Bezpečnost především - Novell BorderManager Enterprise Edition 3.5

Internet | 01.02.00

Firewallové službyBorderManageru nabízejí tříúrovňovou ochranu. Nejběžnějším a nejstarším způsobem zabezpečování lokálních sítí je paketová filtrace, která kontroluje vše...





Firewallové služby
BorderManageru nabízejí tříúrovňovou ochranu. Nejběžnějším a nejstarším
způsobem zabezpečování lokálních sítí je paketová filtrace, která kontroluje
všechny procházející pakety bez ohledu na použitou aplikaci. Filtrovat lze
pakety protokolů IPX, TCP/IP a AppleTalk. Konfigurace paketové filtrace se
provádí na serveru prostřednictvím modulu FILTCFG. Implicitní akcí je odmítnutí
všech směrování uvedených v seznamu filtrů, s výjimkou směrování definovaných v
seznamu výjimek. Toto výchozí nastavení lze ale bez problémů změnit. Kromě
standardních statických filtrů můžete v BorderManageru nyní definovat i tzv.
dynamické (stateful) filtry, které přispívají ke zvýšení bezpečnosti a také ke
zjednodušení konfigurace. Princip spočívá v monitorování každého spojení a
vytváření dočasných výjimek, umožňujících průchod pouze těm paketům, které jsou
odpovědí na vznesený požadavek, a žádným jiným. Vedlejším efektem je odstranění
nutnosti ručního definování výjimek pro "návrat paketů". Samozřejmostí je
možnost ukládat informace o provozu paketové filtrace do log souborů.
Nadstavbou paketové filtrace je překlad síťových adres (NAT Network Address
Translation), jenž umožňuje použít pro připojení k Internetu i neregistrované
IP adresy a navíc skrývá interní síťové adresy před uživateli Internetu.
Podporovány jsou 3 typy překladu adres dynamický (větší počet interních IP
adres je převáděn na jednu adresu vnější), statický (každý interní uživatel má
přidělenu svou vlastní vnější IP adresu) a kombinace předchozích dvou. K
nastavení překladu adres slouží serverový modul INETCFG. Stačí pouze zvolit
režim, v jakém má NAT pracovat, a pak už jen zadávat příslušné interní a
externí IP adresy.
Další úroveň firewallových služeb představuje brána Novell IP Gateway,
umožňující uživatelům lokální sítě s neregistrovanými IP adresami nebo pouze s
IPX adresami a nově také klientům SOCKS 4 a SOCKS 5 využívat výhod Internetu.
Novell IP Gateway tedy nyní podporuje tyto služby IP/IP gateway, IPX/IP gateway
a SOCKS. První z nich je svou funkcí podobná překladu adres v dynamickém
režimu. Pro překlad adres hovoří zejména ten fakt, že nevyžaduje speciálně
upravený klientský software, a je tedy obecně použitelný. Navíc je rychlejší
než Novell IP Gateway. Naopak výhodou Novell IP Gateway je její integrace s NDS
(Novell Directory Services), díky které lze jejím prostřednictvím snadno
kontrolovat a řídit přístup k Internetu na úrovni objektů NDS (např. uživatel
nebo skupina uživatelů), což v případě použití NAT není možné. Vlastní
konfigurace těchto služeb je jednoduchá stačí v NetWare Administratorovi ve
vlastnostech serveru na stránce BorderManager Setup aktivovat příslušné brány.
Poslední úroveň firewallové ochrany představují aplikační proxy servery,
pracující na úrovni komunikačních protokolů. Jejich úkolem je chránit lokální
síť před neoprávněnými přístupy z Internetu tím, že vyřizují síťové požadavky
za uživatele a před okolím tak skrývají strukturu privátní sítě. BorderManager
podporuje celou řadu protokolů (např. HTTP, FTP, Telnet, RealAudio, SMTP/POP3,
DNS atd.). Navíc jsou k dispozici tzv. Generic proxy servery (v provedení TCP i
UDP), s jejichž pomocí můžete využít výhod proxy serveru i u těch protokolů,
