| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
Sicherheitshandbuch zu Oracle® ZFS Storage Appliance |
| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
|
Sicherheitshandbuch zu Oracle® ZFS Storage Appliance |
Überblick über die Oracle ZFS Storage Appliance-Sicherheit
NFS-Authentifizierung und Verschlüsselungsoptionen
Authentifizierung im Active Directory-(AD-)Domänenmodus
Authentifizierung im Arbeitsgruppenmodus
Lokale Gruppen und Berechtigungen
Administrative Vorgänge über die Microsoft Management Console (MMC)
HTTP (Hypertext Transfer Protocol)
NDMP (Network Data Management Protocol)
SFTP (SSH File Transfer Protocol)
Das SMB-Protokoll (auch als CIFS (Common Internet File System) bezeichnet) bietet hauptsächlich gemeinsamen Zugriff auf Dateien in einem Microsoft Windows-Netzwerk. Außerdem führt es eine Authentifizierung durch.
Folgende SMB-Optionen haben Auswirkungen auf die Sicherheit:
Restrict Anonymous Access to share list (Anonymen Zugriff auf Share-Liste einschränken) – Bei Auswahl dieser Option müssen sich Clients über SMB authentifizieren, um eine Share-Liste abrufen zu können. Ist diese Option deaktiviert, können anonyme Clients auf die Share-Liste zugreifen. Diese Option ist standardmäßig deaktiviert.
SMB Signing Enabled (SMB-Signaturfunktion aktiviert) – Mit dieser Option wird Interoperabilität mit SMB-Clients aktiviert, die die SMB-Signaturfunktion verwenden. Wenn die Option aktiviert ist, werden Signaturen von unterzeichneten Paketen überprüft. Ist die Option deaktiviert, werden nicht unterzeichnete Pakete ohne Signaturüberprüfung akzeptiert. Diese Option ist standardmäßig deaktiviert.
SMB Signing Required (SMB-Signatur erforderlich) – Diese Option kann verwendet werden, wenn eine SMB-Signatur erforderlich ist. Ist die Option deaktiviert, müssen alle SMB-Pakete unterzeichnet sein, da sie ansonsten abgelehnt werden. Clients, die die SMB-Signaturfunktion nicht unterstützen, können sich nicht am Server anmelden. Diese Option ist standardmäßig deaktiviert.
Enable Access-based Enumeration (Zugriffsbasierte Enumeration aktivieren) – Wenn Sie diese Option aktivieren, werden Verzeichniseinträge basierend auf den Zugangsdaten des Clients gefiltert. Hat der Client keinen Zugriff auf eine Datei oder ein Verzeichnis, wird diese Datei aus der Liste der an den Client zurückgegebenen Einträge ausgelassen. Diese Option ist standardmäßig deaktiviert.
Im Domänenmodus werden Benutzer in Active Directory definiert. SMB-Clients können sich über Kerberos oder NTLM-Authentifizierung bei der ZFSSA anmelden.
Wenn sich ein Benutzer über einen vollqualifizierten ZFSSA-Hostnamen anmeldet, verwenden Windows-Clients in derselben oder einer vertrauenswürdigen Domäne die Kerberos-Authentifizierung. Ansonsten verwenden sie die NTLM-Authentifizierung.
Verwendet ein SMB-Client die NTLM-Authentifizierung zur Anmeldung bei der ZFSSA, werden die Zugangsdaten des Benutzers zur Authentifizierung an den AD-Domänencontroller weitergeleitet. Dies wird als Passthrough-Authentifizierung bezeichnet.
Sind Windows-Sicherheitsrichtlinien definiert, die die NTLM-Authentifizierung einschränken, müssen sich Windows-Clients über einen vollqualifizierten Hostnamen bei der ZFSSA anmelden. Weitere Informationen finden Sie im folgenden MSDN-Artikel: http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx.
Nach der Authentifizierung wird für die SMB-Sitzung des Benutzers ein so genannter "Sicherheitskontext" eingerichtet. Der durch den Sicherheitskontext repräsentierte Benutzer besitzt eine eindeutige SID (Sicherheitsdeskriptor). Die SID gibt den Dateieigentümer an und wird zur Bestimmung von Dateizugriffsrechten verwendet.
