Bezpečnost především - Novell BorderManager Enterprise Edition 3.5

Firewallové služby
BorderManageru nabízejí tříúrovňovou ochranu. Nejběžnějším a nejstarším

způsobem zabezpečování lokálních sítí je paketová filtrace, která kontroluje

všechny procházející pakety bez ohledu na použitou aplikaci. Filtrovat lze

pakety protokolů IPX, TCP/IP a AppleTalk. Konfigurace paketové filtrace se

provádí na serveru prostřednictvím modulu FILTCFG. Implicitní akcí je odmítnutí

všech směrování uvedených v seznamu filtrů, s výjimkou směrování definovaných v

seznamu výjimek. Toto výchozí nastavení lze ale bez problémů změnit. Kromě

standardních statických filtrů můžete v BorderManageru nyní definovat i tzv.

dynamické (stateful) filtry, které přispívají ke zvýšení bezpečnosti a také ke

zjednodušení konfigurace. Princip spočívá v monitorování každého spojení a

vytváření dočasných výjimek, umožňujících průchod pouze těm paketům, které jsou

odpovědí na vznesený požadavek, a žádným jiným. Vedlejším efektem je odstranění

nutnosti ručního definování výjimek pro „návrat paketů“. Samozřejmostí je

možnost ukládat informace o provozu paketové filtrace do log souborů.

Nadstavbou paketové filtrace je překlad síťových adres (NAT Network Address

Translation), jenž umožňuje použít pro připojení k Internetu i neregistrované

IP adresy a navíc skrývá interní síťové adresy před uživateli Internetu.

Podporovány jsou 3 typy překladu adres dynamický (větší počet interních IP

adres je převáděn na jednu adresu vnější), statický (každý interní uživatel má

přidělenu svou vlastní vnější IP adresu) a kombinace předchozích dvou. K

nastavení překladu adres slouží serverový modul INETCFG. Stačí pouze zvolit

režim, v jakém má NAT pracovat, a pak už jen zadávat příslušné interní a

externí IP adresy.

Další úroveň firewallových služeb představuje brána Novell IP Gateway,

umožňující uživatelům lokální sítě s neregistrovanými IP adresami nebo pouze s

IPX adresami a nově také klientům SOCKS 4 a SOCKS 5 využívat výhod Internetu.

Novell IP Gateway tedy nyní podporuje tyto služby IP/IP gateway, IPX/IP gateway

a SOCKS. První z nich je svou funkcí podobná překladu adres v dynamickém

režimu. Pro překlad adres hovoří zejména ten fakt, že nevyžaduje speciálně

upravený klientský software, a je tedy obecně použitelný. Navíc je rychlejší

než Novell IP Gateway. Naopak výhodou Novell IP Gateway je její integrace s NDS

(Novell Directory Services), díky které lze jejím prostřednictvím snadno

kontrolovat a řídit přístup k Internetu na úrovni objektů NDS (např. uživatel

nebo skupina uživatelů), což v případě použití NAT není možné. Vlastní

konfigurace těchto služeb je jednoduchá stačí v NetWare Administratorovi ve

vlastnostech serveru na stránce BorderManager Setup aktivovat příslušné brány.

Poslední úroveň firewallové ochrany představují aplikační proxy servery,

pracující na úrovni komunikačních protokolů. Jejich úkolem je chránit lokální

síť před neoprávněnými přístupy z Internetu tím, že vyřizují síťové požadavky

za uživatele a před okolím tak skrývají strukturu privátní sítě. BorderManager

podporuje celou řadu protokolů (např. HTTP, FTP, Telnet, RealAudio, SMTP/POP3,

DNS atd.). Navíc jsou k dispozici tzv. Generic proxy servery (v provedení TCP i

UDP), s jejichž pomocí můžete využít výhod proxy serveru i u těch protokolů,

pro něž neexistuje nativní podpora. V podstatě se jedná o jakési mapování IP

adres a portů nadefinujete, na které IP adrese a portu má proxy server

naslouchat, a na kterou IP adresu a port má případné požadavky směrovat. Další

možnosti nabízejí transparentní HTTP a Telnet proxy servery. Díky těmto službám

mohou uživatelé využít výhod proxy serverů bez nutnosti jakýchkoliv zásahů do

konfigurace webového prohlížeče nebo Telnet klienta.

Proxy servery zároveň zajišťují důležitou funkci vyrovnávací paměti (cache),

jež může výrazně zefektivnit získávání informací. BorderManager nabízí 3

způsoby využití vyrovnávací paměti. Prvním z nich je standardní proxy cache. V

tomto případě jsou data stahovaná z Internetu zároveň ukládána do vyrovnávací

paměti. Při opakovaném přístupu k takto uloženým informacím je odezva

rychlejší, a navíc se šetří přenosová kapacita linek do Internetu. Další způsob

využití představuje hierarchická proxy cache, která umožňuje jednotlivým proxy

cache serverům vzájemně komunikovat a vytvářet tak jakousi sdílenou síťovou

cache. Tento typ nasazení je vhodný zejména pro velké firmy s více pobočkami.

Poslední variantou je reverzní proxy cache, jež má za úkol snížit zatížení

web-serveru při generování dynamických stránek. Všechna statická data jsou

přesunuta na reverzní proxy cache server, který je předřazen vlastnímu

web-serveru. Ten se nyní může plně věnovat generování dynamických stránek. Jde

tedy vlastně o proxy cache naruby. Aktivace a konfigurace služeb proxy se

provádí opět v prostředí NetWare Administratoru ve vlastnostech serveru na

stránce BorderManager Setup. Činnost vašeho proxy serveru můžete monitorovat na

konzole serveru prostřednictvím obrazovky Proxy Console nebo na klientské

stanici pomocí NetWare Administratoru. K dispozici jsou informace o aktivitě

klientů, využití paměti a řada statistických údajů.

Služby VPN

Technologie VPN umožňuje propojit několik geograficky oddělených lokálních sítí

do jedné privátní sítě za použití Internetu jako levného páteřního spojení. K

zajištění bezpečnosti přenášených dat vytvářejí služby VPN šifrované tunely,

využívající asymetrické šifrovací algoritmy. K propojení jednotlivých uzlů lze

použít pronajaté linky s protokolem PPP (Poin-to-Point Protocol), ISDN linky,

analogové dial-up spojení, Frame Relay a X.25. Možnosti uspořádání VPN, které

BorderManager nabízí, jsou opravdu bohaté. Existují 2 základní typy VPN

site-to-site propojující dva nebo více serverů (maximálně 256), a

client-to-site zajišťující bezpečné připojení klientů pomocí vytáčené (dial-up)

linky.

Centrem celé sítě VPN je jediný master server, na kterém správce provádí

veškeré změny konfigurace a údržbu privátní sítě. Všechny ostatní servery

pracují v režimu slave. Nastavení obou typů serverů se provádí na konzole

serveru pomocí modulu VPNCFG. Během konfigurace jsou vytvořeny soubory

obsahující informace nutné k vytvoření šifrovaného kanálu. Závěrečná fáze se

odehrává v NetWare Administratorovi na stanici připojené k master serveru, kde

je nutné přidat do VPN všechny slave servery.

Autentikační služby

jsou další součástí BorderManageru, jejímž úkolem je umožnit uživatelům přístup

k síťovým zdrojům prostřednictvím vytáčené telefonní linky. Bezpečnost

citlivých dat je zajištěna použitím protokolu RADIUS, který patří mezi

průmyslové standardy v ověřování totožnosti na dálku připojovaných uživatelů.

