Первый взгляд
Функции создания отчетов и аналитические возможности AuditWare усмиряют информационную стихию NDS
Для облегчения управления предприятиями на базе NDS фирма Preferred Systems недавно выпустила ПО AuditWare for NDS 1.0 - мощный инструмент, добавляющий функции создания подробных отчетов и анализа безопасности к службе каталога Novell Directory Services (NDS).
Предприятия растут и меняются, поэтому всегда есть вероятность, что в сложном дереве каталога NDS объекты, представляющие пользователей, устройства, профили, очереди и т. д., окажутся неверными, небезопасными или устаревшими.
Документирование изменений, обнаружение скрытых объектов, которые способны вызвать угрозу безопасности, и отслеживание прав объектов - вот лишь некоторые из возможностей, предоставляемые таким NDS-инструментарием, как AuditWare.
Цена по каталогу ПО AuditWare for NDS, которое было выпущено 30 апреля, варьируется от $695 на один сервер (до 50 пользователей) и до $4495 на один сервер (до 1000 пользователей).
AuditWare представляет собой логическое продолжение продукта DS Standard NDS Manager фирмы Preferred Systems. Поэтому обладатели DS Standard могут приобрести AuditWare с 50%-ной скидкой. ПО DS Standard служит средством, облегчающим переход от серверов NetWare 3.x, основанных на системной таблице bindery, на NDS-серверы NetWare 4.1, а также превосходным инструментом для моделирования и обслуживания деревьев NDS.
На арене управления NDS AuditWare сталкивается с двумя основными конкурентами. Один их них - ПО Kane Security Analyst for NDS фирмы Intrusion Detection, мощный продукт для оценки безопасности, однако не обладающий возможностями AuditWare по созданию отчетов.
Другой потенциальный соперник, - BindView NDS корпорации BindView Development, DOS-приложение для создания отчетов, которое превосходит на системном уровне AuditWare, собирая данные о рабочих станциях и серверах.
Хотя все три продукта являются прекрасными инструментами, наборы их функций весьма отличаются, поэтому сравнение "один к одному" затруднительно. Однако у этого трио есть общая черта: ни один из пакетов не обеспечивает защиту от несанкционированного доступа в реальном времени.
Мастер скоростного аудита
Протоколирование и запоминание взаимодействия 5000 NDS-объектов не являются сильной стороной большинства администраторов сетевых систем. Поэтому хороший пакет для создания NDS-отчетов просто необходим.
Нам понравилась простота и скорость создания отчета любого типа - и все это без увеличения сетевого трафика.
Во время работы AuditWare for NDS пересылает моментальный "снимок" NDS-дерева каждый раз, когда пользователь инициирует процедуру Discover. Мы могли создавать различные виды полного дерева или любой его части и затем сохранять их в базе данных, совместимой с Xbase. Затем эти снимки мы использовали для создания отчетов в автономном режиме.
Такой подход дает возможность удаленному узлу установить AuditWare for NDS, выполнить процедуру Discover для NDS-дерева и затем переправить полученные данные в центральный офис для их полной оценки без подключения к глобальной сети.
Хотя, с другой стороны, AuditWare не может удаленно запрашивать деревья из центрального офиса.
Образы NDS-дерева требуют умеренного пространства на локальном диске (это во многом зависит от количества информации в объектах) и нескольких минут времени, но после первоначальной загрузки обращаться к дереву работающего сервера в дальнейшем не потребуется.
Таким образом, создание отчетов лишь один раз создаст нагрузку серверу; пакет BindView NDS, напротив, должен каждый раз запрашивать сервер, чтобы создать единственный отчет.
Отчеты с легкостью щелчка
Для создания отчета мы выбрали объекты, обратились к списку отчетов и задали нужный нам из списка в 50 - 60 вариантов.
Отчеты были прекрасно отформатированы в отличие от отчетов большинства управляющих пакетов и включали в себя несколько гистограмм.
С помощью нескольких меню мы создали досье различных отчетов, а при помощи пиктограмм на панели действий получили доступ к некоторым важным отчетам.
