Problemas relacionados con Novell BorderManager 3.8 SP1

1.0 Limitaciones y problemas conocidos

Novell BorderManager 3.8 Support Pack 1 (NBM 3.8 SP1) cuenta con las siguientes limitaciones y problemas conocidos:

1. El filtro de paquetes ping no estático permite sólo un paquete ping desde un extremo del cortafuegos cada vez. No admite paquetes ping simultáneos entre dos hosts mediante el cortafuegos. Para que se puedan enviar paquetes ping simultáneamente, cree un filtro ICMP estático e inhabilite los filtros inmediatamente después de usarlos. Realice este procedimiento por motivos de seguridad.
2. Es posible que el cortafuegos con el registro habilitado no funcione correctamente después de haberlo probado durante bastante tiempo.
3. El proceso de descargar y volver a cargar filtsrv durante la instalación puede dejar el sistema abierto durante 10 o 15 segundos. Si considera que el sistema se queda desprotegido a causa de este agujero de seguridad, no exponga el sistema durante la instalación.
4. La autenticación puede fallar durante la instalación de NBM 3.8 en caso de que la contraseña contenga caracteres especiales.

2.0 Cambios en el software

Esta versión de NBM 3.8 SP1 incluye cambios en el software, que se describen en las siguientes secciones.

2.1 Soluciones con conmutadores a problemas de software detectados

Novell BorderManager 3.8 SP1 incorpora ciertas modificaciones en el software que permiten solucionar los problemas descritos en las siguientes secciones.

2.1.1 Personalización de la portada SMTP

El conmutador siguiente permite configurar la portada SMTP

[Extra Configuration]

BM_SMTP_Banner = "Test BM SMTP Banner. El uso no autorizado de este software lleva consigo la toma de acciones legales en contra del usuario"

2.1.2 Sustitución del alterno de correo

Para que el alterno TCP genérico use el puerto 25 como sustituto del alterno de correo:

[Extra Configuration]

AllowGTCPProxyToUsePort25=1

Defina el valor en 1 para que el alterno TCP genérico use el puerto 25.

2.1.3 Restricción del proceso de túnel en el alterno HTTP

Por defecto, el alterno HTTP permite todas las peticiones de conexión (CONNECT) en todos los puertos. Este hecho puede constituir una amenaza a la seguridad. El conmutador siguiente permite controlar los puertos a través de los que se pueden establecer procesos de túnel.

[Tunneling]

EnableTunnelingControl=1

EnableTunnelingControlLog=1

[HttpTunnelingAllowed]

port=<port-1>

...

port=<port-N>

Defina el conmutador EnableTunnelingControl=1 para autorizar las peticiones de conexión (CONNECT) efectuadas a los puertos enumerados y al puerto 443. Se denegarán aquellas peticiones que se realicen a puertos que no estén en la lista.

Defina el conmutador EnableTunnelingControlLog=1 para que se registren todos los puertos denegados en sys:\etc\proxy\tunnel.log.

Si EnableTunnelingControl=0, se autorizarán todas las peticiones de conexión (CONNECT). Este hecho puede constituir una amenaza a la seguridad.

3.0 Soluciones a problemas de software

Esta revisión de Novell BorderManager 3.8 SP1 incluye las siguientes soluciones para diversos problemas de software:

3.1 Alterno

1. Se produce una terminación anormal en el alterno cuando el registro HTTPS está habilitado.
2. La redirección de autenticación no funciona correctamente cuando los alternos HTTP transparente y de remisión están habilitados simultáneamente.
3. Falta memoria cuando la firma única está habilitada para el alterno FTP.
4. Slashdot.org bloquea al alterno de BorderManager si la lectura anticipada está habilitada.
5. Se produce una terminación anormal de Proxy.nlm al actualizar BorderManager 3.7 a 3.8.
6. El acceso al alterno se efectúa correctamente incluso si se está ejecutando dwntrust.
7. Se produce una terminación anormal del alterno RTSP al procesar el encabezado de transporte.
8. La contraseña de FTP está limitada a 32 caracteres.
9. La autenticación SSL funciona aunque no se especifique ningún nombre de usuario ni ninguna contraseña.
10. La página de error HTTP de Novell BorderManager muestra caracteres no válidos si el idioma del servidor es distinto del inglés.
11. La advertencia de la consola SMTP acerca de que el dominio de correo no está configurado se muestra incluso aunque haya compatibilidad con varios dominios para el correo entrante.
12. IPXIPGW.NLM falla al cargarse con errores de símbolos públicos.
13. El servidor de multidifusión ICP no se inicia.
14. Clntrust no se carga si el idioma chino está habilitado en el escritorio.
15. El alterno Telnet transparente no funciona.
16. Stopbrd interrumpe el funcionamiento del servidor si no se instalan las licencias ACL.

