M 2.100 Sicherer Betrieb von Novell Netware Servern
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der sichere Betrieb eines Novell Netware Netzes setzt verschiedene Aktionen voraus, die nachfolgend beschrieben werden.
Vergabe von Zugriffsrechten auf Verzeichnisse und Dateien
Die Vergabe von Zugriffsrechten (Trustee Assignments) auf Verzeichnisse und Dateien von Novell Netware Servern spielt eine zentrale Rolle für die Sicherheit eines Novell Netware Servers.
Zugriffsrechte werden im Gegensatz zur Vergabe von Attributen einzelnen Benutzern bzw. Benutzergruppen zugewiesen.
Verzeichnisse und Dateien können über die Steuerung der Zugriffsrechte aufgabenbezogen zugewiesen werden. Hierdurch kann sichergestellt werden, dass Benutzergruppen bzw. Benutzer nur die Zugriffsrechte auf Verzeichnisse und Dateien haben, die sie zur Durchführung ihrer Aufgaben benötigen.
Aus Gründen der Übersichtlichkeit, einer vereinfachten Administration sowie einer verbesserten Revisionsfähigkeit sollte die Vergabe von Zugriffsrechten vorrangig über die Zuweisung von Rechten an Benutzergruppen erfolgen.
Um die versehentliche Freigabe von Verzeichnissen durch einen Benutzer zu verhindern, sollte die Systemadministration Benutzergruppen und Benutzern in den ihnen zugewiesenen Verzeichnissen die Rechte "Supervisory" (S) und "Access Control" (A) nicht erteilen.
Werden ausgewählten Verzeichnissen oder Dateien mit Hilfe von Netware-Attributen bestimmte Eigenschaften (z. B. schreibgeschützte Dateien) zugewiesen, so sollte beachtet werden, dass Benutzer, die das Zugriffsrecht "Modify (M)" auf die entsprechenden Verzeichnisse und Dateien besitzen, in der Lage sind, diese Attribute zu verändern. Daher sollte der Kreis der Benutzer mit diesem Zugriffsrecht eingeschränkt werden (s. u. Vergabe von Netware-Attributen auf Verzeichnisse und Dateien).
Vergabe von Netware-Attributen auf Verzeichnisse und Dateien
Neben der Benutzer- bzw. gruppenbezogenen Erteilung von Zugriffsrechten auf Verzeichnisse und Dateien kann durch die Vergabe von Netware-Attributen auf Verzeichnisse und Dateien die Datensicherheit erhöht werden. Attribute sind immer verzeichnis- bzw. dateibezogen, d. h. sie sind unabhängig von den zugewiesenen Zugriffsrechten und gelten für alle Benutzer einschließlich des Supervisors.
Benutzer, denen das Zugriffsrecht "Modify (M)" auf die in Frage kommenden Verzeichnisse und Dateien eingeräumt wurde, können die vergebenen Netware-Attribute ändern und somit jede Aktion, die sich aus ihren effektiven Rechten ergibt, ausführen.
Die Sicherheit durch den Einsatz von Netware-Attributen stellt sich somit als ein Subsystem in der Verzeichnis- und Dateisicherheit dar.
Bei der Vergabe von Netware-Attributen auf Verzeichnisse und Dateien sollten die folgenden Eigenschaften von Netware-Attributen beachtet werden.
-
Verzeichnis-Attribute:
- Hidden (H): Das Verzeichnis wird als versteckt gekennzeichnet; es erscheint weder in einem Inhaltsverzeichnis unter DOS, noch kann es gelöscht oder kopiert werden.
- System (Sy): Das Verzeichnis (z. B. SYS:SYSTEM\DELETED.SAV) wird vom System benutzt; es erscheint ebenfalls nicht in einem Inhaltsverzeichnis unter DOS und kann weder kopiert noch gelöscht werden.
- Rename Inhibit (R): Das Verzeichnis kann nicht umbenannt werden.
- Delete Inhibit (D): Das Verzeichnis kann nicht gelöscht werden.
