Управление защитой сети

Сеть Novell Small Business Suite обслуживает данные в файловой системе и в базе данных eDirectory. Файловая система хранит файлы и приложения, используемые пользователями сети. База данных eDirectory хранит сведения, используемые для обслуживания сети и ее управления, например, права доступа к сетевым ресурсам, параметры печати и защиты.

Доступом к файлам, каталогам и объектам eDirectory легко управлять из разных точек eDirectory, в структуре файловой системы или с использованием обоих методов управления. Нарушителям придется пройти через несколько прозрачных уровней защиты перед тем, как они смогут попытаться получить доступ к каталогу или файлу.

Управление доступом к сети

Управление доступом определяет, какая информация и ресурсы доступны пользователям и какие действия могут выполнять пользователи в сети. Управление доступом осуществляется следующими способами.

• Аутентификация. Сетевой администратор определяет, кто может регистрироваться в сети, добавляя учетные записи пользователей с помощью NEAT (Novell Easy Administration Tool^TM).

  Аутентификация означает, что пользователям, регистрирующимся в сети и дереве eDirectory, доступ либо разрешен, либо запрещен. Если доступ разрешен, пользователям доступны только те серверы, на которые у них есть права доступа. Когда пользователь регистрируется в сервере, ему доступны только тома, каталоги и файлы, на которые у него есть права доступа.

  Изменение прав доступа делает доступными для пользователей и групп все необходимые ресурсы, например, данные и программы, находящиеся в папках и каталогах. Все объекты также можно защитить от несанкционированного доступа на уровне сервера.

  Модульный сервис аутентификации Novell (Novell Modular Authentication Service - NMAS^TM) предоставляет дополнительные способы аутентификации пользователей в eDirectory. Использование этих новых способов регистрации позволяет увеличить безопасность при доступе к ресурсам сети. Сервис NMAS должен быть инсталлирован и на сервере NetWare 6, и на клиентской рабочей станции Novell. При инсталляции сервиса NMAS происходит инсталляция новых способов регистрации, управление которыми осуществляется из утилиты ConsoleOne^TM. Для получения дополнительной информации о данном сервисе см. Novell Modular Authentication Service Administration Guide (Руководство по администрированию модульного сервиса аутентификации Novell) (документация по NetWare 6).

• Защита eDirectory. Защита eDirectory управляет доступом к объектам eDirectory и их свойствам. Пользователям и группам можно разрешить или запретить доступ к объектам eDirectory. Например, если дать пользователю право оператора на объект "Принтер", он сможет изменять параметры печати этого объекта.

  Для назначения всех прав на объекты можно использовать утилиту ConsoleOne^TM.

• Защита файловой системы. Защита файловой системы заключается в управлении доступом к сетевым файлам, каталогам и томам. Пользователям и группам можно назначать различные типы прав, включая типы доступа, и возможности выполнять разные действия в сетевой файловой системе. Например, можно сделать приложения и файлы данных на сетевых серверах доступными только для чтения, чтобы их можно было использовать, но нельзя было изменять.

  С помощью NEAT можно разрешать и запрещать доступ к каталогам и файлам. Для получения дополнительной информации см. Управление файловой системой NetWare.

• Сервис шифрования. Сервер сертификатов Novell предоставляет сервисы шифрования с помощью открытого ключа, которые изначально встроены в eDirectory и позволяют создавать и выдавать сертификаты пользователей и сервера и управлять ими. Эти сервисы позволяют защитить конфиденциальную информацию, передаваемую по общественным каналам связи, например, Интернет.

  Для получения дополнительной информации о сервисах шифрования см. Novell Certificate Server Administration Guide (Руководство по администрированию сервера сертификатов Novell) (документация по NetWare 6).

• Сервис межсетевого экрана. BorderManager^TM 3,6 предоставляет сервис межсетевого экрана. Сервисы межсетевого экрана и кэширования/прокси, предоставляемые Boarding Manager 3.6, доступны в Novell Small Business Suite 6.

  Для получения инструкций по инсталляции см. файл PARTNERS.PDF на компакт-диске "Novell and Partner Solutions".

  Полная информация о BorderManager 3.6 представлена в руководстве Novell BorderManager Enterprise Edition Overview and Planning (Обзор и планирование Novell BorderManager Enterprise Edition).

Создание схемы защиты сети

При создании схемы защиты сети не забывайте, что файловая система и информация базы данных eDirectory обслуживаются как отдельные системы. Для создания наиболее эффективной схемы защиты сети проанализируйте, какие методы обеспечивают наиболее эффективную защиту для каждого сервера и рабочей станции.

