vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisnächstes Kapitel


19

Novell

Ich kenne viele fähige Novell-Netzwerkadministratoren, die den Tag fürchten, an dem ihr Chef ihnen vorschlagen wird, ihr LAN mit dem Internet zu verbinden. Denn obwohl Novell seit 1991 über TCP/IP-Unterstützung verfügt, haben viele Novell-Netzwerker zu wenig praktische Erfahrung mit dem Internet. (Zumindest bei meinen Kunden wird Novell hauptsächlich in Geschäftsumgebungen wie Anwaltskanzleien oder Arztpraxen eingesetzt.)

Wenn Sie für ein Novell-Netzwerk verantwortlich und vor kurzem gebeten worden sind, für einen Internet-Anschluß zu sorgen, müssen Sie sich keine Sorgen machen. Sie können Microsofts Marketing-Maschine ohne Bedenken ignorieren: Novell ist eine ausgezeichnete Plattform für die Einrichtung eines Web-Servers.

19.1 Interne Sicherheit

Die Zugriffskontrolle von NetWare ist ausgezeichnet und ermöglicht sogar zeitliche Beschränkungen. (Der Zugang eines Benutzers kann auf bestimmte Stunden und Wochentage eingeschränkt werden.) Außerdem gibt es eine Paßwortalterung, und Paßwörter, die zu kurz sind oder schon einmal verwendet wurden, können automatisch zurückgewiesen werden.

Auch die Kontrolle über Dateien und Verzeichnisse ist sehr gut. Zum Beispiel kann man Verzeichnissen die folgenden Eigenschaften zuweisen:

Die Kontrolle über Dateien, die NetWare anbietet, ist sogar noch strukturierter. Zusätzlich zu den obigen Eigenschaften kann ein Novell-NetWare-Systemadministrator noch folgende Attribute verwenden:

Und das war noch nicht alles. Bei NetWare können Sie sogar den physikalischen Ort einschränken, von dem aus ein Benutzer sich anmelden darf. (Sie können also z.B. festlegen, daß Michael sich nur von seiner eigenen Workstation aus einloggen darf. Von jedem anderen Computer wird ihm der Zugriff verweigert.) Um das zu erreichen, müßten Sie jedoch festlegen, daß alle Benutzer auf dieselbe Art eingeschränkt sind.

Hinweis:

NetWare verfügt auch über Vorkehrungen für eine Vertrauenshierarchie. D.h., Sie können für jeden LAN-Abschnitt Verwalter bestimmen und jedem Verwalter eine Gruppe zuweisen. So können die tatsächlichen Ebenen von Vertrauen und Verantwortung, die in einem Unternehmen existieren, auf das Rechnernetz übertragen werden.

All diese Eigenschaften machen Novell zu einer ausgezeichneten Web-Server-Plattform. Denn sogar wenn ein externer Angreifer einen Bereich des Systems bloßlegt, gibt ihm das noch lange keinen privilegierten Zugriff auf das gesamte Dateisystem. Auch wenn er in das Netz eindringen konnte, muß er immer noch alle üblichen Sicherheitskontrollen passieren, die der Supervisor eingerichtet hat. Remote-Sicherheit ist jedoch nicht Ihre größte Sorge.

NetWare ist von jeher anfälliger für Angriffe aus dem eigenen Netz. Lokale Benutzer mit physikalischem Zugang sind daher Ihr größter Feind. Es gibt viele Methoden, Novell an der Konsole zu knacken. Hier ein paar klassische:

Im folgenden gehe ich kurz auf unterschiedliche Konsolen-Angriffe ein sowie ihre Ursachen und Abwehrmaßnahmen.

19.2 Default-Paßwörter

Fast jedes Netzwerk-Betriebssystem hat mindestens einen Default-Account, der kein Paßwort benötigt. Novell macht da keine Ausnahme.

Bei einem frisch installierten NetWare ist der Supervisor-Account paßwortlos, bis ein Paßwort gesetzt wird. (Das System erzwingt also kein Paßwort.)

Hinweis:

Seltsamerweise erzwingen viele Betriebssysteme bei der Installation kein Paßwort. Slackware Linux ermöglicht es Ihnen z.B., sich nach vollendeter Installation ohne Paßwort als root einzuloggen. Es bleibt Ihnen überlassen, ob Sie ein Paßwort setzen wollen oder nicht. Im Gegensatz dazu erzwingen SunOS und Red Hat Linux beim ersten Booten das Setzen eines Paßworts. Dieses Vorgehen ist sehr weise und sollte bei jeder Plattform eingeführt werden.

Noch schlimmer ist, daß bei der Installation ein guest-Account eingerichtet wird. Bei bestimmten Distributionen ist auch dies ein paßwortfreier Account. Das ist natürlich ein einfacher Angriffspunkt für Eindringlinge. Wenn Sie keinen guest-Account benötigen, sollten Sie ihn in SYSCON unbedingt löschen. Wenn doch, sollten Sie ihm unmittelbar nach der Installation ein Paßwort zuweisen.

Hinweis:

Novell Netware 4.x hat zwei weitere Default-Accounts, die nach der Installation kein Paßwort haben: ADMIN und USER_TEMPLATE.

19.2.1 Schwachstelle FLAG

Version: NetWare (generell)

Auswirkungen: FLAGs Dateiberechtigungen können umgangen werden.

Einstufung: kritisch

Abhilfe: Verwenden Sie FLAG nicht.

Beigetragen von: Tont0 in Phrack

Beschreibung: Das mit NetWare gelieferte FLAG-Utility wird zum Setzen von Datei-Attributen verwendet (z.B. read, write, execute, hidden). Diese Attribute können auf Dateien von einem DOS-Dateisystem angewendet werden. Leider kann ein Angreifer den DOS-Befehl ATTRIB verwenden, um die mit FLAG gesetzten Eigenschaften zu überschreiben.