- Purge (P): Das Verzeichnis sowie die in ihm befindlichen Dateien werden beim Löschen sofort, auch physikalisch, gelöscht. Eine Wiederherstellung des Verzeichnisses mit Hilfe von SYS:\PUBLIC\SALVAGE.EXE ist nicht möglich.
-
Datei Attribute:
- Read write (Rw): Auf die Datei ist sowohl Lese- wie auch Schreibzugriff möglich.
- Read only (Ro): Die Datei kann nur gelesen werden. Ein Schreibzugriff ist nicht möglich. Um Datenverluste bei einer gemeinsamen Benutzung zu vermeiden, sollten diese Dateien ebenfalls das Attribut "Shareable" (S) besitzen.
Ausführbare Programmdateien (*.exe, *.com) sollten mit dem Attribut "Read only" versehen werden, um einem möglichen Befall durch Computer-Viren vorzubeugen. - Shareable (S): Diese Dateien können von mehreren Benutzern gleichzeitig benutzt werden. Dateien, die mit dem Attribut "Shareable" versehen worden sind, sollten gleichzeitig das Attribut "Read Only" (RO) besitzen. Das Attribut "Shareable" ist nur relevant für Programme, die Dateien nicht netzfähig öffnen.
- Purge (P): Dateien mit dem Attribut "Purge" werden beim Löschen nicht nur logisch, sondern sofort physikalisch gelöscht. Dies hat zur Folge, dass die Datei nicht wiederhergestellt werden kann (SYS:PUBLIC\SALVAGE.EXE).
In diesem Zusammenhang wird darauf hingewiesen, dass die physikalische Löschung von Dateien nicht nur durch das Netware-Attribut "Purge" erfolgen kann. Wenn das sichere Löschen von Verzeichnissen und Dateien gewünscht wird, dann kann hierzu das Netware Programm SYS:PUBLIC\PURGE.EXE eingesetzt werden. - Transactional (T): Dateien mit diesem Attribut unterliegen der Transaktionskontrolle von Novell Netware. Als Transaktion wird hier eine zusammenhängende Folge von Veränderungen in einer oder mehreren Dateien verstanden. Das Setzen dieses Attributes bewirkt, dass nur vollständig durchgeführte Transaktionen in den Datenbestand der Datei übernommen werden. Transaktionen, die unkorrekt abgebrochen wurden, werden von Novell Netware rückgängig gemacht.
- Archive needed (A): Die so durch Novell Netware gekennzeichneten Dateien sind seit der letzten Datensicherung inhaltlich verändert oder neu auf dem Novell Netware Server aufgespielt worden. Datensicherungssoftware kann somit bei einer sequentiellen Datensicherung erkennen, dass die Datei erneut gesichert werden muss.
- Copy Inhibit (C): Derartige Dateien können nicht kopiert werden. Dieses Netware-Attribut gilt allerdings nur für APPLE Macintosh Workstations.
- Delete Inhibit (D): Die Datei kann nicht gelöscht werden.
- Rename Inhibit (R): Die Datei kann nicht umbenannt werden.
- Execute Only (X): Ausführbare Programmdateien (*.EXE, *.COM), die mit diesem Attribut versehen werden, können ausschließlich ausgeführt oder gelöscht werden. Ein Kopieren der Datei ist nicht möglich.
- Hidden (H): Die Datei wird als versteckt gekennzeichnet. Sie erscheint nicht in einem Inhaltsverzeichnis unter DOS und kann weder kopiert noch gelöscht werden.
- System (S): Die Datei (z. B. Bindery Dateien -NET$OBJ.SYS, NET$PROP.SYS, NET$VAL.SYS) wird vom Netzbetriebssystem verwendet; sie erscheint ebenfalls nicht in einem Inhaltsverzeichnis unter DOS und kann weder kopiert noch gelöscht werden
Sicherung wichtiger Systemdateien
Die Server Startdateien AUTOEXEC.NCF und STARTUP.NCF sollten, in ihrer jeweils aktuellen Fassung, durch den Systemadministrator auf Diskette gesichert werden und vor unbefugtem Zugriff gesichert hinterlegt werden. Es ist sinnvoll, diese Dateien durch Kommentierungszeilen zu ergänzen, damit beim Auftreten von Problemen die jeweils eingestellten Parameter nachvollzogen werden können.
