Novinky v Novell BorderManageru 3.8



Podobné dokumenty
Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Bezpečná autentizace přístupu do firemní sítě

Desktop systémy Microsoft Windows

Extrémně silné zabezpečení mobilního přístupu do sítě.

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

O2 ENTERPRISE SECURITY. Vít Jergl, Vladimír Kajš

Řešení služby tisku na vyžádání od HP

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

SSL Secure Sockets Layer

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

Produktové portfolio

Bezpečnost vzdáleného přístupu. Jan Kubr

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Zabezpečení organizace v pohybu

Trask solutions Jan Koudela Životopis

Úvod - Podniková informační bezpečnost PS1-2

Místo plastu lidská dlaň

Desktop systémy Microsoft Windows

TC-502L TC-60xL. Tenký klient

Enterprise Mobility Management

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Vzdálená správa v cloudu až pro 250 počítačů

TC-502L. Tenký klient

APS 400 nadministrator

PB169 Operační systémy a sítě

MXI řešení nabízí tyto výhody

Extrémně silné zabezpečení mobilního přístupu do sítě

Tomáš Kantůrek. IT Evangelist, Microsoft

O b s a h ÚVOD. Kapitola 1 HARDWAROVÉ PRVKY SÍTÍ

Bezpečnostní aspekty informačních a komunikačních systémů KS2

1. Integrační koncept

Virtuální učebna: VMware VDI zefektivňuje výuku, zjednodušuje správu a snižuje náklady

Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Vzdálený zabezpečený přístup k interním serverům od společnosti Microsoft

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

TheGreenBow IPSec VPN klient

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Technická specifikace

Desktop systémy Microsoft Windows

Symantec Mobile Management for Configuration Manager 7.2

Pˇ ríruˇ cka uživatele Kerio Technologies

Koncept centrálního monitoringu a IP správy sítě

Flow Monitoring & NBA. Pavel Minařík

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Správa stanic a uživatelského desktopu

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Seznámení s IEEE802.1 a IEEE a IEEE802.3

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Bezpečnost sítí

Wonderware Historian 10.0

Bezpečnost webových stránek

Komunikační napojení účastníků na centrální depozitář cenných papírů

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Sísyfos Systém evidence činností

Správa přístupu PS3-1

Současný svět Projekt č. CZ.2.17/3.1.00/32038, podpořený Evropským sociálním fondem v rámci Operačního programu Praha adaptabilita

Použití čipových karet v IT úřadu

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

Z internetu do nemocnice bezpečně a snadno

Symantec Mobile Security

Acronis. Lukáš Valenta

IT ESS II. 1. Operating Systém Fundamentals

Projekt podnikové mobility

PŘÍRUČKA SÍŤOVÝCH APLIKACÍ

Desktop systémy Microsoft Windows

Inovace bakalářského studijního oboru Aplikovaná chemie

Novell Identity Management. Jaromír Látal Datron, a.s.

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Radim Dolák Gymnázium a Obchodní akademie Orlová

Obrana sítě - základní principy

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

pcprox Plus stolní čtečka karet 125 khz i 13,56 MHz s USB výstupem

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Dodatečné informace č. 7

VPN - Virtual private networks

Dodatečné informace k zadávacím podmínkám č. 2. Řešení IT síťové bezpečnosti BIOCEV. v otevřeném řízení

RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí. Milan Zelenka, RHCE Enlogit s.r.o.

PoskytovanéslužbyvsítiTUO-Net. PetrOlivka

Desktop systémy Microsoft Windows

Č á s t 1 Příprava instalace

Ladislav Arvai Produktový Manager Aruba Networks

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Uživatelská příručka Portálu CMS Centrální místo služeb (CMS)

Dodávka UTM zařízení FIREWALL zadávací dokumentace

2. Nízké systémové nároky

IMPLEMENTACE SYSTÉMU GROUPWISE NA PEF ČZU V PRAZE IMPLEMENTATION OF THE SYSTEM GROUPWISE ON THE PEF ČZU PRAGUE. Jiří Vaněk, Jan Jarolímek

HiPath HG 1500 Multimediální komunikace ve společnostech střední velikosti

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

UDS for ELO. Univerzální datové rozhraní. >> UDS - Universal Data Source

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

Korporátní identita - nejcennější aktivum

Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Transkript:

Vyšlo ve zpravodaji Novell enews 12 / 2003 Novinky v Novell BorderManageru 3.8 Jedním z významných tradičních produktů firmy Novell je BorderManager. Je to integrovaný balík služeb, jež jsou potřebné především v souvislosti s připojováním podnikových sítí k Internetu. V rámci jeho neustálého vývoje přichází nyní na trh další verze, tzn. BorderManager 3.8. První verze BorderManageru se objevila na trhu již v roce 1997 (původně pod názvem Novell Border Services). Tento produkt vznikl jako reakce na potřebu zajistit, aby komunikace mezi privátní sítí a připojeným Internetem byla bezpečná, řízená a rychlá. Základními službami, jež obsahuje, jsou proxy-služby, firewall, sítě VPN (Virtual Private Networks) a pokročilá autentizace. K jeho přednostem patří především kompatibilita s edirectory a centrální správa jeho služeb. Ve své oblasti patří ke špičkovým produktům. Novinky BorderManager 3.8 byl dostupný ve formě veřejné beta-verze již od července 2003 a jako oficiální produkt byl uvolněn v polovině listopadu. Oproti svému bezprostřednímu předchůdci, což je verze 3.7, disponuje řadou nových a zlepšených vlastností. Jedná se především o následující novinky: a/ v oblasti řízení přístupu na Internet a přímých proxy-služeb - podpora filtrování obsahu pomocí SurfControl Content Database a kategorie N2H2, - podpora pro volně šiřitelné databáze URL-adres přes Connectotel LinkWall, b/ v oblasti sítí VPN - služby VPN založené na standardu IPSec, - kompatibilita s produkty certifikovanými pro IPSec, - autentizace vůči libovolnému LDAP-adresáři,

- řízení přístupu VPN-uživatelů k prostředkům privátní sítě založené na identitě, c/ v oblasti firewallu - firewall na serveru certifikovaný organizací ICSA Labs, - klientský firewall Novell Client Firewall 2.0, d/ v oblasti zabezpečení - zabezpečení založené na infrastruktuře NICI - podpora pro více než 50 autentizačních metod, - silnější zabezpečení vzdáleného přístupu založené na infrastruktuře PKI využívající certifikáty typu X.509, - zabezpečený přístup k interním i externím zdrojům podle identity uživatelů uchovávané v libovolném LDAP-adresáři. Z uvedených novinek si nyní blíže všimněme těch, které lze považovat za nejvýznamnější. Služby VPN s podporou otevřených standardů BorderManager 3.8 nyní obsahuje nové služby VPN, jež podporují otevřené standardy. Jedná se např. o IPSec (Internet Protocol Security) a IKE (Internet Key Exchange). IPSec představuje rámec pro bezpečné protokoly pracující na paketové vrstvě. Ve standardu IETF (Internet Engineering Task Force) IPv6 je jeho použití povinné, v IPv4 volitelné. Protokol IKE pak využívají VPN-servery odpovídající standardu IPSec k realizaci bezpečných kanálů pro vzájemnou komunikaci. Tento protokol definuje metodu pro výměnu klíčů, které servery používají k vytvoření společného tajemství. Pro zajištění zpětné kompatibility s předchozími verzemi BorderManageru však zůstává zachována i podpora protokolu SKIP (Simple Key Management for Internet Protocol). Základním přínosem podpory zmíněných otevřených standardů v BorderManageru 3.8 je dosažení interoperability, tzn. schopnosti vzájemné spolupráce s jinými produkty tohoto typu. Díky této podpoře lze prostřednictvím BorderManageru 3.8 vytvářet sítě VPN typu site-to-site zahrnující i organizace, jež používají jiné VPN-produkty certifikované pro IPSec. Jedná se přitom jak o prostředky softwarové, tak i hardwarové. Je tedy možné vytvářet

