Koncem měsíce srpna společnost Novell uvedla na trh svůj
nejnovější produkt s názvem Novell BorderManager. BorderManager
představuje integrovanou rodinu adresářově založených síťových
služeb, které umožňují centrálně spravovat, zabezpečovat
a urychlovat přístup uživatelů k informacím na rozhraní dvou
libovolných sítí (včetně hranice mezi firemním intranetem
a Internetem).
Funkce nabízené BorderManagerem můžeme pro názornost rozdělit do
několika skupin: řízení přístupu, bezpečnost, zvýšení výkonu,
připojení k Internetu, podpora mobilních uživatelů a centrální
správa.
Řízení přístupu
umožňuje organizacím definovat přístupová práva k Internetu pro
objekty NDS (uživatel a skupina) nebo pro stanice s určitou IP
adresou, DNS jménem, případně adresou podsítě. Omezení přístupu
lze nastavit na mnoha úrovních - podle konkrétní URL,
hostitelského počítače nebo IP adresy podsítě, portu, času atd.
Zajímavým doplňkem, který umožňuje filtrovat přístup
uživatelů k WWW serverům podle jejich obsahu, je CyberPatrol od
firmy Microsystems. Tento software obsahuje pravidelně
aktualizovanou databázi WWW adres rozdělených do 13 skupin (např.
sport a zábava, sexuální výchova). Pokud chcete uživatelům
znemožnit přístup na stránky s určitou tematikou, stačí pouze
zaškrtnout příslušnou skupinu. Aktualizace databáze vše ostatní
vyřeší za vás. Otázkou zůstává, v jakém počtu budou do databáze
zahrnuty české webové servery. S BorderManagerem získáte
CyberPatrol ve zkušební verzi na 45 dní. Po uplynutí této doby se
deaktivuje seznam v oblasti sportu a zábavy. Ostatní seznamy
zůstanou aktivní, ale nebudou aktualizovány. Pro obnovení plné
funkčnosti produktu je třeba zakoupit předplatné u firmy
Microsystems.
Bezpečnost
Cílem zabezpečení sítě je zabránit neautorizovanému průniku do sítě a narušení integrity, případně odcizení dat. Bezpečnost sítě v BorderManageru zajišťují firewallové služby a virtuální privátní sítě.
Služby firewallu přinášejí zvýšenou bezpečnost prostřednictvím tříúrovňové ochrany. Na nejnižší úrovni pracuje paketový filtr, který patří mezi nejběžnější a nejstarší způsoby zabezpečování lokálních sítí. Je možné filtrovat například
protokoly IPX, TCP/IP a AppleTalk. Nadstavbou paketových filtrů je převod síťových adres (Network Address Translation - NAT), jenž umožňuje použít pro připojení k Internetu i neregistrované IP adresy, a navíc skrývá interní síťové adresy před uživateli veřejné sítě. Nad paketovou filtrací a převodem adres (na druhé úrovni) běží obvodové gatewaye (IPX/IP a IP/IP gateway). Poslední
úroveň firewallové ochrany představují aplikační proxy servery.
Proxy server je možné nakonfigurovat jako klasický proxy-cache-server nebo jako reverzní proxy-cache-server, který je v terminologii Novellu označován jako HTTP Accelerator.
Virtuální privátní sítě umožňují vytvářet bezpečná spojení
po Internetu. Bezpečnost přenášených dat je zajištěna
asymetrickým šifrovacím algoritmem. Bohužel se u tohoto produktu
projevuje omezení, dané americkými zákony. Zatímco v USA se
BorderManager dodává se 128bitovým kryptováním, na vývoz je
určena verze pouze se 40bitovým klíčem.
Zvýšení výkonu
Pro zrychlení přístupu k informacím na Internetu se běžně využívá
proxy-cache-serverů. V BorderManageru je použita objektová cache
nové generace ( Novell Internet object cache ), která je založena
na technologii Harvest/Squid. Tuto cache lze využít třemi
způsoby.
Prvním z nich je klasická proxy cache. V tomto případě
BorderManager ukládá navštívené WWW stránky do své vyrovnávací
paměti. Při opakovaném přístupu na takto uložené stránky je
odezva rychlejší, a navíc se šetří přenosová kapacita linek do
Internetu, protože vše se děje v rámci lokální sítě.
Druhou variantou je hierarchická proxy cache, jejíž nasazení
je výhodné zejména pro velké firmy s více pobočkami. Hierarchická
cache umožňuje nadefinovat sousedské a rodičovské vztahy mezi
proxy servery v síti. K vzájemné komunikaci mezi těmito servery
se používá Internet Cache Protocol (ICP) . Jakmile klient vznese
požadavek na WWW dokument, který není umístěn v cache,
BorderManager se zeptá okolních sousedů a rodičů. Pokud některý
z nich odpoví kladně, je dokument přenesen ke klientovi. Jestliže
požadovaný dokument není v celé hierarchii nalezen, vyžádá si ho
jeden z rodičovských serverů u příslušného webového serveru.
Posledním případem je BorderManager v režimu reverzního
proxy-cache-serveru (HTTP acceleration). Toto nastavení má za
úkol ulehčit webovému serveru, který je velice často úzkým hrdlem
infrastruktury intranetu nebo Internetu. V podstatě se jedná
o přesun všech statických dat na server s BorderManagerem, jenž
je předřazen vlastnímu Web serveru. A ten má nyní dostatek času
věnovat se generování dynamických stránek.
Další funkce
Součástí BorderManageru je i Novell Internet Access Server 4.1
(NIAS). Ten mimo jiné zajišťuje směrovací služby a vzdálený
přístup uživatelů k síti. Vlastností směrovacích služeb lze
využít při připojení sítě k Internetu pevným nebo vytáčeným
spojením. Vzdálení uživatelé se mohou připojit k síti buď jako
vzdálený uzel (remote node), kdy mohou pracovat stejným způsobem
jako na lokální stanici, nebo se připojí k vyhrazené lokální
stanici v síti a po dálkových spojích jsou přenášeny pouze povely
z klávesnice nebo myši a změny obrazovky (remote control).
Nevýhodou vzdáleného přístupu k síti zatím je, že není kryptován.
Naopak velkou výhodou BorderManageru je jeho těsná integrace
s NDS a z toho vyplývající zvýšená bezpečnost (díky autentikaci
uživatelů) a možnost správy celého systému z jediného místa
(z NetWare Administratoru).
Instalace
K instalaci systému BorderManager potřebujete server
s IntranetWarem. Pokud je váš stávající server již příliš vytížen
nebo žádný nemáte, nezoufejte. Součástí dodávky BorderManageru je
totiž i druhá uživatelská verze IntranetWaru. Díky tomu můžete
BorderManager nainstalovat na prázdný počítač aniž byste museli
utrácet peníze za nákup dalšího systému IntranetWare.
Vlastní instalace se spouští standardním způsobem z modulu
INSTALL.NLM. V jejím průběhu dojde k nainstalování vlastního
BorderManageru, Novell Internet Access Serveru 4.1 a Support
Packu 3.0. K dokončení serverové části instalace je samozřejmě
nutné provést restart serveru. Další instalační kroky se
provádějí na pracovních stanicích. Jedná se zejména o instalaci
nového klienta (IntranetWare Client 2.2) a snap-in modulu, který
slouží ke konfiguraci BorderManageru. O úspěšné instalaci těchto
komponent se lze snadno přesvědčit spuštěním NetWare
Administratoru (NWADMN95.EXE). Pokud se ve vlastnostech serveru
objeví stránky BorderManager Setup, Virtual Private Network, Web
Proxy Cache a Outgoing Rules, je vše v pořádku.
Instalací ale vše nekončí. Teprve po jejím skončení nastává
další, mnohem obtížnější fáze - konfigurace jednotlivých složek
BorderManageru.
Paketové filtry
Paketovou filtraci má v BorderManageru na starosti směrovač
z Novell Internet Access Serveru (NIAS). Z hlediska filozofie
jeho fungování se jedná o poměrně jednoduchou záležitost. Ale
vlastní nastavení mezi triviální akce rozhodně nepatří. Při
prvním restartu serveru po instalaci se zavede modul BRDCFG.NLM,
který je určen k zabezpečení síťového rozhraní připojeného
k veřejné síti (public interface). Pokud tuto ochranu spustíte,
bude zablokován všechen IP a IPX provoz s výjimkou dat
přicházejících od IP bran, proxy a VPN serverů.
K nastavení filtrování na směrovači NIAS 4.1 slouží 2 moduly
- INETCFG.NLM (spuštění podpory filtrování pro jednotlivé
protokoly) a FILTCFG.NLM (konfigurace filtrů). Z prostorových
důvodů se zde nemohu detailně rozepsat o postupu nastavení těchto
filtrů pro různé protokoly (např. TCP/IP, IPX, AppleTalk).
Network Address Translation
je další službou, kterou pro BorderManager zajišťuje NIAS.
Konfigurace převodu síťových adres se provádí na serveru opět
prostřednictvím modulu INETCFG.NLM (Bindings -> TCP/IP -> Expert
TCP/IP Bind Options). Převod síťových adres může pracovat ve 3
režimech - v dynamickém (IP adresy klientských stanic jsou
v paketech dynamicky změněny na jednu veřejnou IP adresu),
statickém (každý klient ve vnitřní síti má nakonfigurovánu i svou
vnější IP adresu) nebo dynamickém a statickém (kombinace
předchozích dvou).
IPX/IP a IP/IP obvodová gateway
IPX/IP gateway umožňuje klientům získat přístup do intranetu nebo
Internetu, přestože používají protokol IPX. Tuto funkci zajišťuje
speciální Winsock DLL od Novellu, který používá společně
s TCP/IP i TCP/IPX. Gateway má za úkol nahradit v paketech
TCP/IP hlavičku a IPX adresu klienta svojí vlastní TCP/IP
hlavičkou a IP adresou, a naopak.
IP/IP gateway je funkčně podobná převodu síťových adres
v dynamickém režimu. Výhoda použití brány IP/IP místo převodu
adres spočívá v možnosti snadno kontrolovat a řídit přístup na
WAN rozhraní (např. do Internetu), což v případě nasazení NAT
nelze.
Konfigurace obvodových bran se provádí prostřednictvím
NetWare Administratoru (ve vlastnostech serveru na stránce
BorderManager Setup).
Virtuální privátní sítě
používají k vytvoření spojení mezi dvěma servery tunelování.
Jeden ze serverů je master a druhý slave. Ke každému master
serveru může být připojeno až 256 slave serverů. Nastavení obou
typů serverů se provádí na konzole serveru pomocí modulu
VPNCFG.NLM. Během konfigurace jsou vytvořeny soubory obsahující
informace nutné k vytvoření šifrovaného kanálu. Tyto soubory si
musí správci jednotlivých serverů zahrnutých do VPN mezi sebou
vyměnit.
Dále se pokračuje na stanici připojené k master serveru spuštěním
NetWare Administratoru. Zde je nutno (na stránce Virtual Private
Network ve vlastnostech serveru) přidat do VPN všechny slave
servery. Po dokončení této operace jsou servery ve VPN
zesynchronizovány a je možné vyzkoušet komunikaci.
Služby proxy cache
Jak už víte z předchozího textu, lze vyrovnávací paměť
BorderManageru využít jako standardní proxy cache, reverzní proxy
cache nebo hierarchickou cache. Aby bylo možné využívat
rychlejšího přístupu k informacím, je nutné nejprve služby proxy
cache v NetWare Administratoru aktivovat (stránka BorderManager
Setup ve vlastnostech serveru). Další kroky se už provádějí na
stránce Web Proxy Cache. Nejjednodušší je situace v případě
konfigurace standardního proxy-cache-serveru - stačí pouze
zaškrtnout volbu Enable HTTP Proxy. V případě reverzního proxy
cache serveru je nutné, kromě zatržení příslušné volby, vytvořit
seznam všech Web serverů, pro které má být vyrovnávací paměť
funkční. Pokud chcete využít i výhod hierarchické cache, je třeba
obdobným způsobem nadefinovat okolní proxy servery. U těchto
musíte mj. určit, zda se jedná o souseda (peer), rodiče (parent)
nebo CERN server (servery, které neumějí pracovat s protokolem
ICP).
Další konfigurační parametry proxy cache služeb (adresář pro
ukládání dat, maximální velikost vyrovnávací paměti atd.) lze
nastavit na serveru (modul PROXYCFG.NLM) nebo na stanici (NetWare
Administrator). Pro monitorování, jak je využita proxy cache
(aktivity klientů, využití paměti, statistiky atd.), můžete
sledovat obrazovku Novell BorderManager Proxy Console běžící na
serveru.
Závěr
BorderManager patří díky množství a kvalitě poskytovaných služeb
nepochybně ke špičce ve své kategorii. Pokud tedy uvažujete
o připojení firemní sítě k Internetu, neměl by BorderManager
uniknout vaší pozornosti.
Pro Vaši firmu
Novell BorderManager představuje integrovanou rodinu adresářově
založených síťových služeb, které umožňují centrálně spravovat,
zabezpečovat a urychlovat přístup uživatelů k informacím na
rozhraní dvou libovolných sítí. S jeho pomocí můžete využívat
např. služeb virtuálních privátních sítí, proxy-cache-serverů
a firewallu. Mezi hlavní výhody, které ám může BorderManager
nabídnout, patří snadná správa celého systému z jednoho místa,
zabezpečení firemní sítě, vysoký výkon a úspora finančních
prostředků při komunikaci s okolím. Tento produkt není určen
pouze pro sítě NetWare. Runtime verze IntranetWaru umožňuje
využívat poskytovaných služeb i ve firmách pracujících se systémy
Windows NT a UNIX. BorderManager je nabízen v konfiguracích pro
5, 10, 25, 50, 100, 250, 500, 1000 a 5000 uživatelů a je tedy
vhodný pro sítě všech velikostí.
Co získáte s BorderManagerem? (dát do barevného rámečku)
IntranetWare (verze pro 2 uživatele)
Novell Internet Access Server 4.1
Microsystems CyberPatrol (zkušební verze na 45 dní)
Netscape Navigator 3
Novell BorderManager
+ snadná správa z jednoho místa
+ výkon
+ integrace s NDS
+ rozsah poskytovaných služeb
+/- cena