Первая из опробованных кнопок на панели действий создала простую карту дерева. Другая - Dangerous User Report - показала, кто из пользователей не смог пройти процедуру регистрации из-за несоответствия с конфигурацией учетных записей, временем регистрации и паролем. Использование этого отчета легко выявит слабые места и поможет значительно усилить безопасность.
С помощью других кнопок мы распечатали профиль и проверили целостность структуры дерева (размеры имен и контейнеров, разветвленность дерева). Эти сведения важны для проектирования сбалансированного дерева.
Деньги - не объект
Другой отчет сообщает обо всех невидимых потайных объектах, которые администратор не может увидеть из NetWare с помощью средства NWAdmin, но которые тем не менее существуют, обеспечивая секретный "черный вход" в ЛВС с правами системного администратора.
Эти объекты обычно используются аудиторами, консультантами и пользователями, выполняющими специальное обслуживание, а также для ограничения доступа к принтерам или другим ресурсам.
Отчет AuditWare о скрытых объектах - единственный, который создается при помощи NDS-дерева работающего сервера, а не автономных "снимков". Мы создали объекты скрытых контейнера и пользователя, а AuditWare быстро разыскала их.
К сожалению, список объектов, замечаемых AuditWare for NDS, ограничивается стандартной схемой NetWare 4.1. Объекты, размещенные на расширенной схеме нашего дерева измерительными и распределяющими приложениями, а также остатки базы сетевых ресурсов bindery не попали в отчет и даже не были упомянуты, хотя их легко можно было увидеть с помощью NWAdmin. Однако, если любой из этих объектов окажется скрытым, он появится в отчете Stealth Object.
Для узлов с большим количеством bindery-объектов фирма Preferred Systems предлагает вариант AuditWare, рассчитанный специально на данный тип.
Чтение прав пользователей
Права пользователей можно извлечь из множества источников, например, из эквивалентности безопасности, общего объекта, родительского контейнера и т. д. Эффективные права могут быть намного шире явно заданных. Поэтому отслеживание прав может оказаться трудным делом.
Чтобы помочь в борьбе с беспорядком, опция Object Rights Expert из AuditWare в мельчайших подробностях показывает, каким образом были получены права пользователей.
Однако помните, что Object Rights Expert может генерировать устрашающее количество бумаги, поэтому стоит изучить способы уменьшения параметров отчета, иначе придется затратить много времени.
Нам понравилась возможность пометки изменений дерева. Вторично применяя процедуру Discover к одному и тому же его участку, мы могли затем с помощью средства Fully Distinguished Names сравнить два образа и создать список изменений.
Используя другой подход, мы пометили один объект в качестве базового (такой, как Monty, отличная модель безопасности) и затем сверили с ним похожие объекты.
В AuditWare for NDS настройка отчетов и создание запросов к базам данных весьма просты, впрочем, как и все остальное. Мы осуществили фильтрацию для включения объектов только нужного типа, запустили List Report и выбрали для отчета поля из имеющихся в базе данных NDS. Эта возможность делает тривиальной задачу создания , например, каталога компании.
Модуль фильтрации откликается на основные логические команды, например на поиск всех пользователей в проектном отделе, занимающих более "X" мегабайт дискового пространства. Для построения этих тестов мы использовали мышь, и нам не пришлось изучать никакого языка сценариев.
Наконец, содержимое отчетов можно экспортировать во множество форматов.
Один из часто не замечаемых аспектов администрирования - разрастание, несбалансированный рост дерева. Два отчета показали нам количество объектов по контексту и по контейнерам.
Отслеживая количество объектов, администраторы могут перераспределять части дерева между серверами, с тем чтобы воспрепятствовать наводимому трафику ЛВС, вызываемому обновлениями объекта пользователя во время процедуры регистрации и синхронизации репликации.
