Léame de Novell BorderManager 3.9

5 de abril de 2007

5.8 Filtro

1.0 Introducción

Novell® BorderManager® utiliza la tecnología más avanzada de cortafuegos y VPN para habilitar soluciones de gestión segura de identidades. Con las eficaces funciones integradas en directorio, puede controlar, acelerar y monitorizar las actividades que los usuarios realizan en Internet. Como BorderManager de Novell emplea el control de acceso basado en identidad y alternos (proxies) de reenvío, usted pueda proteger la red contra el tráfico de contenido de Internet no deseado, al tiempo que garantiza niveles de rendimiento excepcionales.

Novell BorderManager también integra servicios de VPN basados en IPSec, así como un cortafuegos certificado por ICSA Labs para garantizar la protección de la red y la productividad de los usuarios.

Este documento proporciona una breve descripción general de los nuevos componentes y funciones de Novell BorderManager 3.9. También incluye los problemas y limitaciones que se han identificado en esta versión.

2.0 Novedades

A continuación encontrará la lista de nuevas funciones de Novell BorderManager 3.9.

2.1 Nueva interfaz de administración para el alterno (proxy)

En Novell BorderManager 3.9, la configuración del alterno (proxy) se puede realizar mediante iManager.

2.2 Configuración del alterno (proxy) FTP en el modo activo

En esta versión, Novell BorderManager incluye la función para que el alterno (proxy) FTP se conecte en modo activo al servidor FTP de origen.

2.3 Configuración de Terminal Server y de la migración de los recursos de sesión mediante iManager

La configuración de Terminal Server y de la migración de los recursos de sesión ya no se realiza en el archivo proxy.cfg. Ahora se pueden configurar usando iManager.

2.4Copia de seguridad y función de restauración para la configuración de reglas de acceso y del alterno (proxy)

En esta versión, es posible hacer copia de seguridad del archivo de configuración de reglas de acceso y del alterno (proxy). Este archivo de configuración se puede restaurar en caso de que desee restablecer la configuración de la que hizo la copia de seguridad. Para hacer una copia de seguridad de la configuración del alterno (proxy) o de las reglas de acceso, haga clic en la opción de copias de seguridad de la página de servicios del alterno (proxy) o de las reglas de acceso, respectivamente. Para restaurar la configuración de la que ha realizado la copia de seguridad, haga clic en la opción de restauración de la página de selección de alterno (proxy) de BorderManager y localice el archivo de copia de seguridad.

2.5 Registros de impactos de la norma accesibles mediante la auditoría de Novell

Al configurar las reglas de control de acceso, puede habilitar la opción de registro de impactos de la norma. Cuando está seleccionada, esta opción registra los intentos de acceso asociados con la regla. A estos registros se puede acceder desde el servidor de registro con seguridad de la auditoría de Novell.

2.6 Nuevo aspecto para la interfaz de administración de VPN

La interfaz de administración de VPN de Novell BorderManager 3.9 tiene un nuevo aspecto.

2.7 Compatibilidad con clave precompartida para VPN de sitio a sitio entre servidores de Novell BorderManager

Novell BorderManager 3.9 es compatible con la clave precompartida como método para establecer los túneles VPN entre dos miembros de sitio sitio.

2.8 Cliente VPN para Linux

En esta versión, Novell BorderManager proporciona un cliente VPN en la plataforma Linux*. El cliente VPN se ejecuta en SUSE Linux Enterprise Desktop (SLED) 10 con el método de autenticación NDS NMAS.

3.0 Requisitos del sistema

  • NetWare 6.5 SP 6.

4.0 Componentes y funciones

Esta versión proporciona los siguientes componentes y funciones:

4.1 Instalación

La instalación de esta versión incluye los siguientes aspectos:

  • La extensión del esquema VPN se realiza mediante NWCONFIG.

  • Instalación automática de los módulos auxiliares de configuración del alterno (proxy), la lista de control de acceso, el cortafuegos y la VPN para iManager 2.6 en NetWare® 6.5 SP 6.

  • Capacidad de crear volúmenes tradicionales para utilizarlos en almacenamiento en caché con NetWare 6.5.

