Галкин В.А., Григорьев Ю.А. Телекоммуникации и сети
Подождите немного. Документ загружается.
8.
Архитектура сетевых
ОС
NetWare
8.6. Механизмы защиты информации
Авторизация доступа к данным сети
В ОС NetWare реализованы три уровня защиты данных (рис.
8.48).
Под
аутентификацией здесь понимается
• процесс подтверждения подлинности клиента
при его
подключении
к
сети;
• процесс установления подлинности
пакетов,
передаваемых между серве-
ром и PC.
Права
по отношению к файлу (каталогу)
определяют,
какие операции
пользо-
ватель может выполнить с файлом (каталогом). Администратор для каждого
клиента сети определяет права по отношению к любому сетевому файлу или
каталогу.
Атрибуты определяют некоторые системные свойства файлов (каталогов).
Они могут быть назначены администратором для любого сетевого файла или
каталога.
Например, чтобы записать данные в файл, клиент должен:
знать свой идентификатор и пароль для подключения к сети;
иметь право записи данных в этот файл;
файл должен иметь атрибут, разрешающий запись данных.
Атрибуты файла (каталога) имеют более высокий приоритет, чем права
пользователей к этому файлу.
Аутентификация пользователей при подключении к сети
Подключение к сети вьшолняется с помощью утилиты LOGIN.EXE. Эта
программа передает
на сервер
идентификатор, введенный пользователем (рис.
8.49).
По этому идентификатору NetWare вьшолняет поиск соответствующего
объекта пользователя в системной БД сетевых ресурсов. Если в БД хранится
значение пароля
для этого
клиента,
то
NetWare
посьшает
на PC
зашифрованный
Клиент 1
Аутентис [)икация 1
Права 1
1
Клиент 2
Аутенти(]
\
^икация
2
Права 2
1
Атрибуты
i
Каталог или файл
Уровни
защиты
7
2
3
Рис.
8.48.
Уровни
защиты
данных
в
ОС NetWare
510
8.6.
Механизмы
защиты
информации
Рабочая станция
Файловый сервер
1 Н
этап
Идентификатор клиента L-*^
Расшифровка личного ключа
с помощью пароля,
введенного пользователем
Зашифрованный
с помощью пароля
личный ключ станции
Запрос (пакет) на продолжение
работы, ю^да вставляется
подпись (Proof-проверка),
полученная с помощью
личного ключа
Проверка с помощью
открытого ключа
Proof-подписи и передача
подтверждения проверки
этап
Запрос к службе
аутентификации
В каждый NCP-пакет
включается подпись пакета
(Proof-проверка), получаемая
в результате кодирования
контрольной суммы пакета
и числа Nonce с помощью
личного ключа
Посылка случайного
числа (Nonce)
Рис.
8.49.
Аутентификация
клиента
с
помощью пароля личный
(закрьпый)
ключ
станции (симметричное пшфрова-
ние).
На
PC
этот ключ расшифровьюается
с помоицэю
пароля,
введенного пользо-
вателем, и используется для получения подписи запроса (пакета) к серверу о
продолжении работы.
Сервер
расшифровьгоает
эту
подпись
с
помощью откры-
того ключа (асимметричное шифрование), проверяет ее
и
посылает подтверж-
дение на
PC.
В дальнейшем каждый NCP-пакет может снабжаться подписью,
получаемой в результате кодирования личным ключом контрольной суммы
пакета и случайного числа
Nonce.
Это число генерируется для каждого сеан-
са. Поэтому подписи пакетов не повторяются для разных сеансов, даже если
пользователь вьшолняет те же самые действия.
Использование сигнатур для передачи NCP-пакетов
Необходимость применения сигнатуры (подписи) NCP-пакетов связана со
скандалом,
разьправшимся
в 1992
г.
Тогда
голландский
студент
предложил
про-
стой способ «взламывания» файлового сервера
NetWare,
основыванный на парал-
лельной работе хаккера и пользователя, имеющего требуемые права
(рис.
8.50).
511
8.
