3586 СЕТИ ЭВМ И ТЕЛЕКОММУНИКАЦИИ

ЛАБОРАТОРНАЯ РАБОТА № 1

СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ NETWARE

Цель работы: изучение cистемы защиты информации от несанкционированного доступа в сетевой операционной системе NetWare; получение навыков просмотра и изменения прав пользователя и групп пользователей с помощью утилит командной строки.

1. Введение в сетевую операционную систему NetWare

Пользователи сети NetWare могут взаимодействовать друг с другом через сеть. Они также могут разделять сетевые ресурсы (жесткие диски, данные, прикладные программы, принтеры) и пользоваться сервисом, предоставляемым сетью. Тем самым достигается повышение производительности работы системы в целом.

Рабочие станции - это персональные компьютеры, за которыми пользователи сети выполняют свою работу. Функционирование рабочих станций во многом схоже с функционированием самых обычных персональных компьютеров (ПК). На каждой станции имеется свой набор файлов и своя операционная система.

Файл-серверы - это ПК, использующие операционную систему NetWare для управления работой сети. Файл-сервер координирует все рабочие станции и регулирует распределение сетевых ресурсов. Он определяет, кто и в какой последовательности может использовать принтер, какие файлы могут быть открыты рабочей станцией и т.д.

Все сетевые файлы помещаются на диске файл-сервера, поэтому могут быть доступны всем сетевым ПК.

Рабочие станции взаимодействуют с файл-сервером с помощью программного обеспечения, которое называется сетевой "оболочкой" (shell). Оболочка должна быть загружена на каждую рабочую станцию до того, как эта станция начнет работать в сети. Сетевая оболочка обычно грузится вместе с операционной системой.

2. Вход в сеть

1. Переключитесь на первое сетевое устройство. Имена активных файл-серверов сети можно узнать с помощью команды SLIST.

2. Введите LOGIN [File_server_name]/[User_name].

Если появится приглашение ввести пароль, введите ваш пароль. После этого вы будете зарегистрированы в сети.

3. Структура каталогов пути. Размещение файлов на файл-сервере

Вся информация сети помещается на жестких дисках файл-серверов. Система размещения информации на жестком диске файл-сервера называется структурой каталога. Логически информация организуется на жестком диске файл-сервера в виде файлов. Система хранения и размещения файлов NetWare представляет собой файл-серверы, которые содержат жесткие диски. Они могут быть либо объединены в один, либо разделены на один или несколько томов. Тома делятся на каталоги, которые могут разделяться на подкаталоги, содержащие файлы.

Полный путь к файлу имеет вид:

Fileserver_name/Volume_name:Directory/Subdirectory/File_name

У каждого файл-сервера имеется, по крайней мере, один том SYS:, который создается системой при инсталляции сервера.

4. Защита информации от несанкционированного доступа

Вся информация в сети NetWare хранится централизованно на дисках файлового сервера. Однако не все пользователи сети должны иметь доступ ко всем файлам сервера. Это необходимо для того, чтобы обеспечить независимость каждого пользователя друг от друга при работе в сети. Для этого каждый пользователь может иметь каталоги, доступ других пользователей к ним должен быть запрещен. Каталоги с файлами, которые могут использоваться несколькими пользователями одновременно, создаются администратором как многопользовательские. Но пользователи, использующие один и тот же файл, не должны иметь к нему одновременного доступа, чтобы выполняемые операции над данными были правильными.

ОС NetWare снабжена обширной системой защиты данных, которая состоит из четырех уровней:

- защита регистрации,

- защита через права пользователя,

- защита через атрибуты каталогов и файлов,

- защита файл-сервера.

Система защиты реализована в ядре ОС NetWare и постоянно следит за тем:

- кто может иметь доступ к сети,

- к каким томам, каталогам и файлам конкретный пользователь может иметь доступ,

- что могут делать пользователи с доступными им каталогом и файлом (например, читать или модифицировать файл),

- кто может производить различные действия на консоли файл-сервера.

В данной работе рассматривается защита через права пользователя и через атрибуты каталогов и файлов.

