Zarządzanie ochroną sieci

Sieć, w której zainstalowano oprogramowanie Novell Small Business Suite przechowuje dane w systemie plików i w bazie danych eDirectory. W systemie plików przechowywane są pliki i aplikacje, z których korzystają użytkownicy. W bazie danych eDirectory przechowywane są informacje potrzebne do obsługi sieci i zarządzania nią dotyczące np. dostępu do zasobów sieciowych, funkcji drukowania i zabezpieczeń.

Zarządzanie dostępem do plików, katalogów i obiektów eDirectory może odbywać się na kilku poziomach: w programie eDirectory, w strukturze systemu plików lub na obu tych poziomach jednocześnie. Przed podjęciem próby uzyskania dostępu do pliku lub katalogu, ewentualni intruzi będą musieli przejść przez kilka niewidocznych poziomów zabezpieczeń.

Kontrolowanie dostępu do sieci

Kontrolowanie dostępu określa zakres informacji, zasobów oraz czynności udostępnianych użytkownikom. Przy kontroli dostępu wykorzystywane są następujące mechanizmy:

• Uwierzytelnianie. Administrator sieci, tworząc konta użytkowników za pomocą programu Novell Easy Administration Tool^TM (NEAT), określa, kto może zalogować się do sieci.

  Uwierzytelnianie oznacza, że użytkownicy logujący się do sieci i do drzewa eDirectory uzyskują prawo dostępu lub nie. Jeśli uzyskają dostęp, to tylko do serwerów, do których mają odpowiednie prawa. Jeśli użytkownicy zalogują się do serwera, mogą korzystać tylko z tych wolumenów, katalogów i plików, do których mają prawa dostępu.

  Kontrolowane mogą być prawa użytkowników i grup potrzebujących dostępu do wszystkich zasobów, takich jak dane i programy znajdujące się w plikach i katalogach. Na poziomie serwera można też chronić wszystkie obiekty przed nieupoważnionym dostępem.

  Oprogramowanie Novell Modular Authentication Service (NMAS^TM) oferuje także inne metody logowania użytkowników w celu uwierzytelnienia w drzewie eDirectory. Te nowe metody zwiększają ochronę dostępu do zasobów sieciowych. Program NMAS musi być zainstalowany zarówno na serwerze NetWare 6, jak i stacji roboczej klienta Novell. Po zainstalowaniu NMAS instalowane są nowe metody logowania, którymi zarządza się za pośrednictwem programu ConsoleOne^TM. Dodatkowe informacje na temat tej usługi można znaleźć w podręczniku Novell Modular Authentication Service Administration Guide (dokumentacja systemu NetWare 6).

• Zabezpieczenia eDirectory. Za pomocą mechanizmów zabezpieczeń eDirectory kontrolowany jest dostęp do obiektów eDirectory oraz ich właściwości. Użytkownikom i grupom można przydzielać lub odbierać prawo dostępu do obiektów eDirectory. Jeśli na przykład użytkownikowi zostaną przydzielone prawa operatora do obiektu Printer (Drukarka), będzie on mógł zmieniać parametry drukowania dla tego obiektu.

  Wszystkie prawa do obiektów mogą zostać określone za pomocą programu ConsoleOne^TM.

• Ochrona systemu plików. Ochrona systemu plików polega na kontrolowaniu dostępu do plików, katalogów i wolumenów sieciowych. Użytkownikom lub grupom można nadać różne rodzaje praw, włączając w to rodzaje dostępu oraz prawa do przeprowadzania określonych czynności w sieciowym systemie plików. Można na przykład aplikacje i pliki danych na serwerach sieciowych udostępnić tylko do odczytu (będzie można ich używać, ale bez możliwości zmiany).

  Dostęp do katalogów i plików może być ustawiany za pomocą programu NEAT. Aby uzyskać więcej informacji, patrz sekcja Zarządzanie systemem plików NetWare.

• Usługi szyfrowania. Program Novell Certificate Server zapewnia usługi szyfrowania informacji z kluczem publicznym zintegrowane ściśle z oprogramowaniem eDirectory i umożliwiające tworzenie, wydawanie oraz zarządzanie certyfikatami zarówno użytkownika jak i serwera. Dzięki nim można zabezpieczać poufne transmisje danych w publicznych kanałach komunikacyjnych, takich jak np. Internet.