  • Compatibilidad con la migración del alterno (proxy), la lista de control de acceso, el cortafuegos y la VPN para permitir la actualización desde Novell BorderManager 3.8.

  • Opción para recuperarse de una instalación fallida.

  • Se han añadido filtros de paquetes VPN para las actualizaciones.

  • Se genera un archivo de resumen de la instalación que describe los pasos principales llevados a cabo en el proceso en: sys:ni\data\NBM_Instlog.csv.

4.2 Configuración mediante iManager

Los servicios siguientes se pueden configurar en iManager:

  • Alterno

  • Lista de control de acceso

  • Servicios de cortafuegos

  • Servidor VPN

  • El servicio cliente a sitio

  • El servicio sitio a sitio

iManager 2.6 es compatible con esta versión. Los servidores pueden configurarse desde cualquier estación de trabajo con Internet Explorer 5.5, 6.0 o superior. De este modo el uso es más sencillo y la capacidad de configurar normativas de tráfico y autenticación es mucho mayor.

En esta versión se ha implementado la siguiente función:

4.3 Mejoras en el alterno (proxy)

El caché alterno (proxy) de Novell BorderManager ha sufrido varios cambios.

  • Restitución de fallos de sesión

  • Configuración del alterno (proxy) FTP en el modo activo

4.4 Servicio cliente a sitio

El servicio cliente a sitio es compatible con directivas granulares para acceder a recursos privados. Las funciones incorporadas son las siguientes:

  • ike y SPK para la gestión de claves.

  • Novell BorderManager 3.98 utiliza el método NMAS LDAP para autenticar al usuario con el directorio remoto autoritario (LDAP).

  • Modo de autenticación con certificado X.509.

  • Las VPN de Novell BorderManager 3.9 son compatibles con los servicios NMAS (autenticación modular) de Novell para el servicio cliente a sitio. Además del modo certificado de autenticación con ike, el cliente y el servidor VPN pueden autenticarse utilizando métodos NMAS. La secuencia de eDirectory (NDS ®) permite que un usuario se autentique con el gateway de autenticación VPN utilizando la contraseña de eDirectory. Novell BorderManager 3.9 requiere la instalación de NMAS 3.1.2 en el servidor y NMAS 2.2.4 o superior en el cliente. Los métodos NMAS necesarios deberán estar instalados y configurados tanto en el servidor como en los clientes.

  • Se puede llevar a cabo la autenticación VPN utilizando una clave precompartida configurada en el servidor VPN. En este modo, la regla de cifrado por defecto se envía al cliente.

  • El modo agresivo es compatible con la negociación ike SA, fase 1.

  • Algunos de los cambios en las reglas de tráfico son los siguientes:

    • Tráfico UDP: el número de puerto UDP ya no es necesario. El usuario sólo tiene que especificar el número de puerto TCP.

    • Conectividad con otros fabricantes: ahora, en los modos PSS y de certificado se pueden conectar distintos tipos de clientes al servidor VPN. Los clientes pueden utilizar sistemas operativos como Macintosh* o Linux o ser estaciones de trabajo SSH.

    • Configuración DNS/SLP: esta configuración proporciona la lista de direcciones de los servidores DNS y agentes de directorios aplicados al cliente durante una sesión de VPN. La lista de agentes de directorio (SLP) se aplica si se lleva a cabo la autenticación de Novell durante una sesión de VPN. Cuando finaliza una conexión, el cliente vuelve a la información de DNS original.

  • El usuario puede seleccionar la autenticación NMAS, la autenticación mediante certificado o ambas. Si selecciona la autenticación mediante certificado, deberá configurar una o varias raíces de confianza. En el caso de la autenticación NMAS, es necesario configurar el nivel de permiso (el grado mínimo de autenticación permitido).

  • La función de asignación de dirección IP está disponible en la pestaña General de la configuración de cliente a sitio para que sea posible mantener la conexión exclusiva en el servidor para distintos clientes. También resuelve el problema con los conflictos de direcciones IP tras la NAT. Cuando termina la asignación de direcciones IP, los routers intermedios de la red interna deben estar dirigidos al servidor VPN.

