BorderManager EE
BorderManager Enterprise Edition A
Novell
BorderManager
Novell-címtárszolgáltatásra
Enterprise
(NDS-re)
Edition
épülő
egy
átfogó,
biztonsági
a
felügyeleti
termékcsomag. Az NDS funkcióit kihasználva lehetővé teszi az egypontos, egyjelszavas bejelentkezést a hálózatra és a címtáralapú irányelv-felügyeletet. A
biztonsági
szolgáltatások
–
a
tűzfal-szolgáltatások,
a
virtuális
magánhálózatok, a gyorsítótár és a hitelesítési szolgáltatások – közvetlen előnyt nyújtanak a hálózattervezők számára: egyszerűen biztosíthatóvá és felügyelhetővé
teszik az
intranetes
és
internetes kapcsolatokat.
A
BorderManager a központosított felügyeletnek és irányításnak köszönhetően kiváló teljesítményt és alacsony hálózati összköltséget nyújt. Jelen ismertetőnkben összefoglaljuk az integrált biztonsági szolgáltatások iránti igényeket és bemutatjuk, hogyan képes ezen igényeket kiszolgálni a BorderManager
Enterprise
Edition.
Részletesen
tárgyaljuk
a
BorderManager-csomag egyes komponenseit: • Tűzfal-szolgáltatások • Virtuális magánhálózati (VPN-) szolgáltatások • Proxy gyorsítótár-szolgáltatások • Irányelv alapú felügyelet • Hitelesítési szolgáltatások • Naplózások, riasztások és jelentéskészítés
Igény az integrált biztonsági szolgáltatásokra Sok cég használja ki az Internetet, mint olcsó távolsági kapcsolatot, és bővíti hálózatait virtuális magánhálózatokkal (VPN-ekkel). Ez a megoldás számos
előnnyel
jár:
az
alkalmazottakkal
való
még
szorosabb
együttműködéssel a belső webszervereken keresztül; a vásárlókkal való még szorosabb együttműködéssel az Interneten keresztül; valamint az üzleti partnerekkel való még szorosabb együttműködéssel az extraneteken keresztül.
BorderManager EE Nem szabad ugyanakkor szem elől téveszteni az Internethez csatlakozás, az intranetek és extranetek kialakítása során az egyik legfontosabb szempontot – a biztonságot. Az Internet hírhedten megbízhatatlan. Emiatt a vállalati hálózatok az Internettel összekapcsolása lehetőséget teremt a kívülről jövő támadások számára. A védekezéshez számos gyártó biztosít ún. tűzfalakat – egyfajta sáncot az Internet és a vállalati hálózat közé. Létezik azonban egy sokkal súlyosabb és sokkal kényesebb biztonsági probléma, még az internetes betörőknél is kellemetlenebb. Az internetes technológiák – például a belső webszerverek – alkalmazása támadási lehetőséget nyit a cégen belülről is. Ebben az esetben pedig mit sem használ az Internet-tűzfal. A szoftvergyártók csoportosan kerestek írt az internetes technológiák alkalmazásával járó számos biztonsági és technológiai problémákra. Különféle
termékekkel
álltak
elő
–
Internet-tűzfalakkal,
teljesítménygyorsítókkal, VPN-ekkel, és internetes webtartalom-szűrőkkel. A gond mindezekkel csupán az, hogy a hálózat üzemeltetője kénytelen maga a különféle gyártók termékeiből valamiféle egységes megoldást kovácsolni. Különálló termékek kavalkádjának felügyelete bonyolult, kevéssé hatékony, és számos hibalehetőséget rejt magában. Az ICSA jelentése szerint a tűzfal-betörések 90 százaléka valamilyen konfigurációs hibára vezethető vissza. A rendszergazdáknak minden egyes felhasználó adatait többféle címtárban kell vezetniük, a felhasználók pedig többféle azonosítót és jelszót kell, hogy megjegyezzenek. S ami mindebben a legrosszabb: legyen akármilyen bonyolult és költséges a végeredményként kapott megoldás használata és felügyelete, még mindig nem nyújt elégséges védelmet a belülről jövő támadások ellen. Amire valójában szükség lenne, egy sor olyan szolgáltatás, amelyik kellő védelmet nyújt mind a külső, mind a belső támadások ellen, javítja a teljesítményt, nem hiányoznak belőle a biztonságos VPN-funkciók, valamint lehetővé teszi a ki- és bemenő Internet-forgalom teljes ellenőrzését – mindezt lehetőleg egyetlen, integrált, könnyen felügyelhető csomagban.
