Gerenciando a segurança da rede

Uma rede Novell Small Business Suite mantém os dados no sistema de arquivos e no banco de dados do eDirectory. O sistema de arquivos armazena arquivos e aplicativos que são utilizados pelos usuários da rede. O banco de dados do eDirectory armazena as informações utilizadas para manter e gerenciar a rede, como o acesso aos recursos, impressão e segurança da rede.

O acesso a arquivos, diretórios e objetos eDirectory é facilmente gerenciado a partir de vários pontos no eDirectory, na estrutura do sistema de arquivos ou em ambos. Os intrusos precisarão passar por diversas camadas de segurança até tentarem acessar um diretório ou arquivo.

Controlando o acesso à rede

O controle de acesso determina quais informações e recursos estão disponíveis para quais usuários, e as ações que eles podem executar na rede. O controle de acesso é implementado por meio dos seguintes itens.

• Autenticação. Como administrador da rede, você controla quem pode efetuar login na rede ao adicionar contas de usuário com a NEAT (Novell Easy Administration Tool^TM).

  Autenticação significa que os usuários que efetuaram login na rede e na árvore do eDirectory possuem acesso concedido ou negado. Se o acesso for concedido, os usuários acessarão apenas os servidores para os quais possuem direitos de acesso. Quando os usuários efetuam login em um servidor, eles podem acessar apenas os volumes, diretórios e arquivos para os quais possuem direitos de acesso.

  Você pode controlar direitos para os usuários e grupos que precisam ter acesso a todos os recursos, como dados e programas que residem em arquivos e diretórios. Além disso, você também pode proteger todos os objetos de acesso não autorizado no nível do servidor.

  O software NMAS^TM (Novell Modular Authentication Service) fornece métodos de login adicionais para que os usuários sejam autenticados no eDirectory. Estes novos métodos de login oferecem maior segurança no acesso a recursos de rede. O NMAS deve ser instalado no servidor NetWare 6 e na estação de trabalho cliente da Novell. Após a instalação do NMAS, os novos métodos de login serão instalados e gerenciados pelo ConsoleOne^TM. Para obter mais informações sobre esse serviço, consulte o Guia de administração do Novell Modular Authentication Service (documentação do NetWare 6).

• Segurança do eDirectory. A segurança do eDirectory controla o acesso aos objetos eDirectory e às suas propriedades. Você pode conceder ou negar acesso aos usuários ou grupos acesso aos objetos eDirectory. Por exemplo, se você conceder a um usuário direitos de operador para um objeto Impressora, o usuário poderá modificar os parâmetros de impressão desse objeto.

  Utilize o ConsoleOne^TM para definir todos os direitos aos objetos.

• Segurança do sistema de arquivos. Para proteger o sistema de arquivos, controle o acesso a arquivos, diretórios e volumes da rede. Você pode conceder a usuários e grupos diferentes tipos de direitos, incluindo tipos de acesso e capacidade para executar diferentes ações no sistema de arquivos de rede. É possível, por exemplo, restringir aplicativos e arquivos de dados nos servidores da rede a um acesso Apenas leitura para que eles possam ser utilizados, mas não modificados.

  Forneça ou negue acesso a diretórios e arquivos com a NEAT. Para obter mais informações, consulte Gerenciando o sistema de arquivos do NetWare.

• Serviços de criptografia O Novell Certificate Server fornece serviços de criptografia de códigos públicos que estão integrados por padrão ao eDirectory e que permitem desenvolver, emitir e gerenciar certificados de usuários e servidores. Esses serviços permitem que você proteja as transmissões de dados confidenciais em canais de comunicação pública como a Internet.

  Para obter informações adicionais sobre serviços de criptografia, consulte o Guia de Administração do Novell Certificate Server (documentação do NetWare 6).

• Serviços firewall. O BorderManager^TM 3,6 oferece serviços firewall. Os serviços Firewall e Caching/Proxy do Boarding Manager 3,6 estão disponíveis no Novell Small Business Suite 6.

  Para obter instruções de instalação, consulte o arquivo PARTNERS.PDF no CD de Soluções da Novell e de Parceiros.

  Informações completas sobre o BorderManager 3.6 podem ser encontradas em Visão geral e planejamento do Novell BorderManager Enterprise Edition.

Criando um plano de proteção para a rede

Ao criar um plano de proteção para a sua rede, lembre-se de que as informações do sistema de arquivos e do banco de dados do eDirectory são mantidas como sistemas separados. Para criar o plano de proteção mais eficaz para a sua rede, analise os métodos que garantem a proteção mais eficiente para cada servidor e estação de trabalho.