19.2.2 Schwachstelle Login-Script

Wenn der Supervisor unter Novell 2.x und 3.x kein Login-Script definiert, können Cracker ein Login-Script im Mail-Verzeichnis des Supervisors plazieren. Es ist nicht geklärt, zu welchem Grad der Gefährdung dies führen könnte. Auf jeden Fall kann so aber das Supervisor-Paßwort abgefangen werden. Außerdem stehen dem Autor eines Login-Scripts viele Parameter zur Verfügung. Die Vorstellung, daß ein Supervisor kein Login-Script erzeugt, scheint zwar absurd, aber ich habe schon gesehen, daß einige die Default-Einstellungen verwenden. Das sind meistens Anfänger. In späteren Versionen der Software wurde dieses Problem behoben.

19.2.3 Sniffer und Novell

Sniffer werden verwendet, um sich heimlich Login-IDs und -Paßwörter anzueignen. Zum Glück sind Sniffer-Attacken gegen moderne NetWare-Server nicht sehr effektiv. (Versionen nach 2.0a verwenden eine Verschlüsselung zum Schutz der während des Anmeldeprozesses übermittelten Paßwörter. Solange sowohl auf der Client- als auch der Server-Seite Verschlüsselung eingesetzt wird, ist Sniffing kein kritisches Problem.)

Hinweis:

Ich sollte die Aussage des obigen Abschnitts vielleicht etwas einschränken. Ein Angreifer kann verschlüsselte Paßwörter abfangen und z.B. zu sich nach Hause oder in sein Büro mitnehmen. Dort könnte er sie dann mit Hilfe eines Paßwort-Utilities knacken.

Bei Versuchen, in NetWare-Netzwerken Paßwörter zu stehlen, werden meistens Tastatur- Recorder verwendet. Diese Utilities sind jedoch nur mit Einschränkugen verwendbar und müssen sich z.B. auf demselben Netzwerksegment oder -Interface wie das Zielsystem befinden. Deshalb ist es ein leichtes, die einzelnen Workstations vor Tastatur-Recordern zu schützen.

Cracker plazieren Tastatur-Recorder selten auf Clients ohne Festplatte, da Disketten sehr wenig Speicherplatz haben und Sie somit nicht lange nach fremden Dateien suchen müssen. Auf Festplatten mit verzweigten Verzeichnisstrukturen dauert die Suche da schon länger. Wahrscheinlich ist das Utility eine verborgene Datei, die umbenannt worden ist. (Sie brauchen wohl kaum nach Files mit Namen Gobbler oder Sniffer zu suchen. Cracker und Hakker schreiben vielleicht Programme mit ausgefallenen, lustigen Namen, aber wenn sie diese Tools einsetzen, versehen sie sie mit unauffälligeren Namen.)

Sie können auf unterschiedliche Weise suchen, z.B. durch Prüfsumme/Größe. Dabei berechnen Sie die digitalen Fingerabdrücke aller bekannten Tools, die die NetWare-Sicherheit verletzen. Dann scannen Sie in regelmäßigen Abständen alle Platten-Volumes nach übereinstimmenden Signaturen ab. Wenn Sie eine finden, haben Sie einen Cracker aufgespürt.

Eine andere Methode (mehr Marke Eigenbau) ist die Verwendung von Utilities wie Grep oder Awk. Die meisten Crack-Utilities enthalten Zeichenketten mit einem ganz bestimmten Text. (Cracker fügen dem Code oft einen Slogan, Spitznamen oder Kommentar hinzu.) Durch Verwendung von Grep, Awk oder anderen Utilities mit effektiven Suchmöglichkeiten für reguläre Ausdrücke können Sie solche Dateien identifizieren.

Hinweis:

Cracker plazieren Tastatur-Recorder oft in den in der Pfadangabe stehenden Verzeichnissen. Deshalb sollten Sie Ihre Suche dort starten. (D.h., sehen Sie zuerst in der autoexec.bat nach und prüfen Sie danach auch die plattenlosen Workstations.)

Sie müssen sich nur dann größere Sorgen um Sniffing-Attacken machen, wenn Ihr Netzwerk ältere NetWare-Versionen als 2.0a beherbergt. Bei diesen antiquierten Versionen ist das Paßwort-Verschlüsselungsschema deaktiviert. (Das ist laut dem Novell NetWare Version 3.11 Installation Guide sogar erforderlich.)

Wie schon an früherer Stelle erwähnt, birgt dies einige Risiken. Paßwörter werden auf solchen Systemen in Klartext übertragen. Unter solchen Umständen würde ein Cracker sehr davon profitieren können, einen Paket-Sniffer einzusetzen, und das ist in Cracker-Kreisen auch bekannt. Wenn Sie momentan in dieser Situation sind, sollten Sie diese Informationen an eine andere Stelle verschieben und das Betriebssystem upgraden. (Zusätzlich könnten Sie den betroffenen Fileserver von Netzwerksegmenten abkoppeln, die vor Sniffing-Attacken sicher sind.)

19.3 Remote-Angriffe auf NetWare

19.3.1 Das PERL-Sicherheitsloch

Version: NetWare 4.1 und IntranetWare

Auswirkungen: PERL.NLM kann verwendet werden, um beliebigen Code auszuführen.

Einstufung: kritisch

Weitere Informationen: http://www.dhp.com/~fyodor/sploits/netware.perl. nlm.html

Abhilfe: Upgrade, oder PERL.NLM deinstallieren

Beigetragen von: Axel Dunkel

Beschreibung: Der Novell Web Server lädt PERL.NLM beim Starten in den Arbeitsspeicher und macht es über Port 8002 verfügbar. Externe Benutzer können dieses Modul verwenden, um uneingeschränkte Berechtigungen für jede Datei auf dem Zielsystem zu erhalten. Dies ist ein vernichtendes Sicherheitsloch, das jedem externen Benutzer ermöglicht, alle Dateien des Zielsystems zu löschen.

