M 4.102 C2-Sicherheit unter Novell 4.11
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Zur Bewertung von IT-Produkten bzw. IT-Systemen haben sich als einheitlicher Beurteilungsmaßstab international die US-amerikanischen Kriterien TCSEC (Trusted Computer System Evaluation Criteria) bzw. die europäischen ITSEC (Information Technology Security Evaluation Criteria) und mittlerweile deren Weiterentwicklung CC (The Common Criteria for Information Technology Security Evaluation) durchgesetzt. Novell Netware 4.11 hat im Herbst 1997 eine Zertifizierung gemäß Funktionalitätsklasse C2 der TCSEC durch das National Computer Security Center (NCSC) erhalten, dies entspricht ITSEC Klasse F-C2/E2.
Der Einsatz eines zertifizierten Produktes bietet die Gewähr, dass die Sicherheitsfunktionalität dieses Produktes unabhängig geprüft wurde und den im Evaluationslevel spezifizierten Standard nicht unterschreitet (siehe auch M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung).
Vielfach anzutreffende Standardfälle sind in den genannten Sicherheitskriterien zu Funktionalitätsklassen zusammengefasst. Die Anforderungen der Funktionalitätsklassen F-C2 sind im wesentlichen für Betriebssysteme gedacht. Darin sind z. B. folgende Merkmale definiert:
- Übernahme der C1 Spezifikationen
- Existenz von Mechanismen zur Zugriffsbeschränkung von Benutzern auf bestimmte Dokumente
- Identifizierung von Benutzern
- Verfeinerung der Zugriffsberechtigungen
- Auditing aller sicherheitsrelevanten Ereignisse mit Zeitstempel, Benutzername, Objekt und Meldung über Erfolg bzw. Misserfolg
- Verwaltung der Audit Dateien (Zugriffsschutz, Steuerung des Umfangs, etc.)
- Abgrenzung der Ressourcen (Zugriffsschutz)
- Abgrenzung von Daten aus verschiedenen Prozessen gegenüber anderen Prozessen selbst nach Freigabe
Die Einhaltung dieser Vorgaben wird in speziellen Testverfahren überprüft.
Um C2-Sicherheit zu erreichen, reicht es allerdings nicht aus, ein C2-zertifiziertes Produkt zu erwerben. Wesentlich für die tatsächliche Realisierung eines C2-Systems ist die genaue Umsetzung der Vorgaben des Zertifizierungsreports.
Die zur Erreichung der C2-Sicherheit bei Netware 4.11 notwendigen Sicherheitsoptionen wurden in der Datei SECURE.NCF zusammengefasst. In den nachfolgenden Abschnitten wird die Datei SECURE.NCF dargestellt und die einzelnen Optionen näher erläutert.
Die Datei SECURE.NCF und ihre Optionen
Damit ein Novell Netware 4.11 Server die erweiterten Sicherheitsmechanismen nutzen kann, sind folgende Punkte zu beachten:
- Die Datei SECURE.NCF muss auf dem Server in SYS:SYSTEM gespeichert sein.
- Die Datei SECURE.NCF ist eine Ablaufdatei ähnlich einer Batch-Datei unter DOS und sollte daher nur mit einem ASCII -Editor (z. B. EDIT.NLM) bearbeitet werden.
- Für den Aufruf der Datei SECURE.NCF muss in der AUTOEXEC.NCF die Zeile "SET ENABLE SECURE.NCF=ON" eingefügt werden. Alternativ hierzu kann auch der Befehl "SECURE" in die AUTOEXEC.NCF eingefügt oder dieser Befehl auf der Server-Konsole abgesetzt werden.
Der nachfolgende Auszug aus der Datei SECURE.NCF zeigt nur die darin enthaltenen Befehle. In der Originaldatei ist zu jedem Befehl eine kurze Erläuterung enthalten.
SET ALLOW UNENCRYPTED PASSWORDS = OFF
SET ALLOW AUDIT PASSWORDS = OFF
SET AUTOMATICALLY REPAIR BAD VOLUMES = ON
SET REJECT NCP PACKETS WITH BAD LENGTHS = ON
SET REJECT NCP PACKETS WITH BAD COMPONENTS = ON
SET IPX NETBIOS REPLICATION OPTION = 0
SET ADDITIONAL SECURITY CHECKS = ON
# SET CHECK EQUIVALENT TO ME = ON
# SET NCP PACKET SIGNATURE = 3
# SECURE CONSOLE
## DISPLAY NCP BAD COMPONENT WARNINGS
## DISPLAY NCP BAD LENGTH WARNINGS
Alle Befehlszeilen, die mit einem "#" auskommentiert wurden, sind zusätzliche Sicherheitsparameter und für die Einhaltung der C2 bzw. F-C2/E2 Bestimmungen nicht notwendig. Befehlszeilen, die mit "##" gekennzeichnet sind, gehören nicht zum Standardumfang der Datei SECURE.NCF, stellen aber im alltäglichen Gebrauch eine sinnvolle Bereicherung dar.
