Безпека даних у Novell Netware

Визначення понять "безпека даних" та "система безпеки даних". Причини порушень безпеки даних та загальні вимоги до системи безпеки даних. Захист даних від апаратних збоїв та несправнос-тей. Використання дзеркального диска або його дублювання. За-хист службових таблиць. Захищений режим записування на диск та використання Hot Fix. Захист даних від помилок програмного забезпечення. Захист пам'яті. Доменна архітектура пам'яті. Сис-тема відстежування трансакцій. Захист даних від несанкціонова-ного доступу. Захист під час реєстрації у системі. Розпізнавання. Електронне підписування пакетів. Аудит. Система архівування да-них Netware.
Гарантувати безпеку даних - це означає захистити дані від різних зовнішніх факторів, які можуть призвести до їхньої втрати або спотворення.
Система безпеки даних передбачає комплекс засобів, які реалізують захист даних від можливого спотворення чи втрати.
1.Причини порушень безпеки даних та загальні вимоги до системи захисту даних.
Інформаційна система, яку будують з використанням ОС, має складну структуру. Завдання захисту даних вирішують у багатьох підсистемах і ланках.
Загальним принципам тут є включення механізмів захисту у відповідні функційні блоки, максимальне їх наближення до місць спотворення даних.
Зокрема, власні механізми захисту даних від спотворень під час передавання мають протоколи різного рівня. Сервери захищені засобами операційної системи тощо. Операційна система Netware має розгалужену систему засобів безпеки даних. Ми розглянемо тільки найважливіші її елементи, не наведені в інших розділах. Засоби захисту класифіксують за можливими джерелами спотворень даних. Джерела можливого спотворення даних і можна розділити на такі три групи:*
апаратні збої та несправності;*
помилки програмного забезпечення;*
несанкціонований доступ.
2. Захист від апаратних збоїв та несправностей
Найчастіше трапляються такі апаратні збої:*
раптове вимкнення живлення сервера або робочої станції;*
вихід з ладу твердого диска сервера або його контролера;*
поява на твердому диску зіпсутих блоків, у які неможливо виконувати записування читання інформації. Для захисту від апаратних збоїв використовують такі вбудовані засоби Novell Netware:*
дзеркальний диск або його дублювання;*
захист службових таблиць;*
захищений режим записування на диск та використання області Hot Fix.
Використання дзеркального диска або його дублювання. Одним з найменш надійних. однак найінтенсивніше використовуваних пристроїв комп'ютера є твердий диск. З метою збе-регти інформацію у випадку аварії твердого диска використовують дзеркальний диск (disk mirroring), тобто два однакові тверді диски приєднують паралельно до одного контролера. Записування відбувається одночасно на обидва диски. Якщо один з них вийде з ладу, то система попередить оператора, однак інформація збережеться.
Дублювання диска (disk duplexing) полягає у приєднанні двох однакових дисків до двох контролерів. Такий варіант надійніший, ніж просте дзеркальне використання диска.
Захист службових таблиць. Важливими системними таблицями, які зберігають інфор-мацію про розміщення каталогів та файлів, є DET- та FAT-таблиці. Якщо один з блоків диска, де є ці таблиці, вийшов з ладу, то багато інформації може стати недоступною. Щоб запобігти цьому, в системі зберігають дві окремі копії цих таблиць. Якщо один з блоків таблиці зіпсутий, то система звертається до його копії. Номер зіпсутого блока записується в таблицю зіпсутих блоків сервера, і дані з нього зберігаються на диску у спеціально призначеній ділянці. Ідентич-ність DET- та FAT-таблиць перевіряється під час кожного вмикання сервера. У випадку роз-біжності запускається утиліта ремонтування vrepair.
Захищений режим записування на диск та використання області Hot Fix. Унаслідок інтенсивних процесів записування та читання деякі блоки твердого диска можуть втратити змогу зберігати інформацію. Netware захищає дані від записування у такі блоки, використовуючи два механізми, які доповнюють один одного:*
читання після записування;*
використання області Hot Fix.