Архитектура
сетевых ОС
NetWare
Кадр,
поступивший
HaFS
от станции hacker
Ответный
кад]^,
направляемый
на станцию hacker
Заголовок
кадра
Адрес FS
Адрес
haclcer
Адрес
Admin
(откуда)
Команды
хаккера
Команды
или данные
Admin
Адрес
Admin
(откуда)
г
Перехваченный
IPX-пакет
Рабочая
станция
hacker
FS
Блок ЕСВ
чн:
ImmAddress
Результаты
выполнения
команды
хаккера
Адрес
Admin
(куда)
Адрес
Адрес
haclcer
Адрес
Admin
(откуда)
Команды
хаккера
-f
Заголовок,
скопированнй
из перехваченного
IPX-пакета
Пакет, формируемый
хаккером
Рис. 8.50. Организация несанкциоюфованного доступа
к
файловому серверу
На PC хаккера (hacker) функционирует программа, которая перехватьшает
пакеты, передаваемые по пшне сети. При формировании пакета программа
хаккера выполняет следующие действия:
• переписывает в заголовок формируемого IPX-пакета заголовок перехва-
ченного пакета;
• записывает в поле данных требуемую команду.
Далее пакет посылается на файловый сервер. Файловый сервер пересылает
адрес станции hacker
в
поле ImmAddress блока
ЕСВ
и использует данные заго-
ловка пакета IPX, чтобы определить номер соединения и возможность вьшол-
нения команды. Но в заголовке пакета хаккера записан адрес пользователя
(адрес Admin), который имеет требуемые права. Поэтому команда хаккера
вьшолняется.
При формировании сетевым адаптером заголовка ответного кадра адрес
станции, куда непосредственно передается
кадр,
выбирается
из поля
ImmAddress
блока ЕСВ, т. е. станция hacker воспринимается файловым сервером как мар-
шрутизатор
или
мост.
Напомним, что адрес конечной станции-получателя хра-
нится в заголовке пакета IPX (в данном случае это адрес Admin, хотя для
хаккера это не имеет значения). Таким образом, ответ посылается на станцию
hacker, где и обрабатывается.
512
8.6.
Механизмы
защиты информации
Подпись NCP-пакета (специальное поле в этом пакете) делает невозмож-
ным
параллельную работу хаккера и пользователя. Подпись (сигнатура) паке-
та - это шифр, для формирования которого используется номер пакета, его
содержимое и случайное число Nonce. Шифр создается с помощью открьггого
ключа. Важно отметить, что сигнатура изменяется
в
каждом пакете. Спрогно-
зировать последовательность подписей практически невозможно.
NCP-пакеты могут подписываться и
PC,
и файловым сервером. Для иншщ-
ирования включения подписи
в
NCP-пакеты администратор должен вьшолнить
следующие действия (для NetWare 3.12/ 4.х/5.х):
1.
С консоли файлового сервера необходимо ввести SET-команду
SET
NCP Packet Signatm'e Option = уровень (по умолчанию 1).
Здесь уровень имеет одно из следующих значений:
0 - сервер не подписывает пакет,
1 - сервер подписывает пакет, если этого требует клиент (уровень на стан-
щш больше
или равен
двум),
2 - сервер подписывает пакет, если клиент также способен это сделать
(уровень на станции больше
или
равен 1),
3 - сервер подписывает пакет и требует этого от всех клиентов (иначе под-
ключение к сети невозможно).
2.
На PC в конфигурационный файл (например, в раздел Netware DOS
Reques-ter файла net.cfg) необходимо включить строку:
Signature Level = уровень (по умолчанию 1)
Можно задать один из следующих уровней:
0 - клиент не подписьшает пакет,
1
- клиент подписьшает
пакет,
если этого требует сервер (уровень на серве-
ре больше или равен 2),
2 - клиент подписьшает пакет, если сервер также способен это сделать
(уровень на сервере больше или равен 1),
3 - клиент подписьшает пакет и требует этого от всех серверов (иначе под-
ключение к сети невозможно).
В табл. 8.14 перечислены различные сочетания уровней на сервере и PC, а
также варианты подписи пакета.
Таблица
8.14.