Для предотвращения потери сетевых данных, снижения уязвимости системы и восстановления после системного сбоя рекомендуется выполнять следующие задачи.

• Используя утилиту SECURE CONSOLE, блокируйте важные функции на консоли сервера. Для получения дополнительной информации об этой утилите см. раздел Защита консоли сервера или раздел "SECURE CONSOLE в справочнике по утилитам Utilities Reference (документация по NetWare 6).
• В случае перебоев в электроэнергии пользуйтесь источниками бесперебойного питания (UPS). См. Использование UPS .
• Для предотвращения заражения вирусами разъясните пользователям об угрозах заражения программными вирусами. См. Предотвращение заражения вирусами .
• Установите параметры подписи пакетов NCP^TM, чтобы клиент и сервер могли подписывать каждый пакет данных. См. Предотвращение подделки пакетов .
• Разработайте эффективный способ резервного копирования в соответствии с потребностями компании. См. Выполнение резервного копирования и восстановления .

Использование UPS

Источник бесперебойного питания (UPS) является неотъемлемой частью сети. И не только потому, что он помогает предотвратить повреждение компьютеров от перепадов напряжения, но и потому, что он защищает от потери данных во время отключения электроэнергии. Каждый сервер должен быть оснащен блоком бесперебойного питания, и каждая рабочая станция должна иметь защиту от бросков напряжения.

Для получения дополнительной информации см. раздел "Preventing Power Supply Errors (Предотвращение ошибок, связанных со сбоем питания)" в руководстве Server Operating System Administration Guide (Руководство по администрированию операционной системы сервера) (документация по NetWare 6).

Если в компании не используется UPS, рекомендуется, как минимум, оснастить каждый компьютер в сети средством обнаружения колебаний напряжения для предотвращения потери данных.

Использование системы отслеживания транзакций

NetWare обладает функцией мониторинга транзакций, которая называется системой отслеживания транзакций (Transaction Tracking System - TTS). Если файл помечен как транзакционный, TTS может предотвратить повреждение записей в файле путем возврата данных после неполного выполнения транзакций и ведения списка возвращенных данных.

ПРИМЕЧАНИЕ:  Транзакционный файл не может быть удален или переименован.

TTS может также возвращать усечения или расширения файлов и многочисленные изменения одной области данных во время одной транзакции. TTS может также возвращать прерванные операции возврата, если в процессе транзакции возврата в сервере NetWare произошел сбой.

Но TTS не может защитить от сбоев в любых типах приложений, которые выполняют вызовы блокирования записи и хранят информацию в записях, включая обычные базы данных, некоторые приложения электронной почты и некоторые планировщики мероприятий рабочих групп.

Если файлы не представлены в виде отдельных записей (например, файлы обработки текста), то они не защищаются TTS.

Неправильное сохранение транзакции в сети может произойти в любой из следующих ситуаций:

• В процессе транзакции произошел сбой электропитания сервера или рабочей станции.
• В процессе транзакции произошел сбой аппаратного обеспечения сервера или рабочей станции (например, ошибка контроля четности в сетевой плате).
• В процессе транзакции произошло "зависание" (сбой ПО) сервера или рабочей станции.
• В процессе транзакции произошел сбой сетевого компонента передачи сети (например, концентратора, повторителя или кабеля).

Если произошел сбой сервера и файл был помечен как транзакционный, TTS возвратит транзакцию после восстановления работоспособности сервера. Если произошел сбой рабочей станции или компонента передачи сети, TTS возвратит транзакцию сразу после сбоя.

Для получения дополнительной информации о включении, активации и работе TTS см. "Using the Transaction Tracking System (Использование системы отслеживания транзакций) в руководстве Server Operating System Administration Guide (Руководство по администрированию операционной системы сервера) (документация по NetWare 6).

Защита консоли сервера

Консоль сервера является наиболее защищенной, когда она размещена в таком месте, где никто не сможет перезагрузить сервер или вмешаться в его работу с помощью консоли. С помощью утилиты SECURE CONSOLE можно задействовать дополнительный уровень защиты.

ВАЖНО:  Утилита SECURE CONSOLE не блокирует консоль сервера.

Утилита SECURE CONSOLE предоставляет следующие функции защиты:

• Предотвращает загрузку модулей NLM^TM из любых каталогов, кроме загрузочных каталогов---SYS:SYSTEM или C:\NWSERVER. Запрещает использование клавиатуры в отладчике операционной системы.
• Запрещает изменение даты и времени на сервере.