  Dodatkowe informacje na temat usług kryptograficznych można znaleźć w podręczniku Novell Certificate Server Administration Guide (dokumentacja systemu NetWare 6).

• Usługi firewall. Program BorderManager^TM 3.6 oferuje usługi typu firewall. W pakiecie Novell Small Business Suite 6 dostępne są usługi Firewall i Caching/Proxy Services programu Boarding Manager 3.6.

  Instrukcje instalacji znajdują się w pliku PARTNERS.PDF na dysku CD Novell and Partner Solutions.

  Pełen zakres informacji na temat programu BorderManager 3.6 można znaleźć w podręczniku Novell BorderManager Enterprise Edition Overview and Planning.

Tworzenie planu ochrony sieci

Tworząc plan ochrony sieci, należy pamiętać, że system plików i baza danych eDirectory obsługiwane są jako oddzielne systemy. Aby utworzyć najbardziej odpowiedni plan ochrony sieci, należy sprawdzić, jakie metody zapewniają najlepszą ochronę dla każdego serwera i stacji roboczej.

Aby zapobiec utracie danych, zmniejszyć wrażliwość systemu na uszkodzenia i odtworzyć go po awarii, należy wykonać następujące czynności:

• Użyj programu SECURE CONSOLE, aby zablokować ważne funkcje w konsoli serwera. Więcej informacji na temat tego programu narzędziowego można znaleźć w sekcji Zabezpieczanie konsoli serwera lub w sekcji "SECURE CONSOLE w podręczniku Utilities Reference (dokumentacja systemu NetWare 6).
• Użyj zasilania awaryjnego UPS. Patrz sekcja Korzystanie z zasilania awaryjnego UPS.
• Należy przeprowadzić szkolenie pracowników na temat zagrożeń związanych z wirusami sieciowymi. Patrz sekcja Zapobieganie infekcjom wirusami.
• Ustaw opcje sygnatury pakietu NCP^TM w taki sposób, aby każdy pakiet danych był potwierdzany zarówno przez klienta, jak i przez serwer. Patrz sekcja Zapobieganie przekłamaniom pakietów.
• Ustal efektywną metodę tworzenia kopii zapasowych uwzględniającą potrzeby przedsiębiorstwa. Patrz sekcja Implementowanie strategii tworzenia kopii zapasowych i odzyskiwania danych.

Korzystanie z zasilania awaryjnego UPS

Korzystanie z zasilania awaryjnego UPS jest ważnym elementem ochrony sieci. Nie tylko pomaga zapobiec uszkodzeniom komputera przy gwałtownych zmianach zasilania, ale także zapobiega utracie danych w przypadku awarii. Na każdym serwerze powinno zostać zainstalowane zasilanie awaryjne UPS, a każda stacja robocza powinna mieć ochronę przeciwprzepięciową.

Dodatkowe informacje na ten temat można znaleźć w sekcji "Preventing Power Supply Errors" w podręczniku Server Operating System Administration Guide (dokumentacja systemu NetWare 6).

Jeśli firma nie ma zainstalowanego zasilania awaryjnego UPS, zaleca się przynajmniej wyposażyć każdy komputer sieciowy w złącze przepięciowe zapobiegające utracie danych w razie niestabilności zasilania.

Korzystanie z systemu śledzenia transakcji (TTS)

System NetWare zawiera funkcję umożliwiającą monitorowanie transakcji o nazwie Transaction Tracking System (TTS). Jeśli plik zostanie oznaczony jako transakcyjny, system TTS może zapobiec uszkodzeniu rekordów w pliku przez rekonstruowanie niekompletnych transakcji i przechowywanie rejestru zrekonstruowanych danych.

UWAGA:  Plik oznaczony jako transakcyjny nie może zostać usunięty, a jego nazwa nie może zostać zmieniona.

System TTS może także podczas pojedynczej transakcji rekonstruować rozszerzenia i obcięcia plików oraz wiele zmian w tym samym obszarze danych. Jeśli podczas rekonstrukcji transakcji wykonywanej przez serwer NetWare nastąpi błąd, system TTS może nawet zrekonstruować przerwane operacje rekonstrukcji.

