Readme do Novell BorderManager 3.9

5 de abril de 2007

5.7 Proxy
5.8 Filtro

1.0 Introdução

O Novell® BorderManager® é um firewall importante com tecnologia VPN que habilita soluções de gerenciamento de identidade segura. Com seus poderosos recursos integrados ao diretório, você pode controlar, agilizar e monitorar as atividades de seus usuários na Internet. Como o Novell BorderManager tira proveito de proxies de encaminhamento e controle de acesso baseado em identidade, você pode proteger sua rede contra conteúdo indesejado da Internet, mantendo níveis de desempenho excepcionais.

O Novell BorderManager também integra serviços de VPN baseados em IPSec e um firewall certificado pelos Laboratórios ICSA para garantir que a rede está protegida e os usuários são produtivos.

Este documento fornece uma breve visão geral dos novos componentes e recursos do Novell BorderManager 3.9. Ele também relaciona os problemas conhecidos e as limitações deste lançamento.

2.0 Novidades

A seguir há uma lista dos novos recursos do lançamento do Novell BorderManager 3.9:

2.1 Nova Interface de Administração para o Proxy

Com o lançamento do Novell BorderManager 3.9, a configuração de Proxy pode ser feita por meio do iManager.

2.2 Configuração do Proxy no FTP no modo Ativo

Com esse lançamento, o Novell BorderManager acrescentou o recurso ao proxy do FTP para se conectar no modo ativo ao servidor FTP de origem.

2.3 Configuração de Servidor terminal e de Failover de sessão através do iManager

A configuração de servidor terminal e de failover de sessão não é mais executada no arquivo proxy.cfg. Agora, é possível configurá-los usando o iManager.

2.4 Funcionalidade de Backup e de Restauração para Configuração de Regras de Acesso e Proxy

Com esse lançamento, agora pode ser feito o backup do arquivo de configuração de Regras de Acesso e do proxy. É possível restaurar esse arquivo de configuração, se você desejar restaurar o backup da configuração. Para fazer backup da configuração do proxy ou das Regras de Acesso, clique em Fazer backup nas páginas Serviços de Proxy e Regras de Acesso respectivamente. Para restaurar o backup da configuração, clique em Restaurar na página de seleção de proxy do BorderManager e depois pesquise e selecione o backup do arquivo.

2.5 Registros de Acertos de Regras acessíveis através do Novell Audit

Ao configurar as regras de controle de acesso, você pode habilitar a opção Registro de Acertos de Regras. Quando selecionada, essa opção registra as tentativas de acesso associadas à regra. Esses registros podem ser acessados através do servidor de registro seguro do Novell Audit.

2.6 Nova Aparência para Interface de Administração VPN

A Interface de administração do Novell BorderManager 3.9 VPN tem uma nova aparência.

2.7 Suporte para chave Pré-compartilhada para Site a Site VPN entre Servidores Novell BorderManager

O Novell BorderManager 3.9 suporta a chave pré-compartilhada como um modo de estabelecer os túneis VPN entre dois membros site a site.

2.8 Cliente VPN para Linux

Com esta versão, o Novell BorderManager oferece um cliente VPN em uma plataforma Linux*. O cliente VPN é executado no SLED (SUSE Linux Enterprise Desktop) 10 com o método NMAS NDS de autenticação.

3.0 Requisitos do Sistema

  • NetWare 6.5 SP 6.

4.0 Componentes e Recursos

Este lançamento fornece os seguintes componentes e recursos:

4.1 Instalar

A instalação para este lançamento inclui o seguinte:

  • A extensão do esquema VPN é feita usando NWCONFIG.

  • Instalação automática do Proxy, Lista de controle de acesso, Firewall e plug-ins de configuração VPN para o iManager 2.6 no NetWare® 6.5 SP 6.

  • Foi incluído um recurso para a criação de volumes tradicionais para uso de cache no NetWare 6.5.

  • Suporte para Proxy, Lista de controle de acesso, Firewall e migração VPN estão incluídos para habilitar a atualização do Novell BorderManager 3.8.

  • Opção para recuperar uma falha de instalação.

  • Filtros do pacote VPN foram adicionados para atualizações.

  • Um Resumo da instalação, descrevendo suas etapas principais está disponível no seguinte arquivo: sys:ni\data\NBM_Instlog.csv

4.2 Configuração Usando o iManager

Você pode configurar os seguintes serviços usando o iManager:

  • Proxy

  • Lista de Controle de Acesso

  • Serviços de firewall

  • Servidor VPN

  • Serviço Cliente a Site

  • Serviço Site a Site

O iManager 2.6 é suportado nesta versão. Os servidores podem ser configurados de qualquer estação de trabalho com o Internet Explorer 5.5, 6.0 ou posterior. Isso facilita bastante o uso e a definição de regras de tráfego e de autenticação.

