Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

BorderManager - служба безопасности от Novell

Рон Андерсон

Фирма Novell пока еще только готовится к полной универсализации своих продуктов для любой сетевой среды, но сетевые службы, которые она создает в расчете на свою операционную систему NetWare, - вне конкуренции. Это относится и к ее продукту BorderManager. Данный специализированный набор сетевых служб вряд ли подойдет для любой среды, однако в своей "родной" операционной системе он работает превосходно.

BorderManager - это комплект сетевых программных средств, отчасти уже известных, отчасти новых, которые служат общей задаче - обеспечению безопасности на границе между сетями. В набор включены следующие сетевые службы: межсетевой экран (firewall), шлюз IP Gateway, службы поддержки виртуальных частных сетей (VPN - Virtual Private Network), сервер доступа к Интернет NIAS 4.1 (Novell Internet Access Server) и кэширующий proxy-сервер. В комплект BorderManager входит также сама ОС IntranetWare 4.11, на которой и работают вышеперечисленные службы. Воображаемая граница, которую "охраняет" BorderManager, может пролегать где угодно: внутри вашей ЛВС, между локальной и распределенной сетями либо между локальной сетью и Интернет.

В силу разнообразия включенных в него служб BorderManager мог бы использоваться почти в любой сетевой среде. Однако крупным сетям со зрелой инфраструктурой на базе IP-сетей, основанной на технологиях Unix, BorderManager подходит меньше, чем небольшим сетям NetWare, для которых наиболее остро стоит вопрос подключения к Интернет. Компаниям, не имеющим достаточного опыта в администрировании Unix-систем и нуждающимся в службе межсетевого экранирования, следует остановиться на продуктах, которые не увеличивали бы общей стоимости владения из-за дополнительных накладных расходов на системное администрирование. Тем, кто работает с Windows NT, следует рассмотреть многочисленные продукты для NT; BorderManager предназначен только для NetWare.

Подобно всем новым продуктам от Novell, BorderManager активно использует NDS, особенно в области управления доступом. Если NDS не является основой администрирования вашей сети, то полный пакет BorderManager вам не подойдет. Любой организации, где требуется фильтрация IPX-пакетов, захочется получше ознакомиться с BorderManager, поскольку большинство межсетевых экранов фирменной разработки или на основе Unix обеспечивают фильтрацию только пакетов IP.

Мы протестировали BorderManager в нашей лаборатории на машине с процессором Pentium Pro 200 с объемом ОЗУ 128 Мбайт. В ней были установлены две сетевые интерфейсные платы 3C905 10/100 фирмы 3Com. Одна была подключена к сети общего пользования, а другая - к частной. Если вы собираетесь опробовать BorderManager в вашей сети, мы советуем вам отвести побольше места для кэша proxy-сервера и всех журналов регистрации, которые понадобятся для контроля за работой этого продукта.

Процедура установки

Установка сетевых служб BorderManager производится при помощи стандартных средств инсталляции продуктов NetWare. Мы обнаружили, что, для того чтобы выполнить эту процедуру, необходим большой опыт в конфигурировании NetWare и в работе с сетевыми службами IP. Поскольку сервер BorderManager размещается на границе между двумя сетями, то вам перед его установкой нужно также установить и запустить два сетевых адаптера - по одному на каждую сеть.

Необходимо проследить, чтобы для каждой сетевой платы был надлежащим образом установлен стек TCP/IP. Выбор интерфейсной платы очень важен, поскольку эффективность BorderManager во многом зависит от производительности сети. Novell, чтобы разгрузить центральный процессор системы от большей части работы, которая обычно возлагается на него обычными адаптерами, рекомендует использовать интеллектуальные сетевые адаптеры, такие, как EtherExpress PRO/100 Server Adapter.