Dalším prvkem, jenž pomáhá zvýšit bezpečnost sítě, je možnost nastavit

automatické zpětné volání na předdefinovaná čísla. Tak velmi snadno zabráníte

tomu, aby se případný narušitel naboural do vaší sítě ze svého telefonu. Těsná

integrace se službami NDS přináší celou řadu výhod, mezi něž patří např.

centrální správa, bezpečnost, distribuce a replikace všech potřebných informací.

Řízení přístupu

Integrace BorderManageru s NDS organizacím nabízí možnost definovat přístupová

práva k Internetu pro objekty NDS (uživatel a skupina) nebo pro konkrétní

stanice s určitou IP adresou či rozsahem adres, DNS jménem, případně adresou

podsítě. Omezení přístupu lze v NetWare Administratorovi nastavit na mnoha

úrovních podle času, protokolu, portu, konkrétní URL, DNS jména hostitelského

počítače, IP adresy nebo adresy podsítě. Při vytváření pravidel lze s výhodou

využít také zástupný znak * (wildcard). Pokud například chcete uživatelům

zabránit ve stahování mp3 souborů ze všech serverů v Internetu, stačí vytvořit

dvě pravidla, kde bude jako cíl komunikace uvedeno http://*/*.mp3 a

ftp://*/*.mp3.

Zajímavou nadstavbou je aplikace Cyber Patrol, umožňující filtrovat přístup

uživatelů k web-serverům podle jejich zaměření. Obsahuje totiž pravidelně

aktualizovanou databázi web-serverů rozdělených do několika skupin (např. sport

a zábava, sexuální výchova). Chcete-li uživatelům znemožnit přístup na servery

s určitou tematikou, stačí pouze zaškrtnout příslušnou skupinu. O vše ostatní

se již postará pravidelně aktualizovaná databáze. Bohužel s BorderManagerem

získáte pouze 45denní zkušební verzi.

Další funkce

BorderManager je natolik komplexní produkt, že není možné v jednom článku

popsat všechny jeho vlastnosti. Přesto bych rád zmínil ještě alespoň dvě

služby, které jsou u produktů tohoto typu velmi důležité.

První z nich je monitorování činnosti jednotlivých komponent. K tomu slouží

podrobné záznamové (log) soubory, jež jsou automaticky vytvářeny jednotlivými

službami paketovou filtrací počínaje a autentikačními službami konče. Škoda

jen, že ne všechny soubory je možno analyzovat přímo v prostředí NetWare

Administratoru (např. paketová filtrace), a je tedy nutné použít nástroje

jiných výrobců.

Další důležitou službou je BorderManager Alert, jejímž úkolem je monitorovat

provoz serveru a zaznamenávat potenciální nebo již existující problémy, které

mohou ovlivnit činnost systému. Sledovány jsou události mající vztah k

výkonnosti serveru, přidělování licencí, bezpečnosti a proxy serveru. Bohužel

nelze tuto funkci aplikovat na paketovou filtraci. Na druhou stranu si velmi

cením možnosti nechat si zasílat případné alarmy na libovolnou e-mailovou

adresu.

Závěr

Po několikatýdenním testování mohu s klidným svědomím BorderManager označit za

špičkový produkt, který je schopen uspokojit široké spektrum uživatelů. Pokud

nepotřebujete takto komplexní balík služeb (BorderManager Enterprise Edition),

můžete si zakoupit některý z dílčích produktů Firewall Services pro zajištění

bezpečnosti (firewall, proxy), VPN Services (kompletní podpora VPN) nebo

Authentication Services (centrální správa přístupu k síti). Přítomnost runtime

verze NetWare navíc umožňuje využít služeb BorderManageru nejen v sítích

NetWare, ale i v sítích s operačními systémy Windows NT nebo UNIX. 0 0032/FEL o

Novel BorderManager 3.5

správa systému z jednoho místa

výkon

integrace s NDS

rozsah nabízených služeb

K testu zapůjčila firma:

Novell, Klimentská 46, Praha1

Cena: 1995 USD pro 5 uživatelů