  • Los usuarios o miembros de la VPN pueden utilizar un nombre de tema alternativo en lugar de un nombre de tema de certificado.

4.5 Servicio sitio a sitio

El servidor VPN es compatible con servicios sitio a sitio entre dos servidores VPN de Novell BorderManager 3.9 y entre un servidor de Novell BorderManager 3.8 y uno de Novell BorderManager 3.9. Este servicio es compatible con directivas granulares. El servidor de Novell BorderManager 3.9 se puede configurar como maestro o esclavo en iManager. Las funciones sitio a sitio incorporadas son las siguientes:

  • ike y SPK para la gestión de claves.

  • Modo de autenticación con certificado X.509.

  • Compatibilidad con topología de malla y estrella

  • Servidor VPN tras NAT

  • La conectividad con otros fabricantes permite que distintos tipos de servidores se conecten al servidor en el modo PSS.

4.6 Monitorización basada en Web

El mecanismo de monitorización de VPN basada en Web y alterno (proxy) proporciona visibilidad de las actividades de la VPN y el servidor alterno (proxy). Este componente está disponible a través de la estructura de gestión remota de NetWare. La vista es de sólo lectura, pero permite reiniciar las conexiones. Proporciona datos por servidores y por sesiones. También proporciona el estado del servicio sitio a sitio. El componente de monitorización está disponible en los niveles de administrador, usuario y desarrollador.

VPN

Para lanzar la utilidad de monitorización, acceda a https://<direcciónIP>:8009. En el panel izquierdo, haga clic en Monitorización de NBM > Monitorización de VPN.

Una de las funciones más importantes de la monitorización de VPN es el botón de sincronización. La sincronización de los servicios sitio a sitio puede llevarse a cabo de dos maneras diferentes:

  • Sincronizar los servidores seleccionados: haga clic en la casilla de verificación para seleccionar ciertos servidores y haga clic en el botón Sincronizar los servidores seleccionados.

  • Sincronización de todos los servidores: haga clic en el botón Sincronizar todos los servidores para sincronizar todos los miembros al mismo tiempo.

Alterno

Para lanzar la utilidad de monitorización, acceda a https://<direcciónIP>:8009. En el panel izquierdo, haga clic en Monitorización de NBM > Monitorización de proxy (alterno).

Puede obtener las estadísticas del sitio y del caché de todos los servicios del alterno (proxy). Es posible obtener las estadísticas de los servidores actualizados a intervalos fijos de tiempo.

4.7 Migración

VPN

El componente de VPN también puede funcionar como utilidad independiente.

La instalación de VPN lee las configuraciones de VPN de BorderManager 3.8 en las ubicaciones respectivas (archivos de configuración o Novell eDirectory) y las convierte a una configuración compatible con Novell BorderManager 3.9.

Detenga todos los servicios de VPN antes de instalar el producto si el servidor en el que está llevando a cabo la instalación es un servidor maestro.

Como una funcionalidad relacionada en las interfaces públicas en las que el filtrado de paquetes esté habilitado, la instalación añade automáticamente los filtros para VPN de Novell BorderManager 3.8 durante las actualizaciones.

4.8 Certificación de ICSA Labs

La VPN y el cortafuegos están certificados por ICSA Labs.

Estos componentes incluyen los siguientes aspectos:

  • Ahora brdcfg.nlm se puede utilizar para añadir excepciones para los servicios de VPN que se ejecuten en el servidor de Novell BorderManager 3.9. Estas excepciones permiten que el tráfico de la VPN atraviese el cortafuegos.

  • La configuración de los filtros de envío de paquetes a través de iManager se ha simplificado.

5.0 Problemas y limitaciones conocidos

Esta sección contiene las limitaciones y problemas conocidos de Novell BorderManager 3.9.

5.1 Instalación

  • Durante la actualización del servidor a NetWare 6.5, el archivo vptunnel.lan se borra del servidor.

  • La desinstalación sólo elimina los archivos de Novell BorderManager 3.8, pero no la configuración.

