Security
7/2 BorderManager 7/2.1
Internetgebruik
Inleiding
Een internetverbinding wordt steeds belangrijker voor de dagelijkse werkzaamheden van een bedrijf. Informatie-uitwisseling via e-mail of websites behoort al bijna tot de minimumbenodigdheden van een werkplek. Zoals elders in deze uitgave staat beschreven, is dit niet zonder risico’s. Elk bedrijf zal zich willen beschermen tegen kwaadwillenden op internet en het gebruik van internet zoveel mogelijk in goede banen willen leiden. Een tool van Novell waarmee dit mogelijk is, is ‘BorderManager’. Op het moment van schrijven is de laatste versie BorderManager 3.6. Dit pakket is er in verschillende ‘smaken’; BorderManager Enterprise Edition bevat ze allemaal: • BorderManager Firewall Services Het meest gebruikte onderdeel van de suite. Door middel van packetfilters, centraal beheerde policy’s, verschillende applicatieproxy’s en goede cachingmogelijkheden wordt de internetervaring van zowel gebruikers als beheerders flink verbeterd. • BorderManager Authentication Services Dit onderdeel zorgt voor remote authentication, zodat gebruikers veilig via internet bij het bedrijfsnetwerk kunnen komen. De combinatie van Radius en eDirectory maakt er een eenvoudig te beheren component van. • BorderManager VPN Services Inbelverbindingen in stand houden is overbodig. Met BorderManager VPN Services is het mogelijk een veilige tunnel over internet op te zetten.
Novell Netwerkoplossingen, aanvulling 2
7/2.1-1
BorderManager
Firewalltechnieken in BorderManager Packetfiltering – Packetfilters zorgen op de onderste lagen van het OSI-model voor de basisveiligheid. Door middel van filters kan verkeer worden tegengehouden of juist – op basis van o.a. protocol, oorsprong of bestemming – doorgelaten. Proxy Caching Services – Een proxy voert een verzoek richting internet uit in naam van de client. Hierbij wordt de informatie tevens opgeslagen in een diskcache, zodat bij een herhaald verzoek dezelfde informatie niet nogmaals hoeft te worden opgehaald.
IP-gateway
Access Control – Krijgt iemand toegang of niet? Vanuit de NDS kan de toegangscontrole via de proxy's of de IP-gateway centraal worden geregeld. Toegang kan zo afhankelijk zijn van o.a. user-ID, website of URL, maar ook van het tijdstip waarop het verzoek wordt gedaan. Novell IP Gateway – Om client-pc’s volkomen te verbergen voor internet, kan de IP-gateway worden gebruikt. Deze kan IPX- of IP-verkeer doorsluizen, terwijl bovendien de toegang tot internet beter wordt afgeschermd. Network Address Translation – De publiek toegankelijke IPadressen zijn schaars aan het worden. Voor machines die niet zelf als server worden gebruikt, kunnen dan IP-adressen uit de in RFCxxxx. gedefinieerde reeks worden aangesproken. NAT vertaalt deze interne adressen naar het publieke adres van de server. Hierdoor wordt, behalve de flexibele toegang tot internet, een extra beveiliging gecreëerd, doordat op deze manier verbindingen niet van buitenaf kunnen worden geïnitieerd.
7/2.1-2
Novell Netwerkoplossingen, aanvulling 2
Security
Virtual Private Network – Een VPN is een veilige, geëncrypte tunnel over internet, die bijvoorbeeld kan worden gebruikt om twee vestigingen van een bedrijf op een goedkope manier met elkaar te verbinden. BorderManager Alert – Dit onderdeel houdt de werking van BorderManager in de gaten en slaat alarm bij security-incidenten of het (ont)laden van voor BorderManager essentiële modules. BorderManager Authentication Services – Toegangscontrole voor remote-users die inbellen in het bedrijfsnetwerk. Hierbij wordt gebruikgemaakt van het Radius-protocol.