Você pode executar as tarefas relacionadas a seguir para evitar perda de dados de rede, reduzir a vulnerabilidade do sistema e recuperar uma falha do sistema:

• Use o utilitário SECURE CONSOLE para bloquear funções importantes no console do servidor. Para obter mais informações sobre esse utilitário, consulte Protegendo o console do servidor ou "SECURE CONSOLE na Referência de utilitários (documentação do NetWare 6).
• Use uma UPS em caso de interrupção de energia elétrica. Consulte Utilizando uma UPS.
• Evite a contaminação por vírus informando os usuários sobre os perigos de vírus de software. Consulte Evitando contaminações por vírus.
• Defina as opções de autenticação de pacotes NCP^TM de forma que o cliente e o servidor tenham que autenticar cada pacote de dados. Consulte Evitando a falsificação de pacotes.
• Desenvolva um método de backup efetivo que se ajuste às necessidades da empresa. Consulte Implementando uma estratégia de backup e restauração.

Utilizando uma UPS

O uso de uma UPS é uma parte essencial da rede. Ela não apenas ajuda a evitar danos aos computadores causados por picos de voltagem e quedas de energia, como também evita a perda de dados durante interrupções de energia elétrica. Todo servidor deve ter uma UPS instalada e toda estação de trabalho deve ter proteção contra picos de voltagem.

Para obter mais informações, consulte "Evitando erros de fornecimento de energia" no Guia de administração do sistema operacional do servidor (documentação do NetWare 6).

Se a empresa não possui uma UPS, recomendamos que você invista pelo menos em um conector para controle de picos de voltagem para cada computador da rede para evitar a perda de dados no caso de um pico de voltagem.

Utilizando o TTS (Transaction Tracking System)

O NetWare inclui um recurso de monitoração de transações chamado TTS (Transaction Tracking System). Se você marcar um arquivo como transacional, o TTS poderá impedir que os registros desse arquivo sejam corrompidos retornando as transações incompletas e mantendo um registro dos dados retornados.

NOTA:  Um arquivo marcado como transacional não pode ser apagado nem renomeado.

O TTS também pode retornar truncamentos ou extensões de arquivos e várias mudanças na mesma área de dados durante uma única transação. Ele poderá retornar até mesmo retornos interrompidos se o servidor NetWare falhar no meio do retorno de transações.

Entretanto, o TTS não oferece proteção contra esses tipos de falhas para qualquer tipo de aplicativo que emita chamadas de bloqueio de registros e armazene informações em registros, incluindo banco de dados tradicionais, alguns aplicativos de correio eletrônico e alguns planejadores de compromissos para grupos de trabalho.

Os arquivos que não estão organizados em registros isolados (como arquivos de processamento de texto), não são protegidos pelo TTS.

As transações em uma rede podem ser gravadas incorretamente em qualquer uma das situações a seguir:

• O fornecimento de energia para um servidor ou uma estação de trabalho é interrompido durante uma transação
• O hardware do servidor ou da estação de trabalho falha durante uma transação (por exemplo, um erro de paridade em uma placa de rede)
• Um servidor ou uma estação de trabalho trava (uma falha de software) durante uma transação
• Um componente de transmissão da rede (como um hub, repetidor ou cabo) falha durante uma transação

Se o servidor falhar e o arquivo tiver sido marcado como transacional, o TTS retornará a transação quando o servidor estiver novamente em operação. Se um componente de transmissão da estação de trabalho ou da rede falhar, o TTS retornará a transação imediatamente.

Para obter detalhes sobre como o TTS funciona e sobre como habilitá-lo e ativá-lo, consulte "Utilizando o Transaction Tracking System no Guia de administração do sistema operacional do servidor (documentação do NetWare 6).

Protegendo o console do servidor

O console do servidor fica mais seguro quando está trancado em um local em que ninguém possa reinicializá-lo ou usá-lo para falsificação. Obtenha um nível adicional de segurança usando o utilitário SECURE CONSOLE.

IMPORTANTE:  O SECURE CONSOLE não bloqueia o console do servidor.

Ele fornece as seguintes proteções:

• Evita que os programas NLM^TM sejam carregados de qualquer diretório que não sejam os diretórios de inicialização ---SYS:SYSTEM ou C:\NWSERVER. Evita a entrada do teclado no depurador do sistema operacional.
• Evita a mudança da data e do horário do servidor.