19.3.2 Login-Protokoll-Attacke

G. Miller, ein Programmierer und Netzwerkanalytiker, hat eine erfolgreiche Attacke gegen das Login-Verfahren bei Novell 3.12 entwickelt. Das Verfahren verwendet eine Unterbrechung des Anmeldeprozesses in Echtzeit.

Wegweiser:

Die vollständige Beschreibung des Verfahrens von G. Miller finden Sie unter http://geek-girl.com/bugtraq/1996_3/0530.html.

Es handelt sich um einen Spoofing-Angriff, der hängt von vielen verschiedenen Faktoren ab. (Es handelt sich dabei weder um eine einfache noch um eine bekannte Methode.) Sie stellt folgende Bedingungen:

Das Verfahren funktioniert folgendermaßen: Der Angreifer sendet eine Anforderung nach einem Login-Schlüssel aus. Der Server antwortet umgehend mit diesem Schlüssel. Dann wartet der Angreifer darauf, daß ein legitimer Benutzer eine ähnliche Anforderung macht. Wenn dies geschieht, und bevor der Server dem legitimen Benutzer antworten kann, sendet der Angreifer seinen Login-Schlüssel an den legitimen Benutzer. Der Rechner des legitimen Benutzers hält den falschen Schlüssel für den richtigen und ignoriert deshalb alle weiteren Schlüssel. (Dadurch basiert die Authentifizierung des legitimen Benutzers nun auf einem ungültigen Schlüssel.) Nun muß der Angreifer nur noch verfolgen, was weiter zwischen dem legitimen Benutzer und dem Server passiert. Der Rechner des legitimen Benutzers berechnet einen Wert, basierend auf einer von dem Server gesendeten Benutzer-ID. Auf diesen Wert hat es der Angreifer abgesehen, da er sich mit ihm als der legitime Benutzer anmelden kann (und dem legitimen Benutzer wird dann natürlich der Zugang verweigert). Dies ist ein ganz außergewöhnliches Sicherheitsloch. Eine Nachahmung dieses Verfahrens aus dem Nichts heraus ist extrem schwierig, aber nicht unmöglich. Ich denke, daß der Angreifer zumindest mit dem Ziel-Server und den Gewohnheiten derer, die ihn routinemäßig benutzen, vertraut sein müßte. Dennoch ist es ein Sicherheitsloch, und es ermöglicht einer externen Person, unbefugt Zugang zu erhalten.

Es gibt nur wenige solcher Exploits für NetWare.

19.4 Spoofing

Beim Spoofing verwendet man einen Rechner, um sich mit ihm als ein anderer auszugeben. Der Sinn der Sache ist, daß man beim Knacken eines entfernten Hosts keine Benutzer-ID oder ein Paßwort hinterläßt. Dazu fälscht man die Absenderadresse von einem oder mehreren Hosts bei der Authentifizierung der Systeme untereinander.

Bei Spoofing denkt man normalerweise an IP-Spoofing. In der NetWare-Umgebung stellt jedoch weniger das IP-Spoofing, sondern vielmehr das Spoofing von Hardware-Adressen ein Sicherheitsrisiko dar.

Für das Spoofing in einer NetWare-Umgebung müssen Cracker die Hardware-Adresse in der Datei NET.CFG ändern.

Hinweis:

Die Datei NET.CFG enthält Boot- und Netzwerk-Parameter. Diese Parameter können manuell verändert werden, wenn die automatisch erzeugten Konfigurationen nicht optimal sind. Die Datei NET.CFG ist ein einfaches, leicht verständliches Hilfsmittel zur Manipulation der Schnittstelle. Gültige Optionen sind z.B. die Anzahl der Puffer, welche Protokolle an die Karte gebunden werden sollen, Port-Nummer, MDA-Werte und natürlich die Node-Adresse.

Die Node-Adresse ist manchmal hardwaremäßig auf der Ethernet-Karte kodiert. Wenn Sie eine zur Hand haben, sehen Sie sie sich einmal genauer an. Die Default-Adresse ist wahrscheinlich auf der Vorderseite der Karte angegeben. Dieser Wert steht manchmal auf einem Aufkleber und ist manchmal in die Platine eingebrannt.

Auf jeden Fall ist es bei den meisten modernen Netzwerkkarten möglich, die Default- Adresse zu ändern. Bei einigen geschieht dies über Jumper-Einstellungen und bei anderen per Software. Die meisten Karten beinhalten heute zudem eine automatische Adreßerkennung (Plug&Play- oder PCI-Ethernet-Adapter).

Beim Spoofing wird die Adresse im NODE-Feld der Datei NET.CFG geändert. Dabei weist der Angreifer dem Node eine Adresse einer anderen Workstation zu. Je nach Netzwerkkonfiguration kann dies schon ausreichen. (Der Rechner wird neu gebootet, neu authentifiziert, und das war`s.) Es kann jedoch auch zu großen Schwierigkeiten kommen, wie einem Systemabsturz, einem Aufhängen oder einem anderen Versagen des Dienstes.

Um eine Spoofing-Sitzung erfolgreich zu Ende führen zu können, »killen« oder anästhesieren manche Cracker den Rechner, als der sie sich ausgeben.

Hinweis:

Wenn sich zwischen dem Angreifer und dem Zielsystem Netzwerkschnittstellen befinden, vergeudet der Angreifer oft nur seine Zeit. (Wenn Pakete z.B. einen intelligenten Hub, eine Brücke oder einen Router passieren müssen, wird das Spoofing wahrscheinlich scheitern...)

