Вопросы защиты.

Сообщения BugNet.

Девин Вольф

Вопросы защиты

Комментарий редактора. Защита принадлежит к числу наиболее важных вопросов, с которыми профессионалам в области ИТ приходится иметь дело в наши дни. Не было месяца, когда бы отраслевые издания не сообщали о появлении нового разрушительного вируса или обнаружении зияющих дыр в защите. Что же делать бедному администратору сети? Очевидно, первое, что он должен сделать, — это добыть информацию. Для этого ему следует составить список заслуживающих доверия серверов Web по вопросам защиты и обращаться к ним регулярно для получения обновлений и информации (см. врезку ?Ресурсы Internet по защите?, а также BugNet в разделе ?Тысяча мелочей?). Фред Аволио, основатель Avolio Consulting (http://www.avolio.com), и Маркус Ранум, президент и исполнительный директор Network Flight Recorder (http://www.nfr.net), профессионально занимаются информационной защитой. Они разработали некоторые принципы в отношении защиты, которые мы советовали бы помнить всем администраторам сетей.

Семь догматов хорошей защиты

  1. Минимализм. Лучше проще, чем сложнее. Эта аксиома касается методов и механизмов, используемых для реализации защиты, способов управления и работы с сетевыми устройствами, и выраженной в политике защиты парадигмы защиты сети. Парадигма обычно выражается одним из двух положений:

    все, что явно не запрещено, — разрешено;

    все, что явно не разрешено, — запрещено.

    Принципу минимализма соответствует вторая парадигма.
  2. Упрощение. Простота превыше всего. Защищенность и сложность часто находятся в обратно пропорциональной зависимости.
  3. Ограничение. Идеальным числом пользователей был бы нуль, так как практически все нарушения защиты связаны со взломом пользовательского бюджета.
  4. Контроль. Идентификация пользователей жизненно важна, если им предоставляется доступ к системам защиты.
  5. Учет. Устройство защиты должно быть сконфигурировано на сбор данных в максимальном объеме. Проще сжать, суммировать, консолидировать и удалить запротоколированную информацию, чем собирать дополнительные данные о событии, произошедшем накануне.
  6. Конфигурируемость. Устройство защиты — это метод или механизм, используемый для реализации политики защиты. Политика защиты вырабатывается с учетом оценки рисков и анализа потребностей бизнеса. Устройство защиты не должно вводить своих собственных правил, но обязано быть конфигурируемо для реализации политики защиты организации. Оно должно быть достаточно гибко для внесения изменений при изменении политики защиты организации.
  7. Прозрачность. Используемые для организации защиты методы и алгоритмы должны быть реализованы «в виде прозрачного ящика» (т. е. быть незаметными для пользователей).

Сообщения BugNet

Комментарий редактора. Мы регулярно публикуем сообщения BugNet в разделе ?Тысяча мелочей?. О других ошибках и заплатах вы можете узнать на http://www.bugnet.com.

EtherExpress PRQ/100

Если адаптер Intel EtherExpress Pro/100 Intelligent Server установлен на Windows NT 4.0 с активным сервисом DHCP Server, то после конфигурации Adapter Fault Tolerance (AFT) утилизация ЦПУ может достигнуть очень высокого уровня. Как утверждают в Intel, небольшая настройка параметров позволяет уменьшить нагрузку. Для этого в Network Properties выберите Bindings, откройте DHCP Server и выберите EtherExpress PRO/100. Щелкните на кнопке Move Down и продолжайте перемещать элемент вниз, пока он не окажется последним в списке.

MS Internet Information Server 4.0

Microsoft предлагает заплату для предотвращения утечки памяти в MS Internet Information Server 4.0 (IIS). Эта утечка происходит при использовании метода ASP Response CacheControl со страницы ASP (Active Server Page). Заплату с исправлениями нескольких файлов IIS можно найти на ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/usa/ASP/asp-fix575. Версии имеются как для платформы Intel, так и для Alpha.

Novell Border Manager 3.0

Novell выпустила Support Pack 1 для BorderManager Enterprise Edition 3.0. Он исправляет ошибку, когда в многосерверном дереве лицензия не создается из-за ошибки c0001008 в NLSICreateLSP. Он также решает проблему, когда Proxy не подает предупреждения при сбое в стандартном или расширенном журнале. Файл можно загрузить с http://support.novell.com/cgi-bin/show_information?FileName=bm3sp1.exe.

MS Systems Management Server 1.2

При использовании MS Systems Management Server (SMS) 1.2 для инвентаризации программного обеспечения на Apple Macintosh общее время сканирования возрастает при добавлении файлов на жесткий диск Macintosh. Этого вполне можно ожидать. Чего нельзя предвидеть, так это того, что при удалении файлов время сканирования не уменьшается. Microsoft предлагает исправление, которое она собирается поместить в следующий сервисный пакет. Если заплата потребуется раньше, то вам следует обратиться в службу технической поддержки Microsoft и спросить 4/1/99 3:16pm 162,314 Invmac.hcomp Macintosh.

Microsoft может потребовать плату, если «вы попросите дополнительную техническую поддержку, если срок бесплатной технической поддержки истек или если вы не имеете права на стандартную бесплатную техническую поддержку».

Novell Client 4.3 для Windows NT

Novell предлагает файл NT430P2.EXE, где содержатся последние исправления для Novell Client 4.3 for Windows NT. Он ликвидирует некоторые проблемы с печатью, включая медленную печать в случае Point and Print и печать на бумаге формата letter вместо A4. Исправление можно найти на http://support.novell.com/cgi-bin/search/tidfinder.cgi?2949341/.

Lotus Notes 5

По информации Lotus, у пользователей могут возникнуть проблемы с программой инсталляции Notes 5 для Windows NT, если установочный комплект находится в файловой системе на Windows 95 или 98, а путь содержит длинные имена каталогов (длиннее восьми символов). Поэтому такие пути, как d:downloadNotesNotesR5_client, недопустимы. Lotus предлагает изменить путь на DOS-совместимое имя.

Еще раз об MS Systems Management Server

В Microsoft Systems Management Server (SMS) 1.2 значения System Role и System Type могут оказаться стерты в разделе SMS.INI [Local] при выполнении следующих условий:

  1. параметр Hardware Inventory Frequency для узла имеет иное значение, нежели Every Workstation Logon;
  2. значение [Logon History] LastLoggedUser пусто, либо весь раздел [Logon History] отсутствует, и Inv32cli.exe начинает выполнять свой рабочий цикл, но время инвентаризации еще не наступило; либо клиент перемещается из одного узла/домена в другой, и Inventory Agents пропускают инвентаризацию.
В качестве решения Microsoft предлагает провести принудительную полную инвентаризацию или подождать до следующей полной инвентаризации. Кроме того, компания тестирует исправление для следующего сервисного пакета для SMS. Вы можете обратиться за исправлением в Microsoft, но при этом с вас могут потребовать плату. Если оно вам все-таки нужно, то спросите следующие файлы:

2/24/99 4:37pm 283,600 Inv32cli.exe (x86)

2/24/99 4:38pm 296,352 Invwin32.exe (x86)

2/24/99 4:38pm 867,088 Inv32cli.exe (Alpha)

2/24/99 4:39pm 883,472 Invwin32.exe (Alpha).

Netscape Enterprise Server

Если у вас Netscape Enterprise Server 3.5.1 выполняется на платформе UNIX, то при запуске вы можете получить следующее сообщение об ошибке: «The executable and shared libraries have different versions». («Версии исполняемой и разделяемых библиотек отличаются».) Как сообщили в Netscape, это обычно означает, что вы пропустили какую-либо заплату. Заплаты следует применять в следующем порядке: A, B, C, D и т. д.

Novell Client для Windows NT

По информации Novell, при автоматической инсталляции Novell Client 4.6 for Windows NT для удаления протокола NetWare/IP вы должны, по идее, поместить следующие строки в UNATTEND.TXT:

[NetWareIPParameters]

!DoInstall=NO

!DoRemove=YES

К сожалению, это не проходит. По информации Novell, вы должны проделать следующие операции: во-первых, отредактировать OEMSETUP.INF, а именно: удалить точку с запятой перед строкой NetWareIP в разделе [Options]; во-вторых, отредактировать файл unattend.txt, где следует указать следующие параметры:

[NetWareIPParameters]

!DoInstall=YES

!DoRemove=YES


NetWare 5

Если вы хотите установить timesync.nlm 5.09 на сервер Novell NetWare 5 для работы с источниками Network Time Protocol (NTP) через брандмауэр, то вам придется произвести некоторые настройки. Ввиду того, что взаимодействие осуществляется по UDP, корпоративный брандмауэр требуется настроить таким образом, чтобы он пропускал входящие пакеты UDP. В случае опасений в отношении защиты Novell предлагает ограничить доступ портом 123 — стандартным портом для NTP.


Ресурсы Internet по защите

http://www.gocsi.com

Домашняя страница Института компьютерной защиты (Computer Security Institute), членской организации, занимающейся обслуживанием и обучением профессионалов в области ИТ.

http://ciac.llnl.gov/ciac/CIACHome.html

Общественный сервер Web с бюллетенем инцидентов в области защиты компьютеров (Computer Incident Advisory Capability, CIAC) в случае атак на компьютеры предоставляет узлам Министерства энергетики США немедленную техническую поддержку и информацию.

http://www.telstra.com.au/info/security.html

Эта страница австралийского телекоммуникационного оператора Telstra содержит обширный список ссылок и ответов на часто задаваемые вопросы в области защиты.

http://www.nsi.org/compsec.html

Сервер Web Национального института защиты (National Security Institute) помимо обычных предупреждений содержит американские правительственные стандарты и законодательные акты.

http://www.ntbugtraq.com

Этот узел представляет собой список рассылки для дискуссии о решениях и проблемах в области защиты Windows NT и связанных с ней приложений.

http://www.icsa.net

Здесь вы найдете домашнюю страницу Международной ассоциации компьютерной защиты (International Computer Security Association, ICSA), ранее известной как Американская ассоциация компьютерной защиты (National Computer Security Association, NCSA).

http://www.bugnet.com

Завораживающий взгляд сервер неутомимого хроникера всяческих ошибок и исправлений BugNet содержит обширную библиотеку свободно доступной информации.


УВАЖАЕМЫЕ ЧИТАТЕЛИ!

Вы можете поделиться своим опытом решения проблем, возникающих при работе в сети (возможно, очень полезным многим читателям в их повседневной работе). Наиболее интересные материалы будут опубликованы в ближайших номерах журнала LAN.

Присылайте ваши отклики по электронной почте: lan@lanmag.ru, или по факсу: (095) 253-9204.