Конфигурирование продукта поначалу может ввести вас в замешательство, поскольку часть установок выполняются с консоли сервера Novell через старый текстовый интерфейс, а часть - через утилиту NWADMIN фирмы Novell. Поработав некоторое время с продуктом, мы обнаружили, что те программные компоненты, которые существовали еще до появления BorderManager, в том числе шлюз, маршрутизатор и средства доступа к Интернет, сохранили свои прежние пользовательские интерфейсы для выполнения конфигурирования на сервере. Новое же ПО, включая службы кэширующего proxy-сервера и VPN, используют более современные, разработанные Novell средства конфигурации, опирающиеся на NDS. Эти средства лучше, так как информация о конфигурации запоминается в NDS и управление выполняется с помощью единого инструментария. Таким образом, одним из недостатков этого продукта является необходимость помнить, откуда выполняются управление и конфигурирование той или иной службы.

Межсетевой экран

Сердцем пакета BorderManager является межсетевой экран, с помощью которого он обеспечивает механизмы фильтрации пакетов IP, IPX и AppleTalk. Настройка фильтрации пакетов, приходящих в частную сеть извне, исходящих из нее служебных пакетов протоколов RIP, SAP, NetBIOS, а также маршрутизируемых пакетов TCP/IP, IPX и AppleTalk производится с помощью стандартного текстового пользовательского интерфейса. Интерфейс настройки фильтров на сервере содержит готовый список типов стандартных пакетов как для IP, так и для IPX NCP (NetWare Core Protocol). Помимо этого, он позволяет вам определять собственные типы пакетов для фильтрации.

Используя оболочку NWADMIN, можно также задавать правила фильтрации для исходящих пакетов. Эти фильтры контролируют доступ пользователей частной виртуальной сети, принадлежащих вашему дереву NDS, к ресурсам сети общего пользования. Чтобы правила для фильтрации исходящих пакетов действовали эффективно, ваши клиенты должны использовать шлюзы IP/IP и IPX/IP.

Производительность - основной критерий качества любого межсетевого экрана. С этой точки зрения продукты на основе Unix имеют большое преимущество в степени готовности и демонстрируют лучшие результаты, чем BorderManager. Поэтому вам следует тщательно изучить данную функцию BorderManager с целью определить, удовлетворяет ли она ваши требования к производительности и стабильности в работе.

Шлюз Novell IP Gateway

Продукт IP Gateway фирмы Novell обеспечивает два шлюза сетевого уровня - IP/IP и IPX/IP - между вашей сетью и Интернет. IPX-клиенты сети получают доступ в IP-сеть через шлюз IPX/IP. Как только на клиентской машине будет загружено ПО Client32 фирмы Novell, она получит возможность установить связь со шлюзом IPX/IP и вместе с ним использовать для доступа к Интернет единый регистрационный номер IP, присвоенный шлюзу-серверу.

Шлюзом выполняется вся работа по трансляции сетевых адресов между сетями IPX и IP. Продукт позволяет присваивать уникальные незарегистрированные IP-адреса вашим клиентам и затем передавать внутренний трафик в Интернет через шлюз IP/IP, используя единственный зарегистрированный IP-адрес сервера. Установка и конфигурирование шлюза выполняются на сервере через меню, но контроль и управление доступом к шлюзу - через NDS. Мониторинг работы сервера в реальном масштабе времени и просмотр журналов регистрации выполняется с помощью специального модуля, интегрируемого в оболочку NWADMIN.

Установка и конфигурирование этого сервиса оказались довольно простыми. Если у вас ощущается дефицит IP-адресов для клиентов и вы не хотите хлопот со службами DHCP и BOOTP, то шлюз IPX/IP определенно заслуживает рассмотрения, как средство решения проблемы. В ходе тестирования мы запускали стандартные Web-браузеры, FTP-клиенты и сеансы Telnet на наших IPX-клиентах, не потеряв ни одного пакета.