System TTS nie chroni jednak przed tego typu awariami w wypadku aplikacji wysyłających żądania blokowania rekordów i zapisujących w rekordach informacje, takich jak tradycyjne bazy danych, niektóre aplikacje pocztowe i niektóre terminarze do obsługi spotkań w grupach roboczych.

Pliki, które nie są zorganizowane w postaci rekordów dyskretnych (na przykład pliki procesorów tekstu) nie są chronione przez system TTS.

Transakcje w sieci mogą zostać nieprawidłowo zapisane w sytuacjach, gdy:

• Podczas transakcji wystąpi przerwa w zasilaniu serwera lub stacji roboczej;
• Podczas transakcji wystąpi błąd serwera lub stacji roboczej (na przykład błąd parzystości na karcie sieciowej);
• Podczas transakcji nastąpi zawieszenie serwera lub stacji roboczej (błąd oprogramowania);
• Podczas transakcji nastąpi awaria składnika odpowiedzialnego za przesyłanie danych w sieci (na przykład koncentratora, sygnału lub kabla).

Jeśli plik został oznaczony jako transakcyjny, na skutek awarii serwera system TTS rekonstruuje daną transakcję po ponownym uruchomieniu serwera. W razie awarii składnika stacji roboczej lub sieci, system TTS natychmiast rekonstruuje przerwaną transakcję.

Szczegółowe informacje na temat działania systemu TTS, jego włączania i aktywowania można znaleźć w sekcji "Using the Transaction Tracking System w podręczniku Server Operating System Administration Guide (dokumentacja systemu NetWare 6).

Zabezpieczanie konsoli serwera

Najlepszym zabezpieczeniem konsoli serwera jest umieszczenie jej w miejscu niedostępnym dla osób niepowołanych. Dodatkowo konsolę można zabezpieczyć korzystając z narzędzia SECURE CONSOLE.

WAŻNE:  Program SECURE CONSOLE nie blokuje konsoli serwera.

Program SECURE CONSOLE zapewnia następujące zabezpieczenia:

• Uniemożliwia ładowanie programów NLM^TM z katalogu innego niż katalogi startowe---SYS:SYSTEM lub C:\NWSERVER. Uniemożliwia wprowadzanie tekstu do debugera przy użyciu klawiatury.
• uniemożliwia zmianę daty i godziny na serwerze.

Aby korzystać z programu SECURE CONSOLE, należy wykonać następujące czynności:

1. Przy znaku zachęty konsoli serwera, wprowadź

   SECURE CONSOLE

2. Aby włączać ochronę konsoli przy każdym uruchomieniu serwera, dodaj polecenie SECURE CONSOLE do pliku serwera AUTOEXEC.NCF (opcjonalnie).

   WAŻNE:  Aby usunąć opcję SECURE CONSOLE, należy ponownie uruchomić serwer. Jeśli polecenie SECURE CONSOLE zostało wprowadzone do pliku AUTOEXEC.NCF, przed zamknięciem systemu serwera należy je stamtąd usunąć w przeciwnym wypadku polecenie to zostanie automatycznie wykonane przy ponownym uruchamianiu.

Aby uniemożliwić wydawanie poleceń z konsoli za pomocą klawiatury, należy użyć programu narzędziowego SCRSAVER (wygaszacz ekranu) w następujący sposób:

1. W wierszu poleceń konsoli wprowadź polecenie:

   SCRSAVER ENABLE

   Polecenie to powoduje włączenie wygaszacza ekranu z ustawieniami domyślnymi. Dokładne informacje na temat ustawień programu narzędziowego SCRSAVER i ich modyfikowania można znaleźć w sekcji "SCRSAVER" w podręczniku Utilities Reference (dokumentacja systemu NetWare 6).

2. Aby włączać program SCRSAVER przy każdym uruchomieniu serwera, dodaj polecenie SCRSAVER ENABLE do pliku AUTOEXEC.NCF serwera (opcjonalnie).