  • El archivo filtsrv.nlm vuelve a una versión anterior si utiliza los CD o el DVD de superposición de NetWare 6.5 SP6 para actualizar un servidor que ya tenga NBM 3.8 instalado. Para resolver el problema, copie el archivo filtsrv.nlm manualmente en el directorio sys:\system. El archivo correcto es la versión 1.61.13 de filtsrv.nlm, con fecha del jueves 24 de noviembre de 2005.

  • Es posible que la autenticación no se lleve a cabo correctamente durante la instalación de Novell BorderManager 3.8 si la contraseña contiene caracteres especiales, como % o #.

  • El módulo auxiliar de iManager no estará disponible después de actualizar iManager de la versión 2.5 a la 2.6 durante la actualización del sistema operativo NetWare si Novell BorderManager 3.8.x ya está instalado. Copie los archivos bm.npm y vpn.npm de la carpeta sys:\public\brdmgr\snapins\ en el conjunto de módulos auxiliares de iManager e instálelos. Reinicie el servicio de iManager.

5.2 Servicio cliente a sitio

  • Los clientes pueden desconectarse debido al breve tiempo de espera de inactividad. Modifique el valor de tiempo de espera por defecto a un valor superior si los usuarios van a permanecer en un estado de inactividad durante mucho tiempo.

  • En una sesión de VPN, si el sistema pasa al estado de inactividad, puede perder la dirección IP. Desconecte la VPN y desactive el adaptador. Vuelva a activarlo para obtener la dirección IP.

5.3 Servicio sitio a sitio

  • Si vptunnel no se carga en el esclavo después de la configuración inicial, ejecute el comando para reiniciar el sistema en el esclavo.

  • Esta versión no admite la topología de anillo.

5.4 Migración de alterno (proxy)

  • Al migrar de Novell BorderManager 3.8 SP 5 a Novell BorderManager 3.9, la máscara de bits de la configuración de alertas no se migra.

5.5 Migración de VPN

Después de la migración de Novell BorderManager 3.8 SP 5 a Novell BorderManager 3.9, los miembros de sitio a sitio no logran formar túneles. Para solucionar este problema:

  1. Realice uno de los siguientes pasos:

    1. Si el maestro 3.8 se migra al maestro 3.9, seleccione la lista de miembros en la configuración de sitio a sitio y cambie la versión del miembro maestro a 3.9.

    2. Si los esclavos de la versión 3.8 no se migran a la versión 3.9, seleccione la lista de miembros en la configuración de sitio a sitio y cambie la versión del miembro a 3.8.

    3. Si los esclavos de la versión 3.8 sí se migran a la versión 3.9, seleccione la lista de miembros en la configuración de sitio a sitio y cambie la versión del miembro a 3.9.

  2. Reinicie todos los servidores.

5.6 Monitorización de VPN

  • No es posible monitorizar un servidor esclavo en la lista de miembros tras la NAT. Para monitorizar este tipo de esclavo, deberá establecer una conexión de NetWare Remote Manager directamente con el esclavo.

5.7 Alterno (proxy)

  • La autenticación de servidor de terminal no funciona con la autenticación basada en aplicaciones Java ni con la firma única de alterno (proxy) de Novell BorderManager mediante clntrust.exe.

  • La autenticación SSL de MAC OS con el alterno (proxy) no es compatible con la autenticación basada en applets de Java.

  • Los agentes de autenticación (AuthAgent) maestro y esclavo que se ejecutan en esta máquina utilizan el mismo archivo de registro.

  • Los volúmenes NSS no son compatibles con el caché alterno (proxy). Es muy recomendable utilizar volúmenes tradicionales de NetWare.

  • En los clústeres, el contenido de los cachés alternos (proxies) no está disponible para otros nodos como respaldo en caso de fallo.

5.8 Filtro

  • Los pings realizados y recibidos por el mismo sistema se filtran, pero no se registran.

  • La configuración de filtros sencilla sólo muestra la interfaz pública configurada en el servidor. Esta lista de interfaces no se actualizará inmediatamente al cambiar el estado de la interfaz de público o privado (en filtcfg de NetWare, seleccione la configuración de opciones de interfaz y la opción de etiqueta para alternar entre público y privado). El estado se actualiza cada 30 segundos. Para ver los cambios de inmediato, reinicie el sistema (en inetcfg de NetWare, seleccione la opción para reiniciar el sistema).

