47754 (665901), страница 2
Текст из файла (страница 2)
Процесс обнаружения вторжений включает в себя аспекты, которые следует принять во внимание. Это максимальное число неудачных попыток регистрации и время сброса блокировки учетной записи. Первый параметр определяет, сколько попыток дается пользователю для регистрации в системе до тех пор, пока его учетная запись не будет заблокирована. Заблокированная после последней неудачной попытки учетная запись может быть, затем разблокирована автоматически или администратором. Этот параметр по возможности должен иметь минимальное значение. Время сброса блокировки учетной записи обозначает промежуток времени, в течение которого учетная запись пользователя будет заблокированной до тех пор, пока не произойдет автоматического сброса блокировки. В большинстве случаев этому параметру следует присваивать максимальное значение, вследствие чего станет невозможно зарегистрироваться без вмешательства администратора.
Пользовательские шаблоны помогают администраторам создавать учетные записи, базируясь на корпоративной политике безопасности. При отсутствии шаблонов, как правило, возрастает вероятность ошибки, особенно в условиях нехватки времени. Используйте пользовательские шаблоны в соответствии с организационной схемой NDS.
Администратор может устанавливать ограничения на аутентификацию для определенных узлов. Данный метод, в частности, предотвращает попытки аутентификации с рабочих станций, не принадлежащих локальной сети. Это, правда, потребует лишних усилий от администратора, но впоследствии обеспечивает очень высокий уровень безопасности. Метод наиболее эффективен тогда, когда рабочие станции пользователей являются стационарными; в случае же с мобильными станциями при реализации данного метода администратору предстоит решить многие проблемы.
Ограничение сроков действия учетных записей особенно эффективно при использовании временных учетных записей. Даже если отсутствует постоянное администрирование, такие записи через определенный промежуток времени становятся недоступными.
Часто используется и считается весьма эффективным способом атаки на сеть угадывание пароля. Короткие пароли для такого типа атак более уязвимы. Обычно устанавливают минимальную длину пароля в 5-6 символов. Можно рассмотреть и другие случаи применения паролей.
Параметром принудительной смены пароля задается значение, определяющее, через сколько дней пользователю придется сменить пароль. По истечении указанного времени ему будет предоставлено определенное количество попыток регистрации для смены пароля до того, как доступ к учетной записи будет заблокирован. Разблокирование учетной записи потребует вмешательства администратора. Обычно рекомендуется присваивать этому параметру значение, равное 60-90 дням.
С помощью параметра предоставляемых попыток доступа (grace-logins) можно определить, сколько раз подряд пользователю разрешается пытаться зарегистрироваться для смены пароля. Если присвоить слишком большое значение этому параметру, система безопасности подвергается риску, являющемуся оборотной стороной метода принудительной смены пароля. Поэтому присваивайте этому параметру минимальное значение.
Web-серверы и FTP-серверы Novell
Во время инсталляции Web-служб Novell в раздел тома SYS записывается некое количество сценариев и средств управления приложениями, в частности NetBasic, Perl и Sewse, которые могут представлять опасность в том случае, если злоумышленник попытается использовать их в своих целях. Необходимо обязательно удалить их оттуда, чтобы в будущем они не стали источником возникновения проблем.
Обычно не рекомендуется использовать FTP-серверы в корпоративной среде. Но если это неизбежно, размещайте FTP-службу и данные на собственном отдельном томе. Не держите их на томе SYS.
Замечание об уровне безопасности C2
Требования к программно-аппаратным средствам в отношении обеспечиваемого ими уровня безопасности A, B, C и D описаны в документе Trusted Computer System Evaluation Criteria (TCSEC), опубликованном Национальным центром компьютерной безопасности (NCSC) США. Данный документ обычно именуют Оранжевой книгой. Это одна из нескольких книг известной "цветной" серии руководящих документов Агентства национальной безопасности США (National Security Agency - NSA). В соответствии с положениями Оранжевой книги основой обеспечения безопасности на уровне C2 является метод дискреционного управления доступом (Discretionary Access Control - DAC). Система не сертифицируется в качестве отвечающей требованиям уровня C2 до тех пор, пока не получит "добро" от NSA. Такие системы должны обеспечивать достаточно высокую степень безопасности.
Фирма Novell не только отказалась от идеи претендовать на официальное подтверждение соответствия ОС NetWare 5.х требованиям безопасности уровня С2, но даже не удосужилась подготовить документ, описывающий, каким образом можно привести ее продукт в соответствие с этими требованиями. Означает ли это, что в компании считают такой уровень безопасности излишним? Или, может быть, руководство фирмы не уверено в том, что ее продукт сможет успешно пройти сертификационные испытания? Однозначного ответа у нас нет.
Удостоверяющие центры Novell
В ОС NetWare 5.0 не только появилась поддержка технологии асимметричного шифрования для обеспечения безопасности сеансов связи клиентов с серверами - теперь администраторы NetWare могут использовать свои собственные удостоверяющие центры (Certificate Authority - CA), интегрированные со службой NDS. Продукт Novell Certificate Server 2.0 поддерживает спецификацию электронной почты S/MIME (Secure MIME) для клиентов Microsoft Outlook 98/2000, Novell GroupWise 5.5 (c пакетом расширения) и Netscape Messenger. Этим же продуктом поддерживаются Web-браузеры Microsoft Internet Explorer 4.x и 5.x, а также Netscape Navigator 4.x.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