A BorderManager Enterprise Edition 3.5 nyújtotta megoldás
A Novell BorderManager Enterprise Edition 3.5 átfogó biztonsági felügyeleti megoldást nyújt. A biztonsági felügyeleti szolgáltatások
BorderManager EE megvalósítása során kihasználja a Novell-címtárszolgáltatás erejét. A BorderManagerrel egy cég az alábbiakat valósíthatja meg: • Kihasználhatja az Internet nyújtotta új technológiákat úgy, hogy közben hatékonyan védi hálózatát mind a külső, mind a belső támadások ellen. • Még nagyobb teljesítményt biztosíthat felhasználóinak – anélkül, hogy egy szemernyit is fel kellene áldoznia a biztonságból. • Tovább csökkentheti a hálózat összköltségeit a központi felügyelet és irányítás révén.
Mivel
a
BorderManager
szorosan
egybeépül
az
NDS-sel,
a
rendszergazdák egyetlen, központi helyről irányíthatják a biztonsági rendszert és férhetnek hozzá az egész hálózathoz. Az NDS-en keresztül megvalósított biztonsági felügyelet igen jól méretezhető, és még azt is lehetővé teszi, hogy a rendszergazdák jogkörük egy részét átruházzák másokra, ellenőrzött, biztonságos módon. Az
NDS-sel való szoros integráció révén a
BorderManager természetes kiegészítés a meglévő NDS-felhasználók számára. Mivel az összes hitelesítés az NDS-en keresztül történik, nem szükséges párhuzamosan külön-külön címtárakat és adattárakat fenntartani az egyes termékekhez és funkciókhoz. Ennek eredményeképpen a BorderManager csökkenti az emberi hibák előfordulását is, és ezzel tovább növeli a rendszer biztonságát. Az NDS-en keresztüli egyetlen jelszavas bejelentkezéssel pedig a felhasználók gyorsan és biztonságosan elérhetik az összes általuk jogosan használható hálózati erőforrást – jelentkezzenek be akár egy közvetlenül a LAN-ra kapcsolódó munkaállomásról, akár telefonon keresztül egy távoli LAN-munkaállomásról, vagy VPN-en keresztül az Internetről. Jóval nagyobb biztonságot nyújt az NDS-alapú hitelesítés, mint a hagyományos TCP/IP-alapú biztonsági megoldások. A TPC/IP-alapú biztonság sokkal inkább az IP-címekre és szegmensekre épül, mintsem az egyes felhasználókra. Mindennek eredményeképpen a rendszer biztonsága gyenge – ha például egy alkalmazott munkaállomásán le is van tiltva valamely hálózati erőforráshoz való hozzáférés, még mindig átsétálhat egy másikhoz, amelyiken nincs. Az IP-címeket dinamikusan kiosztó DHCP protokoll tovább nehezíti a helyzetet, hiszen ha az egyes felhasználók gépeinek IP-címei dinamikusan változnak, a személyenkénti biztonsági felügyelet lehetetlenné válik. Ezzel szemben az NDS-re épülő BorderManager képes valódi
BorderManager EE felhasználó-
és
erőforrásalapú
védelmet
biztosítani.