O seguinte recurso foi implementado para este lançamento:

4.3 Melhorias no proxy

Várias mudanças foram feitas no proxy do Novell BorderManager.

  • Tolerância a Falhas de Sessão

  • Configuração proxy do FTP no modo ativo

4.4 Serviço Cliente a Site

O serviço cliente para site suporta políticas granulares para acesso a recursos particulares. Os recursos suportados são:

  • ike e PSK para gerenciamento de chaves.

  • O método LDAP NMAS é usado para o Novell BorderManager 3.98 para autenticar o usuário ao diretório remoto autorizado (LDAP).

  • Modo Certificado x.509 de autenticação.

  • O VPN do Novell BorderManager 3.9 suporta NMAS (Novell Modular Authentication Services) para serviço cliente a site. Além do modo certificado de autenticação com ike, o cliente VPN e o servidor podem fazer autenticações usando métodos NMAS. O NDS® (eDirectory Sequence) habilita o usuário a autenticar para o gateway de autenticação VPN com a senha do eDirectory. O Novell BorderManager 3.9 requer o NMAS 3.1.2 para ser instalado no servidor, e o NMAS 2.2.4 ou superior para o cliente. Os métodos NMAS necessários devem ser instalados e configurados no cliente e no servidor.

  • Você pode executar a autenticação VPN usando uma chave pré-compartilhada configurada no servidor VPN. Nesse modo, a regra de criptografia padrão é distribuída ao cliente.

  • O modo agressivo é suportado para a negociação ike SA/Phase 1.

  • As mudanças nas regras de tráfego incluem o seguinte:

    • Tráfego UDP: O número da porta UDP não é mais necessário. O usuário precisa especificar apenas o número da porta TCP.

    • Conectividade de terceiros: Tipos diferentes de clientes agora podem se conectar ao servidor VPN no modo PSS e no modo certificado. Os clientes podem estar em sistemas operacionais, como Macintosh*, Linux ou em estações de trabalho SSH.

    • Configuração DNS/SLP: Essa configuração fornece a lista de endereços dos servidores DNS e agentes de diretório aplicados no cliente durante uma sessão VPN. A lista de agentes de diretório (SLP) será aplicável se a autenticação Novell ocorrer durante uma sessão de VPN. Quando uma conexão é encerrada, o cliente retorna às suas informações originais de DNS.

  • O usuário pode selecionar a Autenticação de Certificado, a Autenticação NMAS ou ambas. Se a Autenticação de Certificado for selecionada, você deverá configurar uma ou mais raízes confiáveis. Para uma autenticação NMAS, configure o nível de permissão (grau de autenticação mínimo permitido).

  • O recurso de Atribuição de Endereço IP está disponível na guia Geral na configuração cliente para site para ajudá-lo a manter a conexão exclusiva no servidor para clientes diferentes. Ele também resolve os problemas de conflitos de endereços IP de clientes por trás do NAT. Quando a atribuição de endereço IP for concluída, os roteadores intermediários na rede interna deverão apontar para o servidor VPN.

  • Em vez de um nome de emissor certificado, um nome de emissor alternativo pode ser usado por usuários ou membros VPN.

4.5 Serviço Site para Site

O servidor VPN suporta serviços site a site entre dois servidores VPN do Novell BorderManager 3.9 e entre um servidor Novell BorderManager 3.8 e outro Novell BorderManager 3.9. Esse serviço suporta políticas granulares. No iManager, o servidor Novell BorderManager 3.9 pode ser configurado como master ou escravo. Os recursos site a site suportados são:

  • ike e PSK para gerenciamento de chaves.

  • modo certificado X.509 de autenticação.

  • Suporte de topologia em malha e em estrela

  • servidor VPN atrás do NAT

  • suporte de conectividade a terceiros habilita tipos diferentes de servidores a se conectarem ao servidor no modo PSS.

4.6 Monitoração baseada na Web

O mecanismo de monitoração de VPN e Proxy baseado na Web fornece uma visão das atividades da VPN e do servidor proxy. Esse componente está disponível por meio da estrutura de Gerenciamento Remoto do NetWare. A tela é apenas leitura, mas permite redefinir as conexões. Ela fornece dados por sessão e por servidor. Também fornece o status do serviço site para site. O componente de monitoração está disponível nos níveis de administrador, usuário e desenvolvedor.

VPN

Para iniciar o utilitário de monitoração, vá para https://<ipaddress>:8009. No painel esquerdo, selecione Monitoração NBM > Monitoração VPN.

Um recurso importante da monitoração VPN é o botão Sincronizar. Para serviços site a site, a sincronização pode ser feita de duas formas:

  • Sincronizar servidores selecionados: Clique na caixa de seleção e marque certos servidores, depois clique no botão Sincronizar Servidores Selecionados.

  • Sincronizar todos os servidores: Clique no botão Sincronizar Todos os Servidores para sincronizar todos os membros ao mesmo tempo.

Proxy

Para iniciar o utilitário de monitoração, vá para https://<ipaddress>:8009. No painel esquerdo, selecioneMonitoração NBM > Monitoração Proxy.

Você pode obter as estatísticas do site e de cache para todos os serviços de proxy. Você pode obter as estatísticas do servidor atualizado em intervalos fixos.

4.7 Migração

VPN

O componente VPN também pode funcionar como um utilitário independente.

A instalação do VPN lê as configurações a partir de seus respectivos locais (arquivos de configuração ou do Novell eDirectory) e os converte em uma configuração compatível com o Novell BorderManager 3.9.

Interrompa todos os serviços VPN antes de instalar o produto, se o servidor em que estiver fazendo a instalação for um servidor master.

Como uma funcionalidade relacionada em interfaces públicas em que a filtragem de pacotes está habilitada, a instalação adiciona automaticamente filtros para os serviços de VPN do Novell BorderManager 3.8 durante um upgrade.

4.8 Certificação ICSA Labs

A VPN e o Firewall são certificados pelo ICSA Labs Firewall.

Estes componentes incluem o seguinte:

  • Brdcfg.nlm agora pode ser usado para adicionar exceções para serviços VPN em execução no servidor Novell BorderManager 3.9. Essas exceções permitirão o tráfego de VPN através do firewall.

  • A configuração de filtros de encaminhamento de pacotes por meio do iManager foi simplificada.

5.0 Limitações e Questões Conhecidas

Esta seção contém as limitações e as questões conhecidas do Novell BorderManager 3.9.

5.1 Instalar

  • Durante a atualização do servidor para o NetWare 6.5, vptunnel.lan é apagado do servidor.

  • Uma desinstalação remove somente os arquivos do Novell BorderManager 3.8 e não a configuração.

  • O arquivo filtsrv.nlm é menos eficiente, se você usar o DVD ou CDs sobrepostos do NetWare 6.5 SP6 para atualizar o servidor que já possui o Novell BorderManager 3.8 instalado. Para resolver isso, copie o arquivo filtsrv.nlm manualmente para o diretório sys:\system. O arquivo correto é o filtsrv.nlm versão 1.61.13 com data de 24 de novembro, quinta-feira, de 2005.

  • Pode haver falha na autenticação durante a instalação do Novell BorderManager 3.8, se a senha contiver caracteres especiais, como % e #.

  • O plug-in do iManager não estará disponível depois da atualização do iManager de 2.5 para 2.6 durante a atualização do SO do NetWare, se o Novell BorderManager 3.8.x já estiver instalado. Copie bm.npm e vpn.npm localizados na pasta sys:\public\brdmgr\snapins\ para o módulo de plug-ins do iManager e instale-os. Reinicie o serviço iManager.

5.2 Serviço Cliente a Site

  • Clientes podem ficar desconectados devido a um curto período de tempo de espera de inatividade. Mude o tempo de espera de inatividade padrão para um valor maior, caso os usuários permaneçam no modo ocioso por um período demorado.

  • Em uma sessão VPN, se o sisstema falhar e ficar inativo, talvez o endereço IP seja perdido. Desconecte a VPN e desabilite o adaptador. Habilite-o novamente para obter o endereço IP.

5.3 Serviço Site a Site

  • Se o vptunnel não estiver carregado no escravo depois que a configuração inicial for concluída, execute o comando de reinicialização do sistema no escravo.

  • A topologia de anel não é suportada para este lançamento.

5.4 Migração Proxy

  • Ao migrar do Novell BorderManager 3.8 SP 5 para o Novell BorderManager 3.9, o bitmask na configuração de alertas não será migrado.

5.5 Migração VPN

Após migrar do Novell BorderManager 3.8 SP 5 para o Novell BorderManager 3.9, os membros Site a Site falham ao tentar formar túneis. Para corrigir esse problema:

  1. Siga um dos seguintes procedimentos:

    1. Se o 3.8 Master for migrado para o 3.9 Master, Selecione Configuração Site a Site > Lista de membros e depois mude a versão membro para 3.9 do Master.

    2. Se os escravos não forem migrados para 3.9, selecione Configuração Site a Site > Lista de membros e depois mude a versão Membro para 3.8.

    3. Se os escravos 3.8 migrarem para 3.9, selecione Configuração Site a Site > Lista de membros e mude a versão Membro para 3.9.

  2. Reinicie todos os servidores.

5.6 Monitoração VPN

  • Não é possível monitorar um servidor escravo na lista de participação atrás do NAT. Para monitorar esse tipo de escravo, você deve estabelecer uma conexão do Gerenciador Remoto do NetWare diretamente com o escravo.

