BorderManager Enterprise Edition

Átírás

1 BorderManager Enterprise Edition A Novell BorderManager Enterprise Edition egy átfogó, a Novell-címtárszolgáltatásra (NDS-re) épülő biztonsági felügyeleti termékcsomag. Az NDS funkcióit kihasználva lehetővé teszi az egypontos, egyjelszavas bejelentkezést a hálózatra és a címtáralapú irányelv-felügyeletet. A biztonsági szolgáltatások a tűzfal-szolgáltatások, a virtuális magánhálózatok, a gyorsítótár és a hitelesítési szolgáltatások közvetlen előnyt nyújtanak a hálózattervezők számára: egyszerűen biztosíthatóvá és felügyelhetővé teszik az intranetes és internetes kapcsolatokat. A BorderManager a központosított felügyeletnek és irányításnak köszönhetően kiváló teljesítményt és alacsony hálózati összköltséget nyújt. Jelen ismertetőnkben összefoglaljuk az integrált biztonsági szolgáltatások iránti igényeket és bemutatjuk, hogyan képes ezen igényeket kiszolgálni a BorderManager Enterprise Edition. Részletesen tárgyaljuk a BorderManager-csomag egyes komponenseit: Tűzfal-szolgáltatások Virtuális magánhálózati (VPN-) szolgáltatások Proxy gyorsítótár-szolgáltatások Irányelv alapú felügyelet Hitelesítési szolgáltatások Naplózások, riasztások és jelentéskészítés Igény az integrált biztonsági szolgáltatásokra Sok cég használja ki az Internetet, mint olcsó távolsági kapcsolatot, és bővíti hálózatait virtuális magánhálózatokkal (VPN-ekkel). Ez a megoldás számos előnnyel jár: az alkalmazottakkal való még szorosabb együttműködéssel a belső webszervereken keresztül; a vásárlókkal való még szorosabb együttműködéssel az Interneten keresztül; valamint az üzleti partnerekkel való még szorosabb együttműködéssel az extraneteken keresztül.

2 Nem szabad ugyanakkor szem elől téveszteni az Internethez csatlakozás, az intranetek és extranetek kialakítása során az egyik legfontosabb szempontot a biztonságot. Az Internet hírhedten megbízhatatlan. Emiatt a vállalati hálózatok az Internettel összekapcsolása lehetőséget teremt a kívülről jövő támadások számára. A védekezéshez számos gyártó biztosít ún. tűzfalakat egyfajta sáncot az Internet és a vállalati hálózat közé. Létezik azonban egy sokkal súlyosabb és sokkal kényesebb biztonsági probléma, még az internetes betörőknél is kellemetlenebb. Az internetes technológiák például a belső webszerverek alkalmazása támadási lehetőséget nyit a cégen belülről is. Ebben az esetben pedig mit sem használ az Internet-tűzfal. A szoftvergyártók csoportosan kerestek írt az internetes technológiák alkalmazásával járó számos biztonsági és technológiai problémákra. Különféle termékekkel álltak elő Internet-tűzfalakkal, teljesítménygyorsítókkal, VPN-ekkel, és internetes webtartalom-szűrőkkel. A gond mindezekkel csupán az, hogy a hálózat üzemeltetője kénytelen maga a különféle gyártók termékeiből valamiféle egységes megoldást kovácsolni. Különálló termékek kavalkádjának felügyelete bonyolult, kevéssé hatékony, és számos hibalehetőséget rejt magában. Az ICSA jelentése szerint a tűzfal-betörések 90 százaléka valamilyen konfigurációs hibára vezethető vissza. A rendszergazdáknak minden egyes felhasználó adatait többféle címtárban kell vezetniük, a felhasználók pedig többféle azonosítót és jelszót kell, hogy megjegyezzenek. S ami mindebben a legrosszabb: legyen akármilyen bonyolult és költséges a végeredményként kapott megoldás használata és felügyelete, még mindig nem nyújt elégséges védelmet a belülről jövő támadások ellen. Amire valójában szükség lenne, egy sor olyan szolgáltatás, amelyik kellő védelmet nyújt mind a külső, mind a belső támadások ellen, javítja a teljesítményt, nem hiányoznak belőle a biztonságos VPN-funkciók, valamint lehetővé teszi a ki- és bemenő Internet-forgalom teljes ellenőrzését mindezt lehetőleg egyetlen, integrált, könnyen felügyelhető csomagban. A BorderManager Enterprise Edition 3.5 nyújtotta megoldás A Novell BorderManager Enterprise Edition 3.5 átfogó biztonsági felügyeleti megoldást nyújt. A biztonsági felügyeleti szolgáltatások