A
felhasználó
erőforráskérései a felhasználó személyétől, nem pedig az éppen használt munkaállomás adataitól függően bírálódnak el. A BorderManager az alábbi szolgáltatásokat tartalmazza: • Tűzfal-szolgáltatások • Virtuális magánhálózati (VPN-) szolgáltatások • Proxy gyorsítótár-szolgáltatások • Irányelv alapú felügyelet • Hitelesítési szolgáltatások • Naplózások, riasztások és jelentéskészítés
Tűzfal-szolgáltatások
A BorderManager tűzfala stabil védelmet biztosít a behatolni kívánók ellen a vállalati intranet és az Internet határán. Felhasználhatók a tűzfalak arra is, hogy biztonságos szegmensekre osszuk a vállalati intranetet, védve az egyes osztályok bizalmas adatait a más osztályokon dolgozó felhasználók ellen. A BorderManager tűzfal-szolgáltatásaival a cég egyaránt felügyelheti az Interneről bejövő és az Internetre kimenő forgalmat. Az OSI-hálózatmodell mindegyik szintjén kínál hozzáférésvezérlési szolgáltatásokat a BorderManager. Minden magasabb szintű komponens további védelmi funkciókkal egészíti ki az alacsonyabbak szolgáltatásait. Az egyes komponensek szorosan egymásra épülve, igen nagy szilárdságú védelmi rendszert alkotnak. Felülről lefelé haladva, az alábbi funkciókat használhatjuk: • Alkalmazás-proxy. BorderManager:
Számos
HTTP-hez,
alkalmazáshoz
FTP-hez,
biztosít
Gopherhez,
a
proxyt
a
postához,
a
hírcsoportokhoz, RealAudióhoz és RealVideóhoz, a DNS-hez, valamint két további általános célú TCP- és UDP-proxy is használható egyéb protokollokhoz, például LDAP-hez. Az alkalmazásproxyk a felhasználói alkalmazások és az intranetes/internetes erőforrások közé ékelődnek, és az OSI 7. szintjén vizsgálják a hálózati csomagokban lévő adatokat. Nemcsak a csomagok címét nézik meg, hanem azt is, hogy azok milyen kapcsolati kontextusban továbbítódnak, és a tényleges továbbítás előtt különféle tartalomalapú szabályok szerint feldolgozzák a csomagokat. Az alkalmazásproxyk a védelem legmagasabb szintjét jelentik, tovább fokozva az áramköri átjárók (circuit gateway) és a csomagszűrők nyújtotta
BorderManager EE biztonságot. Ugyanis ha egyszer egy áramköri átjáró már megnyitott egy virtuális csatornát egy kliens és egy gazdagép között, azon már bármilyen alkalmazás futhat. Az alkalmazásproxy azonban képes a kapcsolatokat alkalmazástípusok szerint, sőt, még az alkalmazásban előforduló utasítások szerint is korlátozni. A HTTP alkalmazásproxy kezeli az SSL-t (Secure Sockets Layer) is, így titkosított csatorna jöhet létre a kliens és a szerver között a lehallgatás elleni védekezés érdekében. • Áramköri
átjárók.
Kétféle
típusú
áramköri
átjárót
kínál
a
BorderManager: egy SOCKS-átjárót és a Novell IP-átjárót. A SOCKS-átjáró kezeli a v4 és v5 SOCKS szerver- és kliensprotokollokat. A SOCKS protokoll kezelése révén a BorderManager konfigurálható más tűzfal-megoldások részeként
is,
azaz
képes
hatékonyan
együttműködni
más
gyártók
megoldásaival. A BorderManager használható a meglévő tűzfalak előtt, mögött, vagy azok belsejében. Mivel a SOCKS-szerver univerzális SOCKS-klienseket kezel, így hatékony többplatformos védelem alakítható ki: a SOCKS-szal és az SSL-lel VPN-funkciók biztosíthatók NT-, UNIX- és NetWare-kliensekhez egyaránt. A Novell IP-átjárója mind IPX/IP-átjárót, mind IP/IP-átjárót tartalmaz, amelyek átlátszó hitelesítést biztosítanak a BorderManager felé. A Novell IP-átjáróján keresztül érik el az IPX- és IP-kliensek a TCP/IP-szolgáltatásokat. Amikor egy IPX- vagy IP-kliens TCP/IP-szolgáltatást – például HTTP-t, FTP-t, Telnetet vagy Gophert – igényel a tűzfalon belül vagy kívül lévő gazdagéptől, a hozzá rendelt áramköri átjáró elfogja a kérést. Konzultálva az NDS-sel, ellenőrzi, hogy