In großen Netzwerken sind solche Angriffe schwer zu verhindern. Das ist aus folgendem Grund so: Viele Workstations in einem NetWare-LAN haben keine Festplatte. Ohne physikalische Zugangskontrolle zu Diskettenlaufwerken gibt es keine einfache Möglichkeit, Angreifer daran zu hindern, ihre eigenen Boot-Disketten zu installieren. (Sie müssen nur Disketten erzeugen, mit denen erfolgreich gebootet werden kann.) Ich rate deshalb dazu, sehr kleine, billige Festplatten zu installieren (40 Mbyte reichen aus) und die Diskettenlaufwerke ganz zu entfernen. Das ist jedoch nicht überall möglich. Die beste Verteidigung sind dann eine umfassende Protokollierung und speziell aufgestellte Regeln, um Änderungen der Node-Adresse oder der NET.CFG-Datei aufzuspüren.

Hinweis:

Vielleicht denken Sie jetzt, daß IP-Spoofing auf NetWare-Servern keine ernsthafte Gefahr darstellt. Dem ist aber nicht so. Wenn ein NetWare-Netzwerk TCP.NLM verwendet und IP-Dienste anbietet, liegt IP-Spoofing sehr wohl im Bereich des Möglichen.

19.5 Denial of Service (DoS)

Denial-of-Service-Attacken legen meist einen oder mehrere Netzwerkdienste lahm. Wenn Sie Opfer eines solchen Angriffs werden, sind Sie wahrscheinlich gezwungen, neu zu booten bzw. einige Dienste neu zu starten. Das ist zwar kein größeres Sicherheitsrisiko, aber die Ausfallzeit kann teuer werden.

NetWare ist für mindestens zwei DoS-Attacken anfällig. Eine davon läßt sich sehr einfach umsetzen, aber nur von lokalen Benutzern. Davon betroffen sind Version 3.x und höher. Der Exploit funktioniert folgendermaßen: Der Angreifer greift auf einen Netzwerkdrucker zu und versucht, eine absurd lange Datei zu drucken. Dadurch kommt es zu einem Überlauf des SYS-Volumes, und der Rechner stürzt ab. Dies erfordert natürlich nicht nur physikalischen Zugang, sondern auch einen gültigen Account. Insgesamt ist dies eine Attacke niedriger Priorität, da das System einfach neu gebootet werden kann und das Problem damit gelöst ist.

19.5.1 TCP/IP-DoS auf Novell NetWare 4.x

Version: NetWare 4.x

Auswirkungen: Vollständiger DoS und Systemabsturz

Einstufung: kritisch

Weitere Informationen: http://www.njh.com/latest/9711/971120-03.html

Abhilfe: Setzen Sie sich mit Novell in Verbindung.

Beigetragen von: Meltman

Beschreibung: Diese DoS-Sicherheitslücke ist ein wenig ernster. NetWare ist hier nur ein Opfer unter vielen. Der Exploit ist unter dem oben genannten Link verfügbar. Er funktioniert folgendermaßen: Ein gespooftes Paket wird an das Zielsystem gesendet. Das Paket gibt vor, von derselben Adresse wie das Ziel zu stammen.

Bei NetWare führt dies zu einer 100%-CPU-Auslastung und einem Absturz. (Die angegebene URL enthält Quellcode für den Exploit, der ursprünglich für Windows-95-Rechner geschrieben wurde.)

Momentan ist mir keine Abhilfe für diese Sicherheitslücke bekannt.

19.5.2 FTP-Verwundbarkeit für DoS-Attacken

Bestimmte Versionen des FTP-Servers von NetWare sind für eine Denial-of-Service-Attacke anfällig. (Das wurde auch von Internet Security Systems und Novell bestätigt, und Novell hat einen Patch herausgegeben.) Offensichtlich führt eine gegen den Anonymous-FTP-Server durchgeführte Gewaltattacke zu einem Überlauf und einem Speicherleck. Dieses Leck verbraucht schließlich den gesamten restlichen Speicher, und der Rechner hängt sich auf.

Hinweis:

Eine Gewaltattacke wird in diesem Fall von einem Programm ausgeführt, das den Prozeß des Ausprobierens von Hunderten (oder manchmal Tausenden) Paßwörtern auf einem Server automatisiert.

19.5.3 Probleme durch Zusatzprogramme

Software von Drittanbietern brockt NetWare mehrere Sicherheitslücken ein. Sie können sich vielleicht denken, wer da mal wieder schuld ist.

19.5.4 Die Windows-95-Sicherheitslücke

Version: NetWare (generell)

Auswirkungen: Windows 95 offenbart NetWare-Paßwörter.

Einstufung: kritisch

Abhilfe: Deaktivieren des Caching von NetWare-Paßwörtern

Beigetragen von: Lauri Laupmaa

Beschreibung: In seiner Standardeinstellung cacht Windows 95 NetWare-Paßwörter. Diese landen in der Auslagerungsdatei von Windows 95 und sind leichte Beute für jeden, der über Grep und ausreichenden Speicher für die Suche verfügt. Die Lösung ist, das Caching der Paßwörter in der Netzwerk-Konfiguration zu deaktivieren. (Oder Ihre Auslagerungsdateien von Windows-95-Platten zu entfernen). Diese Schwäche befindet sich in Microsofts NetWare-Client.

19.5.5 Die Windows-NT-Sicherheitslücke

Version: NetWare (generell)

Auswirkungen: Windows NT 4.0 offenbart NetWare-Paßwörter.

Einstufung: kritisch

Abhilfe: keine

Beigetragen von: Patrick Hayden

Windows NT behandelt NetWare-Paßwörter so, daß sie im Klartext in der Datei PAGEFILE.SYS landen. Wieder kann jeder, der über Grep und ausreichenden Speicher für die Suche verfügt (und Berechtigungen, nehme ich an) sich diese Paßwörter aneignen. Das ist ein Microsoft-Problem: Der Schuldige ist Microsofts Client für NetWare. Wenden Sie sich für einen Fix an Microsoft (oder benutzen Sie statt dessen den Novell-Client).

19.6 Utilities zur Sicherung und Verwaltung von
Novell-Netzwerken

Die folgenden Utilities sind für die Sicherung Ihres Servers oder die Verwaltung Ihres Novell-Netzwerks unverzichtbar.