3 megvalósítása során kihasználja a Novell-címtárszolgáltatás erejét. A BorderManagerrel egy cég az alábbiakat valósíthatja meg: Kihasználhatja az Internet nyújtotta új technológiákat úgy, hogy közben hatékonyan védi hálózatát mind a külső, mind a belső támadások ellen. Még nagyobb teljesítményt biztosíthat felhasználóinak anélkül, hogy egy szemernyit is fel kellene áldoznia a biztonságból. Tovább csökkentheti a hálózat összköltségeit a központi felügyelet és irányítás révén. Mivel a BorderManager szorosan egybeépül az NDS-sel, a rendszergazdák egyetlen, központi helyről irányíthatják a biztonsági rendszert és férhetnek hozzá az egész hálózathoz. Az NDS-en keresztül megvalósított biztonsági felügyelet igen jól méretezhető, és még azt is lehetővé teszi, hogy a rendszergazdák jogkörük egy részét átruházzák másokra, ellenőrzött, biztonságos módon. Az NDS-sel való szoros integráció révén a BorderManager természetes kiegészítés a meglévő NDS-felhasználók számára. Mivel az összes hitelesítés az NDS-en keresztül történik, nem szükséges párhuzamosan külön-külön címtárakat és adattárakat fenntartani az egyes termékekhez és funkciókhoz. Ennek eredményeképpen a BorderManager csökkenti az emberi hibák előfordulását is, és ezzel tovább növeli a rendszer biztonságát. Az NDS-en keresztüli egyetlen jelszavas bejelentkezéssel pedig a felhasználók gyorsan és biztonságosan elérhetik az összes általuk jogosan használható hálózati erőforrást jelentkezzenek be akár egy közvetlenül a LAN-ra kapcsolódó munkaállomásról, akár telefonon keresztül egy távoli LAN-munkaállomásról, vagy VPN-en keresztül az Internetről. Jóval nagyobb biztonságot nyújt az NDS-alapú hitelesítés, mint a hagyományos TCP/IP-alapú biztonsági megoldások. A TPC/IP-alapú biztonság sokkal inkább az IP-címekre és szegmensekre épül, mintsem az egyes felhasználókra. Mindennek eredményeképpen a rendszer biztonsága gyenge ha például egy alkalmazott munkaállomásán le is van tiltva valamely hálózati erőforráshoz való hozzáférés, még mindig átsétálhat egy másikhoz, amelyiken nincs. Az IP-címeket dinamikusan kiosztó DHCP protokoll tovább nehezíti a helyzetet, hiszen ha az egyes felhasználók gépeinek IP-címei dinamikusan változnak, a személyenkénti biztonsági felügyelet lehetetlenné válik. Ezzel szemben az NDS-re épülő BorderManager képes valódi

4 felhasználó- és erőforrásalapú védelmet biztosítani. A felhasználó erőforráskérései a felhasználó személyétől, nem pedig az éppen használt munkaállomás adataitól függően bírálódnak el. A BorderManager az alábbi szolgáltatásokat tartalmazza: Tűzfal-szolgáltatások Virtuális magánhálózati (VPN-) szolgáltatások Proxy gyorsítótár-szolgáltatások Irányelv alapú felügyelet Hitelesítési szolgáltatások Naplózások, riasztások és jelentéskészítés Tűzfal-szolgáltatások A BorderManager tűzfala stabil védelmet biztosít a behatolni kívánók ellen a vállalati intranet és az Internet határán. Felhasználhatók a tűzfalak arra is, hogy biztonságos szegmensekre osszuk a vállalati intranetet, védve az egyes osztályok bizalmas adatait a más osztályokon dolgozó felhasználók ellen. A BorderManager tűzfal-szolgáltatásaival a cég egyaránt felügyelheti az Interneről bejövő és az Internetre kimenő forgalmat. Az OSI-hálózatmodell mindegyik szintjén kínál hozzáférésvezérlési szolgáltatásokat a BorderManager. Minden magasabb szintű komponens további védelmi funkciókkal egészíti ki az alacsonyabbak szolgáltatásait. Az egyes komponensek szorosan egymásra épülve, igen nagy szilárdságú védelmi rendszert alkotnak. Felülről lefelé haladva, az alábbi