Для использования утилиты SECURE CONSOLE выполните следующие действия:

1. Введите с консоли сервера

   SECURE CONSOLE

2. (Необязательно) Чтобы консоль была защищена всегда при загрузке сервера, добавьте команду SECURE CONSOLE в файл AUTOEXEC.NCF сервера.

   ВАЖНО:  Для отключения утилиты SECURE CONSOLE необходимо закрыть сервер и перезагрузить его. Если команда SECURE CONSOLE включена в файл AUTOEXEC.NCF, необходимо удалить ее до закрытия сервера; в противном случае она будет выполнена при перезагрузке сервера.

Для предотвращения ввода с клавиатуры на консоли используйте утилиту SCRSAVER (экранная заставка), как описано ниже.

1. В командной строке консоли введите

   SCRSAVER ENABLE

   Эта команда включает экранную заставку с установками по умолчанию. Для получения дополнительной информации о параметрах утилиты SCRSAVER и о том, как можно их изменить см. раздел "SCRSAVER" в справочнике Utilities Reference (Справочник по утилитам) (документация по NetWare 6).

2. (Необязательно) Чтобы включать утилиту SCRSAVER всякий раз при загрузке сервера, добавьте команду "SCRSAVER ENABLE" в файл AUTOEXEC.NCF сервера.

3. Чтобы очистить экранную заставку, нажмите любую клавишу и введите имя пользователя и пароль.

   ВАЖНО:  Имя пользователя, которое используется для очистки экранной заставки, должно обладать правами доступа на объект "Сервер" eDirectory.

Предотвращение заражения вирусами

Лучший способ не допустить попадание вирусов в сеть - ознакомление пользователей с угрозой заражения вирусами и проведение процедур, снижающих риск заражения.

В состав Novell Small Business Suite включено.программное обеспечение защиты от вирусов компании Network Associates. Для получения дополнительной информации о данном продукте и его инсталляции см. файл PARTNER.PDF на компакт-диске Novell and Partners Solution (Решения Novell и партнеров).

Кроме того, рекомендуется выполнять следующее:

• Часто выполняйте резервное копирование данных.
• Сохраняйте архивированные резервные копии, чтобы можно было выполнить восстановление с помощью неинфицированной копии.
• Храните защищенную от записи загрузочную дискету с последней версией программы обнаружения и удаления вирусов для всех серверов и рабочих станций.
• Храните резервные копии исполняемых файлов.
• Изучите способы заражения современными вирусами.
• Обучите пользователей сети методам обнаружения вирусов.
• Предупредите пользователей об угрозе заражения вирусами. Избегайте использования дискет и файлов, полученных из не заслуживающих доверия источников.
• Предупредите пользователей о том, чтобы они не открывали письма электронной почты от неизвестных отправителей.
• Предупредите пользователей, чтобы они выключали свои рабочие станции сразу после обнаружения вируса.
• Ограничьте доступ к дисководам сервера, поместив его в отдельную комнату. Заклейте дисковод, чтобы не пользоваться им без необходимости.
• Избегайте использования учетной записью администратора. Чем меньше прав и привилегий у используемой учетной записи, тем меньше у вируса шансов уничтожить данные (и распространиться на другие компьютеры).
• Предостерегите пользователей от выгрузки файлов на рабочие станции из Интернета. Если возможно, проверяйте файлы на наличие вирусов.

Предотвращение подделки пакетов

Еще одним средством защиты является подпись пакетов NCP, которая защищает серверы и клиенты путем использования сервисов протокола NetWare Core Protocol^TM (NCP).

Подпись пакетов NCP предотвращает подделку пакетов, заставляя сервер и клиент подписывать каждый пакет NCP. Подпись пакетов меняется с каждым пакетом.

Пакеты NCP с неправильными подписями отклоняются без разрыва соединения клиента с сервером. Однако в журнал событий данного клиента и на консоль сервера отправляется предупреждение о неправильном пакете. Предупреждение содержит имя регистрации и адрес станции соответствующего клиента.

Для получения дополнительной информации см. раздел "Using NCP Packet Signature (Использование подписи пакета NCP)" в руководствеServer Operating System Administration Guide (Руководство по администрированию операционной системы сервера).

Выполнение резервного копирования и восстановления

Включите полную автономную систему резервного копирования файловой системы и базы данных eDirectory в план защиты сети. В соответствии с планом необходимо регулярно выполнять резервное копирование данных и знать, как их восстанавливать. Для получения дополнительной информации о решениях для резервного копирования и восстановления см. руководство Storage Management Services Administration Guide (Руководство по администрированию сервиса управления хранением данных) (документация по NetWare 6).