a felhasználó valóban rendelkezik-e a kapcsolat kezdeményezéséhez szükséges jogosultságokkal. A hozzáférés korlátozhatók protokoll és gazdagépnév/-cím alapján. A csomagokat az OSI-modell 5. szintjén vizsgáló áramköri átjárók a sima csomagszűréshez képest extra biztonságot nyújtanak. A Novell IP-átjárója natívan kezeli az MS Winsock 2.0-át. • Hálózati címfordítás. Tartalmaz a BorderManager mind dinamikus, mind statikus IPX- és IP-címfordítási (NAT-) táblákat. A táblákat a rendszergazda töltheti fel egy sor nyilvános IP-címmel, a BorderManager pedig automatikusan ezekkel helyettesíti a tűzfalon kívülre menő csomagok belső forráscímeit. Ez az OSI-modell 3. szintjén végbemenő címfordítás igen erős védelmet biztosít, hiszen elrejti a belső hálózati címeket a külvilág elől. Ráadásul a rendszergazda életét is megkönnyíti azáltal, hogy az IP-címek felügyeletének időigényes és nehézkes feladata helyett dinamikusan és
BorderManager EE automatikusan képezi le a belső címeket a bejegyzett IP-címekre. Csatolónként egyidejűleg 5 ezer regisztrálatlan címet képes leképezni. • Csomagszűrés. A szintén az OSI-modell 3. rétegében működő BorderManager-csomagszűrő minden egyes csomagot megvizsgál a beállított feltételeknek megfelelően. A szűrő leellenőrzi a forrás és cél IP- vagy IPX-címét, letiltva a hozzáférést bizonyos meghatározott gépekhez és gépekről; képes szűrni bizonyos IP-protokollokat és/vagy portokat, például a HTTP-t, a Telnetet, az FTP-t és a Gophert; az IPX-protokollok szűrésével pedig a NetWare-alapszolgáltatások használata korlátozható. A BorderManager ún. állapotfüggő (stateful) csomagszűrést alkalmaz: nemcsak a csomag címét vizsgálja meg, hanem azt a kontextust is, amelyben a csomagot küldték. Ez jóval hatékonyabb megoldás a gyanús csomagok azonosítására. Egy sima címszűrőn könnyedén keresztülhatol egy hacker címhamisítással. A hacker azonban nem képes kizárólag címhamisítással keresztülhatolni a BorderManager csomagszűrőjén. Ehhez meg kellene állapítania a kapcsolat teljes kontextusát, amelyben a csomagot küldték.
További
védelmi
lehetőséget
kínálnak
a
BorderManager
alkalmazásprogramozói felületei (API-jai), amelyekkel külső fejlesztők további szűrőket hozhatnak létre. A Novell-partnerei már most is szűrők széles skáláját kínálják, többek között vírusirtó, Java-, ActiveX-, jelentéskészítő és MIMEtag-szűrőket. (A legfrissebb lista a www.novell.com/bordermanager címen olvasható.) Mindemellett
a
BorderManager
tartalmazza
a
CyberPatrol
céltartalom-szűrő program egy próbaváltozatát is, amely tartalom alapján képes letiltani a bizonyos webhelyek felé irányuló Internet-hozzáférést. A hagyományos tűzfal-megoldások – különösen a csomagszűrés – klasszikus problémája, hogy bár valóban rendkívül szigorú védelemre képesek, üzembehelyezésük és felügyeletük rendkívül összetett és nehézkes. Mindennek eredményeképpen a rendszergazdák hibázhatnak a tűzfal üzembeállításakor, és e hibák a biztonsági rendszer komoly réseit eredményezhetik. A BorderManager néhány lépéses folyamattá egyszerűsíti le a tűzfal üzembehelyezését: 1. A BorderManager-tűzfal automatikusan úgy kezd üzemelni, hogy egyik irányba sem enged át semmilyen forgalmat.
BorderManager EE 2. A rendszergazda
ezután
a
BorderManager
Setup
ablakában
konfigurálja a használni kívánt áramköri átjárókat és alkalmazásproxykat. 3. A rendszergazda ezután átlép a BorderManager Rules (szabályok) ablakba, ahol egyszerűen érthető, magas (természetes nyelvhez közeli) szintű hozzáférési
szabályokat
alakít
ki
az
áramköri
átjárókhoz
és
alkalmazásproxykhoz. A BorderManager ezen szabályok alapján maga konfigurálja a csomagszűrőt – automatikusan.