Im Arbeitsgruppenmodus werden Benutzer lokal auf der ZFSSA definiert. Meldet sich ein SMB-Client im Arbeitsgruppenmodus bei einer ZFSSA an, wird dieser Benutzer lokal über seine Benutzernamen- und Passwort-Hashes authentifiziert.
Über die LAN Manager-(LM-)Kompatibilitätsebene wird das Protokoll angegeben, das verwendet werden soll, wenn sich die ZFSSA im Arbeitsgruppenmodus befindet.
In der folgenden Liste wird angezeigt, wie sich die ZFSSA für die einzelnen LM-Kompatibilitätsebenen verhält:
Ebene 2: Akzeptiert LM-, NTLM- und NTLMv2-Authentifizierung
Ebene 3: Akzeptiert LM-, NTLM- und NTLMv2-Authentifizierung
Ebene 4: Akzeptiert NTLM- und NTLMv2-Authentifizierung
Ebene 5: Akzeptiert nur NTLMv2-Authentifizierung.
Sobald der Arbeitsgruppenbenutzer erfolgreich authentifiziert wurde, wird ein Sicherheitskontext eingerichtet. Für die in der ZFSSA definierten Benutzer wird eine eindeutige SID aus einer Kombination der Rechner-SID und der Benutzer-UID erstellt. Alle lokalen Benutzer werden als UNIX-Benutzer definiert.
Lokale Gruppen sind Domänenbenutzergruppen, die den darin enthaltenen Benutzern zusätzliche Rechte einräumen. Administratoren können Dateiberechtigungen umgehen, um das Eigentümerrecht von Dateien zu ändern. Backupoperatoren können Dateizugriffskontrollen umgehen, um für Dateien Backups zu erstellen und Dateien wiederherzustellen.
Um sicherzustellen, dass administrative Vorgänge nur von Benutzern mit den entsprechenden Berechtigungen vorgenommen werden können, gibt es einige Zugriffsbeschränkungen für Vorgänge, die remote über die MMC vorgenommen werden.
In der folgenden Liste sind die Benutzer und die für sie zulässigen Vorgänge aufgeführt:
Normale Benutzer – Shares auflisten
Mitglieder der Administratorengruppe – Dateiöffnungen und -schließungen auflisten, Benutzerverbindungen trennen, Services und Ereignisprotokoll anzeigen
Mitglieder der Administratorengruppen können außerdem die Share-Ebenen-ACLs festlegen/ändern
Mitglieder der Administratorengruppe – Dateiöffnungen und -schließungen auflisten, Benutzerverbindungen trennen, Services und Ereignisprotokoll anzeigen
Mit dem Virenscanservice können Sie auf Dateisystemebene nach Viren suchen. Bei einem Zugriff auf eine Datei über ein beliebiges Protokoll scannt der Virenscanservice zunächst die Datei. Wird ein Virus erkannt, verweigert der Service den Zugriff auf die Datei und stellt sie unter Quarantäne. Der Scan erfolgt über eine von der ZFSSA aufgerufene externe Engine. Die externe Engine ist nicht im Lieferumfang der ZFSSA-Software enthalten.
Sobald eine Datei mit der neuesten Virusdefinition gescannt wurde, wird sie erst nach der nächsten Änderung erneut gescannt. Virenscans werden hauptsächlich für SMB-Clients angeboten, die einem hohen Virenrisiko ausgesetzt sind. NFS-Clients können ebenfalls Virenscans durchführen. Aufgrund der Funktionsweise des NFS-Protokolls werden Viren jedoch möglicherweise nicht so schnell wie beim SMB-Client erkannt.
In SMB ist keine Verzögerungs-Engine zur Abwehr von Timing-Angriffen implementiert. SMB basiert auf dem kryptografischen Solaris-Framework.
Der SMB-Service verwendet Version 1 des SMB-Protokolls, welches keine Datenverschlüsselung bei Kabelverbindungen unterstützt.
|