4.1. Защита через права пользователя в каталогах и файлах

Защита через права следит, к каким томам, каталогам и файлам конкретный пользователь может иметь доступ и что с ними он может делать. Защита через права основывается на опекунских назначениях и маске наследуемых прав. Опекун - пользователь, имеющий хотя бы одно право  (например, чтение  файлов) в каталоге. Администратор сети может в каждом каталоге назначить пользователю или группе различные права. Любое опекунское назначение автоматически дает пользователю просматривать корень каталога. Однако видеть подкаталоги пользователи не могут, если у них нет никаких прав в них. Маска наследуемых прав (МНП) присваивается всем файлам и каталогам при их создании. В опекунских назначениях и в МНП используются восемь прав [SRWCEMFA]. Права по  отношению  к  каталогу  имеют  следующий смысл:

S (Supervisory) - право администратора дает все права в каталоге, его файлах и подкаталогах.

R (Read) - право открывать и считывать файлы в каталоге.

W (Write) - право открывать и модифицировать файлы в каталоге.

C (Create) - право создать новый файл или подкаталог в каталоге. Пользователь может создать файл, затем открыть его, записать данные. После закрытия файла пользователь не сможет его увидеть или снова открыть. Пользователи становятся хозяевами файлов или подкаталогов.

E (Erase) - право удалять каталог, подкаталог и файлы в них.

M (Modify) - право изменять атрибуты каталогов и файлов, а также переименовывать их. Это право не позволяет изменять содержимое файла.

F (File Scan) - право просматривать имена файлов в каталоге.

A (Access Control) - право изменять опекунские назначения каталога и МНП файла самим пользователем, нельзя назначить право администратора, если его нет.

Права пользователя по отношению к файлу задаются МНП и имеют следующий смысл:

S (Supervisory) - право администратора, пользователь может изменять у данного файла его МНП.

R (Read) - право открывать и считывать файл.

W (Write) - право открывать и модифицировать данные файла.

C (Create) - право восстановить файл после его удаления.

E (Erase) - право   удалять файл.

M                (Modify) - право изменять атрибуты файла  и  его  имя,  но  не изменять его содержимое.

F (File Scan) - право видеть имя файла в каталоге и структуру каталога от  уровня, где он находится до корня.

A (Access Control) - право изменять МНП файла самим пользователем, нельзя назначить право администратора, если его нет.

Может быть использована любая комбинация восьми опекунских прав (хотя не все будут иметь смысл).

Опекунские права могут назначаться косвенно, с помощью механизма эквивалентной защиты. Эквивалентность защиты позволяет одному пользователю иметь опекунские права, эквивалентные правам другого пользователя. Эквивалентность защиты может также назначаться группе. Реальные права складываются из предоставленных напрямую и назначенных косвенно через механизм эквивалентности защиты.

4.2. Защита каталога маской максимальных прав

Защита каталога используется для контроля прав всех опекунов (за исключением администратора).

Защита каталога проявляется в виде маски максимальных прав (ММП), которая присваивается каталогу в момент его создания. ММП содержит те же самые восемь прав, применяемые в системе опекунских прав. При создании нового каталога по умолчанию устанавливается полная  ММП [SRWCEMFA].

Для включения защиты каталога администратор (или пользователь, имеющий право Access Control) убирает определенные права из ММП данного каталога. Это запрещает пользователям применять эти права при работе с данным каталогом. Например, после удаления права W каталог будет иметь усеченную ММП [SR_CEMFA].

4.3. Эффективные (действительные) права

Чтобы использовать какое-либо право, последнее должно быть как у пользователя, так и у каталога. Эффективные права - это действительные права, которые пользователь получает в каталоге. Они получаются из комбинации опекунских прав пользователя и ММП каталога. Для того чтобы пользователь имел в каталоге определенное эффективное право, должны выполняться два условия:

1) пользователь должен иметь это право как опекун или через эквивалентную защиту;

2) ММП каталога должна включать это право.