Виртуальные частные сети

BorderManager позволяет использовать различные типы каналов между серверами VPN, будь то выделенные линии, каналы ISDN, Frame Relay, X.25 или обычные коммутируемые соединения. Novell проделала большую работу, чтобы защитить частный трафик, проходящий через сети общего пользования. В частных виртуальных сетях для обеспечения конфиденциальности при передаче открытого ключа используется протокол распределения ключей Диффи-Хеллмана (Diffie-Hellman) фирмы RSA. Пакеты шифруются при помощи свободно распространяемого алгоритма RRC.2 (Ron Rivest's Cipher No.2). Ключ шифрования данных изменяется по крайней мере через каждые 1000 пакетов, поэтому, даже если он будет раскрыт, расшифрована будет лишь небольшая часть вашего трафика.

Североамериканские заказчики имеют преимущество использования ключей шифрования длиной до 128 бит. Остальные же пока должны будут ограничиться 40-битовыми ключами, разрешенными для экспорта. Novell уже прошла все формальные процедуры, необходимые, чтобы получить право на экспорт 128-битовых ключей, так что повсеместное использование таких ключей в ее продукте лишь вопрос времени.

Установка и управление сетями VPN, включая первоначальную генерацию открытых и закрытых ключей, выполняются средствами NWADMIN. При помощи этого же механизма возможна перегенерация ключей. Для большей безопасности Novell рекомендует производить эту процедуру для ваших виртуальных сетей каждые шесть месяцев. При туннелировании пакетов IP и IPX может использоваться как динамическая, так и статическая маршрутизация. Если вам нужны соединения по запросу, то вам придется воспользоваться статическими маршрутами и протоколом NLSP (Network Link Service Protocol). При использовании протоколов RIP и SAP информация о маршрутах остается незащищенной.

Поскольку BorderManager маршрутизирует трафик IPX, вы можете поместить пользователей из удаленных офисов в то же дерево NDS, которому принадлежат пользователи из центрального офиса. Доступ к ресурсам IPX через удаленные соединения будет контролироваться тем же способом, что и для пользователей в локальной сети - при помощи списков контроля доступа ACL (Access Control Lists) в рамках службы NDS.

Защищенные каналы VPN, поддерживаемые BorderManager, можно формировать только между серверами BorderManager. В продукте отсутствует поддержка сетей VPN других производителей или клиентов сетей VPN для удаленных пользователей. Novell заявляет, что в следующих версиях продукта будет поддерживаться протокол IP Security Protocol (IPSec), что дает некоторое основание для оптимизма в отношении использования BorderManager с продуктами третьих фирм. Novell пообещала также реализовать стандартный протокол, как только он появится.

Сервер NIAS 4.1

Сервер доступа к Интернет NIAS 4.1 обеспечивает многопротокольную маршрутизацию и услуги удаленного доступа для локальных сетей NetWare. Программное обеспечение, выполняющее маршрутизацию трафика IP, IPX и AppleTalk, окажется знакомым давним пользователям NetWare. В его основе лежит известный продукт MPR (Multi-Protocol Router) фирмы Novell, который является стандартом для IntranetWare. Эта технология прошла проверку временем и представляет собой долгожданное дополнение к пакету BorderManager.

Служба удаленного доступа пакета BorderManager, представляющая собой переработанный модуль NetWare Connect, обеспечивает поддержку теоретически неограниченного числа портов коммутируемых каналов для выхода в глобальную сеть. Подобно службам удаленного доступа в Windows NT, BorderManager обеспечивает работу с IP, IPX и AppleTalk через протокол PPP, используя стандартные клиенты удаленного доступа, поставляемые с Windows 95 и Windows NT. Доступ по протоколу AppleTalk осуществляется через службу ARAS (AppleTalk Remote Access Service). Настройка системы и управление удаленным доступом в BorderManager несколько сложнее, чем в Windows NT, но лучше подходят тем, кто работает с NetWare, поскольку все управление осуществляется через NDS.

Полезной для удаленных пользователей является возможность установить коммутируемое соединение, используя NDS, так чтобы во время подключения к локальной сети можно было работать со своей папкой, предназначенной для связи по телефонной линии. Для этих целей Novell включила в Client32 приложение Update Dial-Up Connections, и мы протестировали его без всяких затруднений. Мы подключались к серверу удаленного доступа, используя приложение Dial-Up Networking из Windows 95 и Windows NT, а также AppleTalk Remote Access Client. При этом машины с ОС Windows могли иметь динамические и статические IP-адреса. Независимо от того, какой протокол используется - IP, IPX или AppleTalk, информация здесь доступна из любого участка сети.

