網路應採取何種控制技術保證安全訪問而絕對禁止非法者進入,已經成為網路建設的重大對策問題。通過安全地控制網路資源和用戶賬號以及對nds資料庫中對象屬性的訪問,使網路管理員可以從一個集中點實現對整個網路的訪問和安全控制,nds能夠提供切實有效的網路安全的全面解決方案。
無論是企業內部網路還是與internet相連,都必須解決一個關鍵問題,即網路的安全性問題。
首先,我們先來看看什麼是網路安全,或者說什麼樣的網路才可以稱得上是安全的網路。目前internet及企業內部網路上大量的非法入侵使我們認為,一個安全的網路系統應該是將各種類型的非法事件都擋在網路之外,網路能夠持續穩定地運行。其實,這種說法並不全面。一個安全的網路應該知道在何時何處哪個用戶在網路上做了什麼事(when、where、who、what),即網路能夠跟蹤記錄下網路上的事件和出現的變化,網路管理員可以根據詳細的日誌報告採取相應的防範措施。由於有了對網路運行的記錄,對網路的分析也是主動的,從而排除一些安全隱患。網路安全措施可以分為兩種:一種是直接防範或稱為訪問控制。這種方法往往針對已知的可能的入侵手段和方式。另一種是間接防範措施或稱為審計(auditing),它將網路中的各種事件記錄到一個資料庫中為評價網路安全提供材料。這兩種方式相輔相成。通過審計可以發現網路中存在的問題和安全漏洞,然後通過直接措施加以彌補和改善,解決之後又可以通過審計檢查結果。還有一些措施如模擬攻擊,也可以通過日誌來發現問題。
構建網路安全體系的重要因素主要有:明確網路資源、確定網路訪問點、限定訪問許可權、確認安全隱患、內部的安全問題。而novell的nds可以從以上各個方面提供解決措施。
明確網路資源 在網路安全方面,常見的一個問題就是網路管理員不能得到一個關於網路的全面拓撲圖,特別是隨著網路的不斷增長和變化,掌握網路的全面情況就更加困難,因而給網路管理員提供一個清晰的網路視圖十分重要。nds將網路中所有資源以對象的方式保存在嚴格的樹形結構資料庫中,這些對象包括:網路用戶、伺服器、交換機、應用程式等。它能為網路管理員提供一個清晰集成的網路結構的視圖。通過這個網路結構圖,可以清楚地辨識每個使用者在網路上的身份、地位、許可權、位置和所處的部門,並且可以清楚地看出他與整個網路的對應關係。另外,這個結構圖是非常具有彈性的。它可以根據實際網路發生的變化和增長而隨時調整,因而可以保證與實際運行的網路是高度一致的。這種集中的統一管理方式大大減輕了網路管理人員出錯的可能。
確定網路訪問點 網路管理員應當了解潛在的非法入侵者會何時何地進入系統。對網路的非法入侵有內部和外部兩個方面。企業與internet相連不可能完全杜絕從外部訪問公司的內部數據。基於nds的安全解決方案使用戶無論在網路的哪個地方都可識別他的身份。nds是一個優秀的網路安全平台,建立在novell目錄服務之上的套用可以靈活地控制網路邊界、嚴把網路安全關口。bordermanager是利用nds架構網路安全信息結構的出色代表,除了提供防火牆、認證等服務之外,還能提供虛擬專網和代理快取等多項增值服務,它使用戶在不犧牲網路速度的條件下確保網路的安全運行。
限定訪問許可權 制定用戶訪問的範圍(許可權),約束用戶的訪問許可權,在網路中必須構築多道屏障,使非法入侵者不能自動進入整個系統,特別是要注意對於網路中關鍵資料庫或敏感地區的防範。在企業內部,通過基於nds的套用能夠嚴格約束用戶的訪問許可權,能夠根據不同部門對安全性的要求分別設定安全許可權,將不同安全級別的部門分隔開,任何用戶都不能越權越界進行訪問,它仿佛在企業內部設立一道屏障。
確認安全隱患 每個安全系統都有一定的安全防範措施,在網路管理中必須認真檢查和確認安全,否則隱藏的問題就會成為系統潛在的安全漏洞,必要時須設立安全防護崗,24小時全天候動態監測,確保網路安全,同時需考慮人為因素對網路安全的影響。堡壘容易由內部攻破,因此加強內部防範和堵塞漏洞是最好的防範機制。 nds的重要特點在於它能夠保存數年運行的跟蹤記錄。這些日誌記錄相當詳盡,可以通過分析這樣的記錄來查找網路系統存在的安全隱患,使之得到解決。把審計的工作交給基於nds的套用也非常合適,利用目錄的信息建立完整的日誌和報表將大大方便網路管理員在網管工作中的“查漏補缺”。novell為網管人員提供了一個稱為managewise的工具,配合第三方開發工具,能利用nds自動對網路事件進行記錄、跟蹤和監視,有助於防範網路設定上出現的安全漏洞,降低網路安全管理成本並減少網管人員的工作量。
內部的安全問題 根據icsa的報告,有80%的非法入侵事件來自於防火牆內部,這主要是目前提供的一些內部保護措施比較單一。基於nds的安全措施能有效解決內部互訪、管理維護及安全認證等問題。
nds能夠提供切實有效的網路安全的全面解決方案,能安全地控制網路資源和用戶賬號以及對nds資料庫中對象屬性的訪問,使得網路管理員可以從一個集中點實現對整個網路的訪問和安全控制。
nds能安全地控制網路資源和用戶賬號以及對nds資料庫中對象屬性的訪問。要查看對象,用戶必須對該對象具有適當對象許可權。為了查看和修改與一個對象有關的信息,用戶還必須有適當的屬性許可權。在nds中,對象和屬性許可權沿著樹往下流,就如同檔案系統中許可權一樣。當許可權沿著樹往下流的時候,這種許可權被稱為繼承許可權。如果你需要確保某些許可權不被nds樹的某個分支所繼承,可以使用繼承許可權篩選(irf),irf類似於檔案系統許可權篩選的概念,通過irf,許可權可以被取消並且不被獲取。使用許可權篩選程式,你可以指定哪種許可權能被繼承。如果一個指定的許可權出現在列表中,那么它就可以被繼承。irf也可以用於屬性許可權,它與irf用於對象許可權的方法相同。在使用irf篩選管理許可權時會出現例外。如果你篩選出管理屬性許可權而沒篩選出管理對象許可權,那么從上面繼承了管理對象許可權的對象,不受irf屬性的影響,這是因為管理對象許可權允許所有的屬性許可權。
在nds中,對象用於管理和查看目錄內的對象,對象許可權有五種類型,分別是browse(瀏覽)、create(創建)、delete(刪除)、rename(換名)、supervisor(管理)。每個對象都有一組屬性,每個屬性都有與它相關的許可權,這些許可權控制哪些用戶或者其它對象可以操作屬性,一共有五種屬性許可權,分別是compare(比較)、read(讀取)、add or delete self(增加或刪除自身)、write(寫入)、supervisor(管理)。在nds中創建一個用戶對象時,賦予用戶對象本身對該對象所有屬性的讀取許可權和對於他的註冊腳本和列印作業配置屬性的讀取和寫入許可權。與每個對象都有關的是訪問控制表(acl)的屬性,它列出並控制著誰具有許可權以及對象具有哪些許可權。如果一個對象有寫入acl的許可權,那么那個對象就可以修改它的任何許可權。
安全保密服務(security service)永遠是公司主管對企業網路管理最重要的一環,包含網路設備、系統操作平台、網路操作平台、套用軟體、資料庫及internet的安全。nds擔當此安全紐帶,可以串起各個層級的安全系統,創建起一道密不透風的防護網。目錄服務不僅要作為網路資源信息的存置所(network resource repository),此目錄服務還必須能作為密匙(key)的保存庫並提供在此目錄中的對象之間互相驗證(authentication)的功能。
當前看來,public key的驗證系統配合著目錄服務是業界認為可行的方法,因為public key解決了密匙分配(key distribution)的難題,而在public key驗證系統中很重要的public key可放在目錄內供人拿來做為加密(encryption)及驗證收發兩方身份的真偽。novell的nds正是採用rsa的public key驗證系統。當nds成為internet的目錄服務標準時,所有的授權及保密皆可通過nds來達成。集成新的安全功能技術,為程式開發人員及企業客戶提供在企業網路的應用程式中使用先進的國際網路安全技術。此項新功能將加強nds獨特的管理能力,並且將使netware 成為保密商業交易的領導平台。這種基於rsa公鑰/私鑰加解密算法的驗證服務使用私鑰屬性和數字簽名來驗證用戶身份,驗證是基於會話的。用戶簽名僅在會話期間才有效。然而用戶不需要在要求使用新的服務和套用時重新授權,因為重新授權在後台自動進行。網路管理員是能夠改變網路與目錄配置的唯一個人。隨著nds日益成為一種通用的跨平台的internet/intranet目錄,它的安全性將進一步顯露出來。
網路管理員可以從一個集中點實現對整個網路的訪問和安全控制,他們就可以管理更多的資源,從而達到提高生產效率,降低管理成本的目的。另外,通過nds進行安全管理,不僅具有良好的伸縮性,而且允許管理員通過某種可控的安全方式,將某些訪問管理的職責予以下放,由於所有用戶的身份驗證都是通過nds進行處理的,管理員無需再對分布在不同產品和目錄中的大量訪問控制信息和安全信息進行管理,這既減少了出錯的風險,也確保了高水平的安全性能。另外,也可以通過對nds的單一登錄,實現對授權的所有網路資源的訪問,而不管他們進入網路時所處的位置如何。他們可以從任何地點,通過直接連線的lan工作站、撥號連線的lan工作站,或是internet連線的遠程vpn客戶機進行登錄。單一登錄也就意味著用戶只需記住一個口令,從而使他們能夠很快地獲得其所需的資源,最大限度地提高他們的生產效率。
基於nds的驗證要比傳統的tcp/ip的安全機制安全得多。tcp/ip的安全性比較弱,主要是因為它是基於ip地段或網段的,而不是基於用戶本身的。例如:如果某個職工的工作站不具有某種特殊資源的訪問許可權,他只要到另一個具有該訪問許可權的職員的工作站上去就可以了。而動態的主機控制協定(dhcp)的情況更糟,因為它的每個用戶的機器地址是動態變化的,這使得這種基於標識的管理根本無法實現。nds提供的安全性是以用戶為中心的,而不是以機器或ip網段為中心。這使得管理員可以同時根據資源標識和用戶標識來建立網路的安全管理。當某個用戶進行登錄時,系統是根據用戶標識和訪問授權來確定接受或拒絕其網路資源的訪問,而與用戶正在用來進行登錄的工作站標識無關。