bezpečné komunikační kanály mezi různými organizacemi, jejich obchodními partnery a zákazníky. Přístup uživatelů sítí VPN, např. zmíněných obchodních partnerů a zákazníků, ke zdrojům vlastní sítě je pochopitelně potřeba řídit a omezovat. BorderManager 3.8 to, jak se dá očekávat, umožňuje. Jeho prostřednictvím lze vytvářet pravidla ukládaná do edirectory, jež povolují nebo zakazují přístup k zadaným zdrojům, a to na základě IP-adres, adresních intervalů, čísel portů apod. Zmíněná pravidla se pak spojují s objekty edirectory, jež reprezentují uživatele, jejich skupiny či kontejnery, nebo s digitálními certifikáty používanými k autentizaci. Schopnost interoperability má i VPN-klient, jenž je součástí BorderManageru 3.8. Spolupracuje totiž s řadou jiných VPN-bran. V této souvislosti je však požadováno, aby tyto brány podporovaly IPSec a pro účely autentizace používaly buď tzv. pre-shared secrets (přes IKE nebo SKIP) nebo digitální certifikáty odpovídající standardu X.509. Zmiňovaný klient pracuje v prostředí Windows 98/ME/NT4/2000/XP. Existuje i opačná možnost. K VPN-serverům z BorderManageru 3.8 se lze připojovat také prostřednictvím VPN-klientů třetích výrobců, a to dokonce klientů z jiných platforem. I zde platí již zmíněný požadavek na soulad s IPSec a způsobem autentizace. V současnosti má Novell otestovánu a potvrzenu interoperabilitu mezi BorderManagerem 3.8 a následujícími VPN-klienty: - VPN Tracker (platforma Macintosh, viz www.equinux.com), - Linux FreeS/WAN (platforma Linux, viz www.freeswan.org). Novell Client Firewall V souvislosti s používáním VPN-klienta (tzn. u sítí VPN typu client-to-site ) je třeba si uvědomit, že spojení mezi ním a serverem, i když je realizováno jako bezpečné, ještě neřeší všechny problémy. Přístup přes VPN-klienta může být totiž bezpečný jen do té míry, nakolik je bezpečný samotný klient. Pokud je vzdálená stanice např. infikována virem,

stačí, aby se z ní uživatel jen jedenkrát přihlásil do sítě prostřednictvím VPN-klienta, a vir má cestu do sítě otevřenu. Aby bylo možné se tomuto nebezpečí bránit, obsahuje BorderManager 3.8 novou součást, a sice Novell Client Firewall 2.0. Je to první krok Novellu do oblasti zabezpečení koncových bodů sítě (EPS - End-Point Security). Jeho prostřednictvím lze tedy rozšiřovat a prosazovat bezpečnostní politiku sítě i na úroveň pracovních stanic uživatelů. Pracuje v prostředí systémů Windows NT4/2000/XP a umí spolupracovat i s klientem Novell Client 32 (nevyžaduje ho však). Novell Client Firewall 2.0 umožňuje na klientské stanici povolovat nebo zakazovat aktivity, a to v závislosti na použitých aplikacích, protokolech a portech. Když je aplikace blokována, nebo částečně či plně povolena, začne Novell Client Firewall 2.0 sledovat nejen hlavní kód dané aplikace, ale i všechny další součásti, jež s aplikací souvisí (např. příslušné soubory.dll). Zmiňovaný firewall také oznamuje uživatelům všechny změny v souvisejících součástech aplikace. Díky tomu chrání VPN-klienty (a tím i celou síť) před viry a Trojskými koni, které mohou být maskovány jako součásti aplikace a tak pronikat přes firewally. BorderManager 3.8 lze přitom konfigurovat tak, aby odmítal vytvořit VPN-spojení s těmi stanicemi, na nichž není Novell Client Firewall v činnosti. Většina uživatelů sítí nezná problematiku protokolů a portů, takže představa, že by firewally na stanicích konfigurovali oni, je asi děsivá jak pro správce sítí tak i pro ně samotné. Toto nebezpečí však nehrozí, protože pomocí rozhraní pro správu firewallu může správce sítě vytvářet konfigurační soubory. Ty pak lze zkopírovat do firewallu ještě před jeho distribucí uživatelům nebo je lze nabídnout uživatelům dodatečně a ti si pak mohou zvolený konfigurační soubor zkopírovat na svůj firewall. V obou zmíněných případech se uživatelé vlastní konfigurací firewallu nezabývají. K dispozici je i ochrana konfiguračních souborů heslem. To např. zabraňuje technicky zdatným uživatelům, aby zvolenou konfiguraci firewallu měnili. Pomocí produktu Novell ZENworks for Desktops lze také požadovanou konfiguraci