Простота ввода в эксплуатацию
Процедура инсталляции приложения AuditWare for NDS на консольном ПК была проста. После завершения начального 4-минутного исследования NDS-дерева программа как бы перестала существовать. AuditWare не использует серверные загружаемые модули NetWare (NLM).
Нам понравился пользовательский интерфейс AuditWare, который строится, собственно, вокруг самого дерева. Главные функции пакета выполняются щелчком мыши на нескольких кнопках.
Необходимо отметить, однако, что AuditWare for NDS требует Windows 3.1 или Windows for Workgroups, рабочие станции Windows 95 и Windows NT пока еще не поддерживаются. ПО AuditWare работает с протоколами IP и IPX.
Хотя печатная документация была краткой, для начала работы ее потребовалось не много. Возникающие информационные пробелы немедленно восполнялись онлайновой помощью.
Однако руководство с образцами отчетов мы нашли действительно полезным, поскольку оно в деталях описывало самые употребляемые отчеты.
В модуль Assistant, поясняющий термины NDS и безопасности, включено также несколько полезных примечаний и советов.
Кен Филлипс
Смотреть рановато
AuditWare for NDS требует Windows 3.1 или Windows for Workgroups, рабочие станции Windows 95 и Windows NT пока еще не поддерживаются
SCOREBOARD
AuditWare for NDS 1.0
Preferred Systems Inc.
+---------------------------------+-----+
|Диапазон поддерживаемых объектов | C |
+---------------------------------+-----+
|Проверка прав | A |
+---------------------------------+-----+
|Обнаружение невидимых объектов | A |
+---------------------------------+-----+
|Обнаружение изменений | A |
+---------------------------------+-----+
|Оценка в масштабах предприятия | C |
+---------------------------------+-----+
|Манипулирование объектами |N/A* |
+---------------------------------+-----+
|Моделирование дерева |N/A* |
+---------------------------------+-----+
|Поддержка перехода на новую |N/A* |
|версию | |
+---------------------------------+-----+
|Стандартные отчеты | A |
+---------------------------------+-----+
|Настраиваемые отчеты/запросы | A |
+---------------------------------+-----+
|Графика | C |
+---------------------------------+-----+
|Фильтрация | A |
+---------------------------------+-----+
|Интерфейс пользователя | A |
+---------------------------------+-----+
|Инсталляция | A |
+---------------------------------+-----+
|Конфигурирование | A |
+---------------------------------+-----+
|Документация | A |
+---------------------------------+-----+
*N/A - функция отсутствует; имеется в отдельном продукте
Достоинства и недостатки
AuditWare for NDS 1.0
Preferred Systems Inc.
Вест-Хэвен, шт. Коннектикут
(800) 222-7638, (203) 937-3000 http://prefsys.com
+ Простота в работе; большое разнообразие хорошо сконструированных отчетов; формирование запросов; улучшение безопасности при помощи отслеживания прав пользователей и скрытых объектов; создание отчетов об изменениях NDS-дерева; проверка объектов в сравнении с базовыми; автономное создание отчетов без дополнительного ЛВС-трафика и загрузки сервера.
- Не обнаруживает объекты за пределами стандартной схемы NetWare 4.1; не обеспечивает перехват несанкционированного доступа в реальном времени; не поддерживает рабочие станции Windows 95 и Windows NT; не может запрашивать удаленные серверы с центрального узла.
РЕЗЮМЕ
Каждый администратор предприятия, управляющий серверами NetWare с Novell Directory Services, должен использовать AuditWare for NDS. Посредством мощных функций по созданию отчетов ПО поможет упорядочить работу и улучшить безопасность сетевой базы данных, потенциально склонной к опасности хаотического развития.
Методика тестирования
Мы установили AuditWare for NDS на 50 МГц ПК Insight 486DX2, работавшем под управлением Windows 3.1, а также на мультисервере ERS/FT II корпорации Cubix с 90 МГц процессором Pentium и ОС Windows for Workgroups 3.11.
Две эти рабочие станции мы тестировали вместе с сервером IBM PS/2 Model 95A, на котором были установлены NetWare 4.1 и NDS.