Так как число портов, поддерживаемое сервером NIAS, ограничивается только аппаратными средствами, он может быть легко расширен до масштаба целого предприятия. Как и многие другие продукты из набора BorderManager, служба удаленного доступа также рассчитана на пользователей, уже работающих с NDS. Таким образом, это еще одна технология Novell, укрепляющая позиции ее службы справочника.

В этом году Novell собирается выпустить дополнение к продуктам семейства BorderManager под названием BorderManager Authentication Service, также предназначенное для обеспечения удаленного доступа. Оно также основывается на службе справочника NDS, включает в себя средство аутентификации RADIUS (Remote Access Dial-Up User Service) и позволяет вести учетные записи и журналы аудита для пользователей удаленного доступа.

Кэширующий proxy-сервер

Выше мы упоминали, что службы BorderManager объединяет одна общая задача - безопасность границ корпоративной сети, но это только половина дела. BorderManager решает еще одну задачу - увеличение производительности Web-сервера. Потребность в таком продукте у пользователей Интернет была настолько велика, что Novell уже через месяц после появления первоначальной версии BorderManager объявила о выпуске дополнительного продукта из того же семейства, предназначенного специально для увеличения производительности службы Web.

Этот продукт, названный BorderManager FastCache, представляет собой облегченную версию BorderManager: proxy-сервер, обеспечивающий кэширование информации, и шлюз Novell IP Gateway. Объединение этих компонентов в новом продукте имеет большой смысл с учетом взрывного роста Web и растущих задержек при работе с этой службой. Проведенное фирмой Novell тестирование продемонстрировало значительное увеличение производительности в Web при использовании ее новой технологии. Вложив деньги в решение проблемы "узкого горлышка", Novell создала собственную инфраструктуру Web вокруг этих служб.

Мы испытывали службы proxy-кэширования, используя как рабочие станции, работающие в локальной сети, так и удаленные рабочие станции, подключенные через телефонный канал с пропускной способностью 28,8 Кбит/с. В обоих случаях доступ к Web заметно ускорился, особенно днем и вечером, когда работа с Интернет замедляется катастрофически даже при подключении по линии T3. Мы обнаружили, что даже при работе с динамическими страницами, такими, как интерактивные дискуссионные группы, которые, казалось бы, невозможно кэшировать, proxy-сервер значительно увеличивал производительность доступа к ним. Это связано с тем, что эти страницы все-таки имеют достаточное количество статических объектов, с которыми новый proxy-сервер умело работает.

Мы проверяли, насколько часто proxy-сервер сверяет информацию в кэше с источником и сколько дискового пространства необходимо для кэша. Novell рекомендует использовать для кэширования, как минимум, 250 Мбайт дискового пространства. Однако это один из тех случаев, где больше означает лучше, если вы хотите свести к минимуму риск потери кэшированной информации, которая, возможно, еще понадобится. Для небольших рабочих групп мы рекомендуем начать с выделения для служб кэширования дискового пространства объемом 1 Гбайт. Контроль использования кэша можно осуществлять из оболочки NWADMIN, из нее же по мере необходимости можно увеличивать размер кэша.

BorderManager имеет службы кэширования для серверов FTP и gopher и способен обеспечить иерархическую структуру кэширования, используя несколько proxy-серверов, взаимодействующих по протоколу ICP (Internet Control Protocol).

Кроме ускорения работы клиента, proxy-сервер обеспечивает также увеличение производительности самого Web-сервера. Согласно утверждениям Novell, кэширующий proxy-сервер с 200-МГц процессором Pentium Pro, ОЗУ объемом 128 Мбайт и соответствующим дисковым пространством позволяет обрабатывать около 250 млн обращений за сутки. Относительно недорогая машина на базе процессора Intel может быть использована для увеличения производительности Web-сервера, что позволяет обойтись без дорогостоящих модернизаций оборудования и ПО. Помимо этого, BorderManager защищает Web-сервер от несанкционированного доступа из глобальной сети, поскольку весь внешний трафик направляется на Web-сервер через службу proxy, что увеличивает его безопасность.