Пример:

маска максимальных прав каталога          [_RW_EMFA]

опекунские права пользователя                 [_R _C__ F_ ]

эффективные права пользователя в каталоге              [_R_____F_ ]

Следует помнить, что опекунские права распространяются на нижележащие подкаталоги  до тех пор, пока   они не будут переопределены. Однако права каталогов не распространяются на нижележащие подкаталоги.

4.4. Защита файлов и каталогов по атрибутам

Защита файлов по атрибутам позволяет пользователю регулировать возможность модификации или совместного использования его личного файла. Эта форма защиты используется в основном для предотвращения случайных изменений или уничтожения. Защита файлов по атрибутам особенно полезна для защиты общих информационных файлов, с которыми обычно работает большое количество пользователей. Такие файлы бывает невозможно восстановить, если информация в них искажается или уничтожается.

Для того чтобы изменить атрибуты файла или каталога, необходимо иметь права M (Modify). Атрибутная защита означает присвоение определенных свойств отдельным каталогам и файлам. Каждый атрибут представляется в виде первых букв его английского названия. Ниже приведено описание некоторых атрибутов.

Атрибуты

Буква

Каталог

Файл

Описание

Архивировать нужно Archive Needed

A

 

+

Обозначает файлы, претерпевшие изменения со времени последне­го дублирования. Присваивается автоматически

Удалять нельзя

Delete Inhibit

DI

+

+

Не позволяет удалять каталоги или файлы. Перекрывает право E

Только исполнимый

Execute Only

X

 

+

Не позволяет копировать или дуб­лировать файлы. Отменить его нельзя. Устанавливайте его только в файлах с расширением exe и com. Храните дубли­каты этих файлов на слу­чай повреждения

Скрытый Hidden

H

+

+

Скрывает каталоги и файлы от поиска в DOS DIR и тем самым защищает их от удаления и ко­пирования. Эти каталоги и файлы будут видны для NDIR (команды NetWare), если есть право F

Очистка

Purge

P

+

+

Очищает файл сразу после удале­ния, если этот атрибут присвоен файлу или каталогу, в котором хранится файл. Очищен­ные файлы нельзя будет восстано­вить с помощью команды SALVAGE

Только Чтение/Чтение-Запись Read-Only/Read-Write

RO/RW

 

+

Указывает, можно ли файл изме­нить. Все файлы при их создании автоматически получают RW. Атрибут RO при­водит в действие атрибуты "Удалять нельзя" и "Переименовывать нельзя"

Переименовы­вать нельзя

Rename Inhibit

RI

+

+

Не позволяет переименовывать ка­талоги или файлы

Системный

System

Sy

+

+

Устанавливается на системных файлах и каталогах. Скрывает ка­талоги и файлы от поиска коман­дой DOS DIR, защищает их от уда­ления и копирования. Каталоги и файлы будут видны при запуске NDIR (команды NetWare), если есть право F

По умолчанию каждому вновь создаваемому файлу присваиваются атрибуты Read-Write (Чтение-Запись) и Arсhive Needed (Архивировать нужно); каждому вновь создаваемому каталогу не присваивается ни одного атрибута, что обозначается как Normal. Атрибуты файлов могут устанавливаться с помощью командной утилиты FLAG или меню-утилиты FILER.  Атрибуты каталогов и подкаталогов устанавливаются с помощью командной утилиты FLAGDIR или меню-утилиты FILER.

4.5. Атрибуты и эффективные права

Атрибуты имеют более высокий приоритет над эффективными правами. Например, если пользователь имеет в каталоге полные эффективные права, а файл, к которому он обращается, имеет атрибут Только-Чтение (Read-Only), то в результате он не сможет выполнить запись в этот файл, изменить имя файла или удалить его из каталога.

Атрибуты файлов даже ограничивают доступ администратора сети к файлам. Правда, администратор может изменить атрибут любого файла, прежде чем будет обращаться к нему, поскольку он всегда имеет все права во всех каталогах, включая право модификации атрибутов файла.

5. Утилиты NetWare, связанные с защитой информации

Утилиты NetWare представляют собой программы, которые помогают работать в сети. Каждая утилита выполняет свою конкретную функцию. В данной работе изучаются утилиты, которые обеспечивают: просмотр списков файлов, директорий, томов, прав пользователей, санкционирование и отмену опекунских прав и атрибутов.