  • El filtro de filtrado dinámico permite hacer ping desde un único lado del cortafuegos al mismo tiempo. No permite pings simultáneos entre dos hosts en lados diferentes del cortafuegos. Para que el comando ping funcione simultáneamente, cree un filtro ICMP estático e inhabilite los filtros inmediatamente después de utilizarlos. Esto se debe a motivos de seguridad.

5.9 Cortafuegos

  • El nombre completo de eDirectory del servidor de Novell BorderManager debe estar limitado a 64 caracteres. Por ejemplo, cn=fw-server.o=novell.

  • Es posible que los cortafuegos con el registro habilitado no funcionen correctamente después de sufrir una carga intensa durante mucho tiempo.

6.0 Documentación

Las siguientes fuentes proporcionan información acerca de Novell BorderManager 3.9:

  • Guía de instalación de Novell BorderManager 3.9

  • Guía de administración de Novell BorderManager 3.9

  • Guía de instalación de los clientes de VPN de Novell BorderManager 3.9

  • Guía de solución de problemas de Novell BorderManager 3.9

  • Ayuda en línea

7.0 Convenciones de la documentación

En la presente documentación, para marcar una división entre las acciones dentro de un paso y entre los elementos de una vía para una referencia cruzada, se utiliza el símbolo mayor que (>).

Un símbolo de marca comercial (®, TM, etc.) indica una marca comercial de Novell; un asterisco (*) indica una marca comercial de otros fabricantes

8.0 Actualizaciones de documentos

Para acceder a la documentación y al archivo README (LÉAME) más recientes de Novell BorderManager 3.9, consulte el sitio Web de documentación de Novell.

9.0 Información legal

Novell, Inc. no otorga ninguna garantía respecto al contenido y el uso de esta documentación y, específicamente, renuncia a cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Asimismo, Novell, Inc. se reserva el derecho de revisar esta publicación y realizar cambios en su contenido en cualquier momento, sin obligación de notificar tales cambios a ninguna persona o entidad.

Además, Novell, Inc. no ofrece ninguna garantía con respecto a ningún software y rechaza específicamente cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Por otra parte, Novell, Inc. se reserva el derecho de realizar cambios en cualquiera de las partes o en la totalidad del software de Novell en cualquier momento, sin obligación de notificar tales cambios a ninguna persona ni entidad.

Los productos o la información técnica que se proporcionan bajo este Acuerdo pueden están sujetos a los controles de exportación de Estados Unidos o a la legislación sobre comercio de otros países. Usted se compromete a cumplir todas las regulaciones de control de las exportaciones, así como a obtener las licencias o clasificaciones oportunas para exportar, reexportar o importar mercancías. También se compromete a no exportar ni reexportar el producto a entidades que figuren en las listas de exclusión de exportación de Estados Unidos, ni a países embargados o sospechosos de albergar terroristas, tal y como se especifica en las leyes de exportación de Estados Unidos. Asimismo, se compromete a no usar el producto para fines prohibidos, como la creación de misiles o armas nucleares, químicas o biológicas. Consulte la página Web de International Trade Services de Novell para obtener más información sobre la exportación del software de Novell. Novell no se responsabiliza de la posibilidad de que usted no pueda obtener los permisos de exportación necesarios.

Copyright © 1997-2007 Novell, Inc. Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida, fotocopiada, almacenada en un sistema de recuperación o transmitida sin la expresa autorización por escrito del editor.

Novell, Inc. posee derechos de propiedad intelectual relacionados con las tecnologías incorporadas al producto descrito en este documento. En concreto, y sin limitación, estos derechos de propiedad intelectual pueden incluir una o más de las patentes de EE.UU. que aparecen en la página Web de Novell sobre patentes legales, y una o más patentes adicionales o solicitudes de patentes pendientes en EE.UU. y en otros países.

Para ver la lista de las marcas comerciales de Novell, consulte http://www.novell.com/company/legal/trademarks/tmlist.html.

Todas las marcas comerciales de otros fabricantes son propiedad de sus propietarios respectivos.