Die Befehle im Einzelnen
Alle Befehle bzw. SET-Anweisungen können auch an der Konsole abgesetzt oder mittels des Programms SERVMAN.NLM bzw. MONITOR.NLM gesetzt werden.
Nachfolgend werden alle SET-Parameter der Datei SECURE.NCF beschrieben und die Standardwerte (Default) angegeben.
SET ALLOW UNENCRYPTED PASSWORDS = OFF (Default = OFF)
Dieser Parameter dient dazu, die Kompatibilität von Netware 2.x Clients und Print-Servern zu gewährleisten. Ein Setzen des Parameters auf den Wert ON hat zur Folge, dass ein Passwort, das zur Authentisierung notwendig ist, unverschlüsselt zum Server übertragen werden kann. Dies begünstigt ein unberechtigtes Eindringen in das betreffende System. Der Standardwert OFF stellt sicher, dass beim Anmeldevorgang jedes Passwort verschlüsselt werden muss. Unverschlüsselte Passwörter werden nicht akzeptiert.
SET ALLOW AUDIT PASSWORDS = OFF (Default = OFF)
Dieser Parameter steht in Verbindung mit den Auditing Mechanismen des Netware-Betriebssystems. Beim Auditing werden gemäß der Vorgaben der Konfigurationen mittels des Programms AUDITCON.NLM Veränderungen (Manipulationen) an Objekten aufgezeichnet. Durch entsprechende Berechtigungen, die z. B. in der allgemeinen Berechtigungsvergabe des Betriebssystems für jeden Auditor individuell eingestellt werden können, ist ein Auditor in der Lage, die Auditing-Datei zu lesen. Die jeweilige Berechtigung schränkt dabei den Leseumfang ein. Der Standardwert OFF bewirkt, dass sich der Auditor nicht durch ein zusätzliches Passwort identifizieren muss.
SET AUTOMATICALLY REPAIR BAD VOLUMES = ON (Default = ON)
Mit diesem Parameter wird das Betriebssystem angewiesen, ein Volume, das beim Systemstart nicht gemountet werden kann, durch den Aufruf des Programms VREPAIR.NLM zu reparieren. Dies stellt sicher, dass nach einem unkontrollierten Systemabsturz und dem darauf folgenden Neustart mögliche Fehler auf Volumes (Datenbereichen der Plattenstapel) ohne zusätzlichen Eingriff des Systemadministrators behoben werden.
SET REJECT NCP PACKETS WITH BAD LENGTHS = ON (Default =OFF)
Dieser Parameter bewirkt in der Einstellung ON, dass NCP Pakete mit inkorrekter Länge abgewiesen werden. Dabei kann es zu Fehlern mit älteren Anwendungen (Utilities) kommen.
SET REJECT NCP PACKETS WITH BAD COMPONENTS = ON
(Default = OFF)
Dieser Parameter bewirkt in der Einstellung ON, dass NCP Pakete mit inkorrekten Komponenten abgewiesen werden. Auch hier kann es zu Fehlern mit älteren Anwendungen (Utilities) kommen.
SET IPX NETBIOS REPLICATION OPTION = 0 (Default = 2)
Dieser Parameter legt die Vorgehensweise des IPX Routers fest, wie mit NetBIOS Broadcast Meldungen umzugehen ist. Für die Werteauswahl stehen zur Verfügung:
- 0= keine Replizierung von Typ 20 IPX Paketen
- 1= Replizierung von Typ 20 IPX Paketen an alle verfügbaren Netzadapter
- 2= Replizierung von Typ 20 IPX Paketen mit zwei speziellen Filterfunktionen
a) Reverse Path Forwarding: Typ 20 IPX Pakete von derselben Quelle werden nur einmal an alle verfügbaren Netzkarten weitergeleitet, selbst wenn die Pakete über unterschiedliche Netzadapter empfangen wurden.
b) Split Horizon: Typ 20 IPX Pakete werden nicht in das Netz zurückgeleitet, aus dem sie empfangen wurden. - 3= Replizierung wie bei Option 2, aber nicht über Weitverkehrsstrecken
SET ADDITIONAL SECURITY CHECKS = ON
Dieser Parameter aktiviert zusätzliche Sicherheitsüberprüfungen, die mit früheren NDS Versionen inkompatibel sind.
Die zuvor aufgeführten Parameter sind für die Einhaltung der Sicherheitszertifizierung gemäß Klasse C2 und Klasse F-C2/E2 zwingend erforderlich. Die nachfolgenden Parameter können zur Erweiterung der Sicherheitsfunktionen eingesetzt werden.
SET CHECK EQUIVALENT TO ME = ON (Default = OFF)
Dieser Parameter erzwingt am Server die Überprüfung des NDS Attributes "Equivalent To Me". Wenn der Wert für die erweiterte Sicherheit auf ON gesetzt wird, müssen mit der Anwendung DSREPAIR die Attribute "Equivalence" und "Equivalent To Me" synchronisiert werden. Das Aktivieren der Option hat möglicherweise nachteilige Effekte auf die Authentisierungsgeschwindigkeit des Systems.
SET NCP PACKET SIGNATURE = 3 (Default = 1)
Die Kommunikation eines Novell Netware Clients mit einem Novell Netware Server wird durch das Netware Core Protokoll (NCP) gesteuert. Client und Server tauschen hierbei einzelne Pakete aus, in denen die Daten enthalten sind. Ein potentieller Angreifer kann diese Pakete mittels spezieller Programme (siehe G 5.58 Hacking Novell Netware) überwachen und die Datenpakete höher privilegierter Benutzer manipulieren.
Um dieser Bedrohung entgegenzuwirken, wurde die Paket-Signatur entwickelt. Bei der Anmeldung eines Benutzers am Netz wird ein geheimer Schlüssel ermittelt. Wann immer die Workstation daraufhin eine Anfrage über NCP an das Netz sendet, wird diese mit einer Signatur versehen, die aus dem geheimen Schlüssel und der Signatur des vorherigen Pakets gebildet wird. Diese Signatur wird an das betreffende Paket angehängt und zum Server gesandt. Bevor die eigentliche Anfrage bearbeitet wird, verifiziert der Server die Paket-Signatur.
Durch den Parameter kann die Paket-Signatur am Server aktiviert werden. Hierbei sind folgende NCP-Paket-Signatur Level möglich:
- 0= Es findet keine NCP-Paket-Signatur statt.
- 1= Der Novell Netware Server arbeitet auf Anforderung des Clients mit der NCP-Paket-Signatur.
- 2= Der Novell Netware Server fordert vom Client NCP-Paket-Signatur an. Sollte der Client dieses nicht realisieren können, so wird die Kommunikation zwischen Client und Novell Netware Server trotzdem zugelassen.
- 3= Die NCP-Paket-Signatur ist zwingend vorgeschrieben.
Zur Gewährleistung der IT-Sicherheit sollte die NCP-Paket-Signatur mit dem Wert "3" gewählt werden und der Novell Netware Server sowie die Client-Software der Arbeitsstationen entsprechend konfiguriert werden. Da sich jedoch die Netzlast beim Einsatz der NCP-Paket-Signatur erhöht, sollte im Vorfeld des Einsatzes geklärt werden, ob die Performance hierdurch nicht unzumutbar eingeschränkt wird.
SECURE CONSOLE
Mit diesem Befehl werden mehrere Funktionen ausgelöst. Daher sollte dieser Befehl nur an sicherheitssensitiven Systemen ausgeführt werden. Die Funktionen sind:
- 1. Alle Suchpfaderweiterungen werden rückgängig gemacht. Für den Aufruf von NLMs steht nur noch der Suchpfad auf das Laufwerk SYS:SYSTEM zur Verfügung.
- 2. Eine Suchpfaderweiterung mit dem Befehl SEARCH ADD ist nicht mehr möglich.
- 3. Das Verändern von verschiedenen Server-Parametern mit dem Befehl SET ist nicht mehr möglich.
- 4. Das Verändern von Systemzeit und Systemdatum ist nicht mehr möglich.
- 5. Der System Debugger kann nicht mehr durch die spezielle Tastenkombination aufgerufen werden.
Hinweis: Da SECURE CONSOLE die Suchpfade auf das Systemminimum reduziert, kann es zu erheblichen Problemen mit Serverapplikationen kommen, die eine spezielle Suchpfaderweiterung benötigen.
DISPLAY NCP BAD COMPONENT WARNINGS
Mit diesem Parameter wird der Server angewiesen, eine Warnmeldung auf der Konsole auszugeben, wenn NCP Pakete mit ungültigem Inhalt bzw. Anteilen empfangen werden. Dies könnte auf Angriffe hindeuten.
DISPLAY NCP BAD LENGTH WARNINGS
Mit diesem Parameter wird der Server angewiesen, eine Warnmeldung auf der Konsole auszugeben, wenn NCP Pakete mit ungültiger Länge empfangen werden. Dies könnte auf Angriffe hindeuten.