Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.100 Sicherer Betrieb von Novell Netware Servern - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.100 Sicherer Betrieb von Novell Netware Servern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Der sichere Betrieb eines Novell Netware Netzes setzt verschiedene Aktionen voraus, die nachfolgend beschrieben werden.

Vergabe von Zugriffsrechten auf Verzeichnisse und Dateien

Die Vergabe von Zugriffsrechten (Trustee Assignments) auf Verzeichnisse und Dateien von Novell Netware Servern spielt eine zentrale Rolle für die Sicherheit eines Novell Netware Servers.

Zugriffsrechte werden im Gegensatz zur Vergabe von Attributen einzelnen Benutzern bzw. Benutzergruppen zugewiesen.

Verzeichnisse und Dateien können über die Steuerung der Zugriffsrechte aufgabenbezogen zugewiesen werden. Hierdurch kann sichergestellt werden, dass Benutzergruppen bzw. Benutzer nur die Zugriffsrechte auf Verzeichnisse und Dateien haben, die sie zur Durchführung ihrer Aufgaben benötigen.

Aus Gründen der Übersichtlichkeit, einer vereinfachten Administration sowie einer verbesserten Revisionsfähigkeit sollte die Vergabe von Zugriffsrechten vorrangig über die Zuweisung von Rechten an Benutzergruppen erfolgen.

Um die versehentliche Freigabe von Verzeichnissen durch einen Benutzer zu verhindern, sollte die Systemadministration Benutzergruppen und Benutzern in den ihnen zugewiesenen Verzeichnissen die Rechte "Supervisory" (S) und "Access Control" (A) nicht erteilen.

Werden ausgewählten Verzeichnissen oder Dateien mit Hilfe von Netware-Attributen bestimmte Eigenschaften (z. B. schreibgeschützte Dateien) zugewiesen, so sollte beachtet werden, dass Benutzer, die das Zugriffsrecht "Modify (M)" auf die entsprechenden Verzeichnisse und Dateien besitzen, in der Lage sind, diese Attribute zu verändern. Daher sollte der Kreis der Benutzer mit diesem Zugriffsrecht eingeschränkt werden (s. u. Vergabe von Netware-Attributen auf Verzeichnisse und Dateien).

Vergabe von Netware-Attributen auf Verzeichnisse und Dateien

Neben der Benutzer- bzw. gruppenbezogenen Erteilung von Zugriffsrechten auf Verzeichnisse und Dateien kann durch die Vergabe von Netware-Attributen auf Verzeichnisse und Dateien die Datensicherheit erhöht werden. Attribute sind immer verzeichnis- bzw. dateibezogen, d. h. sie sind unabhängig von den zugewiesenen Zugriffsrechten und gelten für alle Benutzer einschließlich des Supervisors.

Benutzer, denen das Zugriffsrecht "Modify (M)" auf die in Frage kommenden Verzeichnisse und Dateien eingeräumt wurde, können die vergebenen Netware-Attribute ändern und somit jede Aktion, die sich aus ihren effektiven Rechten ergibt, ausführen.

Die Sicherheit durch den Einsatz von Netware-Attributen stellt sich somit als ein Subsystem in der Verzeichnis- und Dateisicherheit dar.

Bei der Vergabe von Netware-Attributen auf Verzeichnisse und Dateien sollten die folgenden Eigenschaften von Netware-Attributen beachtet werden.

Sicherung wichtiger Systemdateien

Die Server Startdateien AUTOEXEC.NCF und STARTUP.NCF sollten, in ihrer jeweils aktuellen Fassung, durch den Systemadministrator auf Diskette gesichert werden und vor unbefugtem Zugriff gesichert hinterlegt werden. Es ist sinnvoll, diese Dateien durch Kommentierungszeilen zu ergänzen, damit beim Auftreten von Problemen die jeweils eingestellten Parameter nachvollzogen werden können.

Weiterhin sollte die Bindery (NET$OBJ.SYS, NET$PROP.SYS, NET$VAL.SYS) eines Novell Netware Servers regelmäßig mit Hilfe des Programms SYS:SYSTEM\BINDFIX.EXE gesichert werden. Die gesicherte Bindery (SYS:SYSTEM\*.OLD) sollte im Anschluss auf einen Datenträger gesichert und vor unbefugten Zugriff geschützt hinterlegt werden.

Nach der Ausführung von SYS:SYSTEM\BINDFIX.EXE sollte die Integrität der neuen Bindery auf jeden Fall getestet werden. Im Zweifelsfalle kann die alte Bindery durch SYS:SYSTEM\BINDREST.EXE wiederhergestellt werden.

Da die aktuelle Bindery während der Ausführung von SYS:SYSTEM\BINDFIX.EXE dem Zugriff der Benutzer entzogen wird, sollte aus Gründen der Betriebssicherheit bei der Sicherung der Bindery eines Novell Netware Servers außer dem Supervisor bzw. dem Supervisor-äquivalenten Benutzer kein Benutzer auf dem Novell Netware Server eingeloggt sein.