Virtuális magánhálózati szolgáltatások
A BorderManagerrel egy cég felhasználhatja az Internetet telephelyei biztonságos összekapcsolására, arra, hogy a távoli kliensek hozzáférjenek a vállalati hálózathoz, illetve kialakíthat olyan extraneteket, amelyeken keresztül az üzleti partnerek bekapcsolódhatnak a vállalati intranet nekik rendelt részébe. Az Interneten keresztül erős titkosítással védve továbbítódnak az adatok az illetéktelen lehallgatás ellen. Ezenfelül a célállomás ellenőrzi a megérkezett
adatok
hitelességét,
felderítve
a
szándékos
rongálási
próbálkozásokat. A BorderManager VPN-szolgáltatásaival biztonságosan és gazdaságosan alakíthatnak ki a cégek magánhálózatokat az Interneten keresztül. Háromféle típusú virtuális magánhálózat alakítható ki a BorderManager VPN-nel: • Telephelyek közötti VPN-ekkel két osztály (telephely, fiók, stb.) szerverei köthetők össze az Interneten keresztül. E módszerrel a független LAN-szegmensek szervezhetők egyetlen WAN-ná. • Kliens-szerver VPN-ekkel a LAN-, a betárcsázós és a kábelmodemes felhasználók – használjanak akár IP-, akár IPX-protokollt – internetes, biztonságos kapcsolaton keresztül férhetnek hozzá a VPN-erőforrásokhoz. Ily módon a felhasználók védett kapcsolaton keresztül használják szükséges hálózati erőforrásokat, legyenek – és legyenek az erőforrások – akárhol is. A BorderManager VPN-nel az összes erőforrás, mindenhonnan, egyetlen jelszóval elérhető. • Extranet használatakor a cég vállalati hálózatát kapcsolja össze üzleti partnereinek belső hálózatával az Interneten keresztül.
BorderManager EE VPN-ek kialakításakor alapvető fontosságú, hogy azt kizárólag az arra rendelt, a megfelelő jogokkal rendelkező tagok használhassák. Fontos továbbá, hogy a VPN-en keresztülhaladó információ egyaránt védve legyen a lehallgatástól és a szándékos rongálástól. A BorderManager az összes felhasználót az NDS-en keresztül hitelesíti, biztosítva, hogy csak a megfelelő jogokkal
rendelkező
VPN-felhasználók
használhassák
a
VPN-t.
A
BorderManager VPN-szolgáltatásai a továbbított információ védelmét és egységét különféle nyílt szabványok és jól bevált kriptográfiai technológiák – IPSec, RC2, RC5, DES, 3DES és SKIP – alkalmazásával biztosítják. Kezeli a BorderManager VPN a szimmetrikus többprocesszoros (SMP-) rendszereket is,
kihasználva a többprocesszoros hardver nyújtotta
lehetőségeket a teljesítmény növelése érdekében. A teljesítmény további fokozása érdekében a BorderManager szelektív titkosításra is képes, azaz – a rendszergazda által meghatározott módon – finoman szabályozható, hogy a védett hálózatokról ki- és behaladó adatok közül pontosan mit is titkosítson. Speciális forgalomcsökkentő technológiák – fejléctömörítés, hatékonyabb WAN-útválasztási frissítések, stb. – szolgálnak a szolgálati (karbantartási) forgalom enyhítésére. A BorderManager alagutanként 256 helyszínt és szerverenként 1000 betárcsázós felhasználót képes kiszolgálni. Számos szabványos alagút-, titkosítási és kulcscsere-mechanizmust kezel a BorderManager a stabil, ugyanakkor rugalmas biztonsági keretrendszer kialakítása érdekében. Kezeli a gyakorlat igazolta IPSec-szabvány (RFC #1825-1828) szerinti IP-relémechanizmuson alapuló alagút-technológiát. Használja az RC2, az RC5, a DES és a 3DES titkosítási algoritmusokat. Végül pedig kezeli a SKIP (simple key exchange Internet protocol, egyszerű kulcscsere Internet-protokoll) szabványt a hitelesítési kulcsok biztonságos szétosztásához. A
BorderManager
VPN-szolgáltatásai
is
az
NDS-en
keresztül
felügyelhetők. Ezáltal a VPN – vagy akár több VPN is – egyetlen, központi helyről felügyelhető.
