В NetWare 4.x введена аддитивность лицензии: ограничение определяется суммой приобретенных лицензий, которые к тому же могут сниматься с одного сервера и устанавливаться на другой. Лицензия может быть на 5, 10, 25, 50, 100, 250, 500 и 1000 пользователей.

Безопасность

Безопасность хранения данных - конфиденциальность и предотвращение несанкционированного изменения или уничтожения - обеспечивается не­сколькими путями. О надежности защиты имеет смысл говорить лишь в предположении, что неконтролируемый физический доступ потенциальных нарушителей к файл-серверу исключен. В противном случае искушенный нарушитель может получить доступ ко всем файлам сервера, хотя для непрерывно работающих в сети клиентов это событие не останется незаме­ченным.

Защита регистрации

В NetWare защита регистрации включает в себя систему имен и паролей пользователей, ограничения времени и списка возможных станций.

Блокировать попытку подбора правильного сочетания имени и пароля поль­зователя помогает активизация системы обнаружения/захвата нарушителя (Intruder Detection/Lockout) опций администратора SYSCON.EXE или NET- ADMIN (NWADMIN) . Система позволяет выявить нарушителя, пытающего­ся зарегистрироваться с неверным паролем подряд более заданного количес­тва раз (по умолчанию - 7). Счетчик ошибок обнуляется при успешной регистрации или по истечении периода времени сброса неверных попыток с момента последней ошибочной попытки (по умолчанию - 30 мин). Если включен захват нарушителя, то по достижении порога ошибочных попыток бюджет пользователя, именем которого пытаются воспользоваться, блокиру­ется на время, определенное периодом блокирования бюджета (по умолча­нию 15 мин).

При установленном сервисе системы учета на сервере создается двоичный файл регистрации событий NET$ACCT.DAT. В нем содержится хронология всех регистрации и разрегистраций пользователей на сервере, а также фик­сируются попытки регистрации нарушителей. Просмотр журнала в тексто­вом виде и его очистку выполняет утилита PAUDIT.EXE.

Защита от несанкционированного подключения к сети

Защиту регистрации можно попытаться взломать, посылая серверу «само­дельные» пакеты запросов, в которых используется информация из перехва­ченных пакетов сеансов легальных пользователей. Технически мониторинг всех пакетов сети с шинной топологией возможен на любой рабочей станции при соответствующих возможностях сетевого адаптера и программного обес­печения. Организационной мерой пресечения попыток таких нарушений является ограничение физического доступа потенциальных нарушителей к станциям сети.

Для архитектуры Ethernet несанкционированное подключение к толстому кабелю можно осуществить незаметно для системы (если передатчик нару­шителя не обнаружит себя посылкой пакета, в котором будет содержаться адрес узла, отличный от известных администратору сети). При визуальном осмотре кабеля лишний трансивер скорее всего будет замечен.

Для тонкого кабеля незаметное подключение возможно лишь при использо­вании существующих разъемов (разрыв сегмента на несколько секунд не приведет к потере соединений). При разрезании кабеля и установке новых разъемов эта процедура, занимающая несколько минут, почти наверняка приведет к потере какого-либо установленного соединения, что может при­влечь внимание пользователей. Драйвер сетевого адаптера сервера этого не заметит, поскольку обрыв кабеля распознается при отсутствии обоих терми­наторов, а в этом случае на каждом обрезке сегмента останется по одному из них.

Для витой пары дополнительное подключение возможно лишь к свобод­ным портам хабов, а использование интеллектуальных хабов со встроенной защитой вообще не позволит осуществить подключение без ведома админис­тратора.

Оптоволокно в качестве среды передачи также сильно затрудняет несанкци­онированный доступ.

Мониторинг пакетов может иметь целью «подглядывание» пароля, обеспечи­вающего доступ к важным ресурсам. NetWare-386 по умолчанию использует шифрованные пароли.

Если сервер работает в сети совместно с серверами 2.0 или 2.1х с необновлен­ными утилитами или со станциями, использующими оболочку из версии 2.x, необходимо разрешить использование и нешифрованных паролей кон­сольной командой

SET ALLOW UNENCRYPTED PASSWORDS = ON, по умолчанию OFF.

Подделав пакет NCP, пользователь на рабочей станции может выдать себя за более привилегированного пользователя (SUPERVISOR) и получить несанк­ционированный доступ к системе и ресурсам. Для защиты от подделки пакетов применяется сигнатура пакетов NCP - подпись, меняющаяся от пакета к пакету. Пакеты NCP с некорректной сигнатурой игнорируются, но на станцию, консоль и в журнал системных ошибок отправляется диагности­ческое сообщение с адресом станции и регистрационным именем.

Уровень сигнатуры для сервера определяется командой SET NCP PACKET SIGNATURE OPTION = 1 (0-3), доступной и из STARTUP. NCF. Во время работы его можно только увели­чивать. Значения уровней: 0 - сервер никогда не подписывает пакеты; 1 - подписывает только по запросу клиента; 2 - подписывает, если кли­ент способен подписывать; 3 - всегда подписывает и требует подписи от клиентов (иначе не позволит регистрацию).

Применение сигнатур может снижать производительность сервера, но явля­ется необходимой мерой предосторожности при наличии на сервере особо ценной информации и доступности станций или кабелей для потенциальных нарушителей. Уровень сигнатур сервера должен быть согласован с возмож­ностями станций.

Защита посредством назначения прав доступа и атрибутов

Защита через права обеспечивает разграничение доступа к каталогам и файлам. Здесь необходимо следить за опекунскими назначениями, масками прав и назначениями эквивалентности по защите. Особого внимания заслу­живает каталог SYS:SYSTEM, который содержит ключевые элементы защиты.

Файл AUTOEXEC.NCF может содержать пароль удаленной консоли в коман­де LOAD REMOTE, дающий доступ к консоли сервера с рабочей станции.

Этот же каталог является единственным хранителем .NLM-файлов после выполнения команды SECURE CONSOLE, и гарантированное отсутствие в нем пиратских модулей усиливает защиту системы.

На сервере NetWare 3.x файлы Bindery» хранящие имена, пароли и привиле­гии всех пользователей, при наличии права записи в SYS:SYSTEM можно подменить, записав свои файлы NET$OBJ.OLD, NET$PROP.OLD и NET$VAL.OLD и выполнив утилиту BINDREST.

Для усиления защиты в особо ответственных случаях стоит удалить IN-STALL.NLM из каталога SYS:SYSTEM, чтобы исключить возможность пере­именования томов с консоли сервера, в результате которого при некотором знании системы можно получить новую Bindery с двумя пользователями GUEST и SUPERVISOR, не требующими пароля, но обладающими своими штатными правами. В «мирных целях» при наличии копий старой Bindery эти манипуляции можно использовать для переустановки потерянного паро­ля супервизора с сохранением всех пользователей и групп.

Рядовые пользователи не должны иметь никаких прав в каталоге SYS:SYS-ТЕМ. В каталогах SYS:PUBLIC и SYS:LOGIN они должны иметь права сканирования и чтения [R F] для нормального использования утилит, в каталоге SYS:MAIL - права создания и записи [W С] для использования электронной почты.