pro něž neexistuje nativní podpora. V podstatě se jedná o jakési mapování IP
adres a portů nadefinujete, na které IP adrese a portu má proxy server
naslouchat, a na kterou IP adresu a port má případné požadavky směrovat. Další
možnosti nabízejí transparentní HTTP a Telnet proxy servery. Díky těmto službám
mohou uživatelé využít výhod proxy serverů bez nutnosti jakýchkoliv zásahů do
konfigurace webového prohlížeče nebo Telnet klienta.
Proxy servery zároveň zajišťují důležitou funkci vyrovnávací paměti (cache),
jež může výrazně zefektivnit získávání informací. BorderManager nabízí 3
způsoby využití vyrovnávací paměti. Prvním z nich je standardní proxy cache. V
tomto případě jsou data stahovaná z Internetu zároveň ukládána do vyrovnávací
paměti. Při opakovaném přístupu k takto uloženým informacím je odezva
rychlejší, a navíc se šetří přenosová kapacita linek do Internetu. Další způsob
využití představuje hierarchická proxy cache, která umožňuje jednotlivým proxy
cache serverům vzájemně komunikovat a vytvářet tak jakousi sdílenou síťovou
cache. Tento typ nasazení je vhodný zejména pro velké firmy s více pobočkami.
Poslední variantou je reverzní proxy cache, jež má za úkol snížit zatížení
web-serveru při generování dynamických stránek. Všechna statická data jsou
přesunuta na reverzní proxy cache server, který je předřazen vlastnímu
web-serveru. Ten se nyní může plně věnovat generování dynamických stránek. Jde
tedy vlastně o proxy cache naruby. Aktivace a konfigurace služeb proxy se
provádí opět v prostředí NetWare Administratoru ve vlastnostech serveru na
stránce BorderManager Setup. Činnost vašeho proxy serveru můžete monitorovat na
konzole serveru prostřednictvím obrazovky Proxy Console nebo na klientské
stanici pomocí NetWare Administratoru. K dispozici jsou informace o aktivitě
klientů, využití paměti a řada statistických údajů.
Služby VPN
Technologie VPN umožňuje propojit několik geograficky oddělených lokálních sítí
do jedné privátní sítě za použití Internetu jako levného páteřního spojení. K
zajištění bezpečnosti přenášených dat vytvářejí služby VPN šifrované tunely,
využívající asymetrické šifrovací algoritmy. K propojení jednotlivých uzlů lze
použít pronajaté linky s protokolem PPP (Poin-to-Point Protocol), ISDN linky,
analogové dial-up spojení, Frame Relay a X.25. Možnosti uspořádání VPN, které
BorderManager nabízí, jsou opravdu bohaté. Existují 2 základní typy VPN
site-to-site propojující dva nebo více serverů (maximálně 256), a
client-to-site zajišťující bezpečné připojení klientů pomocí vytáčené (dial-up)
linky.
Centrem celé sítě VPN je jediný master server, na kterém správce provádí
veškeré změny konfigurace a údržbu privátní sítě. Všechny ostatní servery
pracují v režimu slave. Nastavení obou typů serverů se provádí na konzole
serveru pomocí modulu VPNCFG. Během konfigurace jsou vytvořeny soubory
obsahující informace nutné k vytvoření šifrovaného kanálu. Závěrečná fáze se
odehrává v NetWare Administratorovi na stanici připojené k master serveru, kde
je nutné přidat do VPN všechny slave servery.
Autentikační služby
jsou další součástí BorderManageru, jejímž úkolem je umožnit uživatelům přístup
k síťovým zdrojům prostřednictvím vytáčené telefonní linky. Bezpečnost
citlivých dat je zajištěna použitím protokolu RADIUS, který patří mezi
průmyslové standardy v ověřování totožnosti na dálku připojovaných uživatelů.
Dalším prvkem, jenž pomáhá zvýšit bezpečnost sítě, je možnost nastavit