Weiterhin sollte die Bindery (NET$OBJ.SYS, NET$PROP.SYS, NET$VAL.SYS) eines Novell Netware Servers regelmäßig mit Hilfe des Programms SYS:SYSTEM\BINDFIX.EXE gesichert werden. Die gesicherte Bindery (SYS:SYSTEM\*.OLD) sollte im Anschluss auf einen Datenträger gesichert und vor unbefugten Zugriff geschützt hinterlegt werden.
Nach der Ausführung von SYS:SYSTEM\BINDFIX.EXE sollte die Integrität der neuen Bindery auf jeden Fall getestet werden. Im Zweifelsfalle kann die alte Bindery durch SYS:SYSTEM\BINDREST.EXE wiederhergestellt werden.
Da die aktuelle Bindery während der Ausführung von SYS:SYSTEM\BINDFIX.EXE dem Zugriff der Benutzer entzogen wird, sollte aus Gründen der Betriebssicherheit bei der Sicherung der Bindery eines Novell Netware Servers außer dem Supervisor bzw. dem Supervisor-äquivalenten Benutzer kein Benutzer auf dem Novell Netware Server eingeloggt sein.
Eingeschränkte Nutzung des Supervisor Account bzw. eines Supervisor-äquivalenten Account
Der Account des Supervisors sollte bei der täglichen Administrationsarbeit nicht verwendet werden, sondern nur in Notfällen benutzt werden. Um dennoch die Systemadministration zu gewährleisten, sollte daher für jeden Benutzer mit der Netware-Sicherheitsstufe "Supervisor" ein Supervisor-äquivalenter Account eingerichtet werden, mit dem die Systemadministration normalerweise erfolgt. Werden die Administrationsarbeiten nicht hauptamtlich wahrgenommen, so sollten für die nicht-administrativen Aufgaben zusätzlich aufgabenbezogene Accounts eingerichtet werden.
Der Account des Supervisors bzw. eines Supervisor-äquivalenten Account sollte weiterhin nur auf hierzu definierten Workstations verwendet werden, da die Integrität anderer Workstations u. U. durch Benutzer manipuliert sein könnte.
Delegierung der Systemverwaltung
In größeren Netzen (mehrere Novell Netware Server oder verschiedene Liegenschaften) bzw. bei einer größeren Anzahl von Benutzern empfiehlt es sich, bestimmte Aufgaben der Systemadministration zu delegieren. Novell Netware 3.x bietet hierzu die Möglichkeit, Benutzer zu User-Account-Managern bzw. Workgroup-Managern zu bestimmen.
User-Account-Manager können die Benutzer und Gruppen verwalten, die ihnen vom Systemverwalter zugewiesen wurden. Dabei sind sie in der Lage, neben der Änderung der Benutzerdaten (Passwort, Benutzungszeiten usw.) alle Rechte, über die sie selbst verfügen, weiter zu geben. Des weiteren kann der User-Account-Manager einzelne Benutzer einer Gruppe zuweisen. Dabei müssen sowohl die Gruppen als auch die Benutzer vom entsprechenden User-Account-Manager verwaltet werden. Der User-Account-Manager ist nicht in der Lage neue Benutzer oder Gruppen einzurichten. Allerdings kann er ihm zugewiesene Benutzer oder Gruppen löschen.
Ein Workgroup-Manager hat alle Rechte eines User-Account-Managers. Darüber hinaus ist er in der Lage, neue Benutzer und Gruppen einzurichten. Eine weitere Aufgabe des Workgroup-Managers ist das Einrichten von Druckerwarteschlangen.