Эта технология кэширования является самой лучшей в комплекте BorderManager, и ее следует тщательно изучить организациям, использующим дорогостоящие аппаратные средства для Web-серверов на базе Unix и ищущим недорогие средства для повышения быстродействия и безопасности. Независимая тестовая лаборатория Mindcraft продемонстрировала семикратное увеличение числа обслуживаемых за секунду HTML-запросов при ускорении сервера Ultra Enterprise 3000 Web Server фирмы Sun Microsystems с помощью ПО BorderManager, работающего на машине с 200-МГц процессором Pentium Pro.

В прошлом году на конференции BrainShare компания Novell продемонстрировала производительность своей технологии proxy-кэширования в сравнении с решениями на базе Windows NT фирм Microsoft и Netscape. Кэширующий proxy-сервер FastCache фирмы Novell оказался вне конкуренции, что является одной из самых больших побед Novell. Кроме того, в комплект BorderManager входит продукт Cyber Patrol фирмы Microsystems Software с лицензией на 90 дней. Он предназначен для ограничения доступа к данным на уровне информационного содержания Web-сервера.

Цена на BorderManager определяется числом пользователей, одновременно имеющих доступ к службам BorderManager. Розничная цена на версию для пяти пользователей составляет 2495 долл. Было бы не слишком мудро устанавливать все компоненты комплекта BorderManager на одном сервере, так как это отрицательно сказывается на производительности. Для распределения этих служб Novell предлагает пакет Add-on Server Kit стоимостью 1995 долл. С его помощью вы можете для увеличения производительности распределить эти службы на нескольких серверах.

Несомненно, выпуск BorderManager является одним из сильных ходов Novell в борьбе за лидерство в технологиях работы с Интернет. Он претендует на то, чтобы стать "хитом" для тех фирм, где сетевым стандартом выбрана ОС NetWare. Однако нам еще предстоит убедиться в том, насколько он способен интегрироваться в разнородную вычислительную среду, характерную для информационных систем многих фирм.





  
6 '1998
СОДЕРЖАНИЕ

колонка редактора

• Cеть напрокат

локальные сети

• Сегментирующие концентраторы для рабочих групп

• Сопряжение сетей Ethernet и Fast Ethernet

• NDPS - решение проблем сетевой печати?

• Рост рынка волоконной оптики

• Можно ли Windows NT доверять секреты?

• Системы микроклимата

• Тестируем переключатели KVM

корпоративные сети

• На переднем крае IP-коммутации

• Исследуем связующее ПО

• Как выбрать коммутатор АТМ

услуги сетей связи

• Практические аспекты построения корпоративных сетей Frame Relay (часть II)

• Связь в Сургуте: слагаемые успеха

• Интеллектуальные сети и услуги

• Куда шагает Frame Relay

системы учрежденческой связи

• Системы микросотовой связи стандарта DECT

• Принципы выбора УПАТС (часть II)

• Документальная телеконференция: недостающее звено между аудио- и видеоконференц-связью

интернет и интрасети

• Border Manager - служба безопасности от Novell

• Кто ищет, тот всегда найдет

защита данных

• Защита от "вероломных" Java-приложений

• Серверы-посредники Socks

• CeBIT'98: технологии информационной безопасности

новые продукты

• Новые сетевые принтеры на Comtek'98, Не хочу отдавать обратно OfficeConnect Dual Analog, С возвращением, LANNET!; Мультисервисный концентратор доступа MC3810 фирмы Cisco, Пополнение семейства Vanguard, Кластер серверов от INPRO Computer Systems

только на сервере

• Система S.W.I.F.T. и информационная безопасность

• Экспертиза, проектирование и реинжиниринг



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх