il potere di distruzione dei dati e di diffusione su altri computer dei virus.
• Avvertire gli utenti dei pericoli associati allo scaricamento di file da Internet sulle workstation. Eseguire la scansione dei file per individuare la presenza di virus, se possibile.

Prevenzione della falsificazione di pacchetti

La firma dei pacchetti NCP è un'altra funzione di sicurezza destinata alla protezione dei server e dei client tramite l'utilizzo dei servizi NetWare Core Protocol^TM (NCP).

La firma dei pacchetti NCP impedisce la falsificazione di pacchetti richiedendo che il server e il client firmino ogni pacchetto NCP. La firma è diversa per ogni pacchetto.

Se un pacchetto NCP riporta una firma NCP non corretta viene rifiutato, senza interrompere la connessione tra client e server. Tuttavia, viene inviato un messaggio di avviso sul pacchetto invalido al log degli errori, al client coinvolto e alla console del server. Il messaggio di avviso contiene il nome di login e l'indirizzo della stazione del client coinvolto.

Per informazioni, consultare la sezione "Using NCP Packet Signature (Uso della firma dei pacchetti NCP)" del manuale Server Operating System Administration Guide (Guida all'amministrazione del sistema operativo del server).

Implementazione di una strategia di backup e ripristino

Includere un backup completo e offline del file system e del database eDirectory nel piano di protezione della rete. Il piano dovrebbe includere un backup regolare dei dati e una procedura per assicurarsi di poterli ripristinare. Per informazioni sulle soluzioni di backup e ripristino, consultare il manuale Storage Management Services Administration Guide (Storage Management Services Guida all'amministrazione) (documentazione di NetWare 6).