Варианты подписи пакета
Уровень на PC
0
1
2
3
Уровень на сервере
0
—
—
—
N
1
-
-
+
+
2
-
+
+
+
3
N
+
1
+
+
1
Примечание: + - пакеты подписываются; — пакеты не подписываются; N ~
PC
не подклю-
чается
к
сети.
513
8.
Архитектура сетевых
ОС NetWare
Определение эффективных прав пользователей
к каталогам и файлам
Права,
которые могут быть
предоставлены пользователю
(или группе
пользо-
вателей) по отношению к каталогу или
файлу,
перечислены
в
табл.
8.15.
Таблица
8.15.
Список
возможных
прав
к каталогу
или файлу
1 Право
Supervisor
Read
Write
Create
Erase
Modify
File Scan
Access
Control
f Обозначение
S
R
W
С
E
M
F
A
1 Описание j
Предоставляет все права по отношению к каталогу
или файлу, включая возможность назначения этого
права другим пользователям. Не блокируется фильт-
ром наследуемых прав IRF. Это право не может быть
удалено ниже по дереву каталогов
Чтение существующего файла (просмотр содержи-
мого текстового файла, просмотр записей в файле БД
и
т.
д.)
Запись в существующий файл (добавление, удаление
частей текста, редактирование записей БД)
1.
Создание в каталоге новых файлов (и запись в
них) и подкаталогов.
2.
На уровне файла позволяет восстанавливать файл,
если он был ошибочно удален
Удаление существующих файлов и каталогов
Изменение имен и атрибутов (файлов и каталогов),
но не содержимого файлов
1.
Просмотр в каталоге имен файлов и подкаталогов.
2.
По отношению к файлу - возможность видеть
структуру каталогов от корневого уровня до этого
файла (путь доступа)
Возможность предоставлять другим пользователям
все права, кроме Supervisor. Возможность изменять
фильтр наследуемых прав IRF |
Права и фильтры (маски) наследуемых прав назначаются администрато-
ром сети
с
помощью утилит NetWare.
Но
назначение прав для каждого пользо-
вателя по отношению ко всем требуемым файлам и каталогам является уто-
мительной задачей. В NetWare предлагается механизм наследования прав.
Введем некоторые определения.
•
опекун
(Trustees) - это пользователь (или группа пользователей, или дру-
гой
объект),
которому администратор с помощью утилиты (например, FILER)
явно назначает права к какому-либо файлу или каталогу. Такие права назьюа-
ются опекунскими назначениями;
•
фильтр наследуемых прав
(IRF - Inherited Right Filter) - свойство файла
(каталога), определяющее, какие права данный файл (каталог) может унасле-
довать от родительского каталога. Фильтр назначается администратором с
помощью
утилиты (например FILER);
514
8.6.
Механизмы
защиты информации
1
I 1
Есть
супервизорное
право
Эффективные у
1 Наследуемые права
1 (включая
1 IRF 1
•
Файл или каталог
Пользователь
и, может быть,
группа 2 являются
опекунами файла
(каталога)
права группы 1)
I
1
Только группа 2
является
опекуном
^Нет
опекунов
Эффективные
права = S r^j,, 1 права =
^ Эффективные 1 наследуемые
права = опекунские ; поава & IRF
назначения Эффективные
(пользователя права = опекунские
№
1
группы 2) + назначения
наследуемые права (группы 2) +
только от группы
1
наследуемые права
&
IRF & 1RF
Рис.
8.51.
Схема определения ОС NetWare эффективных прав
пользователя к файлу или
каталогу:
+ и & - логические операции ИЛИ и И
• наследуемые права - права, передаваемые (распространяемые) от роди-
тельского каталога;
• эффективные права - права, которыми пользователь реально обладает
по отношению
к
файлу
или
каталогу.
На рис. 8.51 представлена схема формирования ОС NetWare эффективных
хфав пользователя к файлу или каталогу. Здесь предполагается, что пользова-
тель является участником гругш 1 и 2.
Важно подчеркнуть, что к этим эффективньп^ правам добавляются эффек-
тивные права тех пользователей, которые указаны в списке Security Equal То
(эквивалентны по защите).