Eingeschränkte Nutzung des Supervisor Account bzw. eines Supervisor-äquivalenten Account

Der Account des Supervisors sollte bei der täglichen Administrationsarbeit nicht verwendet werden, sondern nur in Notfällen benutzt werden. Um dennoch die Systemadministration zu gewährleisten, sollte daher für jeden Benutzer mit der Netware-Sicherheitsstufe "Supervisor" ein Supervisor-äquivalenter Account eingerichtet werden, mit dem die Systemadministration normalerweise erfolgt. Werden die Administrationsarbeiten nicht hauptamtlich wahrgenommen, so sollten für die nicht-administrativen Aufgaben zusätzlich aufgabenbezogene Accounts eingerichtet werden.

Der Account des Supervisors bzw. eines Supervisor-äquivalenten Account sollte weiterhin nur auf hierzu definierten Workstations verwendet werden, da die Integrität anderer Workstations u. U. durch Benutzer manipuliert sein könnte.

Delegierung der Systemverwaltung

In größeren Netzen (mehrere Novell Netware Server oder verschiedene Liegenschaften) bzw. bei einer größeren Anzahl von Benutzern empfiehlt es sich, bestimmte Aufgaben der Systemadministration zu delegieren. Novell Netware 3.x bietet hierzu die Möglichkeit, Benutzer zu User-Account-Managern bzw. Workgroup-Managern zu bestimmen.

User-Account-Manager können die Benutzer und Gruppen verwalten, die ihnen vom Systemverwalter zugewiesen wurden. Dabei sind sie in der Lage, neben der Änderung der Benutzerdaten (Passwort, Benutzungszeiten usw.) alle Rechte, über die sie selbst verfügen, weiter zu geben. Des weiteren kann der User-Account-Manager einzelne Benutzer einer Gruppe zuweisen. Dabei müssen sowohl die Gruppen als auch die Benutzer vom entsprechenden User-Account-Manager verwaltet werden. Der User-Account-Manager ist nicht in der Lage neue Benutzer oder Gruppen einzurichten. Allerdings kann er ihm zugewiesene Benutzer oder Gruppen löschen.

Ein Workgroup-Manager hat alle Rechte eines User-Account-Managers. Darüber hinaus ist er in der Lage, neue Benutzer und Gruppen einzurichten. Eine weitere Aufgabe des Workgroup-Managers ist das Einrichten von Druckerwarteschlangen.

Nutzung von NCP-Paket-Signatur

Die Kommunikation eines Novell Netware Clients mit einem Novell Netware-Server wird durch das Netware Core Protokoll (NCP) gesteuert. Client und Server tauschen hierbei einzelne Pakete aus, in denen die Daten enthalten sind. Ein potentieller Angreifer kann diese Pakete mittels spezieller Programme (siehe G 5.58 "Hacking Novell Netware") überwachen und die Datenpakete höher privilegierter Benutzer manipulieren.

Um dieser Bedrohung entgegenzuwirken, wurde die Paket-Signatur entwickelt. Bei der Anmeldung eines Benutzers am Server wird ein geheimer Schlüssel ermittelt. Wann immer die Workstation daraufhin eine Anfrage über

NCP an den Server sendet, wird diese mit einer Signatur versehen, die aus dem geheimen Schlüssel und der Signatur des vorherigen Pakets gebildet wird. Diese Signatur wird an das betreffende Paket angehängt und zum Server gesandt. Bevor die eigentliche Anfrage bearbeitet wird, verifiziert der Server die Paket-Signatur.

Durch die Option Set NCP Packet Signature -Wert-kann die Paket-Signatur am Server aktiviert werden.

Es sind folgende NCP-Paket-Signatur Level möglich:

Zur Gewährleistung der IT-Sicherheit sollte die NCP-Paket-Signatur mit dem Wert "3" gewählt werden. Da sich jedoch die Netzlast beim Einsatz der NCP-Paket-Signatur um bis zu 30% erhöht, sollte im Vorfeld des Einsatzes geklärt werden, ob die Performance hierdurch nicht unzumutbar eingeschränkt wird.

Beschränkung des nutzbaren Festplattenspeichers

Mit Hilfe des Programms SYS:PUBLIC\DSPACE.EXE sollte der auf einem Volume oder einem Verzeichnis zur Verfügung stehende Festplattenspeicher limitiert werden, da erfahrungsgemäß die Inanspruchnahme des zur Verfügung stehenden Festplattenspeichers mit der Kapazität des Festplattenspeichers steigt.

Alternativ hierzu kann auch, soweit eingerichtet, die Kapazität des jeweiligen persönlichen Verzeichnis eines Benutzers beschränkt werden, wenn für die Arbeitsdaten eigene Verzeichnisse eingerichtet wurden.