distribuovat a poté uzamknout, aby ji uživatelé nemohli modifikovat. U následující verze Novell Client Firewallu se již očekává, že jej bude možné spravovat centrálně pomocí webového nástroje Novell imanager. Podpora pro více než 50 autentizačních metod V sítích VPN typu client-to-site realizuje BorderManager 3.8 bezpečné komunikační kanály spojující klientské stanice se sítí a navíc Novell Client Firewall chrání samotné klientské stanice. Slabým místem by zde však zůstávali uživatelé. Za obvyklých okolností, kdy se k jejich autentizaci používá jen heslo, není jistota, zda jsou přihlašující se vzdálení uživatelé těmi, za něž se prohlašují. Hesla totiž nemusí být v tomto případě zcela dostačující, zvláště pokud s nimi uživatelé zacházejí nedbale (jednoduchá hesla, jejich poznamenávání apod.). BorderManager 3.8 odstraňuje tuto potenciální slabinu tím, že nabízí použití přídavných nebo alternativních způsobů autentizace. Podporuje totiž více než 50 pokročilých autentizačních metod (což je asi o 40 metod více než jiné VPN-produkty). Patří mezi ně i metody využívající autentizační prostředky typu Token, Smart Cards a biometrická měření. Zmíněná široká podpora pokročilých autentizačních metod není u firmy Novell novinkou. Obsahoval ji již produkt NMAS EE (Novell Modular Authentication Services Enterprise Edition), který je ve verzi 2.2 přítomen i v BorderManageru 3.8. Přestože je možné se s řadou autentizačních metod setkat i v jiných produktech Novellu, celá jejich plejáda je k dispozici jen v BorderManageru 3.8. Lze tu tedy najít službu RADIUS (Remote Authentication Dial-In User Service), všechny autentizační metody obsažené v NMAS, včetně autentizací typu Advanced X.509, Universal Smart Card, pcprox, LDAP, Secure Workstation atd. Názvy zmíněných autentizací naznačují jejich charakteristické vlastnosti. Tak např. metoda X.509 umožňuje uživatelům autentizovat se do edirectory prostřednictvím X.509 certifikátů. Podobně metoda pcprox

umožňuje použít k autentizaci do sítě karty a čtecí zařízení typu pcprox (bližší informace viz www.pcprox.com). A autentizační metoda založená na protokolu LDAP umožňuje uživatelům přihlašovat se prostřednictvím libovolného LDAP-adresáře, např. edirectory, Active Directory a iplanet. Autentizační metoda Secure Workstation se používá na pracovních stanicích Windows 2000/XP a ošetřuje mimo jiné i následující dva typy událostí: odstranění autentizačního zařízení a automatický timeout z důvodu uživatelovy neaktivity. Podle toho, jak je nakonfigurována, reaguje na zmíněné události jedním z následujících způsobů. V první variantě provede uzamčení pracovní stanice, odhlášení z Windows, uzavření všech programů a odhlášení ze sítě, ve druhé variantě provede jen poslední dvě zmíněné akce. Shrnutí Závěrem lze tedy konstatovat, že nový BorderManager 3.8 nabízí ve srovnání se svými předchůdci několik dalších zajímavých vlastností. Za pozornost stojí především služby VPN založené na otevřených standardech, klientský firewall a rozsáhlé možnosti autentizace. Podpora otevřených standardů umožňuje používat BorderManager 3.8 k vytváření bezpečných spojení i s jinými organizacemi, např. s obchodními partnery. Díky ní se odstraňují problémy s kompatibilitou, takže lze běžně využívat i produkty a zařízení, které jsou již v organizaci zakoupeny. Klientský firewall a množství autentizačních metod pak dále zvyšuje bezpečnost vzdálených přístupů do sítě. To vše přináší organizacím, jež vlastní BorderManager 3.8, možnost rozšíření bezpečné komunikace na další subjekty, zachování existujících investic, úspory času a peněz, zjednodušení pracovních činností, bezpečný na identitě založený přístup vzdálených uživatelů k ne-webovým aplikacím atd. Ing. Oldřich Přichystal Zpracováno volně podle článku Cheryl Walton: Novell BorderManager 3.8 - Opening Up and Tying Down Remote Access Security uveřejněného v Novell Connection

11+12/2003.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář