Средства удаленной загрузки

       

Защита от несанкционированного подключения к сети



Защита от несанкционированного подключения к сети

Защиту регистрации можно попытаться взломать, посылая серверу "самодельные" пакеты запросов, в которых используется информация из перехваченных пакетов сеансов легальных пользователей. Технически мониторинг всех пакетов сети с шинной топологией возможен на любой рабочей станции при соответствующих возможностях сетевого адаптера и программного обеспечения. Организационной мерой пресечения попыток таких нарушений является ограничение физического доступа потенциальных нарушителей к станциям сети.

Для архитектуры Ethernet несанкционированное подключение к толстому кабелю можно осуществить незаметно для системы (если передатчик нарушителя не обнаружит себя посылкой пакета, в котором будет содержаться адрес узла, отличный от известных администратору сети). При визуальном осмотре кабеля лишний трансивер, скорее всего, будет замечен.

Для тонкого кабеля незаметное подключение возможно лишь при использовании существующих разъемов (разрыв сегмента на несколько секунд не приведет к потере соединений). При разрезании кабеля и установке новых разъемов эта процедура, занимающая несколько минут, почти наверняка приведет к потере какого-либо установленного соединения, что может привлечь внимание пользователей. Драйвер сетевого адаптера сервера этого не заметит, поскольку обрыв кабеля распознается при отсутствии обоих терминаторов, а в этом случае на каждом обрезке сегмента останется по одному из них.

Для витой пары дополнительное подключение возможно лишь к свободным портам хабов, а использование интеллектуальных хабов со встроенной защитой вообще не позволит осуществить подключение без ведома администратора.

Оптоволокно в качестве среды передачи также сильно затрудняет несанкционированный доступ.

Мониторинг пакетов может иметь целью "подглядывание" пароля, обеспечивающего доступ к важным ресурсам. NetWare-386 по умолчанию использует шифрованные пароли. Если сервер работает в сети совместно с серверами 2.0 или 2.1x с необновленными утилитами, или со станциями, использующими оболочку из версии 2.x, необходимо разрешить использование и нешифрованных паролей консольной командой


SET ALLOW UNENCRYPTED PASSWORDS = ON, по умолчанию OFF.
Подделав пакет NCP, пользователь на рабочей станции может выдать себя за более привилегированного пользователя (SUPERVISOR) и получить несанкционированный доступ к системе и ресурсам. Для защиты от подделки пакетов применяется сигнатура пакетов NCP - подпись, меняющаяся от пакета к пакету. Пакеты NCP с некорректной сигнатурой игнорируются, но на станцию, консоль и в журнал системных ошибок отправляется диагностическое сообщение с адресом станции и регистрационным именем.

Уровень сигнатуры для сервера определяется командой
SET NCP PACKET SIGNATURE OPTION = 1 (0-3),
доступной и из STARTUP.NCF. Во время работы его можно только увеличивать. Значения уровней: 0 - сервер никогда не подписывает пакеты; 1 - подписывает только по запросу клиента; 2 - подписывает, если клиент способен подписывать; 3 - всегда подписывает и требует подписи от клиентов (иначе не позволит регистрацию).
Применение сигнатур может снижать производительность сервера, но является необходимой мерой предосторожности при наличии на сервере особо ценной информации и доступности станций или кабелей для потенциальных нарушителей. Уровень сигнатур сервера должен быть согласован с возможностями станций.

Содержание раздела