Novell BorderManager

Koncem měsíce srpna společnost Novell uvedla na trh svůj

nejnovější produkt s názvem Novell BorderManager. BorderManager

představuje integrovanou rodinu adresářově založených síťových

služeb, které umožňují centrálně spravovat, zabezpečovat

a urychlovat přístup uživatelů k informacím na rozhraní dvou

libovolných sítí (včetně hranice mezi firemním intranetem

a Internetem).



Funkce nabízené BorderManagerem můžeme pro názornost rozdělit do

několika skupin: řízení přístupu, bezpečnost, zvýšení výkonu,

připojení k Internetu, podpora mobilních uživatelů a centrální

správa.



Řízení přístupu



umožňuje organizacím definovat přístupová práva k Internetu pro

objekty NDS (uživatel a skupina) nebo pro stanice s určitou IP

adresou, DNS jménem, případně adresou podsítě. Omezení přístupu

lze nastavit na mnoha úrovních – podle konkrétní URL,

hostitelského počítače nebo IP adresy podsítě, portu, času atd.

Zajímavým doplňkem, který umožňuje filtrovat přístup

uživatelů k WWW serverům podle jejich obsahu, je CyberPatrol od

firmy Microsystems. Tento software obsahuje pravidelně

aktualizovanou databázi WWW adres rozdělených do 13 skupin (např.

sport a zábava, sexuální výchova). Pokud chcete uživatelům

znemožnit přístup na stránky s určitou tematikou, stačí pouze

zaškrtnout příslušnou skupinu. Aktualizace databáze vše ostatní

vyřeší za vás. Otázkou zůstává, v jakém počtu budou do databáze

zahrnuty české webové servery. S BorderManagerem získáte

CyberPatrol ve zkušební verzi na 45 dní. Po uplynutí této doby se

deaktivuje seznam v oblasti sportu a zábavy. Ostatní seznamy

zůstanou aktivní, ale nebudou aktualizovány. Pro obnovení plné

funkčnosti produktu je třeba zakoupit předplatné u firmy

Microsystems.



Bezpečnost



Cílem zabezpečení sítě je zabránit neautorizovanému průniku do sítě a narušení integrity, případně odcizení dat. Bezpečnost sítě v BorderManageru zajišťují firewallové služby a virtuální privátní sítě.

Služby firewallu přinášejí zvýšenou bezpečnost prostřednictvím tříúrovňové ochrany. Na nejnižší úrovni pracuje paketový filtr, který patří mezi nejběžnější a nejstarší způsoby zabezpečování lokálních sítí. Je možné filtrovat například

protokoly IPX, TCP/IP a AppleTalk. Nadstavbou paketových filtrů je převod síťových adres (Network Address Translation – NAT), jenž umožňuje použít pro připojení k Internetu i neregistrované IP adresy, a navíc skrývá interní síťové adresy před uživateli veřejné sítě. Nad paketovou filtrací a převodem adres (na druhé úrovni) běží obvodové gatewaye (IPX/IP a IP/IP gateway). Poslední

úroveň firewallové ochrany představují aplikační proxy servery.

Proxy server je možné nakonfigurovat jako klasický proxy-cache-server nebo jako reverzní proxy-cache-server, který je v terminologii Novellu označován jako HTTP Accelerator.

Virtuální privátní sítě umožňují vytvářet bezpečná spojení

po Internetu. Bezpečnost přenášených dat je zajištěna

asymetrickým šifrovacím algoritmem. Bohužel se u tohoto produktu

projevuje omezení, dané americkými zákony. Zatímco v USA se

BorderManager dodává se 128bitovým kryptováním, na vývoz je

určena verze pouze se 40bitovým klíčem.



Zvýšení výkonu



Pro zrychlení přístupu k informacím na Internetu se běžně využívá

proxy-cache-serverů. V BorderManageru je použita objektová cache

nové generace ( Novell Internet object cache ), která je založena

na technologii Harvest/Squid. Tuto cache lze využít třemi

způsoby.

Prvním z nich je klasická proxy cache. V tomto případě

BorderManager ukládá navštívené WWW stránky do své vyrovnávací

paměti. Při opakovaném přístupu na takto uložené stránky je

odezva rychlejší, a navíc se šetří přenosová kapacita linek do

Internetu, protože vše se děje v rámci lokální sítě.

Druhou variantou je hierarchická proxy cache, jejíž nasazení

je výhodné zejména pro velké firmy s více pobočkami. Hierarchická

cache umožňuje nadefinovat sousedské a rodičovské vztahy mezi

proxy servery v síti. K vzájemné komunikaci mezi těmito servery

se používá Internet Cache Protocol (ICP) . Jakmile klient vznese

požadavek na WWW dokument, který není umístěn v cache,

BorderManager se zeptá okolních sousedů a rodičů. Pokud některý

z nich odpoví kladně, je dokument přenesen ke klientovi. Jestliže

požadovaný dokument není v celé hierarchii nalezen, vyžádá si ho

jeden z rodičovských serverů u příslušného webového serveru.

Posledním případem je BorderManager v režimu reverzního

proxy-cache-serveru (HTTP acceleration). Toto nastavení má za

úkol ulehčit webovému serveru, který je velice často úzkým hrdlem

infrastruktury intranetu nebo Internetu. V podstatě se jedná

o přesun všech statických dat na server s BorderManagerem, jenž

je předřazen vlastnímu Web serveru. A ten má nyní dostatek času

věnovat se generování dynamických stránek.



Další funkce



Součástí BorderManageru je i Novell Internet Access Server 4.1

(NIAS). Ten mimo jiné zajišťuje směrovací služby a vzdálený

přístup uživatelů k síti. Vlastností směrovacích služeb lze

využít při připojení sítě k Internetu pevným nebo vytáčeným

spojením. Vzdálení uživatelé se mohou připojit k síti buď jako

vzdálený uzel (remote node), kdy mohou pracovat stejným způsobem

jako na lokální stanici, nebo se připojí k vyhrazené lokální

stanici v síti a po dálkových spojích jsou přenášeny pouze povely

z klávesnice nebo myši a změny obrazovky (remote control).

Nevýhodou vzdáleného přístupu k síti zatím je, že není kryptován.

Naopak velkou výhodou BorderManageru je jeho těsná integrace

s NDS a z toho vyplývající zvýšená bezpečnost (díky autentikaci

uživatelů) a možnost správy celého systému z jediného místa

(z NetWare Administratoru).



Instalace



K instalaci systému BorderManager potřebujete server

s IntranetWarem. Pokud je váš stávající server již příliš vytížen

nebo žádný nemáte, nezoufejte. Součástí dodávky BorderManageru je

totiž i druhá uživatelská verze IntranetWaru. Díky tomu můžete

BorderManager nainstalovat na prázdný počítač aniž byste museli

utrácet peníze za nákup dalšího systému IntranetWare.

Vlastní instalace se spouští standardním způsobem z modulu

INSTALL.NLM. V jejím průběhu dojde k nainstalování vlastního

BorderManageru, Novell Internet Access Serveru 4.1 a Support

Packu 3.0. K dokončení serverové části instalace je samozřejmě

nutné provést restart serveru. Další instalační kroky se

provádějí na pracovních stanicích. Jedná se zejména o instalaci

nového klienta (IntranetWare Client 2.2) a snap-in modulu, který

slouží ke konfiguraci BorderManageru. O úspěšné instalaci těchto

komponent se lze snadno přesvědčit spuštěním NetWare

Administratoru (NWADMN95.EXE). Pokud se ve vlastnostech serveru

objeví stránky BorderManager Setup, Virtual Private Network, Web

Proxy Cache a Outgoing Rules, je vše v pořádku.

Instalací ale vše nekončí. Teprve po jejím skončení nastává

další, mnohem obtížnější fáze – konfigurace jednotlivých složek

BorderManageru.



Paketové filtry



Paketovou filtraci má v BorderManageru na starosti směrovač

z Novell Internet Access Serveru (NIAS). Z hlediska filozofie

jeho fungování se jedná o poměrně jednoduchou záležitost. Ale

vlastní nastavení mezi triviální akce rozhodně nepatří. Při

prvním restartu serveru po instalaci se zavede modul BRDCFG.NLM,

který je určen k zabezpečení síťového rozhraní připojeného

k veřejné síti (public interface). Pokud tuto ochranu spustíte,

bude zablokován všechen IP a IPX provoz s výjimkou dat

přicházejících od IP bran, proxy a VPN serverů.

K nastavení filtrování na směrovači NIAS 4.1 slouží 2 moduly

- INETCFG.NLM (spuštění podpory filtrování pro jednotlivé

protokoly) a FILTCFG.NLM (konfigurace filtrů). Z prostorových

důvodů se zde nemohu detailně rozepsat o postupu nastavení těchto

filtrů pro různé protokoly (např. TCP/IP, IPX, AppleTalk).



Network Address Translation



je další službou, kterou pro BorderManager zajišťuje NIAS.

Konfigurace převodu síťových adres se provádí na serveru opět

prostřednictvím modulu INETCFG.NLM (Bindings → TCP/IP → Expert

TCP/IP Bind Options). Převod síťových adres může pracovat ve 3

režimech – v dynamickém (IP adresy klientských stanic jsou

v paketech dynamicky změněny na jednu veřejnou IP adresu),

statickém (každý klient ve vnitřní síti má nakonfigurovánu i svou

vnější IP adresu) nebo dynamickém a statickém (kombinace

předchozích dvou).