Sperrung von nicht benötigten Programmen

Die meisten der unter SYS:PUBLIC bereitgestellten Novell Netware Programme werden durch die Netware-Benutzer im Regelfall nicht benötigt, da viele der Funktionen (Druckerkonfigurationen, Änderung des Passwortes, Laufwerkszuweisungen) durch die Client- Software gehandhabt werden können. Aus diesem Grund sowie der meist ungewohnten Handhabung der Novell Netware Dienstprogramme empfiehlt es sich, nicht benötigte Programme in das Verzeichnis SYS:SYSTEM zu verschieben. Insbesondere das Programm SYS:PUBLIC\RENDIR.EXE sollte wegen der erkannten Gefährdung (G 5.54 Vorsätzliches Herbeiführen eines Abnormal End) den Benutzern nicht zur Verfügung gestellt werden.

Keinesfalls sollten, wie oftmals beobachtet, die unter SYS:SYSTEM gespeicherten Programme in das Verzeichnis SYS:PUBLIC verlagert werden.

Information über Patches von Novell Netware

Im Verlauf der Entwicklung des Netzbetriebssystems Novell Netware 3.x haben sich diverse Schwachstellen bzw. Unzulänglichkeiten herausgestellt, die durch den Hersteller mit Hilfe von so genannten Patches größtenteils behoben wurden. Diese Patches werden durch den Hersteller im Internet zur Verfügung gestellt (http://www.novell.com, ftp.novell.com bzw. http://www.novell.de, ftp.novell.de). Informationen über die Funktionalität sowie das ggf. erforderliche Einspielen der zur Verfügung gestellten Patches können daher Schwachstellen im laufenden Produktionsbetrieb beseitigen. Insbesondere zusätzlich installierte Softwareprodukte, wie z. B. zur Datensicherung, erfordern oftmals einen bestimmten Patchlevel des Netzbetriebssystems. Hierbei ist jedoch zu beachten, dass die angebotenen Patches keineswegs blind aufgespielt werden sollten, sondern nur im Bedarfsfall ("never change a running system") sowie nach gründlicher Information.

Soweit vorhanden, sollten diese Patches zunächst auf einer Testkonfiguration ausgetestet werden.

Im Internet (Usenet) ist, neben den internationalen Diskussionsforen zum Thema Novell Netware (z. Z. comp.os.netware.announce, comp.os.netware.misc, comp.os.netware.security, bit.listserv.novell), für die deutschsprachigen Benutzer ein deutsches Novell Forum (z. Z. de.comp.sys.novell) vorhanden, in dem einige versierte Novelladminstratoren aktiv sind, die oftmals auch die schwierigsten Probleme zu lösen helfen. Außerdem werden zu den im Internet am häufigsten gestellten Fragen Dateien (so genannte FAQs - Frequently Asked Questions) zur Verfügung gestellt, die die häufigsten Probleme thematisieren und Lösungen anbieten.

Patches und Informationen über Novell Netware werden darüber hinaus auch über andere Anbieter von Netzdiensten, wie z. B. Compuserve, Fidonet und Mailboxen bereitgestellt.

Für die Richtigkeit und Vollständigkeit der jeweiligen Informationen in den Usenet Diskussionsforen sowie in den FAQs kann an dieser Stelle jedoch keine Garantie gegeben werden. Es sei darauf hingewiesen, dass eine vollständige Beschreibung des aufgetretenen Problems, sowie eine Beschreibung der jeweiligen Konfiguration des Netzes (Client, Server) besonders vorteilhaft bei der Hilfesuche im Internet (Usenet) ist.

Schwierigkeiten während des Netzbetriebes können darüber hinaus oftmals durch die Nachfrage bei dem Verkäufer des Netzbetriebssystems oder im Informationsaustausch mit Kollegen behoben werden; wobei auch hier die Problemlösung durch eine vollständige Konfigurationsbeschreibung erleichtert wird.

Prüfung auf Computer-Viren

Computer-Viren, die sich in den auf einem Novell Netware Server gespeicherten Programmen und Dateien befinden, können, aufgrund der zentralen Verteilung durch den Novell Netware Server an die Workstations, erhebliche Schäden im Netzverbund hervorrufen.

Aus diesem Grund sollten die Programme und Dateien eines Novell Netware Servers regelmäßig mit einem aktuellen Virensuchprogramm auf evtl. vorhandene Computer-Viren überprüft werden.

Zu diesem Zweck empfiehlt es sich einen speziellen Benutzer-Account auf dem Novell Netware Server einzurichten, der über die Zugriffsrechte "Read" (R) und "File Scan" (F) auf alle Dateien des Servers verfügt. Die Prüfung auf Computer-Viren sollte keinesfalls mit den Rechten des Supervisors, bzw. Supervisor-äquivalenten Rechten durchgeführt werden, da ein Computer-Viren-Checkprogramm, welches selbst mit einem Computer-Virus infiziert ist, diesen auf alle Programme und Dateien des Novell Netware Servers übertragen würde.

Die Benutzer bzw. Benutzergruppen sollten auf die Verzeichnisse und Dateien mit ausführbarem Programmcode lediglich die effektiven Rechte "Read" (R) und "File scan" (F) erhalten, zudem sollten ausführbare Programme mit dem Netware-Attribut "Read only" (RO) versehen werden.