Nutzung von NCP-Paket-Signatur
Die Kommunikation eines Novell Netware Clients mit einem Novell Netware-Server wird durch das Netware Core Protokoll (NCP) gesteuert. Client und Server tauschen hierbei einzelne Pakete aus, in denen die Daten enthalten sind. Ein potentieller Angreifer kann diese Pakete mittels spezieller Programme (siehe G 5.58 "Hacking Novell Netware") überwachen und die Datenpakete höher privilegierter Benutzer manipulieren.
Um dieser Bedrohung entgegenzuwirken, wurde die Paket-Signatur entwickelt. Bei der Anmeldung eines Benutzers am Server wird ein geheimer Schlüssel ermittelt. Wann immer die Workstation daraufhin eine Anfrage über
NCP an den Server sendet, wird diese mit einer Signatur versehen, die aus dem geheimen Schlüssel und der Signatur des vorherigen Pakets gebildet wird. Diese Signatur wird an das betreffende Paket angehängt und zum Server gesandt. Bevor die eigentliche Anfrage bearbeitet wird, verifiziert der Server die Paket-Signatur.
Durch die Option Set NCP Packet Signature -Wert-kann die Paket-Signatur am Server aktiviert werden.
Es sind folgende NCP-Paket-Signatur Level möglich:
- Wert "0": Es findet keine NCP-Paket-Signatur statt.
- Wert "1": Der Novell Netware Server arbeitet auf Anforderung des Clients mit der NCP-Paket-Signatur.
- Wert "2": Der Novell Netware Server fordert vom Client NCP-Paket-Signatur an. Sollte der Client dieses nicht realisieren können, so wird die Kommunikation zwischen Client und Novell Netware Server trotzdem zugelassen.
- Wert "3": Die NCP-Paket-Signatur ist zwingend vorgeschrieben.
Zur Gewährleistung der IT-Sicherheit sollte die NCP-Paket-Signatur mit dem Wert "3" gewählt werden. Da sich jedoch die Netzlast beim Einsatz der NCP-Paket-Signatur um bis zu 30% erhöht, sollte im Vorfeld des Einsatzes geklärt werden, ob die Performance hierdurch nicht unzumutbar eingeschränkt wird.
Beschränkung des nutzbaren Festplattenspeichers
Mit Hilfe des Programms SYS:PUBLIC\DSPACE.EXE sollte der auf einem Volume oder einem Verzeichnis zur Verfügung stehende Festplattenspeicher limitiert werden, da erfahrungsgemäß die Inanspruchnahme des zur Verfügung stehenden Festplattenspeichers mit der Kapazität des Festplattenspeichers steigt.
Alternativ hierzu kann auch, soweit eingerichtet, die Kapazität des jeweiligen persönlichen Verzeichnis eines Benutzers beschränkt werden, wenn für die Arbeitsdaten eigene Verzeichnisse eingerichtet wurden.
Sperrung von nicht benötigten Programmen
Die meisten der unter SYS:PUBLIC bereitgestellten Novell Netware Programme werden durch die Netware-Benutzer im Regelfall nicht benötigt, da viele der Funktionen (Druckerkonfigurationen, Änderung des Passwortes, Laufwerkszuweisungen) durch die Client- Software gehandhabt werden können. Aus diesem Grund sowie der meist ungewohnten Handhabung der Novell Netware Dienstprogramme empfiehlt es sich, nicht benötigte Programme in das Verzeichnis SYS:SYSTEM zu verschieben. Insbesondere das Programm SYS:PUBLIC\RENDIR.EXE sollte wegen der erkannten Gefährdung (G 5.54 Vorsätzliches Herbeiführen eines Abnormal End) den Benutzern nicht zur Verfügung gestellt werden.
Keinesfalls sollten, wie oftmals beobachtet, die unter SYS:SYSTEM gespeicherten Programme in das Verzeichnis SYS:PUBLIC verlagert werden.
Information über Patches von Novell Netware
Im Verlauf der Entwicklung des Netzbetriebssystems Novell Netware 3.x haben sich diverse Schwachstellen bzw. Unzulänglichkeiten herausgestellt, die durch den Hersteller mit Hilfe von so genannten Patches größtenteils behoben wurden. Diese Patches werden durch den Hersteller im Internet zur Verfügung gestellt (http://www.novell.com, ftp.novell.com bzw. http://www.novell.de, ftp.novell.de). Informationen über die Funktionalität sowie das ggf. erforderliche Einspielen der zur Verfügung gestellten Patches können daher Schwachstellen im laufenden Produktionsbetrieb beseitigen. Insbesondere zusätzlich installierte Softwareprodukte, wie z. B. zur Datensicherung, erfordern oftmals einen bestimmten Patchlevel des Netzbetriebssystems. Hierbei ist jedoch zu beachten, dass die angebotenen Patches keineswegs blind aufgespielt werden sollten, sondern nur im Bedarfsfall ("never change a running system") sowie nach gründlicher Information.
Soweit vorhanden, sollten diese Patches zunächst auf einer Testkonfiguration ausgetestet werden.
Im Internet (Usenet) ist, neben den internationalen Diskussionsforen zum Thema Novell Netware (z. Z. comp.os.netware.announce, comp.os.netware.misc, comp.os.netware.security, bit.listserv.novell), für die deutschsprachigen Benutzer ein deutsches Novell Forum (z. Z. de.comp.sys.novell) vorhanden, in dem einige versierte Novelladminstratoren aktiv sind, die oftmals auch die schwierigsten Probleme zu lösen helfen. Außerdem werden zu den im Internet am häufigsten gestellten Fragen Dateien (so genannte FAQs - Frequently Asked Questions) zur Verfügung gestellt, die die häufigsten Probleme thematisieren und Lösungen anbieten.
Patches und Informationen über Novell Netware werden darüber hinaus auch über andere Anbieter von Netzdiensten, wie z. B. Compuserve, Fidonet und Mailboxen bereitgestellt.
Für die Richtigkeit und Vollständigkeit der jeweiligen Informationen in den Usenet Diskussionsforen sowie in den FAQs kann an dieser Stelle jedoch keine Garantie gegeben werden. Es sei darauf hingewiesen, dass eine vollständige Beschreibung des aufgetretenen Problems, sowie eine Beschreibung der jeweiligen Konfiguration des Netzes (Client, Server) besonders vorteilhaft bei der Hilfesuche im Internet (Usenet) ist.
Schwierigkeiten während des Netzbetriebes können darüber hinaus oftmals durch die Nachfrage bei dem Verkäufer des Netzbetriebssystems oder im Informationsaustausch mit Kollegen behoben werden; wobei auch hier die Problemlösung durch eine vollständige Konfigurationsbeschreibung erleichtert wird.
Prüfung auf Computer-Viren
Computer-Viren, die sich in den auf einem Novell Netware Server gespeicherten Programmen und Dateien befinden, können, aufgrund der zentralen Verteilung durch den Novell Netware Server an die Workstations, erhebliche Schäden im Netzverbund hervorrufen.
Aus diesem Grund sollten die Programme und Dateien eines Novell Netware Servers regelmäßig mit einem aktuellen Virensuchprogramm auf evtl. vorhandene Computer-Viren überprüft werden.
Zu diesem Zweck empfiehlt es sich einen speziellen Benutzer-Account auf dem Novell Netware Server einzurichten, der über die Zugriffsrechte "Read" (R) und "File Scan" (F) auf alle Dateien des Servers verfügt. Die Prüfung auf Computer-Viren sollte keinesfalls mit den Rechten des Supervisors, bzw. Supervisor-äquivalenten Rechten durchgeführt werden, da ein Computer-Viren-Checkprogramm, welches selbst mit einem Computer-Virus infiziert ist, diesen auf alle Programme und Dateien des Novell Netware Servers übertragen würde.
Die Benutzer bzw. Benutzergruppen sollten auf die Verzeichnisse und Dateien mit ausführbarem Programmcode lediglich die effektiven Rechte "Read" (R) und "File scan" (F) erhalten, zudem sollten ausführbare Programme mit dem Netware-Attribut "Read only" (RO) versehen werden.