3. Aby wyłączyć wygaszacz ekranu, naciśnij dowolny klawisz, a następnie wprowadź nazwę użytkownika i hasło.

   WAŻNE:  Dla nazwy użytkownika zastosowanej w celu wyłączenia wygaszacza ekranu muszą istnieć prawa dostępu do obiektu serwera eDirectory.

Zapobieganie infekcjom wirusami

Najlepszym sposobem zabezpieczenia sieci przed wirusami jest uświadamianie użytkownikom zagrożeń związanych z wirusami oraz wprowadzanie procedur zmniejszających ryzyko zainfekowania wirusem.

Do pakietu Novell Small Business Suite dołączone jest oprogramowanie ochrony przed wirusami firmy Network Associates. Dodatkowe informacje o produkcie oraz instrukcje instalacji można znaleźć w pliku PARTNERS.PDF na dysku CD Novell and Partner Solutions .

Oprócz tego zalecane jest:

• Częste tworzenie kopii zapasowych ważnych danych.
• Przechowywanie kolejnych wersji kopii zapasowych w taki sposób, aby można było pobrać kopię zapasową utworzoną przed zainfekowaniem.
• Utworzenie i przechowywanie w bezpiecznym miejscu dyskietki (zabezpieczonej przed zapisem) zawierającej aktualne oprogramowanie do wykrywania i usuwania wirusów; dyskietkę taką należy utworzyć dla wszystkich serwerów i stacji roboczych.
• Przechowywanie kopii zapasowych plików wykonywalnych.
• Gromadzenie informacji na temat najnowszych sposobów infekowania wirusami.
• Informowanie użytkowników sieci o sposobach wykrywania wirusów.
• Ostrzeganie użytkowników o niebezpieczeństwach związanych z wirusami. Odradzanie użytkownikom korzystania z dyskietek i plików pochodzących z komputerów spoza miejsca pracy.
• Ostrzeganie przed otwieraniem poczty elektronicznej pochodzącej z nieznanego źródła.
• Informowanie użytkowników o konieczności wyłączenia danej stacji roboczej natychmiast po wykryciu wirusa.
• Ograniczanie dostępu do napędów dyskietek serwera przez umieszczanie serwerów w bezpiecznych pomieszczeniach. Napędy dyskietek można zakleić taśmą, aby pamiętać o ostrożnym z nich korzystaniu.
• Unikanie korzystania z konta nadzorcy, jeśli nie ma takiej konieczności. Im mniej praw przyznanych jest używanemu kontu, tym mniejszy jest zakres działania wirusa (i mniejsze prawdopodobieństwo rozprzestrzenienia się go na inne komputery).
• Ostrzeganie użytkowników przed pobieraniem na stację roboczą plików pochodzących z Internetu. Pliki należy skanować w poszukiwaniu wirusów, jeśli jest to możliwe.

Zapobieganie przekłamaniom pakietów

Kolejna funkcja z zakresu zabezpieczeń, sygnatura pakietów NCP, zabezpiecza serwery i klienty za pomocą usług NetWare Core Protocol^TM (NCP).

Sygnatura pakietów NCP zapobiega przekłamaniom pakietów, wymagając od każdego serwera i klienta potwierdzenia każdego pakietu NCP. Sygnatura zmienia się wraz z każdym pakietem.

Pakiety NCP z nieprawidłową sygnaturą są odrzucane bez przerywania połączenia klienta z serwerem. Do rejestru błędów klienta i konsoli serwera przesyłany jest komunikat informujący o niepoprawnym pakiecie. Komunikat taki zawiera nazwę logowania i adres stacji roboczej klienta.

Dodatkowe informacje na ten temat można znaleźć w sekcji "Using NCP Packet Signature" w podręczniku Server Operating System Administration Guide.

Implementowanie strategii tworzenia kopii zapasowych i odzyskiwania danych

W planie ochrony sieci należy uwzględnić tworzenie pełnej kopii zapasowej systemu plików i bazy danych NDS. Plan powinien uwzględniać regularne tworzenie kopii zapasowych i możliwość odzyskiwania danych. Szczegółowe informacje na temat rozwiązań związanych z tworzeniem kopii zapasowych i przywracaniem można znaleźć w podręczniku Storage Management Services Administration Guide (dokumentacja systemu NetWare 6).