Proxy gyorsítótár-szolgáltatások
Tartalmaz a BorderManager olyan teljesítménynövelő Web- és FTP proxy gyorsítótár-szolgáltatásokat,
amelyek
igen
magas
szintre
emelik
a
teljesítményt anélkül, hogy veszélyeztetnék a biztonságot. A BorderManagert
BorderManager EE gyorsítótárát használó cég csökkentheti a szükséges webszerverek számát és ezáltal mind az eszközökkel, mind a felügyelettel kapcsolatos költségeket. Legnagyobb ellensége a telephelyi LAN-ok egységes, országos vagy éppen globális hálózatokká szervezésének a teljesítménycsökkenés. E csökkenés legfőbb oka a LAN-szegmenseket összekötő WAN-kapcsolatok alacsony sávszélessége. Ugyanakkor nem elhanyagolható az sem, hogy a nagy távolságra utazó adatokat legalább egy, esetleg több tűzfal vagy valamilyen más biztonsági eszköz szűri, amely tovább lassíthatja az adatok áramlását. A BorderManager gyorsítótár-szolgáltatásaival a biztonság feláldozása nélkül hozhatók létre nagyteljesítményű, globális vállalati hálózatok. S mivel a BorderManager gyorsítótár-szolgáltatásai nyílt internetes szabványokra épülnek, együtt használhatók a Novell más internetes és intranetes termékeivel, valamint minden más szabványos böngészővel és webszerverrel, tetszés szerinti heterogén, többgyártós rendszerekben is. A BorderManager gyorsítótár-szolgáltatásai alapvetően az Internet Cache Protocolra (ICP-re) épülnek, egy új generációs protokollra, amely ugyanakkor visszamenőleg
kompatíbilis
az
első
generációs
CERN-féle
gyorsítótárkezeléssel is. Ez a modern technológia kiváló teljesítményt biztosít a nyílt szabványokra épülő környezetekben, és kezeli a HTTP, az FTP, az SSL és Gopher protokollokat egyaránt. A Novell e technológiát tovább csiszolta a NetWare-platformon való még tökéletesebb működéshez – s ne feledjük, maga a NetWare is szinte a végletekig finomított a hálózati környezet maximális kiszolgálása érdekében. Ennek eredményeképpen a teljesítménye is messze felülmúlja a szokásos alkalmazásszerverekét és általános célú operációs rendszerekét – például az NT-ét és a UNIX-ét. A BorderManager gyorsítótár-szolgáltatásai több, mint 100 ezer egyidejű kapcsolatot képesek kiszolgálni, másodpercenként több, mint hatezret. A SPECWEB 96 teszt minősítése szerint a BorderManager másodpercenként 2200 műveletet teljesített, ezáltal a világ jelenleg kapható legméretezhetőbb megoldása. Akár tízszeresére is növelhető a teljesítmény a BorderManager gyorsítótár-szolgáltatásaival. Egy LAN-on elhelyezkedő proxy szerver adatait gyorsítva a BorderManager gyorsítótár-szolgáltatásai a WAN-kapcsolati adatforgalmat átlagosan több, mint 60 százalékkal csökkentik. Ez más szavakkal azt jelenti, hogy ugyanazon fizikai WAN-kapcsolat érdemi teljesítménye két–két és félszeresére növelhető. Enek eredményeképpen pedig nem kell vásárolni drágán, nagyobb sávszélességű WAN-kapcsolatokat.
BorderManager EE A proxyk működése a kliensek számára teljesen láthatatlan. Megoldható, hogy a felhasználóknak semmi extrát se kelljen beállítani böngészőjükben – ez az
ún.
„átlátszó
proxy”-mód
–
és
mégis
kihasználhassák
a
gyorsítótár-szolgáltatások előnyeit. Kéréseik automatikusan a megfelelő szerverhez továbbítórnak. A BorderManager képes aktív működésre is – vagyis megkísérli megjósolni a felhasználó viselkedését és előre letölt lapokat, még a kérések tényleges kiadása előtt. S ezzel nem értek még véget a teljesítménynövelés
lehetőségei.
A hálózat
terhelésének
minimálisra
csökkentése érdekében időzíthető például a gyorsítótárakba való kötegelt letöltés, mondjuk a kevésbé forgalmas éjszakai órákra. A BorderManager az alábbi három alapvető gyorsítótár-konfigurációt kezeli: • Kliensgyorsítás (szokásos proxy gyorsítótár). A gyorsítótár a kliensek és az Internet között helyezkedik el. Elfogja a kliensek weblapkéréseit, és amennyiben képes, azokat a gyorsítótárból szolgálja ki, LAN-sebességgel. Ily módon megszünteti az eredeti webhely lekérdezéséből származó késleltetést, és minimálisra csökkenti a vállalati hálózat és az Internet közötti forgalmat. A proxy szerver végzi a webszerverek tényleges lekérdezését az intranetes kliensek kérései alapján, a megfelelő protokollok – HTTP, FTP, Gopher – felhasználásával. Gyorsítótárba teszi az összes objektumot, az URL-eket, a HTML-lapokat, a GIF-képeket, az FTP-állományokat, annak érdekében, hogy felgyorsítsa az ugyanazon objektumra vonatkozó összes további kérés kiszolgálását. • Web- és FTP-szerver gyorsítása (visszirányú proxy gyorsítótár). A BorderManager-szerver egy vagy több web- vagy FTP-szerver elé állva, azok összes statikus adatát felveszi a gyorsítótárba és onnan szolgáltatja. A kliensek kérései átirányítódnak a proxy szerverhez, amely a kívánt lapokat jóval nagyobb sebességgel tudja biztosítani. Ily módon a proxy szerver nagymértékben felgyorsítja a hozzáférést. Ezenfelül, átvéve a web- és FTP-szerverek terhelésének nagy részét, a hálózaton kevesebb szerverrel is több felhasználó szolgálható ki. A BorderManager gyorsítótár-szolgáltatásai az összes gyártó összes web- és FTP-szerverével, mindenféle kombinációban együttműködnek. • Hálózati
gyorsítás
(hierarchikus
ICP-gyorsítás).
Ebben
a
–
többszerveres – konfigurációban a BorderManager-szerverek hierarchikus rendbe (egyfajta hálóba) vannak szervezve. Amikor egy gyorsítótár-szerver nem találja a kért adatot a gyorsítótárban, lekérdezi a többit, hogy azok
BorderManager EE rendelkeznek-e a kívánt adat egy példányával, és amennyiben igen, akkor megküldeti azt a legközelebbi szerverrel, majd továbbszolgáltatja a kliens felé. A hierarchikus ICP-gyorstárazás látványos mértékben lecsökkenti a WAN-forgalmat, ugyanakkor értékes hálózati sávszélességet szabadít fel. Mivel a legközelebbi BorderManager-szerver küldi az adatokat, rendkívül alacsony a hálózati késleltetés.
Irányelveken alapuló felügyelet
A BorderManager minden szolgáltatása az NDS-en keresztül felügyelhető. A hozzáférések az NDS hozzáférésvezérlési listáinak (ACL-jeinek) szabályaival
vezérelhetők.
Ezen
irányelv-szabályok
vonatkozhatnak
mindenféle hálózati erőforrásra: gépekre, felhasználókra és csoportokra egyaránt. Az ily módon kialakítható szabályozás rendkívül sokoldalú és rugalmas: alapulhat protokollon, címeken (URL-eken), kategóriákon (pl. erőszak tiltása), sőt, akár napszakon és időn is. Mindez azonban nem jár bonyolult felügyelettel, hiszen a rendszergazdák magasszintű, az emberi nyelvű megfogalmazáshoz közel álló szabályokkal dolgozhatnak, nem pedig egyes szolgáltatásokkal. Az NDS biztosítja, hogy e szabályok továbbkerüljenek a hálózat mindegyik gépére, és hogy ne a gépekhez, hanem az egyes felhasználókhoz vagy
felhasználói
csoportokhoz
legyenek
rendelhetők.
Ennek
eredményeképpen ténylegesen megvalósítható, hogy az alkalmazottak „magukkal vihessék” hozzáférési jogaikat, ha átülnek/átkerülnek a hálózat egy másik gépére, vagyis mindig ugyanazon hozzáférési szabályok alapján dolgozhassanak, függetlenül attól, hogy hol lépnek be a hálózatba.
A
hozzáférési szabályok automatikusan replikálódnak az NDS-ben az egész hálózaton, magas szintű hibatűrést biztosítva. Készíthet a rendszergazda szabályokat az önálló NDS-objektumokhoz éppúgy, mint NDS-konténerobjektumokhoz. A szabályok az NDS befoglalási rendje szerint továbböröklődnek, vagyis az egy objektumra vonatkozó szabályok tényleges készlete sok részből, több NDS-objektum szabályaiból tevődik össze. A szabályok listája egyben prioritási lista is: a magasabb szintű szabályok felülbírálhatják az alacsonyabb szintűeket. A lista legtetején azon a BorderManager-szerveren definiált szabályok vannak, ahonnan a hozzáférési kérés érkezik. A következő szint a
BorderManager EE BorderManager-szerver
konténerének
szabályai.
Onnan
a
prioritás
fokozatosan csökken, egészen le az NDS-címtárfa gyökeréig. Minden egyes lista legalján pedig található egy nem törölhető és nem módosítható, alapértelmezésű szabály. Ez az alapértelmezésű szabály megtilt minden hozzáférést. A rendszergazda szabadon vehet fel, törölhet, másolhat, és szúrhat be szabályokat. Ezenfelül megváltoztathatja a szabály helyét a listában, növelhve vagy csökkentve ezáltal annak prioritását.
Hitelesítési szolgáltatások
A Novell BorderManagerAuthentication Services egyesíti a Remote Authentication Dial In User Service (RADIUS) hálózati biztonsági protokoll nyújtotta távoli hálózati hozzáférési biztonságot a Novell-címtárszolgáltatás kényelmével
és
erejével.
A
BMAS-sal
betárcsázhatunk
egy
NetWare-hálózatba és egyetlenegy jelszóval hozzáférhetünk az összes szokásos hálózati erőforráshoz és szolgáltatáshoz – az adatbázisokhoz, a fájlokhoz, az alkalmazásokhoz, az elektronikus postához és a nyomtatási funkciókhoz. Négyféle
módon
hitelesíttethetik
magukat
a
felhasználók
a
BorderManager használatakor: • Novell IP-átjáró. A Novell IP-átjárón keresztül a hálózatra bejelentkező felhasználókat a rendszer a háttérben automatikusan hitelesíti az NDS-hez is. • Webböngésző.
Tetszés
szerint
böngészőprogramról
is
bejelentkezhetnek a felhasználók a hálózatra. Amikor a felhasználó védett erőforráshoz kíván hozzáférni, akkor a BorderManager elindít egy HTML vagy Java bejelentkező képernyőt. (A bejelentkezés egy SSL-lel biztosított kapcsolaton keresztül történik.) • VPN-kliens. A hálózatra a BorderManager VPN-klienséről is be lehet jelentkezni. • BorderManager Authentication Services (BMAS). A telefonon keresztül betárcsázós ügyfelek kétszintű biztosításon keresztül férhetnek hozzá a hálózati erőforrásokhoz: a RADIUS hálózati biztonsági protokollon, majd a BorderManager hitelesítési szolgáltatásain (BMAS-on) keresztül.
BorderManager EE
Minden felhasználót az NDS-en keresztül hitelesít a BorderManager. Ily módon a felhasználók az összes kívánt (és számukra engedélyezett) hálózati erőforráshoz, helyüktől és az erőforrások helyétől függetlenül férhetnek hozzá – mindezt egyetlen jelszóval. Más szavakkal, a felhasználóknak elegendő egyetlen felhasználói azonosítót és jelszót megjegyezniük. Mivel a BorderManager az összes felhasználót az NDS-en keresztül hitelesíti, a rendszergazdák az összes hozzáférést felügyelhetik egyetlen, központi helyről. Ez a megközelítés nemcsak a felhasználók felvételét egyszerűsíti le, hanem azok törlését is. A rendszergazda például képes azonnal törölni egy kilépett dolgozót a hálózatról – egyszerűen csak törli a dolgozó „Felhasználó”-objektumát az NDS-ből. Nem kell tehát a rendszergazdának külön törölnie a felhasználót minden egyes szerverről vagy tartományból, amely nemcsak időigényes, hanem sok hibázási lehetőséget magában rejtő procedúra, amelynek eredményeképpen az alkalmazott még kilépése után sokáig rendelkezhet hozzáférési jogokkal bizalmas adatokhoz.
Naplózások, riasztások és jelentéskészítés
Számos esemény és rendkívüli esemény – megannyi más között meghatározott,
bizalmas/érzékeny
NLM-ek
betöltése
és
kivétele,
Ping-elárasztás, SYN-csomag elárasztás, CPU-leterhelés, stb. – esetén képes riasztásra a BorderManager. Hasonlóan jelzi a BorderManager-komponensek különféle
tűréshatárokon
kívüli
állapotait,
például
a
lemezterület
elégtelenségét, a szűkös memóriát, a licenchibákat, a leállt ICP-szülőket, vagy a leállt SOCKS-szervert. Megfelelő módon, időben reagálva ezekre a hibákra, a rendszergazdák még azelőtt elejét vehetik a gondoknak, hogy azok a hálózat leállását eredményeznék. Naplózza is a BorderManager a különféle eseményeket, így például a védett hálózati erőforrásokra történő jogosulatlan behatolási kísérleteket. A naplózandó eseményeket a rendszergazda határozza meg. A naplózás szabványos napló- és szövegformátumokban történik. A naplóadatok – akár közvetlen, akár szelektív kimutatásokon keresztüli – megvizsgálásával gyorsan felderíthetők a gyanús helyzetek, és még a bizalmas adatok sérülése előtt lekezelhetők a biztonsági problémák.