MCP of DK <mcp_dk@ofir.dk> wrote:
> Jeg har en eksamensopgave hvor jeg er blevet bedt om at komme med et
> løsningsforslag til hvordan alle studerende og ansatte på skolen kan få
> ekstern adgang via internettet til filer placeret på Netware filserverne
> uden at kompromittere sikkerheden.
> Et andet spørgsmål er hvordan det kan blive muligt at medbringe sin egen
> bærbare computer på skolen og få adgang til servererne uden at det ødelægger
> sikerheden?
Der vil altid vaere en risiko i at aabne en ny service. Udfordringen ligger
saa i at man tager hoejde for denne risiko saa meget som muligt, saa alle
(isaer ledelsen/de ansvarlige) er klar over hvilke risiko der er gaeldende,
og hvad der er blevet gjort for at minimere disse.
Jeg kender ikke meget til Netware saa jeg ved faktisk ikke om der findes
specifikke loesninger til dette system. Til selve adgangen skal du bruge en
teknologi (f.eks. SSH eller et rigtigt VPN) som giver krypteret adgang
mellem to endepunkter. Teknologien skal understoette staerk authentication
(erhm, dansk?) dvs. noget andet end brugernavne og kodeord.
Kodeord er alt for lette for en angriber at faa fat i (enten ved at gaette
dem, sniffe dem, etc), og det er meget svaert at vide om disse er blevet
kompromiteret eller ej. Led efter information om Kerberos, SecurID, S/Key
samt RSA/DSA noeglefiler. Vaelg den loesning som passer bedst til dit
formaal.
Du skal have en metode som definerer hvem der har adgang, og hvad hver
bruger skal have mulighed for at goere, og du skal regelmaessigt verificere
at dine antagelser er korrekte.
Ud over at give denne adgang udefra skal du gaa ud fra, at paa et tidspunkt
kommer der en ond person ind gennem det adgangspunkt du har sat op, og det
skal du tage hoejde for paa forhaand. Soerg for, at adgangspunktet kun giver
adgang til de services (fildeling) du har brug for, og at der er sekundaer
authentication sat op for at tilgaa disse services. Gaa maskinen igennem og
goer det saa svaert som muligt for en ond bruger med lokal adgang at faa
super user adgang.
Hvis du har erfaring med at angribe systemer kan du saette dig ned og
beskrive hvordan du ville angribe systemet, og for hver "attack avenue"
(erhm, dansk?) hvad du har valgt til at forhindre ditto.
Mit dansk er totalt godt.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.area51.dk/