Novell Netwerkoplossingen, aanvulling 2
7/2.1-3
BorderManager
7/2.1-4
Novell Netwerkoplossingen, aanvulling 2
Security
7/2.2
Installatie
7/2.2.1 Voorbereiding Voor de installatie gaan we uit van een eenvoudig bedrijf. Het netwerk is plat opgezet en zal een verbinding naar internet met een vast IP-adres krijgen. Van de internetprovider heeft het bedrijf de volgende informatie gekregen: het netwerkadres van het bedrijf wordt 100.100.100.0 met als netwerkmasker 255.255.255.0. In de Domain Name Services (DNS) van de provider worden de volgende adressen vastgelegd: 100.100.100.1 router.bedrijf.nl 100.100.100.2 mail.bedrijf.nl 100.100.100.3 firewall.bedrijf.nl De IP-adressen van de DNS-servers zijn 100.200.200.200 en 100.200.200.201, en de SMPT-server van de provider draait op 100.200.200.202. De netwerkadressen voor gebruik binnen het bedrijf zelf komen uit RFC 1918 (Address Allocation for Private Internets): 192.168.1.0 met als netwerkmasker 255.255.255.0. Minimum eisen
De eisen die Novell aan de server stelt zijn de volgende: • minimaal 128 Mb RAM; • minimaal 100 Mb vrije diskruimte; • NDS R/W-replica; • NLS en GUI geïnstalleerd. Het spreekt voor zich dat dit echt minimum-eisen zijn. Met name voor de cachingservices zal een goede hoeveelheid schijfruimte moeten worden gereserveerd om effectief te kunnen zijn. Voor de snelheid van de processor geldt dat
Novell Netwerkoplossingen, aanvulling 2
7/2.2-1
BorderManager
hoe sneller de internetverbinding, hoe meer data zal moeten worden verwerkt, dus hoe sneller deze zal moeten zijn.
Twee groepen proxy
Van BorderManager zal naast packetfiltering voornamelijk de proxy worden gebruikt. De toegang tot de proxy zal worden verdeeld in twee groepen. De eerste groep kan naar een beperkte hoeveelheid websites, voornamelijk van leveranciers, terwijl de andere groep onbeperkte toegang tot internet krijgt. Verder zal voor één host Secure Shelltoegang worden opengezet en zal de toegang van internet naar de interne mailserver moeten worden geregeld.
Voordat BorderManager wordt geïnstalleerd, hebben we al een Novell-server draaien, in dit geval een NetWare 5.1server inclusief de laatste patches. Op het moment van schrijven is dat NetWare 5.1 Service Pack 5.1 (nw51sp3.exe) aangevuld met Filesys.nlm for NetWare 5.1 Support Pack 3 (nw51fs1.exe). Voor BorderManager 3.6 hebben we BorderManager 3.6 Support Pack 1a (bm36sp1a.exe) klaar liggen.
7/2.2-2
Novell Netwerkoplossingen, aanvulling 2
Security
Als de cd-rom in de cd-romdrive is gestopt en gemount, kan vanuit de GUI de optie ‘install’ worden gekozen. Kies voor ‘New product’ en browse naar het CD Volume.
Licenties in NDS
Na de welkomsttekst en de licentieovereenkomst kunnen de onderdelen van BorderManager worden gekozen die moeten worden geïnstalleerd. In dit scherm moet ook de plek worden aangegeven voor de BorderManager-licenties. Gebruik hiervoor de licentiediskette of blader naar de \License-directory op de cd-rom voor demolicenties. De licenties worden in de NDS geplaatst, dus het volgende scherm zal vragen om een log-innaam en password met voldoende rechten. Indien dit de eerste BorderManager in de tree is, zijn Supervisor-rechten op de root nodig, zodat het schema kan worden uitgebreid.
In het volgende scherm wordt voor elke netwerkkaart aangegeven of het een kaart aan publieke of privé-zijde is. Deze informatie wordt gebruikt door het installatieprogramma om eventueel standaard IP- en IPX-filters te plaatsen op de publieke netwerkkaart. Voor de interne net-
Novell Netwerkoplossingen, aanvulling 2
7/2.2-3
BorderManager
werkkaart kan vervolgens de HTTP-proxy worden geactiveerd.
Als de firewallservices of VPN worden geïnstalleerd, dan moet vervolgens de DNS-domeinnaam worden ingevuld. Tevens moet er minstens één DNS-server worden aangegeven.
Standaardfilters
Alle informatie is nu compleet en de daadwerkelijke installatie begint nu. Na afloop moet de server opnieuw worden opgestart en kunnen de standaardfilters worden gezet. Dit gebeurt met brdcfg.nlm. Deze NLM kan altijd met de hand worden opgestart om de standaardfilters goed te zetten. Hierna is de BorderManager in principe operationeel. Wel zal deze nog verder moeten worden geconfigureerd. 7/2.2.2 Network Address Translation Omdat op het bedrijfsnetwerk gebruik wordt gemaakt van IP-adressen die vrij gebruikt mogen worden, moeten we ervoor zorgen dat deze adressen worden vertaald naar een adres dat wél het internet op mag. Deze techniek wordt Network Address Translation (NAT) genoemd.
7/2.2-4
Novell Netwerkoplossingen, aanvulling 2
Security
Indien hosts rechtstreeks toegang moeten hebben tot internet, dan kan dynamisch NAT worden gebruikt. Indien een interne host juist van buitenaf bereikbaar moet zijn, dan kan statisch NAT worden gebruikt. In ons geval gebruiken we een combinatie van beide technieken.
Secure Shellprotocol
Dynamisch NAT We willen vanaf de werkstations verkeer richting internet sturen. In principe hebben we straks een applicatieproxy voor webverkeer draaien, dus hebben we NAT niet direct nodig. De reden dat we toch dynamisch NAT aanzetten, ligt in het feit dat we straks vanaf één werkplek met behulp van het Secure Shell-protocol naar onze provider toe willen. Een statische NAT-definitie De interne GroupWise-server moet bereikbaar zijn vanaf internet én moet zelf ook internet op kunnen. Hiervoor had de provider in DNS het adres 100.100.100.2 aan de naam mail.bedrijf.nl gekoppeld. Dit adres gaan we aan de buitenkant van de firewall bekendmaken met het commando add secondary IPaddress 100.100.100.2. Dit commando moet aan de autoexec.ncf worden toegevoegd, na de opdracht ‘initsys.ncf’. Vervolgens starten we ‘inetcfg’ op, waarna we achtereenvolgens kiezen voor bindings, de publieke kaart, expert options, Network Address Translation. Ten slotte voeren we de statisch NAT-definitie naar 192.168.1.2 in.
Novell Netwerkoplossingen, aanvulling 2
7/2.2-5
BorderManager
Indien op IP-niveau verder alles goed staat ingesteld (default routes), en er geen filters actief zijn, zou het mogelijk moeten zijn om vanaf de werkstations richting internet te gaan en zou de mailserver vanaf internet bereikbaar moeten zijn. 7/2.2.3 Packetfilters Om te voorkomen dat er ongewenst verkeer van en naar internet gaat, gaan we packetfilters definiëren. De standaardfilters zorgen ervoor dat enkel verkeer van de BorderManager naar buiten kan, met andere woorden: alleen via de diverse applicatieproxy’s kan men naar buiten toe. Dit is voor ons voorbeeld te strak, want we hebben nog een mailserver en een werkstation die een speciale behandeling krijgen. De filters zijn zo ingesteld dat er niets wordt doorgelaten, tenzij dit wordt toegestaan. Brdcfg.nlm heeft al een aantal van deze uitzonderingen toegevoegd om bijvoorbeeld proxy-verkeer door te laten. In onderstaand scherm is te zien hoe we een uitzondering voor uitgaand mailverkeer hebben gemaakt. 7/2.2-6
Novell Netwerkoplossingen, aanvulling 2
Security
We zien hier dat verkeer van onze mailserver (Src IP Address) naar de mailserver van de provider mag (Dest IP address). Het soort verkeer is in dit geval SMTP-st, waarbij de toevoeging st voor Stateful staat. Nu we één filter hebben gemaakt, kunnen we ook de overige noodzakelijk filters toevoegen: Src IP/card
Dest IP/card
Packet type
Opmerking
100.200.200.202 any 192.168.1.50
100.100.100.2 any any
smtp-st icmp ssh-st
Inkomend mailverkeer Ping Secure Shell
Wie de laatste uitzondering wil toevoegen, zal tot de ontdekking komen dat dit packettype niet bestaat. Gelukkig zijn ontbrekende protocollen eenvoudig toe te voegen. Druk hiervoor in de lijst met packettypes op INS en voer de benodigde gegevens in.
Novell Netwerkoplossingen, aanvulling 2
7/2.2-7
BorderManager
7/2.2.4 NetWare Administrator Nu NAT en Packet Filtering zijn geïnstalleerd, wordt het tijd om de juiste personen toegang te geven tot internet. Dit gaat echter niet als we geen proxy’s hebben geactiveerd. Wanneer we NetWare Administrator opstarten en de server aanklikken, zien we een drietal extra tabbladen. We gaan meteen door naar het tweede, de BorderManager Setup.
We activeren hier de HTTP, FTP en DNS Proxy. Voor het gemak zetten we onder de tab Transparent Proxy de transparante HTTP-proxy aan. Ten slotte vinken we nog ‘Enforce Access Rules’ aan. De optie ‘Transparent HTTP-proxy’ zorgt ervoor dat we niet de werkplekken afhoeven om een proxy in de webbrowser in te stellen. Wanneer de BorderManager verkeer detecteert voor poort 80, zal hij deze automatisch omleiden naar de proxy-poort. Nadat op OK is gedrukt, zal de proxy automatisch op de server worden geladen.
7/2.2-8
Novell Netwerkoplossingen, aanvulling 2
Security
Nu de proxy draait, gaan we Access Rules definiëren We hebben hiervoor twee NDS-groepen aangemaakt: wwwalles.bedrijf en www-beperkt.bedrijf. In onderstaande schermen is te zien hoe deze zijn ingevoerd.
In deze lijst zien we eerst een regel die toestaat dat de groep www-alles via de HTTP-proxy naar alle bestemmingen mag. De tweede regel geldt voor de groep wwwbeperkt en deze groep krijgt slechts toegang tot de website van Novell. Tevens zou het mogelijk moeten zijn om een tijdvak aan te geven dat de regel actief is of om te loggen wanneer een regel wordt gebruikt.
Novell Netwerkoplossingen, aanvulling 2
7/2.2-9
BorderManager
7/2.2.5 Installatie op de client Nu de server helemaal draait, wordt het tijd om eens op de client te kijken. We gaan hier uit van een Windows-werkplek met een NetWare-client. Zorg ervoor dat het programma ‘clntrust.exe’ automatisch wordt geladen, bijvoorbeeld vanuit het log-inscript. Dit programma is door de installatie in de public directory neergezet, en zorgt ervoor dat de BorderManager weet wie de gebruiker is van een werkplek. Wanneer geen gebruik wordt gemaakt van clntrust, zal de gebruiker zich via een webpagina van de BorderManager moeten authenticeren. Op IP-gebied moet het station een adres in de 192.168.1.x-reeks hebben gekregen en de default gateway en DNS-server moeten op 192.168.1.1 zijn ingesteld. Klaar om te surfen! 7/2.2.6 Tips Wanneer de BorderManager down wordt gebracht, komt het soms voor dat de licenties niet altijd even goed worden vrijgegeven. Dit euvel treedt niet op wanneer de diverse 7/2.2-10
Novell Netwerkoplossingen, aanvulling 2
Security
modules eerst worden ontladen. Dit gaat heel makkelijk wanneer de volgende commando’s in een script worden gezet. Noem deze bijvoorbeeld ‘brdstop.ncf’ en zet deze files in SYS:System: unload proxy unload proxycfg unload cpfilter unload ipxipgw unload authgw unload authchk unload aclcheck unload nbmalert unload vpmaster unload vpslave unload brdmon unload brdsrv unload csatpxy Nogal wat sites linken door naar sites zonder naam in DNS. Dit soort bezoekjes resulteren dan in een melding op het console: name resolution failed. De melding is niet zo belangrijk dat hij een plekje verdient op het serverscherm en is dan ook uit te zetten door ACLCHECK.NLM te laden met de optie /S.
Novell Netwerkoplossingen, aanvulling 2
7/2.2-11
BorderManager
7/2.2-12
Novell Netwerkoplossingen, aanvulling 2