Para usar o SECURE CONSOLE, execute as seguintes etapas:

1. No prompt do console do servidor, digite

   SECURE CONSOLE

2. (Opcional) Para proteger o console sempre que o servidor for inicializado, adicione o comando SECURE CONSOLE ao arquivo AUTOEXEC.NCF desse servidor.

   IMPORTANTE:  Para remover o SECURE CONSOLE, desative o servidor e o reinicialize. Se o comando SECURE CONSOLE estiver no arquivo AUTOEXEC.NCF, remova-o desse arquivo antes de desativar o servidor ou ele será executado automaticamente quando você reinicializá-lo.

Para evitar entradas do teclado no console, use o utilitário SCRSAVER (proteção de tela) da seguinte maneira:

1. No prompt do console, digite

   SCRSAVER ENABLE

   Esse comando habilita a proteção de tela com as configurações padrão. Para obter detalhes sobre as configurações de SCRSAVER e sobre como modificá-las, consulte "SCRSAVER" na Referência de utilitários (documentação do NetWare 6).

2. (Opcional) Para habilitar o SCRSAVER sempre que o servidor for inicializado, adicione o comando SCRSAVER ENABLE ao arquivo AUTOEXEC.NCF do servidor.

3. Para limpar a proteção de tela, pressione qualquer tecla e digite o seu nome de usuário e a sua senha.

   IMPORTANTE:  O nome de usuário que você utilizar para limpar a proteção de tela deve possuir direitos de acesso no objeto Servidor do eDirectory.

Evitando contaminações por vírus

A melhor maneira de afastar os vírus da rede é instruir os usuários sobre os perigos dos vírus e executar os procedimentos que reduzem os riscos de vírus.

O software de proteção de vírus da Network Associates está incluso no Novell Small Business Suite. Consulte o arquivo PARTNER.PDF no CD de Soluções da Novell e de Parceiros para obter informações adicionais sobre produtos e instruções de instalação.

Também recomendamos que você:

• Faça backup de dados freqüentemente.
• Mantenha conjuntos de backups arquivados para poder recuperar um backup a partir de um arquivo que tenha sido contaminado.
• Mantenha um disquete de inicialização protegido contra gravação com a versão mais recente do software de exploração e remoção de vírus para todos os servidores e estações de trabalho.
• Mantenha um backup de arquivos executáveis.
• Informe-se sobre as técnicas de contaminação dos vírus mais recentes.
• Informe aos usuários da rede sobre como detectar vírus.
• Avise aos usuários dos perigos dos vírus. Aconselhe-os a não utilizar disquetes e arquivos que tenham estado em computadores fora do escritório.
• Concientize os usuários sobre os perigos de abrir e-mail de origens desconhecidas.
• Ensine aos usuários a desligar suas estações de trabalho imediatamente quando encontrarem um vírus.
• Restrinja o acesso a unidades de disquete de um servidor trancando-o em uma sala segura. Cole uma fita sobre as aberturas da unidade para lembrá-lo de não usá-las desnecessariamente.
• Evite usar a conta do Supervisor quando possível. Quanto menos direitos e privilégios a sua conta de login possuir, menos poder um vírus terá para destruir os dados (e disseminar-se para outros computadores).
• Alerte os usuários sobre o download de arquivos da Internet para as estações de trabalho. Explore os arquivos à procura de vírus se for possível.

Evitando a falsificação de pacotes

Outro recurso de segurança, a Autenticação de Pacotes NCP, protege servidores e clientes utilizando os serviços do NCP (NetWare Core Protocol^TM).

A Autenticação de Pacotes NCP evita a falsificação de pacotes exigindo que o servidor e o cliente autentiquem cada pacote NCP. A autenticação de pacotes muda de acordo com cada pacote.

Os pacotes NCP com autenticações incorretas são descartados sem interromper a conexão do cliente com o servidor. No entanto, uma mensagem sobre o pacote inválido é enviada para o registro de erros, o cliente e o console de servidor afetados. A mensagem de alerta contém o nome de login e o endereço da estação do cliente afetado.

Para obter detalhes, consulte "Utilizando a autenticação do pacote NCP" no Guia de administração do sistema operacional do servidor.

Implementando uma estratégia de backup e restauração

Inclua um backup off-line completo do sistema de arquivos e do banco de dados do eDirectory no seu plano de proteção da rede. O objetivo do plano deve ser fazer backup dos dados regularmente e verificar se você sabe como restaurar os dados. Para obter detalhes sobre soluções de backup e restauração, consulte o Guia de administração do Storage Management Services (documentação do NetWare 6).