Vyšlo ve zpravodaji Novell eNews 12 / 2003
Novinky v Novell BorderManageru 3.8 Jedním z významných tradičních produktů firmy Novell je BorderManager. Je to integrovaný balík služeb, jež jsou potřebné především v souvislosti s připojováním podnikových sítí k Internetu. V rámci jeho neustálého vývoje přichází nyní na trh další verze, tzn. BorderManager 3.8. První verze BorderManageru se objevila na trhu již v roce 1997 (původně pod názvem Novell Border Services). Tento produkt vznikl jako reakce na potřebu zajistit, aby komunikace mezi privátní sítí a připojeným Internetem byla bezpečná, řízená a rychlá. Základními službami, jež obsahuje, jsou proxy-služby, firewall, sítě VPN (Virtual Private Networks) a pokročilá autentizace. K jeho přednostem patří především kompatibilita s eDirectory a centrální správa jeho služeb. Ve své oblasti patří ke špičkovým produktům. Novinky BorderManager 3.8 byl dostupný ve formě veřejné beta-verze již od července 2003 a jako oficiální produkt byl uvolněn v polovině listopadu. Oproti svému bezprostřednímu předchůdci, což je verze 3.7, disponuje řadou nových a zlepšených vlastností. Jedná se především o následující novinky: a/ v oblasti řízení přístupu na Internet a přímých proxy-služeb - podpora filtrování obsahu pomocí SurfControl Content Database a kategorie N2H2, - podpora pro volně šiřitelné databáze URL-adres přes Connectotel LinkWall, b/ v oblasti sítí VPN - služby VPN založené na standardu IPSec, - kompatibilita s produkty certifikovanými pro IPSec, - autentizace vůči libovolnému LDAP-adresáři,
- řízení přístupu VPN-uživatelů k prostředkům privátní sítě založené na identitě, c/ v oblasti firewallu - firewall na serveru certifikovaný organizací ICSA Labs, - klientský firewall Novell Client Firewall 2.0, d/ v oblasti zabezpečení - zabezpečení založené na infrastruktuře NICI - podpora pro více než 50 autentizačních metod, - silnější zabezpečení vzdáleného přístupu založené na infrastruktuře PKI využívající certifikáty typu X.509, - zabezpečený přístup k interním i externím zdrojům podle identity uživatelů uchovávané v libovolném LDAP-adresáři. Z uvedených novinek si nyní blíže všimněme těch, které lze považovat za nejvýznamnější. Služby VPN s podporou otevřených standardů BorderManager 3.8 nyní obsahuje nové služby VPN, jež podporují otevřené standardy. Jedná se např. o IPSec (Internet Protocol Security) a IKE (Internet Key Exchange). IPSec představuje rámec pro bezpečné protokoly pracující na paketové vrstvě. Ve standardu IETF (Internet Engineering Task Force) IPv6 je jeho použití povinné, v IPv4 volitelné. Protokol IKE pak využívají VPN-servery odpovídající standardu IPSec k realizaci bezpečných kanálů pro vzájemnou komunikaci. Tento protokol definuje metodu pro výměnu klíčů, které servery používají k vytvoření společného tajemství. Pro zajištění zpětné kompatibility s předchozími verzemi BorderManageru však zůstává zachována i podpora protokolu SKIP (Simple Key Management for Internet Protocol). Základním přínosem podpory zmíněných otevřených standardů v BorderManageru 3.8 je dosažení interoperability, tzn. schopnosti vzájemné spolupráce s jinými produkty tohoto typu. Díky této podpoře lze prostřednictvím BorderManageru 3.8 vytvářet sítě VPN typu “site-to-site” zahrnující i organizace, jež používají jiné VPN-produkty certifikované pro IPSec. Jedná se přitom jak o prostředky softwarové, tak i hardwarové. Je tedy možné vytvářet
bezpečné komunikační kanály mezi různými organizacemi, jejich obchodními partnery a zákazníky. Přístup uživatelů sítí VPN, např. zmíněných obchodních partnerů a zákazníků, ke zdrojům vlastní sítě je pochopitelně potřeba řídit a omezovat. BorderManager 3.8 to, jak se dá očekávat, umožňuje. Jeho prostřednictvím lze vytvářet pravidla ukládaná do eDirectory, jež povolují nebo zakazují přístup k zadaným zdrojům, a to na základě IP-adres, adresních intervalů, čísel portů apod. Zmíněná pravidla se pak spojují s objekty eDirectory, jež reprezentují uživatele, jejich skupiny či kontejnery, nebo s digitálními certifikáty používanými k autentizaci. Schopnost interoperability má i VPN-klient, jenž je součástí BorderManageru 3.8. Spolupracuje totiž s řadou jiných VPN-bran. V této souvislosti je však požadováno, aby tyto brány podporovaly IPSec a pro účely autentizace používaly buď tzv. “pre-shared secrets” (přes IKE nebo SKIP) nebo digitální certifikáty odpovídající standardu X.509. Zmiňovaný klient pracuje v prostředí Windows 98/ME/NT4/2000/XP. Existuje i opačná možnost. K VPN-serverům z BorderManageru 3.8 se lze připojovat také prostřednictvím VPN-klientů “třetích” výrobců, a to dokonce klientů z jiných platforem. I zde platí již zmíněný požadavek na soulad s IPSec a způsobem autentizace. V současnosti má Novell otestovánu a potvrzenu interoperabilitu mezi BorderManagerem 3.8 a následujícími VPN-klienty: - VPN Tracker (platforma Macintosh, viz www.equinux.com), - Linux FreeS/WAN (platforma Linux, viz www.freeswan.org). Novell Client Firewall V souvislosti s používáním VPN-klienta (tzn. u sítí VPN typu “client-to-site”) je třeba si uvědomit, že spojení mezi ním a serverem, i když je realizováno jako bezpečné, ještě neřeší všechny problémy. Přístup přes VPN-klienta může být totiž bezpečný jen do té míry, nakolik je bezpečný samotný klient. Pokud je vzdálená stanice např. infikována virem,
stačí, aby se z ní uživatel jen jedenkrát přihlásil do sítě prostřednictvím VPN-klienta, a vir má cestu do sítě otevřenu. Aby bylo možné se tomuto nebezpečí bránit, obsahuje BorderManager 3.8 novou součást, a sice Novell Client Firewall 2.0. Je to první krok Novellu do oblasti zabezpečení “koncových bodů” sítě (EPS - End-Point Security). Jeho prostřednictvím lze tedy rozšiřovat a prosazovat bezpečnostní politiku sítě i na úroveň pracovních stanic uživatelů. Pracuje v prostředí systémů Windows NT4/2000/XP a umí spolupracovat i s klientem Novell Client 32 (nevyžaduje ho však). Novell Client Firewall 2.0 umožňuje na klientské stanici povolovat nebo zakazovat aktivity, a to v závislosti na použitých aplikacích, protokolech a portech. Když je aplikace blokována, nebo částečně či plně povolena, začne Novell Client Firewall 2.0 sledovat nejen hlavní kód dané aplikace, ale i všechny další součásti, jež s aplikací souvisí (např. příslušné soubory .dll). Zmiňovaný firewall také oznamuje uživatelům všechny změny v souvisejících součástech aplikace. Díky tomu chrání VPN-klienty (a tím i celou síť) před viry a Trojskými koni, které mohou být maskovány jako součásti aplikace a tak pronikat přes firewally. BorderManager 3.8 lze přitom konfigurovat tak, aby odmítal vytvořit VPN-spojení s těmi stanicemi, na nichž není Novell Client Firewall v činnosti. Většina uživatelů sítí nezná problematiku protokolů a portů, takže představa, že by firewally na stanicích konfigurovali oni, je asi děsivá jak pro správce sítí tak i pro ně samotné. Toto nebezpečí však nehrozí, protože pomocí rozhraní pro správu firewallu může správce sítě vytvářet konfigurační soubory. Ty pak lze zkopírovat do firewallu ještě před jeho distribucí uživatelům nebo je lze nabídnout uživatelům dodatečně a ti si pak mohou zvolený konfigurační soubor zkopírovat na svůj firewall. V obou zmíněných případech se uživatelé vlastní konfigurací firewallu nezabývají. K dispozici je i ochrana konfiguračních souborů heslem. To např. zabraňuje technicky zdatným uživatelům, aby zvolenou konfiguraci firewallu měnili. Pomocí produktu Novell ZENworks for Desktops lze také požadovanou konfiguraci
distribuovat a poté uzamknout, aby ji uživatelé nemohli modifikovat. U následující verze Novell Client Firewallu se již očekává, že jej bude možné spravovat centrálně pomocí webového nástroje Novell iManager. Podpora pro více než 50 autentizačních metod V sítích VPN typu “client-to-site” realizuje BorderManager 3.8 bezpečné komunikační kanály spojující klientské stanice se sítí a navíc Novell Client Firewall chrání samotné klientské stanice. Slabým místem by zde však zůstávali uživatelé. Za obvyklých okolností, kdy se k jejich autentizaci používá jen heslo, není jistota, zda jsou přihlašující se vzdálení uživatelé těmi, za něž se prohlašují. Hesla totiž nemusí být v tomto případě zcela dostačující, zvláště pokud s nimi uživatelé zacházejí nedbale (jednoduchá hesla, jejich poznamenávání apod.). BorderManager 3.8 odstraňuje tuto potenciální slabinu tím, že nabízí použití přídavných nebo alternativních způsobů autentizace. Podporuje totiž více než 50 pokročilých autentizačních metod (což je asi o 40 metod více než jiné VPN-produkty). Patří mezi ně i metody využívající autentizační prostředky typu Token, Smart Cards a biometrická měření. Zmíněná široká podpora pokročilých autentizačních metod není u firmy Novell novinkou. Obsahoval ji již produkt NMAS EE (Novell Modular Authentication Services Enterprise Edition), který je ve verzi 2.2 přítomen i v BorderManageru 3.8. Přestože je možné se s řadou autentizačních metod setkat i v jiných produktech Novellu, celá jejich plejáda je k dispozici jen v BorderManageru 3.8. Lze tu tedy najít službu RADIUS (Remote Authentication Dial-In User Service), všechny autentizační metody obsažené v NMAS, včetně autentizací typu Advanced X.509, Universal Smart Card, pcProx, LDAP, Secure Workstation atd. Názvy zmíněných autentizací naznačují jejich charakteristické vlastnosti. Tak např. metoda X.509 umožňuje uživatelům autentizovat se do eDirectory prostřednictvím X.509 certifikátů. Podobně metoda pcProx
umožňuje použít k autentizaci do sítě karty a čtecí zařízení typu pcProx (bližší informace viz www.pcprox.com). A autentizační metoda založená na protokolu LDAP umožňuje uživatelům přihlašovat se prostřednictvím libovolného LDAP-adresáře, např. eDirectory, Active Directory a iPlanet. Autentizační metoda Secure Workstation se používá na pracovních stanicích Windows 2000/XP a ošetřuje mimo jiné i následující dva typy událostí: odstranění autentizačního zařízení a automatický timeout z důvodu uživatelovy neaktivity. Podle toho, jak je nakonfigurována, reaguje na zmíněné události jedním z následujících způsobů. V první variantě provede uzamčení pracovní stanice, odhlášení z Windows, uzavření všech programů a odhlášení ze sítě, ve druhé variantě provede jen poslední dvě zmíněné akce. Shrnutí Závěrem lze tedy konstatovat, že nový BorderManager 3.8 nabízí ve srovnání se svými předchůdci několik dalších zajímavých vlastností. Za pozornost stojí především služby VPN založené na otevřených standardech, klientský firewall a rozsáhlé možnosti autentizace. Podpora otevřených standardů umožňuje používat BorderManager 3.8 k vytváření bezpečných spojení i s jinými organizacemi, např. s obchodními partnery. Díky ní se odstraňují problémy s kompatibilitou, takže lze běžně využívat i produkty a zařízení, které jsou již v organizaci zakoupeny. Klientský firewall a množství autentizačních metod pak dále zvyšuje bezpečnost vzdálených přístupů do sítě. To vše přináší organizacím, jež vlastní BorderManager 3.8, možnost rozšíření bezpečné komunikace na další subjekty, zachování existujících investic, úspory času a peněz, zjednodušení pracovních činností, bezpečný na identitě založený přístup vzdálených uživatelů k ne-webovým aplikacím atd. Ing. Oldřich Přichystal Zpracováno volně podle článku “Cheryl Walton: Novell BorderManager 3.8 - Opening Up and Tying Down Remote Access Security” uveřejněného v Novell Connection
11+12/2003.