Рассмотрим гфимер, иллюстрирующий приведенную вьппе схему. Предпо-
ложим, что пользователь John работает с каталогами D1, D2, D3 и файлом F1:
FSA^0L:D1\D2\D3\F1
и не является участником групп. В табл. 8.16 показаны изменения эффектив-
ных прав пользователя John по отношению
к
указанным каталогам и файлу.
Таблица
8.16.
Изменение
эффективных
прав
пользователя
Право 1 Права и фильтры
Корень тома
FS/VOL:
Наследуемые права
IRF
Опекунские права для John
Права пользователей из списка
Security Equal То
Эффективные права
-
SRWCEMFA
-
-
-
Примечания 1
515
8.
Архитектура
сетевых ОС NetWare
право
Наследуемые права
IRF
Опекунские права для John
Права пользователей из списка
Security Equal То
Эффективные права
Наследуемые права
IRF
Опекунские права для John
Права пользователей из списка
Security Equal То
Эффективные права
Наследуемые права
IRF
Опекунские права для John
Права пользователей из списка
Security Equal То
Эффективные права
Наследуемые права
IRF
Опекунские права для John
Права пользователей из списка
Security Equal То
Эффективные права
I Права и фильтры
Каталог D1
1
SRWCEMFA
RW F
-
RW F
Каталог D2
! RW F
SR CEMFA
-
А
R FA
Каталог D3
R FA
S WCEM
S
А
SRWCEMFA
ФайлР!
SRWCEMFA
FA
WC
А
SRWCEMFA
Окончание
табл.
8.16
Примечания
См.
вторую ветвь на
рис. 8.51
См.
четвертую ветвь на
рис. 8.51 + права от поль-
зователей, эквивалентных
по защите
См.
первую ветвь на
рис. 8.51
См.
первую ветвь на
рис. 8.51 (право S не мас-
кируется)
Атрибуты каталогов и файлов
Атрибуты файла (каталога) устанавливаются администратором сети с по-
мощью утилиты (например FLAG) и управляют доступом к этому файлу или
каталогу. Атрибуты файлов и каталогов перечислены в табл. 8.17.
516
8.6.
Механизмы защиты информации
Таблица
8.17.
Атрибуты файлов
и
каталогов NetWare
I Обозначение |
Атрибут Описание
Delete Inhibit
Hidden
Purge
Rename Inhibit
System
Normal
All
Атрибуты NetWare 3.x/4,x/5.x
Di
Запрещает пользователю удалять файл или
каталог
Н I Делает файл или каталог невидимым для
команды DIR и предотвращает его копирова-
ние и удаление. Однако команда NDIR поз-
воляет его увидеть, если пользователь обла-
дает правом File Scan для каталога
Указывает ОС физически затирать файл
или каталог при его удалении (delete). После
этого файл или каталог нельзя восстановить
Ri I Запрещает пользователю переименовывать
файл или каталог
Sy I Устанавливается для файлов или ката-
логов, используемых только ОС (далее см.
атрибут Н)
N I Опция (не атрибут) утилиты FLAG, поз-
воляющая сбросить все атрибуты
АН I Опция (не атрибут) утилиты FLAG, позво-
ляющая установить все атрибуты
Следующие атрибуты справедливы только для файлов
Archive Needed
Copy Inhibit
Execute Only
Read Only
Shareable
Transactional
Ci
Ro
Sh
Автоматически устанавливается для фай-
лов,
которые были модифицированы, но ни-
куда не архивировались
Запрещает копировать файл (только для
ОС Macintosh)
Защищает файл от копирования. Уста-
навливается для файлов *.ЕХЕ и *.СОМ.
Только пользователь с правами Supervisor
может установить этот атрибут. Этот атрибут
не может быть снят даже пользователем с
правами Supervisor. Файл с этим атрибутом
можно только удалить
Запрещает запись в файл, автоматически
устанавливаются атрибуты Rename Inhibit и
Delete Inhibit. NetWare показывает значение
Read Write (Rw), когда атрибут Read Only
снимается
Позволяет нескольким пользователям од-
новременно получать доступ к файлу (обыч-
но используется с Ro)
Показывает, что TTS ведет неявные тран-
закции для этого файла
517
8.
Архитектура
сетевых ОС NetWare
Окончание табл. 8.17
[ Атрибут
Don't Migrate
Immediate Comp-
ress
Don't Compress
Compressed
Can't Compress
Migrated
[ Обозначение
[ Описание
Атрибуты только для NetWare
4.х/5.х
Dm
Ic
Dc
Запрещает миграцию (перемещение) файла
или каталога на магнитооптическое устройство
Для файла - файл будет сжат как только про-
цессор освободится. Для каталога - файлы сжи-
маются после их изменения или при копирова-
нии файлов в каталог
Запретить системе сжимать файл или каталог
Флаги
статуса
файла
\
Со
Сс
М
Показывает, что файл сжат
Показывает, что файл не может быть сжат
Файл был перезаписан на магнитооптический
диск
1
Права доступа к объектам NDS и их свойствам
Выше отмечалось, что СБДСР представляет собой совокупность объек-
тов,
их свойств и значений этих свойств. В NetWare
4.х/5.х
эта БД называется
NDS (NetWare Directory Services), а в NetWare 3.x - Bindery. Отличия NDS от
Bindery описаны
в
отдельном
разделе,
который посвящен глобальному сетево-
му каталогу (NDS).
Объекты NDS связаны между собой в иерархическую структуру, которую
часто называют деревом NDS. На верхних уровнях дерева (ближе к корню
[Root]) описываются логические ресурсы, которые принято называть контей-
нерными объектами. На самом нижнем (листьевом) уровне располагаются
описания физических ресурсов, которые называют оконечными объектами.
В качестве контейнерных объектов используются объекты типа [Root] (ко-
рень),
С
(страна),
О
(организация),
OU
(организационная
единица).
Оконечные
объекты - это User (пользователь), Group (группа), NetWare Server (сервер
NetWare), Volume (том файлового сервера). Directories (директория
тома) и т.
д.
Оконечные объекты имеют единое обозначение - CN.
В NetWare
4.х/5.х
разработан механизм защиты дерева NDS. Этот меха-
низм очень похож на механизм защиты файловой системы, который был рас-
смотрен
вьппе.
Чтобы облегчить
понимание
этого
механизма,
оконечный объект
можно интерпретировать как файл, а контейнерный объект - как каталог, в
котором могут быть созданы другие контейнерные объекты (как бы подката-
логи) и оконечные объекты (как бы файлы). На
рис.
8.52 представлена схема
дерева NDS.
В отличие от файловой системы
в
механизме
защиты
дерева права
по
отно-
шению к какому-либо объекту можно предоставить любому контейнерному
или оконечному объекту дерева
NDS.
В
частности допустимо рекурсивное на-
значение прав объекта по отношению к этому же объекту.
518
8.6,
Механизмы
защиты информации
[Root]
]с
О
Н ^ои
1 ои
CN
CN
CN
CN
Рис. 8.52. Схема дерева М^^:
[Root],
С, О, ои - KOHreiiHq)Hbie объекты; CN - оконечные объекты
Права, которые могут быть предоставлены объекту
по
отношению к друго-
му или тому же самому объекту, перечислены в табл. 8.18.
Таблица
8.18.
Список
возможных прав
по отношению к объекту
1 право
Supervisor
Browse
Create
Delete
Rename
Обозначение
S
В
С
D
R
Описание
Гарантирует все привилегии по отношению к
объекту и его свойствам. В отличие от файловой
системы это право может быть блокировано
фильтром наследуемых прав IRF, который может
быть назначен для каждого объекта
Обеспечивает просмотр объекта в дереве NDS
Это право может быть назначено только по от-
ношению к контейнерному объекту (контейнеру).
Позволяет создавать объекты в данном и во всех
дочерних контейнерах.
Позволяет удалять объект из дерева NDS
Позволяет изменять имя объекта
Администратор сети может для каждого объекта в дереве NDS опреде-
лить значения свойств этого объекта. Для объекта User - это имя Login, тре-
бования к
паролю,
пароль пользователя, пользовательский сценарий
подключе-
ния
и т.
д.
Механизм защиты
NDS
предоставляет также возможность назначать
права по отношению к свойствам любого объекта (табл.
8.19).
519