IPX/IP a IP/IP obvodová gateway



IPX/IP gateway umožňuje klientům získat přístup do intranetu nebo

Internetu, přestože používají protokol IPX. Tuto funkci zajišťuje

speciální Winsock DLL od Novellu, který používá společně

s TCP/IP i TCP/IPX. Gateway má za úkol nahradit v paketech

TCP/IP hlavičku a IPX adresu klienta svojí vlastní TCP/IP

hlavičkou a IP adresou, a naopak.

IP/IP gateway je funkčně podobná převodu síťových adres

v dynamickém režimu. Výhoda použití brány IP/IP místo převodu

adres spočívá v možnosti snadno kontrolovat a řídit přístup na

WAN rozhraní (např. do Internetu), což v případě nasazení NAT

nelze.

Konfigurace obvodových bran se provádí prostřednictvím

NetWare Administratoru (ve vlastnostech serveru na stránce

BorderManager Setup).



Virtuální privátní sítě



používají k vytvoření spojení mezi dvěma servery tunelování.

Jeden ze serverů je master a druhý slave. Ke každému master

serveru může být připojeno až 256 slave serverů. Nastavení obou

typů serverů se provádí na konzole serveru pomocí modulu

VPNCFG.NLM. Během konfigurace jsou vytvořeny soubory obsahující

informace nutné k vytvoření šifrovaného kanálu. Tyto soubory si

musí správci jednotlivých serverů zahrnutých do VPN mezi sebou

vyměnit.

Dále se pokračuje na stanici připojené k master serveru spuštěním

NetWare Administratoru. Zde je nutno (na stránce Virtual Private

Network ve vlastnostech serveru) přidat do VPN všechny slave

servery. Po dokončení této operace jsou servery ve VPN

zesynchronizovány a je možné vyzkoušet komunikaci.



Služby proxy cache



Jak už víte z předchozího textu, lze vyrovnávací paměť

BorderManageru využít jako standardní proxy cache, reverzní proxy

cache nebo hierarchickou cache. Aby bylo možné využívat

rychlejšího přístupu k informacím, je nutné nejprve služby proxy

cache v NetWare Administratoru aktivovat (stránka BorderManager

Setup ve vlastnostech serveru). Další kroky se už provádějí na

stránce Web Proxy Cache. Nejjednodušší je situace v případě

konfigurace standardního proxy-cache-serveru – stačí pouze

zaškrtnout volbu Enable HTTP Proxy. V případě reverzního proxy

cache serveru je nutné, kromě zatržení příslušné volby, vytvořit

seznam všech Web serverů, pro které má být vyrovnávací paměť

funkční. Pokud chcete využít i výhod hierarchické cache, je třeba

obdobným způsobem nadefinovat okolní proxy servery. U těchto

musíte mj. určit, zda se jedná o souseda (peer), rodiče (parent)

nebo CERN server (servery, které neumějí pracovat s protokolem

ICP).

Další konfigurační parametry proxy cache služeb (adresář pro

ukládání dat, maximální velikost vyrovnávací paměti atd.) lze

nastavit na serveru (modul PROXYCFG.NLM) nebo na stanici (NetWare

Administrator). Pro monitorování, jak je využita proxy cache

(aktivity klientů, využití paměti, statistiky atd.), můžete

sledovat obrazovku Novell BorderManager Proxy Console běžící na

serveru.



Závěr



BorderManager patří díky množství a kvalitě poskytovaných služeb

nepochybně ke špičce ve své kategorii. Pokud tedy uvažujete

o připojení firemní sítě k Internetu, neměl by BorderManager

uniknout vaší pozornosti.



Pro Vaši firmu



Novell BorderManager představuje integrovanou rodinu adresářově

založených síťových služeb, které umožňují centrálně spravovat,

zabezpečovat a urychlovat přístup uživatelů k informacím na

rozhraní dvou libovolných sítí. S jeho pomocí můžete využívat

např. služeb virtuálních privátních sítí, proxy-cache-serverů

a firewallu. Mezi hlavní výhody, které ám může BorderManager

nabídnout, patří snadná správa celého systému z jednoho místa,

zabezpečení firemní sítě, vysoký výkon a úspora finančních

prostředků při komunikaci s okolím. Tento produkt není určen

pouze pro sítě NetWare. Runtime verze IntranetWaru umožňuje

využívat poskytovaných služeb i ve firmách pracujících se systémy

Windows NT a UNIX. BorderManager je nabízen v konfiguracích pro

5, 10, 25, 50, 100, 250, 500, 1000 a 5000 uživatelů a je tedy

vhodný pro sítě všech velikostí.



Co získáte s BorderManagerem? (dát do barevného rámečku)



IntranetWare (verze pro 2 uživatele)



Novell Internet Access Server 4.1



Microsystems CyberPatrol (zkušební verze na 45 dní)



Netscape Navigator 3



Novell BorderManager



+ snadná správa z jednoho místa



+ výkon



+ integrace s NDS



+ rozsah poskytovaných služeb



+/- cena