3.2 Control de acceso

1. La categorización N2H2 no funciona para los sitios seguros.
2. Los archivos LOG del filtro de paquete se dañan si el método de retroceso se ha establecido en horas.
3. Se produce una terminación anormal de Aclcheck.nlm al procesar reglas de acceso complejas.
4. Se reduce el rendimiento al trabajar con listas de control de acceso (ACL) extensas.

3.3 Cortafuegos y NAT

1. Se produce un error al analizar el archivo sys:etc\builtins.cfg cuando se reinicia el servidor.
2. Se produce una terminación anormal de Filtsrv.nlm durante la instalación de NBM 3.8.
3. Se produce un error al entrar en el servidor NetWare cuando VPN y NAT se están ejecutando simultáneamente.

3.4 VPN

1. Para los certificados de usuario emitidos por la autoridad de certificación de Novell y almacenados en eDirectory, la autenticación basada en el certificado VPN con el certificado importado falla si se dan estas circunstancias:
   • Se elimina o deshabilita el usuario correspondiente
   • Se elimina el certificado del usuario del objeto Usuario en eDirectory

2. El cliente VPN permanece activo si el usuario opta por estar conectado en el recuadro de diálogo acerca de la desconexión en tiempos de inactividad que aparece cuando no hay transmisiones de datos para el tiempo configurado.
3. La conexión mediante el método NMAS-NDS falla si el nombre de usuario no está en la réplica del servidor local.
4. Instalación de NetWare 6.5 SP1 en NBM3.8.
5. Paquete debuglog.nlm incorrecto para la carga de IPXIPGW.NLM4.
6. No se proporciona ninguna lista de los métodos o las opciones más frecuentes para la autenticación NMAS en la página de entrada al cliente VPN.
7. Las comunicaciones sitio a sitio se interrumpen al cambiar la dirección VPTUNNEL de cualquier servidor VPN.
8. La autenticación de cliente a sitio VPN no funciona si se usa el método NMAS LDAP cuando existen varias réplicas del servidor. Este problema está solucionado en NMAS2.3 (debe descargarlo y aplicarlo al servidor). Hay disponible más información acerca de Novell TID 2967711.
9. Si un miembro eliminado está inactivo o no es posible establecer contacto con él, el servidor principal no lo eliminará de su lista de miembros hasta que pueda ponerse en contacto con él.

4.0 Información sobre asistencia técnica

Para ponerse en contacto con Novell o con un representante de Novell con el fin de obtener asistencia técnica, acceda al sitio Web de conexión de asistencia de Novell adecuado:

• http://support.novell.com (América)
• http://support.novell.de (Europa y Oriente medio)
• http://support.novell.com.au (Asia Pacífico)

El sitio Web de conexión de asistencia de Novell proporciona información sobre los últimos problemas conocidos, las revisiones y otros detalles importantes acerca del producto que está instalando. Puede utilizar la función KnowledgeBase para buscar documentos de información técnica (TID) que pertenezcan a este producto. Además, puede acceder a los fórums de asistencia para obtener información de asistencia técnica e intercambiar y discutir esta información con moderadores voluntarios, así como con otros clientes de Novell.

5.0 Información legal

Novell, Inc. no otorga ninguna garantía respecto al contenido y el uso de esta documentación y, específicamente, renuncia a cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Asimismo, Novell, Inc. se reserva el derecho de revisar esta publicación y realizar cambios en su contenido en cualquier momento, sin obligación de notificar tales cambios a ninguna persona o entidad.

Además, Novell, Inc. no ofrece ninguna garantía con respecto a ningún software y rechaza específicamente cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Por otra parte, Novell, Inc. se reserva el derecho de realizar cambios en cualquiera de las partes o en la totalidad del software de Novell en cualquier momento, sin obligación de notificar tales cambios a ninguna persona ni entidad.

No podrá exportar ni reexportar este producto infringiendo la legislación o las normativas vigentes, incluidas, aunque sin limitarse a ellas, las normativas de exportación de EE.UU. o las del país en el que resida.

Copyright © 2002-2004 Novell, Inc. Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida, fotocopiada, almacenada en un sistema de recuperación ni transmitida sin la expresa autorización por escrito del editor.

Novell es una marca comercial registrada de Novell, Inc. en Estados Unidos y en otros países.

Client32, eDirectory, Internetwork Packet Exchange e IPX, NetWare Loadable Module y NLM, así como Novell Client (Cliente Novell) son marcas comerciales de Novell, Inc.

Todos los productos de otros fabricantes son propiedad de sus propietarios respectivos.