funkciókat használhatjuk: Alkalmazás-proxy. Számos alkalmazáshoz biztosít proxyt a BorderManager: HTTP-hez, FTP-hez, Gopherhez, a postához, a hírcsoportokhoz, RealAudióhoz és RealVideóhoz, a DNS-hez, valamint két további általános célú TCP- és UDP-proxy is használható egyéb protokollokhoz, például LDAP-hez. Az alkalmazásproxyk a felhasználói alkalmazások és az intranetes/internetes erőforrások közé ékelődnek, és az OSI 7. szintjén vizsgálják a hálózati csomagokban lévő adatokat. Nemcsak a csomagok címét nézik meg, hanem azt is, hogy azok milyen kapcsolati kontextusban továbbítódnak, és a tényleges továbbítás előtt különféle tartalomalapú szabályok szerint feldolgozzák a csomagokat. Az alkalmazásproxyk a védelem legmagasabb szintjét jelentik, tovább fokozva az áramköri átjárók (circuit gateway) és a csomagszűrők nyújtotta

5 biztonságot. Ugyanis ha egyszer egy áramköri átjáró már megnyitott egy virtuális csatornát egy kliens és egy gazdagép között, azon már bármilyen alkalmazás futhat. Az alkalmazásproxy azonban képes a kapcsolatokat alkalmazástípusok szerint, sőt, még az alkalmazásban előforduló utasítások szerint is korlátozni. A HTTP alkalmazásproxy kezeli az SSL-t (Secure Sockets Layer) is, így titkosított csatorna jöhet létre a kliens és a szerver között a lehallgatás elleni védekezés érdekében. Áramköri átjárók. Kétféle típusú áramköri átjárót kínál a BorderManager: egy SOCKS-átjárót és a Novell IP-átjárót. A SOCKS-átjáró kezeli a v4 és v5 SOCKS szerver- és kliensprotokollokat. A SOCKS protokoll kezelése révén a BorderManager konfigurálható más tűzfal-megoldások részeként is, azaz képes hatékonyan együttműködni más gyártók megoldásaival. A BorderManager használható a meglévő tűzfalak előtt, mögött, vagy azok belsejében. Mivel a SOCKS-szerver univerzális SOCKS-klienseket kezel, így hatékony többplatformos védelem alakítható ki: a SOCKS-szal és az SSL-lel VPN-funkciók biztosíthatók NT-, UNIX- és NetWare-kliensekhez egyaránt. A Novell IP-átjárója mind IPX/IP-átjárót, mind IP/IP-átjárót tartalmaz, amelyek átlátszó hitelesítést biztosítanak a BorderManager felé. A Novell IP-átjáróján keresztül érik el az IPX- és IP-kliensek a TCP/IP-szolgáltatásokat. Amikor egy IPX- vagy IP-kliens TCP/IP-szolgáltatást például HTTP-t, FTP-t, Telnetet vagy Gophert igényel a tűzfalon belül vagy kívül lévő gazdagéptől, a hozzá rendelt áramköri átjáró elfogja a kérést. Konzultálva az NDS-sel, ellenőrzi, hogy a felhasználó valóban rendelkezik-e a kapcsolat kezdeményezéséhez szükséges jogosultságokkal. A hozzáférés korlátozhatók protokoll és gazdagépnév/-cím alapján. A csomagokat az OSI-modell 5. szintjén vizsgáló áramköri átjárók a sima csomagszűréshez képest extra biztonságot nyújtanak. A Novell IP-átjárója natívan kezeli az MS Winsock 2.0-át. Hálózati címfordítás. Tartalmaz a BorderManager mind dinamikus, mind statikus IPX- és IP-címfordítási (NAT-) táblákat. A táblákat a rendszergazda töltheti fel egy sor nyilvános IP-címmel, a BorderManager pedig automatikusan ezekkel helyettesíti a tűzfalon kívülre menő csomagok belső forráscímeit. Ez az OSI-modell 3. szintjén végbemenő címfordítás igen erős védelmet biztosít, hiszen elrejti a belső hálózati címeket a külvilág elől. Ráadásul a rendszergazda életét is megkönnyíti azáltal, hogy az IP-címek felügyeletének időigényes és nehézkes feladata helyett dinamikusan és

6 automatikusan képezi le a belső címeket a bejegyzett IP-címekre. Csatolónként egyidejűleg 5 ezer regisztrálatlan címet képes leképezni. Csomagszűrés. A szintén az OSI-modell 3. rétegében működő BorderManager-csomagszűrő minden egyes csomagot megvizsgál a beállított feltételeknek megfelelően. A szűrő leellenőrzi a forrás és cél IP- vagy IPX-címét, letiltva a hozzáférést bizonyos meghatározott gépekhez és gépekről; képes szűrni bizonyos IP-protokollokat és/vagy portokat, például a HTTP-t, a Telnetet, az FTP-t és a Gophert; az IPX-protokollok szűrésével pedig a NetWare-alapszolgáltatások használata korlátozható. A BorderManager ún. állapotfüggő (stateful) csomagszűrést alkalmaz: nemcsak a csomag címét vizsgálja meg, hanem azt a kontextust is, amelyben a csomagot küldték. Ez jóval hatékonyabb megoldás a gyanús csomagok azonosítására. Egy sima címszűrőn könnyedén keresztülhatol egy hacker címhamisítással. A hacker azonban nem képes kizárólag címhamisítással keresztülhatolni a BorderManager csomagszűrőjén. Ehhez meg kellene állapítania a kapcsolat teljes kontextusát, amelyben a csomagot küldték. További védelmi lehetőséget kínálnak a BorderManager alkalmazásprogramozói felületei (API-jai), amelyekkel külső fejlesztők további szűrőket hozhatnak létre. A Novell-partnerei már most is szűrők széles skáláját kínálják, többek között vírusirtó, Java-, ActiveX-, jelentéskészítő és MIMEtag-szűrőket. (A legfrissebb lista a címen olvasható.) Mindemellett a BorderManager tartalmazza a CyberPatrol céltartalom-szűrő program egy próbaváltozatát is, amely tartalom alapján képes letiltani a bizonyos webhelyek felé irányuló Internet-hozzáférést. A hagyományos tűzfal-megoldások különösen a csomagszűrés klasszikus problémája, hogy bár valóban rendkívül szigorú védelemre képesek, üzembehelyezésük és felügyeletük rendkívül összetett és nehézkes. Mindennek eredményeképpen a rendszergazdák hibázhatnak a tűzfal üzembeállításakor, és e hibák a biztonsági rendszer komoly réseit eredményezhetik. A BorderManager néhány lépéses folyamattá egyszerűsíti le a tűzfal üzembehelyezését: 1. A BorderManager-tűzfal automatikusan úgy kezd üzemelni, hogy egyik irányba sem enged át semmilyen forgalmat.

7 2. A rendszergazda ezután a BorderManager Setup ablakában konfigurálja a használni kívánt áramköri átjárókat és alkalmazásproxykat. 3. A rendszergazda ezután átlép a BorderManager Rules (szabályok) ablakba, ahol egyszerűen érthető, magas (természetes nyelvhez közeli) szintű hozzáférési szabályokat alakít ki az áramköri átjárókhoz és alkalmazásproxykhoz. A BorderManager ezen szabályok alapján maga konfigurálja a csomagszűrőt automatikusan. Virtuális magánhálózati szolgáltatások A BorderManagerrel egy cég felhasználhatja az Internetet telephelyei biztonságos összekapcsolására, arra, hogy a távoli kliensek hozzáférjenek a vállalati hálózathoz, illetve kialakíthat olyan extraneteket, amelyeken keresztül az üzleti partnerek bekapcsolódhatnak a vállalati intranet nekik rendelt részébe. Az Interneten keresztül erős titkosítással védve továbbítódnak az adatok az illetéktelen lehallgatás ellen. Ezenfelül a célállomás ellenőrzi a megérkezett adatok hitelességét, felderítve a szándékos rongálási próbálkozásokat. A BorderManager VPN-szolgáltatásaival biztonságosan és gazdaságosan alakíthatnak ki a cégek magánhálózatokat az Interneten keresztül. Háromféle típusú virtuális magánhálózat alakítható ki a BorderManager VPN-nel: Telephelyek közötti VPN-ekkel két osztály (telephely, fiók, stb.) szerverei köthetők össze az Interneten keresztül. E módszerrel a független LAN-szegmensek szervezhetők egyetlen WAN-ná. Kliens-szerver VPN-ekkel a LAN-, a betárcsázós és a kábelmodemes felhasználók használjanak akár IP-, akár IPX-protokollt internetes, biztonságos kapcsolaton keresztül férhetnek hozzá a VPN-erőforrásokhoz. Ily módon a felhasználók védett kapcsolaton keresztül használják szükséges hálózati erőforrásokat, legyenek és legyenek az erőforrások akárhol is. A BorderManager VPN-nel az összes erőforrás, mindenhonnan, egyetlen jelszóval elérhető. Extranet használatakor a cég vállalati hálózatát kapcsolja össze üzleti partnereinek belső hálózatával az Interneten keresztül.

8 VPN-ek kialakításakor alapvető fontosságú, hogy azt kizárólag az arra rendelt, a megfelelő jogokkal rendelkező tagok használhassák. Fontos továbbá, hogy a VPN-en keresztülhaladó információ egyaránt védve legyen a lehallgatástól és a szándékos rongálástól. A BorderManager az összes felhasználót az NDS-en keresztül hitelesíti, biztosítva, hogy csak a megfelelő jogokkal rendelkező VPN-felhasználók használhassák a VPN-t. A BorderManager VPN-szolgáltatásai a továbbított információ védelmét és egységét különféle nyílt szabványok és jól bevált kriptográfiai technológiák IPSec, RC2, RC5, DES, 3DES és SKIP alkalmazásával biztosítják. Kezeli a BorderManager VPN a szimmetrikus többprocesszoros (SMP-) rendszereket is, kihasználva a többprocesszoros hardver nyújtotta lehetőségeket a teljesítmény növelése érdekében. A teljesítmény további fokozása érdekében a BorderManager szelektív titkosításra is képes, azaz a rendszergazda által meghatározott módon finoman szabályozható, hogy a védett hálózatokról ki- és behaladó adatok közül pontosan mit is titkosítson. Speciális forgalomcsökkentő technológiák fejléctömörítés, hatékonyabb WAN-útválasztási frissítések, stb. szolgálnak a szolgálati (karbantartási) forgalom enyhítésére. A BorderManager alagutanként 256 helyszínt és szerverenként 1000 betárcsázós felhasználót képes kiszolgálni. Számos szabványos alagút-, titkosítási és kulcscsere-mechanizmust kezel a BorderManager a stabil, ugyanakkor rugalmas biztonsági keretrendszer kialakítása érdekében. Kezeli a gyakorlat igazolta IPSec-szabvány (RFC # ) szerinti IP-relémechanizmuson alapuló alagút-technológiát. Használja az RC2, az RC5, a DES és a 3DES titkosítási algoritmusokat. Végül pedig kezeli a SKIP (simple key exchange Internet protocol, egyszerű kulcscsere Internet-protokoll) szabványt a hitelesítési kulcsok biztonságos szétosztásához. A BorderManager VPN-szolgáltatásai is az NDS-en keresztül felügyelhetők. Ezáltal a VPN vagy akár több VPN is egyetlen, központi helyről felügyelhető. Proxy gyorsítótár-szolgáltatások Tartalmaz a BorderManager olyan teljesítménynövelő Web- és FTP proxy gyorsítótár-szolgáltatásokat, amelyek igen magas szintre emelik a teljesítményt anélkül, hogy veszélyeztetnék a biztonságot. A BorderManagert

9 gyorsítótárát használó cég csökkentheti a szükséges webszerverek számát és ezáltal mind az eszközökkel, mind a felügyelettel kapcsolatos költségeket. Legnagyobb ellensége a telephelyi LAN-ok egységes, országos vagy éppen globális hálózatokká szervezésének a teljesítménycsökkenés. E csökkenés legfőbb oka a LAN-szegmenseket összekötő WAN-kapcsolatok alacsony sávszélessége. Ugyanakkor nem elhanyagolható az sem, hogy a nagy távolságra utazó adatokat legalább egy, esetleg több tűzfal vagy valamilyen más biztonsági eszköz szűri, amely tovább lassíthatja az adatok áramlását. A BorderManager gyorsítótár-szolgáltatásaival a biztonság feláldozása nélkül hozhatók létre nagyteljesítményű, globális vállalati hálózatok. S mivel a BorderManager gyorsítótár-szolgáltatásai nyílt internetes szabványokra épülnek, együtt használhatók a Novell más internetes és intranetes termékeivel, valamint minden más szabványos böngészővel és webszerverrel, tetszés szerinti heterogén, többgyártós rendszerekben is. A BorderManager gyorsítótár-szolgáltatásai alapvetően az Internet Cache Protocolra (ICP-re) épülnek, egy új generációs protokollra, amely ugyanakkor visszamenőleg kompatíbilis az első generációs CERN-féle gyorsítótárkezeléssel is. Ez a modern technológia kiváló teljesítményt biztosít a nyílt szabványokra épülő környezetekben, és kezeli a HTTP, az FTP, az SSL és Gopher protokollokat egyaránt. A Novell e technológiát tovább csiszolta a NetWare-platformon való még tökéletesebb működéshez s ne feledjük, maga a NetWare is szinte a végletekig finomított a hálózati környezet maximális kiszolgálása érdekében. Ennek eredményeképpen a teljesítménye is messze felülmúlja a szokásos alkalmazásszerverekét és általános célú operációs rendszerekét például az NT-ét és a UNIX-ét. A BorderManager gyorsítótár-szolgáltatásai több, mint 100 ezer egyidejű kapcsolatot képesek kiszolgálni, másodpercenként több, mint hatezret. A SPECWEB 96 teszt minősítése szerint a BorderManager másodpercenként 2200 műveletet teljesített, ezáltal a világ jelenleg kapható legméretezhetőbb megoldása. Akár tízszeresére is növelhető a teljesítmény a BorderManager gyorsítótár-szolgáltatásaival. Egy LAN-on elhelyezkedő proxy szerver adatait gyorsítva a BorderManager gyorsítótár-szolgáltatásai a WAN-kapcsolati adatforgalmat átlagosan több, mint 60 százalékkal csökkentik. Ez más szavakkal azt jelenti, hogy ugyanazon fizikai WAN-kapcsolat érdemi teljesítménye két két és félszeresére növelhető. Enek eredményeképpen pedig nem kell vásárolni drágán, nagyobb sávszélességű WAN-kapcsolatokat.

10 A proxyk működése a kliensek számára teljesen láthatatlan. Megoldható, hogy a felhasználóknak semmi extrát se kelljen beállítani böngészőjükben ez az ún. átlátszó proxy -mód és mégis kihasználhassák a gyorsítótár-szolgáltatások előnyeit. Kéréseik automatikusan a megfelelő szerverhez továbbítórnak. A BorderManager képes aktív működésre is vagyis megkísérli megjósolni a felhasználó viselkedését és előre letölt lapokat, még a kérések tényleges kiadása előtt. S ezzel nem értek még véget a teljesítménynövelés lehetőségei. A hálózat terhelésének minimálisra csökkentése érdekében időzíthető például a gyorsítótárakba való kötegelt letöltés, mondjuk a kevésbé forgalmas éjszakai órákra. A BorderManager az alábbi három alapvető gyorsítótár-konfigurációt kezeli: Kliensgyorsítás (szokásos proxy gyorsítótár). A gyorsítótár a kliensek és az Internet között helyezkedik el. Elfogja a kliensek weblapkéréseit, és amennyiben képes, azokat a gyorsítótárból szolgálja ki, LAN-sebességgel. Ily módon megszünteti az eredeti webhely lekérdezéséből származó késleltetést, és minimálisra csökkenti a vállalati hálózat és az Internet közötti forgalmat. A proxy szerver végzi a webszerverek tényleges lekérdezését az intranetes kliensek kérései alapján, a megfelelő protokollok HTTP, FTP, Gopher felhasználásával. Gyorsítótárba teszi az összes objektumot, az URL-eket, a HTML-lapokat, a GIF-képeket, az FTP-állományokat, annak érdekében, hogy felgyorsítsa az ugyanazon objektumra vonatkozó összes további kérés kiszolgálását. Web- és FTP-szerver gyorsítása (visszirányú proxy gyorsítótár). A BorderManager-szerver egy vagy több web- vagy FTP-szerver elé állva, azok összes statikus adatát felveszi a gyorsítótárba és onnan szolgáltatja. A kliensek kérései átirányítódnak a proxy szerverhez, amely a kívánt lapokat jóval nagyobb sebességgel tudja biztosítani. Ily módon a proxy szerver nagymértékben felgyorsítja a hozzáférést. Ezenfelül, átvéve a web- és FTP-szerverek terhelésének nagy részét, a hálózaton kevesebb szerverrel is több felhasználó szolgálható ki. A BorderManager gyorsítótár-szolgáltatásai az összes gyártó összes web- és FTP-szerverével, mindenféle kombinációban együttműködnek. Hálózati gyorsítás (hierarchikus ICP-gyorsítás). Ebben a többszerveres konfigurációban a BorderManager-szerverek hierarchikus rendbe (egyfajta hálóba) vannak szervezve. Amikor egy gyorsítótár-szerver nem találja a kért adatot a gyorsítótárban, lekérdezi a többit, hogy azok

11 rendelkeznek-e a kívánt adat egy példányával, és amennyiben igen, akkor megküldeti azt a legközelebbi szerverrel, majd továbbszolgáltatja a kliens felé. A hierarchikus ICP-gyorstárazás látványos mértékben lecsökkenti a WAN-forgalmat, ugyanakkor értékes hálózati sávszélességet szabadít fel. Mivel a legközelebbi BorderManager-szerver küldi az adatokat, rendkívül alacsony a hálózati késleltetés. Irányelveken alapuló felügyelet A BorderManager minden szolgáltatása az NDS-en keresztül felügyelhető. A hozzáférések az NDS hozzáférésvezérlési listáinak (ACL-jeinek) szabályaival vezérelhetők. Ezen irányelv-szabályok vonatkozhatnak mindenféle hálózati erőforrásra: gépekre, felhasználókra és csoportokra egyaránt. Az ily módon kialakítható szabályozás rendkívül sokoldalú és rugalmas: alapulhat protokollon, címeken (URL-eken), kategóriákon (pl. erőszak tiltása), sőt, akár napszakon és időn is. Mindez azonban nem jár bonyolult felügyelettel, hiszen a rendszergazdák magasszintű, az emberi nyelvű megfogalmazáshoz közel álló szabályokkal dolgozhatnak, nem pedig egyes szolgáltatásokkal. Az NDS biztosítja, hogy e szabályok továbbkerüljenek a hálózat mindegyik gépére, és hogy ne a gépekhez, hanem az egyes felhasználókhoz vagy felhasználói csoportokhoz legyenek rendelhetők. Ennek eredményeképpen ténylegesen megvalósítható, hogy az alkalmazottak magukkal vihessék hozzáférési jogaikat, ha átülnek/átkerülnek a hálózat egy másik gépére, vagyis mindig ugyanazon hozzáférési szabályok alapján dolgozhassanak, függetlenül attól, hogy hol lépnek be a hálózatba. A hozzáférési szabályok automatikusan replikálódnak az NDS-ben az egész hálózaton, magas szintű hibatűrést biztosítva. Készíthet a rendszergazda szabályokat az önálló NDS-objektumokhoz éppúgy, mint NDS-konténerobjektumokhoz. A szabályok az NDS befoglalási rendje szerint továbböröklődnek, vagyis az egy objektumra vonatkozó szabályok tényleges készlete sok részből, több NDS-objektum szabályaiból tevődik össze. A szabályok listája egyben prioritási lista is: a magasabb szintű szabályok felülbírálhatják az alacsonyabb szintűeket. A lista legtetején azon a BorderManager-szerveren definiált szabályok vannak, ahonnan a hozzáférési kérés érkezik. A következő szint a

12 BorderManager-szerver konténerének szabályai. Onnan a prioritás fokozatosan csökken, egészen le az NDS-címtárfa gyökeréig. Minden egyes lista legalján pedig található egy nem törölhető és nem módosítható, alapértelmezésű szabály. Ez az alapértelmezésű szabály megtilt minden hozzáférést. A rendszergazda szabadon vehet fel, törölhet, másolhat, és szúrhat be szabályokat. Ezenfelül megváltoztathatja a szabály helyét a listában, növelhve vagy csökkentve ezáltal annak prioritását. Hitelesítési szolgáltatások A Novell BorderManagerAuthentication Services egyesíti a Remote Authentication Dial In User Service (RADIUS) hálózati biztonsági protokoll nyújtotta távoli hálózati hozzáférési biztonságot a Novell-címtárszolgáltatás kényelmével és erejével. A BMAS-sal betárcsázhatunk egy NetWare-hálózatba és egyetlenegy jelszóval hozzáférhetünk az összes szokásos hálózati erőforráshoz és szolgáltatáshoz az adatbázisokhoz, a fájlokhoz, az alkalmazásokhoz, az elektronikus postához és a nyomtatási funkciókhoz. Négyféle módon hitelesíttethetik magukat a felhasználók a BorderManager használatakor: Novell IP-átjáró. A Novell IP-átjárón keresztül a hálózatra bejelentkező felhasználókat a rendszer a háttérben automatikusan hitelesíti az NDS-hez is. Webböngésző. Tetszés szerint böngészőprogramról is bejelentkezhetnek a felhasználók a hálózatra. Amikor a felhasználó védett erőforráshoz kíván hozzáférni, akkor a BorderManager elindít egy HTML vagy Java bejelentkező képernyőt. (A bejelentkezés egy SSL-lel biztosított kapcsolaton keresztül történik.) VPN-kliens. A hálózatra a BorderManager VPN-klienséről is be lehet jelentkezni. BorderManager Authentication Services (BMAS). A telefonon keresztül betárcsázós ügyfelek kétszintű biztosításon keresztül férhetnek hozzá a hálózati erőforrásokhoz: a RADIUS hálózati biztonsági protokollon, majd a BorderManager hitelesítési szolgáltatásain (BMAS-on) keresztül.

13 Minden felhasználót az NDS-en keresztül hitelesít a BorderManager. Ily módon a felhasználók az összes kívánt (és számukra engedélyezett) hálózati erőforráshoz, helyüktől és az erőforrások helyétől függetlenül férhetnek hozzá mindezt egyetlen jelszóval. Más szavakkal, a felhasználóknak elegendő egyetlen felhasználói azonosítót és jelszót megjegyezniük. Mivel a BorderManager az összes felhasználót az NDS-en keresztül hitelesíti, a rendszergazdák az összes hozzáférést felügyelhetik egyetlen, központi helyről. Ez a megközelítés nemcsak a felhasználók felvételét egyszerűsíti le, hanem azok törlését is. A rendszergazda például képes azonnal törölni egy kilépett dolgozót a hálózatról egyszerűen csak törli a dolgozó Felhasználó -objektumát az NDS-ből. Nem kell tehát a rendszergazdának külön törölnie a felhasználót minden egyes szerverről vagy tartományból, amely nemcsak időigényes, hanem sok hibázási lehetőséget magában rejtő procedúra, amelynek eredményeképpen az alkalmazott még kilépése után sokáig rendelkezhet hozzáférési jogokkal bizalmas adatokhoz. Naplózások, riasztások és jelentéskészítés Számos esemény és rendkívüli esemény megannyi más között meghatározott, bizalmas/érzékeny NLM-ek betöltése és kivétele, Ping-elárasztás, SYN-csomag elárasztás, CPU-leterhelés, stb. esetén képes riasztásra a BorderManager. Hasonlóan jelzi a BorderManager-komponensek különféle tűréshatárokon kívüli állapotait, például a lemezterület elégtelenségét, a szűkös memóriát, a licenchibákat, a leállt ICP-szülőket, vagy a leállt SOCKS-szervert. Megfelelő módon, időben reagálva ezekre a hibákra, a rendszergazdák még azelőtt elejét vehetik a gondoknak, hogy azok a hálózat leállását eredményeznék. Naplózza is a BorderManager a különféle eseményeket, így például a védett hálózati erőforrásokra történő jogosulatlan behatolási kísérleteket. A naplózandó eseményeket a rendszergazda határozza meg. A naplózás szabványos napló- és szövegformátumokban történik. A naplóadatok akár közvetlen, akár szelektív kimutatásokon keresztüli megvizsgálásával gyorsan felderíthetők a gyanús helyzetek, és még a bizalmas adatok sérülése előtt lekezelhetők a biztonsági problémák.