Утилиты NetWare содержатся в директории PUBLIC файл-сервера. Существует два основных вида утилит: утилиты меню  и  утилиты командной строки. При выполнении какой-либо работы утилиты меню ведут вас через серию экранов. Утилиты командной строки считывают информацию, которую вы вводите на командную строку, и выполняют команду сразу. Для решения одной и той же задачи можно использовать как утилиту меню, так и утилиту командной строки. Например, для просмотра файлов в каком-либо каталоге можно использовать утилиту меню FILER или утилиту командной строки NDIR.

ALLOW используется для просмотра, изменения и установки маски наследуемых прав каталогов и файлов.

Каждый пользователь с помощью ALLOW может просмотреть маску наследуемых прав каталога или файла. Для установки или изменения каких-либо масок наследуемых прав пользователь должен обладать правом Access Control. Если права для каталогов и файлов не были ранее определены, то можно установить или изменить маску наследуемых прав сразу для всех файлов и подкаталогов, входящих в путь, заданный в команде ALLOW.

FLAG используется для просмотра или изменения атрибутов файлов в заданном каталоге. Для этого можно также воспользоваться утилитой меню FILER.

FLAGDIR используется для просмотра и изменения атрибутов подкаталогов в заданном каталоге (включая тома).

GRANT используется для назначения пользователям или группам опекунских прав в каталогах и файлах. Для этого можно также воспользоваться утилитой меню SYSCON. С помощью одной команды GRANT можно назначить права только одному пользователю или группе. Команды GRANT, REVOKE и REMOVE являются родственными. Когда с помощью GRANT  назначается хотя бы одно право для пользователя или группы, они автоматически вносятся в список опекунов  каталога,  и только  тогда дается  указанное право. Если для отмены опекунских прав у пользователя или группы используется команда REVOKE,  то они остаются опекунами каталога. Для удаления пользователя или группы из каталога используется команда REMOVE.

LISTDIR используется для выполнения следующих задач: просмотр подкаталогов в каталоге; просмотр маски наследуемых прав в каждом подкаталоге; просмотр эффективных прав в каждом подкаталоге; просмотр даты создания каждого каталога; просмотр последующих подкаталогов.

NDIR используется для просмотра разнообразной информации о файлах и каталогах.

REMOVE используется для удаления пользователей или групп из списка опекунов файла или каталога. Для этого необходимо иметь право Access Control для данного каталога.

REVOKE используется для отмены у пользователей или групп опекунских прав на каталог или файл.

RIGHTS используется для просмотра эффективных прав пользователей в каталогах и файлах.

TLIST используется для просмотра списка опекунов файлов и каталогов. Для просмотра всех опекунов каталога или файла необходимо иметь право Access Control. Без этого права пользователь сможет увидеть в списке опекунов только себя, да и то лишь там, где он назначен опекуном явно.

WHOAMI используется для просмотра разнообразной информации о себе как о пользователе. Пример: WHOAMI /A - просмотр всей возможной информации о себе.

FILER - утилита меню, используется для управления томами, каталогами и файлами, а также для изменения защиты каталогов и файлов. Пользователи, не имеющие прав администратора, могут получить на свои экраны сообщения о том, что у них нет доступа к некоторым опциям утилиты FILER.

Утилита используется в данной лабораторной работе для просмотра и изменения маски максимальных прав каталога. Для изменения маски вы должны иметь реальное право Access Contorl в данной директории.

Например, для изменения маски максимальных прав в директории VSK/USER3 выберите в главном меню утилиты (Available Topics) раздел "Select Current Directory" (Выбор текущей директории) и наберите полный путь.

После этого выберите в главном меню раздел "Current Directory Information" (Информация о текущей директории) и подраздел "Maximum Rights Mask" (Маска максимальных прав). С помощью клавиш "Del" и "Ins" можно соответственно удалять и добавлять права маски максимальных прав в текущем каталоге.

Для просмотра синтаксиса утилиты необходимо ввести параметр /?.