19.6.1 AuditTrack

AuditTrack ist eines der umfassendsten Audit-Tools, die es gibt. Es protokolliert alle Versuche von Datei- und Server-Zugriffen, bietet eine zentrale Kontrolle über mehrere Hosts, erkennt automatisch bekannte Sicherheitsschwächen und bietet wirksame Filtermöglichkeiten durch selbst definierbare Regeln.

ON Technology/DaVinci Systems Corp.
ON Technology Corporation
One Cambridge, MA 02142
Tel.: 001-617-374-1400
E-Mail: info@on.com URL: http://www.on.com

19.6.2 ProtecNet für NetWare

ProtecNet für NetWare ist ein umfangreiches Sicherheitspaket zur Verbesserung der grundlegenden NetWare-Sicherheit. Es bietet vollständige C-2-Erfüllung für Novell-Netzwerke, einschließlich verbessertem Bootschutz, wahlweiser Zugriffskontrolle, Datenverschlüsselung, Audit-Protokollen, Berichten, Virenprüfung und zentralisierter Verwaltung. Es ist ein kommerzielles Produkt, das sein Geld wirklich wert ist.

NH&A
577 Isham Street, Suite 2-B
New York City, NY 10034
Kontakt: Norman Hirsch
Tel.: 001-212-304-9660
Fax: 001-212-304-9759
E-Mail: nhirsch@nha.com URL: http://www.nha.com/

Mehr Informationen zu ProtecNet für NetWare finden Sie unter http://www.nha.com/protec.htm .

19.6.3 LattisNet-Netzwerkverwaltungssystem

LattisNet ermöglicht eine zentralisierte Verwaltung von Netzwerkressourcen durch SNMP, Autotopologie und die Fernsteuerung von NetWare- und Token-Ring-Netzwerken. Das Paket bietet eine grafische Echtzeitdarstellung der Netzwerktopologie, so daß Sie Netzwerkprobleme schnell erkennen können. (Sie können auch speziell auf Ihre Bedürfnisse abgestimmte Warnmeldungen und Grenzwerte einrichten). Sie können LattisNet zur Steuerung und Verwaltung vieler Arten von Netzwerk-Hardware verwenden, einschließlich Routern, Hubs, Brükken und Switches.

Bay Networks, Inc.
4401 Great America Pkwy.
Santa Clara, CA 95054
Tel.: 001-408-988-2400
URL: http://www.baynetworks.com/

19.6.4 LT Auditor+ v6.0

LT Auditor+ v6.0 ist ein umfangreiches, plattformübergreifendes Audit- und Protokollierungs-Tool für NetWare-Systeme. Es unterstützt nach Zeitplan durchgeführte Protokollierungen und Analysen sowie »sticky« Sicherheitskontrollen. Das sind Zugangsregeln, die auf einzelne Benutzer angewandt werden, unabhängig davon, welchen Server sie in einem Cluster verwenden. Noch wichtiger ist, daß das Programm Echtzeit-Filterung und -Berichterstattung anbietet sowie automatische Alarmfunktionen und zentralisierte Verwaltung dieser Funktionen in Netzwerken, die sowohl NetWare- als auch Windows-NT-Server beherbergen. Dies spart eine Menge Zeit, da Sie NT- und NetWare-Server simultan prüfen können und die Berichte in einem einzigen, integrierten Paket einsehen können.

Blue Lance, Inc.
1700 West Loop South, Suite 1100
Houston, TX 77027
Tel.: 001-800-856-BLUE
URL: http://www.bluelance.com/

19.6.5 Kane Security Analyst für Novell NetWare

Kane Security Analyst ist ein effektives Programm zur Echtzeit-Erkennung von Eindringlingen mit Audit-Funktionen für Novell 3.x und 4.x NDS. Kane überwacht und berichtet über Sicherheitsverletzungen und enthält einige unverzichtbare Tools, einschließlich einem eingebauten Paßwort-Prüfer, automatischer Risikoanalyse, Abwehr von Terminal- und Paket- Übernahmen und einem automatischen Sicherheitsscan, der Ihre gesamte Sicherheit überprüft und über entdeckte Schwachstellen berichtet.

Intrusion Detection Inc.
217 East 86th Suite 213
New York, NY 10028
Tel.: 001-212-348-8900
E-Mail: info@intrusion.com URL: http://www.intrusion.com/

19.6.6 Sicherheitsrichtlinien von Baseline Software, Inc.

Baseline Software bietet vorgefertigte Sicherheitsrichtlinien (Policies) für Novell-NetWare- Netzwerke an. Sie können viel Geld und Zeit sparen, wenn Sie die Sicherheitsrichtlinien von Baseline verwenden. (Richtlinien sind das gefragteste und am wenigsten verfügbare Produkt auf dem Markt. Sie wären überrascht, wenn Sie wüßten, wie viele Unternehmen keine ordentlichen Sicherheitsrichtlinien haben. In Mailing-Listen können Sie jeden Tag Anfragen nach solchen Policies finden.)

Baseline Software, Inc.
PO Box 1219
Sausalito, CA 94966
Tel.: 001-800-829-9955
E-Mail: info@baselinesoft.com URL: http://www.baselinesoft.com/

19.6.7 MenuWorks

MenuWorks ist ein integriertes Front-End für alle Sicherheitsprozeduren auf der Novell- Plattform, das über eine erweiterte Zugriffskontrolle und leicht bedienbare Menüsysteme verfügt.

PC Dynamics, Inc.
31332 Via Colinas, #102
Westlake Village, CA 91362
Tel.: 001-818-889-1741
Fax: 001-818-889-1014
E-Mail: sales@pcdynamics.com URL: http://www.pcdynamics.com/

19.6.8 AuditWare für NDS

AuditWare für NDS ist ein fortgeschrittenes Audit- und Analyse-Tool für Netzwerkverwalter. Mit AuditWare können Sie potentielle Sicherheitsverletzungen identifizieren und vereiteln. (Die Berichte umfassen sogar eine Vergleichsanalyse von Netzwerkressourcen.) AuditWare ist wahrscheinlich das umfassendste NDS-Audit-Paket, das derzeit erhältlich ist.

Cheyenne Directory Management Group
Computer Associates International, Inc.
One Computer Associates Plaza
Islandia, NY 11788
Tel.: 001-516-342-5224
URL: http://www.cheyenne.com/

19.6.9 WSetPass 1.55

WSetPass 1.55 wurde von Nick Payne für Systemadministratoren zur Verwaltung von Benutzer-Paßwörtern über mehrere Server entwickelt. Es funktioniert für Paßwörter von NetWare 2, 3 und 4.x und läuft auf Windows 3.1x, Windows 95 und Windows NT 4.0. Sie können mit WSetPass unterschiedliche Server zusammenbringen und die Paßwort-Aktualisierung für alle Server im Netzwerk synchronisieren.

Wegweiser:

WSetPass 1.55 finden Sie unter http://ourworld.compuserve.com/homepages/nick_payne/wsetpass.zip .

19.6.10 WnSyscon 0.95

WnSyscon 0.95 ist eigentlich SYSCON für Windows. Es ermöglicht Ihnen die Verwaltung Ihres Novell-NetWare-Servers von einer Windows-Plattform aus. Sie können dieselben grundlegenden Arbeiten vornehmen, die Sie sonst an der Fileserver-Konsole durchführen. Der Autor von WnSyscon ist unbekannt.

Wegweiser:

WnSyscon 0.95 finden Sie unter ftp://ftp.novell.com/pub/nwc-online/ utilities/wnscn095.zip.

19.6.11 BindView EMS

BindView EMS ist ein umfangreiches Netzwerkverwaltungs- und Sicherheits-Tool. Es kann Ihr Netzwerk erfolgreich auf Sicherheitslöcher analysieren und identifiziert Problembereiche, Plattennutzung, Benutzerrechte und sogar die Vererbung von Benutzerrechten. Außerdem können Sie den Status von Objekten untersuchen, einschließlich aller Attribute von Dateien. Dieses umfassende Paket zur Netzwerkverwaltung ist ein kommerzielles Produkt.

Wegweiser:

BindView EMS finden Sie unter http://www.bindview.com/

19.6.12 SecureConsole

SecureConsole ist ein Sicherheitsprogramm aus Australien, mit dem Sie Ihre Sicherheit deutlich verbessern können. Es dient dem Schutz der Server-Konsole und ermöglicht eine verbesserte Zugriffskontrolle und weitreichende Audit-Möglichkeiten.

Wegweiser:

SecureConsole finden Sie unter http://www.serversystems.com/secure.htm.

19.6.13 GETEQUIV.EXE

GETEQUIV.EXE analysiert Privilegien-Übereinstimmungen von Benutzern des Netzwerks. (Wären Sie nicht überrascht, wenn Sie feststellen würden, daß jemand die gleichen Privilegien hat wie der Supervisor?) Es ist ein solides Tool zur schnellen Einschätzung der Sicherheitsebenen.

Wegweiser:

GETEQUIV.EXE finden Sie unter ftp://mft.ucs.ed.ac.uk/novell/utils/ jrb212a.zip.

19.7 Utilities zum Knacken von Novell-Netzwerken oder Testen ihrer Sicherheit

Die folgenden Tools wurden entweder von Personen geschrieben, die eine Verbesserung der Netzwerksicherheit anstrebten, oder von Crackern. Alle haben eines gemeinsam: Sie können verwendet werden, um in ein Novell-Netzwerk einzudringen.

19.7.1 Getit

Getit soll von Studenten der George Washington High School in Denver, Colorado, geschrieben worden sein und dient dazu, Paßwörter auf einem Novell-Netzwerk abzufangen. Das Programm ist in Assembler geschrieben und deshalb sehr klein. Dieses Tool wird durch eine beliebige Instanz der Applikation LOGIN.EXE angestoßen, das bei Novell zur Authentifizierung und zum Starten einer Login-Session auf einer Workstation verwendet wird. Aufgrund seiner Arbeitsweise ist Getit mit einem Sniffer vergleichbar. Es arbeitet direkt auf Betriebssystemebene und hört Aufrufe an Int 21h ab (und löst diese aus). Getit ist wahrscheinlich das bekannteste Hacking-Tool für NetWare, das je geschrieben wurde. Sie finden es unter ftp:/ /ftp.fc.net/pub/phrack/underground/misc/getit.zip.

19.7.2 Burglar

Burglar ist ein etwas dubioses Utility. Es kann nur verwendet werden, wenn man physikalischen Zugriff zu dem NetWare-Fileserver hat. Es ist ein NLM (NetWare-ladbares Modul). Die meisten NetWare-Programme, die auf dem Server ausgeführt werden, sind ladbare Module. (Dies umfaßt alles vom Systemmonitor bis zu einfachen Anwendungen wie Editoren.) Das Utility wird normalerweise auf einer Diskette gespeichert. Manchmal muß der Angreifer den Server neu booten. Wenn der Angreifer dann an den Server-Prompt gelangt (ohne von paßwortgeschützten Programmen aufgehalten zu werden), wird das Utility in den Speicher geladen. Das führt dann zur Einrichtung eines Accounts mit Supervisor-Privilegien. Die Auswirkungen dieses Utilitys auf Novell-Netzwerke waren allerdings wahrscheinlich nur sehr gering, da Fileserver selten ungeschützt zugänglich sind. Sie finden Burglar unter http://www2.s- gimb.lj.edus.si/natan/novell/burglar.zip.

19.7.3 Spooflog

Spooflog, von Greg Miller in C geschrieben, ist ein Programm, das einer Workstation vortäuschen kann, daß sie mit dem Server kommuniziert. Das ist ein ziemlich fortgeschrittener Exploit. Ich sollte an dieser Stelle anmerken, daß Greg Miller kein Cracker ist. Er stellt diese Programme über das Internet zur Verfügung, damit die allgemeine Netzwerksicherheit verbessert wird, und hat keinerlei Verbindungen zu radikalen Randgruppen.

Wegweiser:

Spooflog (und den Quellcode) finden Sie unter http://members.iglou.com/ gmiller/.

19.7.4 Setpass

Setpass, ein weiteres ladbares Modul, gibt dem Benutzer Supervisor-Status. Auch dieses Modul erfordert physikalischen Zugriff auf den Rechner. Im Grunde ist es eine Abwandlung von Burglar. Es funktioniert (Berichten zufolge) auf Novell Netware 3.x bis 4.x. Sie finden Setpass unter http://www.execulink.com/~chad/midnight/novell/setpass.zip.

19.7.5 NWPCRACK

NWPCRACK ist ein Gewaltattacken-Utility zum Knacken von Paßwörtern auf der Novell- Plattform. Dieses Utility wird am besten von einem entfernten Rechner aus verwendet, da es die Paßwörter über längere Zeiträume hinweg bearbeitet. Der Autor weist darauf hin, daß es Verzögerungen zwischen Paßwortversuchen gibt und die Gewaltattacke deshalb einige Zeit dauern könnte. Das Utility funktioniert wahrscheinlich am besten, wenn der Cracker ein Netzwerk angreift, über das er Informationen hat (z.B. über die Leute, die den Rechner benutzen). Davon abgesehen glaube ich, daß ein Tool für Gewaltattacken gegen eine Umgebung wie NetWare wahrscheinlich ziemlich unpraktisch ist. Dennoch gibt es Cracker, die darauf schwören. Sie finden NWPCRACK unter http://www.digital-gangsters.com/hp/ utilities/nwpcrack.zip.

19.7.6 IPXCntrl

IPXCntrl von Jay Hackney ist ein hochentwickeltes Utility, das die Fernsteuerung von jedem beliebigen, bloßgestellten System ermöglicht. Das Paket enthält so etwas wie einen Client und einen Server, obwohl diese kein Client und Server im herkömmlichen Sinne sind. Sie werden Master und Minion (Lakai) genannt. Der Master lenkt den Minion über externe Leitungen. Mit anderen Worten überzeugt diese Software das Netzwerk davon, daß die Tastatureingaben von dem Minion kommen, obwohl sie eigentlich vom Master stammen. IPXCntrl läuft als ein TSR-Programm (Terminate and Stay Resident), das im Hauptspeicher verbleibt, auch wenn es gerade nicht ausgeführt wird. Sie finden es unter http://home1.swipnet.se/ ~w-12702/11A/FILES/IPXCTRL1.ZIP.

19.7.7 Crack

Crack ist ein Paßwort-Knacker für die Novell-NetWare-Plattform. Dieser Paßwort-Knacker basiert auf einer Wortliste (ähnlich wie sein Namensvetter für Unix). Er ist ein umfassendes Tool, das nicht erfordert, daß NetWare sich auf der lokalen Platte befindet. Ein gutes Tool zum Testen Ihrer Paßwörter.

Wegweiser:

Crack finden Sie unter http://www.mechnet.liv.ac.uk/~roy/freeware/ crack.html.

19.7.8 Snoop

Snoop ist wirklich gut. Es sammelt Informationen über Prozesse und die Shell. Ein ausgezeichnetes Tool zum Sammeln von Informationen über jede einzelne Workstation und zum Beobachten der Shell.

Wegweiser:

Snoop finden Sie unter http://www.shareware.com/code/engine/File?archive=novell-netwire&file=napi%2fcltsdk1e%2fsnoop%2eexe&size=102625 .

19.7.9 Novelbfh.exe

Novelbfh.exe ist ein mit Gewalt vorgehender Paßwort-Knacker. Er probiert so lange unterschiedliche Buchstabenkombinationen durch, bis er das Paßwort schließlich knackt. Das Problem bei diesen Utilities ist natürlich, daß sie sehr viel Zeit benötigen. Wenn der Supervisor die intruder detection aktiviert hat, wird es außerdem zu einer Sperrung des Accounts (intruder detection lockout - IDL) kommen. IDL funktioniert durch Setzen eines Grenzwertes, der die Anzahl von fehlgeschlagenen Login-Versuchen festlegt, die ein Benutzer durchführen darf. Zu diesem Wert wird die Bad Login Count Retention Time addiert. Das ist der Zeitraum (voreingestellt mit 30 Minuten), währenddem fehlgeschlagene Login-Versuche dem IDL-Schema zugeordnet werden. Wenn also z.B. um 13.00 Uhr ein fehlgeschlagener Login-Versuch gemacht wird, wird die Überwachung dieses Accounts (für diesen IDL) bis 1:30 Uhr fortgesetzt. Um dies noch zu verschärfen, kann der Supervisor auch die Länge des Zeitraums bestimmen, für den der Account gesperrt bleibt. Die Voreinstellung für diesen Wert ist 15 Minuten. IDL ist daher eine vielversprechende Methode zur Abwehr von Gewaltattacken. Wenn diese Optionen aktiviert sind, hat ein Cracker bei einer Novell-NetWare-Plattform keine Chance. Das Programm finden Sie unter http://www2.s- gimb.lj.edus.si/natan/novell/novelbfh.zip.

Tip:

Wenn Sie in Sachen Sicherheit ein Neuling sind und ein Novell-NetWare- Netzwerk verwalten, sollten Sie IDL aktivieren, wenn dies nicht schon der Fall ist. Außerdem sollten Sie - mindestens zweimal wöchentlich - das durch diesen Prozeß erzeugte Audit-Protokoll überprüfen. (Die Ereignisse werden in einer Datei protokolliert.) Sie können diese Protokolldatei (das Äquivalent zu /var/adm/messages und syslog bei Unix) ansehen, indem Sie in das Verzeichnis SYS:SYSTEM wechseln und den Befehl PAUDIT eingeben.

19.7.10 Weitere Tools zum Knacken von Novell

Tabelle 19.1 enthält einige weniger bedeutende Tools zum Knacken von Novell, die aber auch zu einer ernsthaften Gefährdung der Systemsicherheit führen können. Wenn Sie nach ihnen suchen wollen, geben Sie am besten in Ihrer bevorzugten Suchmaschine den Dateinamen als Suchwort ein.

Tabelle 19.1: Wenige bekannte Tools zum Knacken von Novell

Tool

Dateiname

Zweck

CONTROL

control.zip

Verwenden Sie dieses Programm zur heimlichen Steuerung entfernter Server.

FSINFO

fsinfo11.zip

Ein Scanner-ähnliches Utility, das Schwachstellen von lokalen NetWare-Servern aufdeckt.

LA

la.zip

Ähnliche Funktionalität wie CONTROL; ermöglicht Ihnen, heimlich entfernte Server zu steuern.

NetCrack

netcrack.zip

Setzt die Bindery außer Gefecht, so daß Sie alle Paßwörter neu setzen können.

Novell FFS

novellffs.zip

Simuliert einen Fileserver, der verwendet werden kann, um nichtsahnende Benutzer zu spoofen.

RCON

rcon.zip

Dieses Programm attackiert RCONSOLE-Schwachstellen.

SETPWD

retpwd.zip

Wenn Sie physikalischen Zugang zum Server bekommen können, gibt dieses Programm Ihnen Supervisor-Privilegien.

STUDENT

student.exe

Dieses Programm ersetzt LOGIN.EXE und erzielt Supervisor-Zugriff.

SUPE

hack.zip

Gewährt allen Benutzern Supervisor-Rechte, während der Supervisor eingeloggt ist.

19.8 Informationsquellen

Hier finden Sie einige Informationsquellen zur Sicherheit von Novell-NetWare. Es sind Bücher, Artikel, Webseiten und einige Newsgruppen.

19.8.1 Verschiedene Informationsquellen

Novell NetWare Security von MH Software. Dies ist ein spannendes Dokument, das hauptsächlich für FoxPro-Programmierer geschrieben wurde. Es behandelt Schwächen der Novell- Sicherheitsarchitektur und zeigt, wie man diese bei der FoxPro-Entwicklung auf dem NetWare-System berücksichtigen sollte. Mehr Informationen finden Sie unter http:// www.mhsoftware.com/FoxPro_Misc/novell.htm.

NetWare Security in a Nut Shell. Obwohl etwas veraltet, ist dies eine ausgezeichnete Abhandlung über NetWare-Sicherheit, die Themen wie die Sicherheit der NLM-Bindery, des Dateisystems und der Verzeichnisdienste anspricht. Sie finden sie unter http://developer.novell.com/research/devnotes/1996/august/03/02.htm .

Guide for Protecting Local Area Networks and Wide Area Networks. Department of Health and Human Services. Dies ist ein sehr guter, allgemeiner Überblick über die Sicherheitsrisiken in LAN- and WAN-Umgebungen. Sie finden ihn unter http://bilbo.isu.edu/security/isl/lan-doc.html .

TCP/IP and NetWare from Network Technology Professionals. Ein guter FAQ, der sich mit dem Einsatz von TCP/IP auf der NetWare-Plattform befaßt. (Er behandelt potentielle Sicherheitsprobleme beim Einsatz von IP-Source-Routing.) Sie finden ihn unter http:// www.ntp.net/documents/faq/nvfaq-e.htm.

The NetWare Connection: http://www.novell.com/nwc/.

Inside NetWare: http://www.cobb.com/inw/index.htm.

Institute of Management and Administration: http://www.ioma.com/ioma/mlc/index.html.

19.8.2 Usenet-Newsgruppen

Die folgenden Newsgruppen befassen sich mit NetWare:

19.8.3 Bücher

Bulletproofing NetWare: Solving the 175 Most Common Problems Before They Happen. Mark Wilkins und Glenn E. Weadock. McGraw-Hill, 1997. ISBN: 0070676216.

CNE Training Guide: NetWare 4.1 Administration. Karanjit S. Siyan. New Riders Publishing, 1995. ISBN: 1562053728.

NetWare Security. William Steen. New Riders Publishing, 1996.

Novell's Guide to Integrating NetWare and TCP/IP. Drew Heywood. Novell Press/IDG Books Worldwide, 1996.

NetWare Unleashed, Second Edition Rick Sant'Angelo. Sams Publishing, 1995.

A Guide to NetWare for UNIX. Cathy Gunn. Prentice Hall, 1995.

NetWare LAN Management ToolKit. Rick Segal. Sams Publishing, 1992.

The Complete Guide to NetWare 4.1. James E. Gaskin. Sybex Publications, 1995.

Building Intranets on NT, NetWare, Solaris: An Administrator's Guide: Tom Rasmussen und Morgan Stern. Sybex, 1997.

The NetWare to Internet Connection. Morgan Stern. Sybex, 1996.

NetWare to Internet Gateways. James E. Gaskin. Prentice Hall Computer Books, 1996.

Novell's Guide to NetWare LAN Analysis. Dan E. Hakes und Laura Chappell. Sybex, 1994.

Novell's Four Principles of NDS. Jeff Hughes. IDG Books Worldwide, 1996. ISBN: 0- 76454-522-1.

NetWare Web Development. Peter Kuo. Sams Publishing. 1996.

The Complete Guide to NetWare 4.11/Intranetware. James E. Gaskin. Sybex, 1996. ISBN: 078211931X.



vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisKapitelanfangnächstes Kapitel