automatické zpětné volání na předdefinovaná čísla. Tak velmi snadno zabráníte
tomu, aby se případný narušitel naboural do vaší sítě ze svého telefonu. Těsná
integrace se službami NDS přináší celou řadu výhod, mezi něž patří např.
centrální správa, bezpečnost, distribuce a replikace všech potřebných informací.
Řízení přístupu
Integrace BorderManageru s NDS organizacím nabízí možnost definovat přístupová
práva k Internetu pro objekty NDS (uživatel a skupina) nebo pro konkrétní
stanice s určitou IP adresou či rozsahem adres, DNS jménem, případně adresou
podsítě. Omezení přístupu lze v NetWare Administratorovi nastavit na mnoha
úrovních podle času, protokolu, portu, konkrétní URL, DNS jména hostitelského
počítače, IP adresy nebo adresy podsítě. Při vytváření pravidel lze s výhodou
využít také zástupný znak * (wildcard). Pokud například chcete uživatelům
zabránit ve stahování mp3 souborů ze všech serverů v Internetu, stačí vytvořit
dvě pravidla, kde bude jako cíl komunikace uvedeno http://*/*.mp3 a
ftp://*/*.mp3.
Zajímavou nadstavbou je aplikace Cyber Patrol, umožňující filtrovat přístup
uživatelů k web-serverům podle jejich zaměření. Obsahuje totiž pravidelně
aktualizovanou databázi web-serverů rozdělených do několika skupin (např. sport
a zábava, sexuální výchova). Chcete-li uživatelům znemožnit přístup na servery
s určitou tematikou, stačí pouze zaškrtnout příslušnou skupinu. O vše ostatní
se již postará pravidelně aktualizovaná databáze. Bohužel s BorderManagerem
získáte pouze 45denní zkušební verzi.
Další funkce
BorderManager je natolik komplexní produkt, že není možné v jednom článku
popsat všechny jeho vlastnosti. Přesto bych rád zmínil ještě alespoň dvě
služby, které jsou u produktů tohoto typu velmi důležité.
První z nich je monitorování činnosti jednotlivých komponent. K tomu slouží
podrobné záznamové (log) soubory, jež jsou automaticky vytvářeny jednotlivými
službami paketovou filtrací počínaje a autentikačními službami konče. Škoda
jen, že ne všechny soubory je možno analyzovat přímo v prostředí NetWare
Administratoru (např. paketová filtrace), a je tedy nutné použít nástroje
jiných výrobců.
Další důležitou službou je BorderManager Alert, jejímž úkolem je monitorovat
provoz serveru a zaznamenávat potenciální nebo již existující problémy, které
mohou ovlivnit činnost systému. Sledovány jsou události mající vztah k
výkonnosti serveru, přidělování licencí, bezpečnosti a proxy serveru. Bohužel
nelze tuto funkci aplikovat na paketovou filtraci. Na druhou stranu si velmi
cením možnosti nechat si zasílat případné alarmy na libovolnou e-mailovou
adresu.
Závěr
Po několikatýdenním testování mohu s klidným svědomím BorderManager označit za
špičkový produkt, který je schopen uspokojit široké spektrum uživatelů. Pokud
nepotřebujete takto komplexní balík služeb (BorderManager Enterprise Edition),
můžete si zakoupit některý z dílčích produktů Firewall Services pro zajištění
bezpečnosti (firewall, proxy), VPN Services (kompletní podpora VPN) nebo
Authentication Services (centrální správa přístupu k síti). Přítomnost runtime
verze NetWare navíc umožňuje využít služeb BorderManageru nejen v sítích
NetWare, ale i v sítích s operačními systémy Windows NT nebo UNIX. 0 0032/FEL o
Novel BorderManager 3.5
správa systému z jednoho místa
výkon
integrace s NDS
rozsah nabízených služeb
K testu zapůjčila firma:
Novell, Klimentská 46, Praha1
Cena: 1995 USD pro 5 uživatelů












Komentáře

K tomuto článku není připojena žádná diskuze, nebo byla zakázána.