Відразу після записування даних у блок їх порівнюють з тими ж даними, які ще г пам'яті. Якщо збіг повний, то пам'ять очищується, і система записує наступні блок. Якщо ж виявлено розбіжності, то блок вважається дефектним, і діє механізм використання області Hot Fix.
Деяку частину твердого диска під час налаштування ОС резервують як область Hot Fix. За замовчуванням область Hot Fix займає 2% від ємності твердого диска. Під час налаштування системи її можна збільшити або зменшити. Блоки цієї області заміщують дефектні блоки диска. Якщо виявлено дефектний блок, то його буде позначено як зіпсутий, а інформацію з нього записано в блок, який належить області Hot Fix. Згодом у випадку звертання до зіпсутого блока фактично буде відбуватися звертання до блока в області Hot Fix
3. Захист даних від помилок програмного забезпечення
Помилки програмного забезпечення призводять до "зависання" комп'ютера, некоректного завершення програм і зумовленого цим порушення цілісності даних. Особливо небезпеч-ною с некоректна робота програмного забезпечення сервера. Оскільки сервер працює одночасно з багатьма програмами, то спеціальний диспетчер розподіляє між ними пам'ять. Некоректно написаний модуль nlm (особливо створений іншими фірмами) може захопити пам'ять, яка належить іншій програмі, та завдати шкоди. Тому в Novell Netware є спеціальні механізми захисту пам'яті, побудовані з використанням концепції доменної архітектури.
Іншим потужним механізмом, який реалізовано в Novell Netware для захисту даних ко-ристувача як від апаратних, так і від програмних помилок, є система простежування тран-сакцій (Transaction Tracking System (TTS)).
Захист пам'яті. Для захисту нам'яті в Netware використано апаратно реалізовану змогу процесорів Intel, починаючи з 486, поділяти пам'ять на окремі зони (0,1,2,3). В ОС застосовують тільки зони з номерами 0 та 3. У зоні 0 (незахищеній) розміщена операційна система, у зоні З (захищеній) - програми користувачів. Незахищена (супервізорна) зона не має обмежень на ємність пам'яті, захищена (користувацька) такі обмеження може мати.
Зони називають доменами. Архітектуру використання пам’яті, побудовану на кон-цепції доменів, називають доменною.
Уся інформація, яку генерують відповідні програми, зберігається в межах домену, у якому розміщені програми.
Під час роботи розподіл пам'яті сервера відбувається динамічно. Межа між зонами пам'я-ті сервера рухома та переміщується залежно від потреб кожної зони. Якщо трапився збій у роботі програми захищеної зони, межа фіксується і аварійний nlm не може забрати пам'ять у супервізорної зони.
Система простежування трансакцій захищає результати роботи програм баз даних, вчасно поновлюючи попередній стан їхніх файлів, якщо виникла системна помилка. Просте-жування трансакцій є стандартним механізмом Netware, його можна ввімкнути або вимкнути.
Навіть якщо на сервері нема баз даних, TTS все-таки є корисною, оскільки захищає бази eDirectory та файли черг до ресурсів.
Останнім часом багато СКБД мають механізми захисту та поновлення трансакцій. Як звичайно, вони реалізовані на рівні СКБД. У Netware ця операція діє на рівні операційної системи. Такий підхід дає багато переваг, зокрема:*
усі трансакції відбуваються на сервері. Зменшується кількість інформації, яку пере-дають мережею. Механізм трансакцій використовує Netware'iвський кеш;*
підтримка програм, які не мають вбудованих механізмів опрацювання трансакцій. Якщо програма блокує файл бази або його запис, то операційна система вважає це початком трансакції. Коли блокування припиняється, вважають, що трансакція успішно закін-чилася.
Причини порушення даних можуть бути такі:*
вимкнення живлення сервера або робочої станції під час трансакції;*
збій апаратного забезпечення сервера або робочої станції (наприклад, помилка парності і або адаптера мережі); *
"зависання" сервера або станції під час трансакції (збій програмного забезпечення); *
збій або поломка апаратної компоненти мережі; тимчасове перевантаження комп'ютера, яке виявляється як неможливість виконувати трансакцію у визначений час.
У випадку збою сервера попередній стан баз даних поновлюється під час поновного його ввімкнення. Якщо трапився збій робочої станції, TTS виконує поновлення негайно.
Захист TTS діє тільки для файлів баз даних, деяких застосувань електронної пошти та інших файлів, які побудовані з записів.
TTS гарантує, що будь-яка зміна файлу або відбувається повністю, або не відбувається взагалі. Для того, щоб увімкнути для файлу TTS, треба задати для нього атрибут Transactional. Такий файл не можна знищити або перейменувати.
На початку трансакції сервер робить копію файлу. Після цього відбуваються зміни в головному файлі. Коли трансакція закінчується, файл копії знищують.
Оскільки деякі застосування роблять деякі записи постійно блокованими (звичайно для захисту від копіювання), то у Novell Netware можна задати межу блокування - кількість блокованих записів, за якої починає працювати TTS.
4. Захист даних від несанкціонованого доступу
Для захисту даних від несанкціонованого доступу в Novell Netware 4.x є ціла система, яку зручно розділити на такі компоненти:*
захист під час реєстрації у системі (login security) - обмежує коло осіб, які можуть увійти в систему;*
визначення довірених осіб - обмежує коло користувачів, які мають доступ до певного файлу, каталогу або об'єкта eDirectory;*
список прав - визначає рівень доступу та специфічні операції, які можна виконувати з даними;*
спадковість прав - передає права з верхніх рівнів ієрархії на нижні;*
атрибути - описують операції, які можна виконувати з файлами або каталогами неза-лежно від прав конкретного користувача;*
ефективні права - вислідні права, які формуються як комбінація призначених, успад-кованих, групових та еквівалентних прав;*
розпізнавання (authentification) - перевіряє правомірність кожної операції між клієнтом та сервером, запобігає втручанню зловмисника під час трансакції;*
електронне підписування пакетів - запобігає підміні пакетів, які передають мережею;*
контролювання (audit) діяльності системи. Дає змогу незалежним від адміністратора аудиторам перевіряти діяльність усієї системи або її частини з метою відшукання незапланованих або несанкціонованих подій.
Захист під час реєстрування у системі дає змогу входити в систему тільки повноправно-му користувачу, який знає ім'я, контекст та пароль конкретного об'єкта типу Користувач. Подальші обмеження щодо входження у систему можна задати у властивостях користувацького об'єкта. Такими обмеженнями можуть бути час та місце реєстрування, період дії бюджету користувача, потреба періодичної зміни пароля, обмеження щодо мінімальної довжини пароля. Деякі користувачі постійно дають одні й ті ж паролі. Щоб запобігти цьому. Netware пам'ятає вісім останніх паролів для кожного користувача і не допускає їхнього повторного використання.
Паролі зашифровані й не висвітлюються на екрані та ніколи не передаються мережею (тому їх не можна перехопити). Пароль може підтверджувати кожну дію користувача.
Розпізнавання - це перевірка того, чи мас об'єкт, який надсилає запит на якусь послугу, право на неї.
Крім обмежень на входження у мережу та прав доступу, розпізнавання гарантує безпеку у мережі. Єдиною операцією розпізнавання, яку бачить користувач, є введення ним пароля під час реєстрування в системі. Решта операцій виконується прозоро.
У цьому випадку використана комбінація локального ключа станції та загального ключа сервера. Процес складається з таких етапів:*
користувач надсилає своє ім'я серверу;*
сервер надсилає на станцію зашифрований локальний ключ;*
станція використовує пароль для дешифрування локального ключа та локальний ключ для побудови ідентифікатора; ідентифікатор надсилає серверу;*
сервер використовує загальний ключ для дешифрування ідентифікатора; якщо все правильно, сервер дозволяє станції працювати.
Таку систему називають системою кодування з загальним ключем. Ключі - це послідов-ності символів, які використовують у складних математичних формулах. Жоден з ключів не передають мережею в незашифрованому вигляді. Ключі не змінюються тільки під час кон-кретного сеансу роботи користувача. У найгіршому випадку, якщо ключ перехоплено, то пере-хопленою буде інформація тільки з цього сеансу.
Підсистема розпізнавання. Однією з важливих компонент системи безпеки даних у Netware є служба розпізнавання (Secure Authentication Services (SAS)). її інсталюють як окремий сервіс Netware. В Netware 5 система розпізнавання та шифрування повністю інтегрована в eDirectory та використовує схему з відкритими і приватними ключами.
Така система застосовує для кожного захищеного об'єкта два математично залежні ключі - відкритий (доступний для інших користувачів) та приватний (доступний тільки для самого об'єкта). Повідомлення, яке надсилають певному адресату, шифроване відкритим ключем адресата. Адресат використовує свій приватний ключ для дешифрування отриманого повідомлення. Цю схему використовують і в зворотному напрямі - повідомлення може бути зашифроване приватним ключем, а розшифроване-відкритим. Такий підхід головно використовується в електронних підписах, він дає змогу однозначно ідентифікувати особу, яка надіслала повідомлення.
Відкриті ключі звичайно доступні разом з сертифікатом відкритого ключа. Такий сертифікат підтверджує, що відкритий ключ справді належить цій особі. Використання сертифіката запобігає підміні відкритого ключа. Сертифікати видає та перевіряє Certificate Authority (СА)
Служба Novell Public Key Infrastructure (PKI) підтримує криптографію відкритих ключім та їх сертифікацію. Цей сервіс дає змогу зберігати й використовувати пари ключів для об'єктів мережі та запровадити єдину для всього сервера СА. РКІ може взаємодіяти і з іншими (зовнішніми) серверами сертифікації (наприклад, Verisign).
В основі криптографічної служби РКІ - єдина для всіх версій Netware архітектура NICI (Novell International Cryptography Infrastructure). Ця архітектура має модульну будову. Кожен модуль може реалізувати певний алгоритм шифрування або використовувати певну довжин ключа. Кожен такий модуль також захищено сертифікатом.
Якщо встановлена служба розпізнавання SAS, то у дереві eDirectory з'являються такі нові типи об'єктів:*
Security Container (створюють під час інсталювання, розміщують біля кореня дерева; містить об'єкти, пов'язані з SAS);*
Certificate Authority Object (цей об'єкт розміщують у контейнері безпеки і на захи-щеному сервері. Він надає послуги з сертифікації для всього дерева; містить відкритий і приватний ключі, а також ланцюжок сертифікатів (це послідовність сертифікатів, яка починається з "надійного" (trusted) сертифіката і в якій кожен наступний сертифікат сертифікований попереднім));*
Key Material Object (цей об'єкт містить пару ключів, ланцюжок сертифікатів та унікальний ідентифікатор. Його створює адміністратор у певному контейнері; може бути використаний застосуваннями, що працюють на сервері, розміщеному у цьому контейнері. Для одного сервера може бути визначено декілька ключових об'єктів).
Загалом SAS використовують для розпізнавання з метою контролювання доступу, доступу застосувань до ресурсів тощо.
Електронне підписування пакетів. Одним із засобів боротьби з несанкціонованим доступом с електронне підписування пакетів, реалізоване для базового протоколу Netware (NetCore Protocol (NCP)). Без такого підписування зловмисник може втрутитись у процес передавання, перехопити та підмінити пакет. Крім того, він може підмінити пакети адміністра-тора або іншого повноважного користувача та виконати дії з керування системою.
Механізм електронного підписування передбачає, що клієнт (робоча станція) та сервер підписують пакети в процесі обміну, змінюючи підпис для кожного пакета. Пакети з непра-вильними підписами відкидаються, інформація про це надходить у файл помилок клієнта та на консоль сервера.
Цей механізм потребує затрат ресурсів центрального процесора. Тому систему підписів розробили гнучкою, щоб дати змогу вибрати потрібний ступінь захисту. Є чотири рівні підпи-сування (0, 1, 2, 3). За замовчуванням діє рівень 1, який з мінімальною затратою ресурсів не вимикає захисту. Рівні задають для сервера і кожної станції індивідуально у файлі net.cfg:
0 - пакети не підписують;
1 - клієнт підписує пакет тільки тоді, коли сервер цього вимагає (сервер має рівень 2 або вищий);
2 - клієнт підписує пакет, якщо його може підписувати сервер (сервер має рівень 1 або вищий);
3 - клієнт підписує пакети та вимагає, щоб їх підписував сервер; якщо сервер пакети не : підписує, то відбувається розірвання сполучення.
Для сервера визначення рівнів підписування аналогічне. Поведінка системи у випадку різних взаємних співвідношень рівнів підписування для сервера та клієнта наведена в табл. 1. Конкретне співвідношення рівнів підписування для сервера та клієнта вибирають з мір-кувань забезпечення достатнього рівня захисту та мінімальних додаткових витрат ресурсів. Якщо вся інформація на сервері конфіденційна, треба задати як для сервера, так і для клієнтів рівень підписування 3.
Якщо на сервері є як конфіденційна, так і загальнодоступна інформація, то її поміщають у різні каталоги. Для сервера визначають рівень підписування 2, для клієнтів конфіденційної інформації - 3, звичайної - 1.
Якщо користувачі часто змінюють станції, а на сервері є деякі конфіденційні дані, то рівень підписування сервера - 3, клієнта - 1.
Таблиця 1. Рівні підписування пакетів |
S=0 | S=1 | S=2 | S=3
СІ=0 | Без підпису | Без підпису | Без підпису | Без вмикання
СІ=1 | Без підпису | Без підпису | Підпис | Підпис
СІ=2 | Без підпису | Підпис | Підпис | Підпис
СІ=3 | Без вмикання | Підпис | Підпис | Підпис
Якщо в мережі є загальнодоступна станція, а на сервері - деякі конфіденційні дані, то рівень підписування сервера - 3, а випадкового клієнта-0.
Підсистема аудиту. Аудитам називають процес стеження за діяльністю користувачів (процесів та операцій у мережі) з метою забезпечення цілісності, секретності інформації, вияв-лення подій, які можуть призвести до порушення безпеки даних.
Особи, які перевіряють дані (аудитори), діють незалежно від адміністраторів та інших користувачів мережі. Як звичайно, вони не мають права змінювати якісь параметри системи, а тільки файли контролю. Розглянемо події в мережі, які може контролювати аудитор.
Щодо файлової системи: створення, змінення, знищення каталогів або файлів; і перенесення, поновлення або перейменування каталогів або файлів; І створення та знищення черг на обслуговування.
Щодо сервера: І вивантаження сервера; і створення або знищення об'єктів bindery; і монтування та демонтування томів; і зміна прав безпеки.
Щодо eDirectory:
створення або знищення об'єктів;
перенесення та перейменування об'єктів;
зміна параметрів еквівалентності прав;
простеження входів та виходів користувача з системи.
Аудит для файлової системи дозволений на рівні сервера, а для eDirectory - на рівні контейнера. Інформація з аудиту автоматично заноситься у текстові файли аудиту.
Базовим елементом підсистеми аудиту в Netware є Audit trail (послідовність аудиту), тобто результат певного завдання на аудит системи, який складається з реєстрації обраного класу подій, що відбулися в системі протягом певного часу.
Послідовність відстежування (Audit trail) складається з об'єкта eDirectory Audit File та послідовного набору файлів з даними аудиту.
Audit File визначає параметри аудиту і права інших об'єктів eDirectory на доступ до самого об'єкта Audit File та файлів даних аудиту.
Послідовність файлів аудиту містить робочий файл, до 15 online-файлів та oflfline-файли.
Кожен такий файл складається з заголовка та послідовності записів аудиту. Кожен запис містить інформацію про конкретну подію з аудиту (рис.1 ).
Кожен файл та окремий запис файлу мають часову позначку. Позначки, що походять з різних серверів, синхронізовані за часом. Є два типи записів з аудиту:*
про події, пов'язані з налаштуванням параметрів аудиту, аналізу його даних;*
про події в системі, які відстежує підсистема аудиту.
Дані про історію аудиту фіксують завжди, якщо аудит дозволено.
Залежно від типу об'єктів, що підлягають аудиту, розрізняють і різні типи Audit Trail:*
з тому (асоціюється з певним томом сервера та зберігається на цьому томі. Фіксує події у файловій системі. Користувач може визначити клас подій);*
з контейнера (фіксує події, що відбуваються з певним контейнером eDirectory. Зберігається в базі даних eDirectory).
5. Система архівування даних Novell Netware
Архівування даних є важливою складовою частиною системи безпеки. Його треба виконувати періодично. В операційній системі Novell Netware є складна та потужна система архівування даних.
Розробники цієї системи поставили собі за мету створити єдину систему автоматичного архівування даних великої мережі з багатьма різними серверами, розподіленими базами даних. різними операційними системами робочих станцій. Запропоновану систему назвали SMS (Storage Management Service). SMS - це набір АРІ, який ізолює застосування резервного копіювання від деталей реалізації Netware. Він працює незалежно від типу пристроїв архівування та опе-раційних систем станцій.
SMS має таку структуру:*
SBACKUP - програма, яка керує резервним копіюванням;*
SMDR (Storage Management Data Requester) є посередником між SBACKUP та ТSA. Водночас реалізує стандартний набір команд керування TSA, що дає змогу замість SBACKUP використовувати програми архівування, розроблені іншими фірмами;*
TSA (Target Service Agent) передає запит на архівування відповідному пристрою, приймає від нього інформацію і повертає SMDR. Є такі різновиди TSA: сервера Netware, віддаленого сервера, робочої станції, бази даних eDirectory та ін;*
SDI (Storage Device Interface) передає команди та інформацію між SBACKUP і при-строями архівування;*
драйвери пристроїв архівування. Кожен конкретний пристрій має свій драйвер. Драй-вери керують простими механічними та електричними операціями пристрою;*
Workstation Manager (WM) розміщений на сервері та простежує факт увімкнення робочої станції, для якої треба зробити архівування по мережі. Процес архівування дещо відрізняється для сервера, віддаленого сервера, робочої станції та бази даних eDirectory.
Під час архівування сервера SBACKUP дає запит на архівування до SMDR, який відшукує потрібний TSA і звертається до нього. TSA читає дані та повертає їх SBACKUP. SD1 аналізує наявність пристроїв архівування даних та пропонує список таких пристроїв адміністратору. Вибравши пристрій, SBACKUP через SDI записує інформацію. SDI звертається безпосередньо до драйверів, які керують механічними операціями пристрою (такими як позиціювання головки, перемотування стрічки, завантаження диска тощо) . Читання інформації відбувається аналогічно.
Архівуючи віддалений сервер, SBACKUP видає запит на архівування до SMDR. SMDR звертається до TSА на віддаленому сервері й одержує від нього дані для архівування. У всьому іншому цей процес аналогічний до архівування локального сервера.
Для архівування робочої станції на сервері запускають програму SBACKUP. Вона звер-тається через TSA до WM. Коли робоча станція завантажується, у її пам'яті з'являється спе-ціальна резидентна програма, яка відразу повідомляє WM про факт увімкнення станції (WM зберігає список усіх увімкнених станцій). WM одержує від резидентної програми станції порції інформації для архівування та передає їх через TSA SBACKUP, яка, відповідно, звертається до SDI. Записування інформації в ланці SBACKUP-SDI відбувається так само, як у попередніх випадках.
У процесі архівування бази даних eDirectory SBACKUP звертається через SMDR до TSA eDirectory. TSA eDirectory одержує дані з бази даних eDirectory, яка може бути розташована на кількох серверах, та передає їх SMDR. Подальші операції такі ж, як і в інших випадках.

Внимание, отключите Adblock

Вы посетили наш сайт со включенным блокировщиком рекламы!
Ссылка для скачивания станет доступной сразу после отключения Adblock!

Скачать