5.7 Proxy

  • A autenticação do servidor terminal não funciona para autenticações baseadas em applets nem no single sign-on Proxy do Novell BorderManager que utiliza o clntrust.exe.

  • A autenticação MAC OS SSL no Proxy não suporta a autenticação do applet Java.

  • AuthAgents master e escravo executados na mesma máquina usam o mesmo arquivo de registro.

  • Volumes NSS não são suportados para o cache do proxy. Volumes tradicionais de NetWare são bastante recomendados.

  • Em clusters, o conteúdo de um cache de proxy não está disponível para outros nós para failover.

5.8 Filtro

  • Auto-pings são filtrados porém não são conectados.

  • A configuração de filtro fácil lista apenas a interface pública configurada no servidor. Essa lista de interfaces não é atualizada imediatamente depois que o status da interface é mudado de público para privado ( NetWare filtcfg > Configurar Opções de Interface > Guia para alternar entre público e privado). Isso é atualizado a cada 30 segundos. Para ver as mudanças imediatamente, reinicialize o sistema (de NetWare inetcfg > Reinicializar Sistema).

  • O filtro ping determinado permite ping de um lado do firewall de cada vez. Ele não permite pings simultâneos entre um par de hosts no firewall. Para que o ping funcione simultaneamente, crie um filtro ICMP static e desabilite os filtros imediatamente depois de usá-los. Isso é feito por motivos de segurança.

5.9 Firewall

  • O nome completo diferenciado do eDirectory do servidor Novell BorderManager deve possuir, no máximo, 64 caracteres. Por exemplo, cn=fw-servidor.o=novell.

  • Um firewall com registro habilitado talvez não funcione corretamente depois de ter sido utilizado durante um longo tempo.

6.0 Documentação

As fontes a seguir fornecem informações sobre o Novell BorderManager 3.9:

  • Novell BorderManager 3.9 Installation Guide (Guia de Instalação do Novell BorderManager 3.9)

  • Novell BorderManager 3.9 Administration Guide (Guia de Administração do Novell BorderManager 3.9)

  • Novell BorderManager 3.9 VPN Client Installation Guide (Guia de Instalação do Novell BorderManager 3.9 VPN Client)

  • Novell BorderManager 3.9 Troubleshooting Guide (Guia de Solução de Problemas do Novell BorderManager 3.9)

  • Ajuda Online

7.0 Convenções de Documentação

Nesta documentação, o símbolo maior que (>) é utilizado para separar ações dentro de uma etapa e itens em um caminho de referência cruzada.

Um símbolo de marca registrada (® , TM, etc.) indica uma marca registrada da Novell; um asterisco (*) indica uma marca registrada de terceiros

8.0 Atualizações de Documento

Para obter a documentação e o Readme mais recentes do Novell BorderManager 3.9, consulte o site de documentação da Novell.

9.0 Avisos Legais

A Novell, Inc. não faz representações ou garantias com relação ao conteúdo ou uso desta documentação, e, particularmente, não se responsabiliza por quaisquer garantias expressas ou implícitas de comerciabilidade ou adequação a qualquer finalidade específica. Além disso, a Novell, Inc. reserva-se o direito de revisar esta publicação e fazer alterações em seu conteúdo, a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade de tais revisões ou alterações.

A Novell, Inc. não faz ainda representações ou garantias com relação a qualquer software e, particularmente, não se responsabiliza por quaisquer garantias expressas ou implícitas de comerciabilidade ou adequação a qualquer finalidade específica. Além disso, a Novell, Inc. reserva o direito de fazer alterações em qualquer uma ou todas as partes do software da Novell, a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade de tais alterações.

Quaisquer informações técnicas ou sobre produtos fornecidas de acordo com este Contrato estão sujeitas aos controles de exportação dos EUA e às leis comerciais de outros países. Você concorda em obedecer a todos os regulamentos de controle de exportação e em adquirir quaisquer licenças ou classificações necessárias para exportar, reexportar ou importar produtos. Você concorda em não exportar nem reexportar para entidades que constam nas listas de exclusão de exportação atual dos EUA ou para qualquer país embargado ou terrorista conforme especificado nas leis de exportação dos EUA. Você concorda em não usar produtos para fins proibidos relacionados a armas nucleares, biológicas e químicas ou mísseis. Consulte a página da Web Novell International Trade Services para obter mais informações sobre a exportação de software da Novell. A Novell não se responsabiliza pela falha na aquisição de quaisquer aprovações necessárias para exportação.

Copyright ©1997-2007 Novell, Inc. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, fotocopiada, armazenada em um sistema de recuperação ou transmitida sem o consentimento expresso por escrito do editor.

A Novell, Inc. tem direitos de propriedade intelectual relacionados à tecnologia incorporada no produto descrito neste documento. Especificamente e sem limitações, esses direitos de propriedade intelectual podem incluir uma ou mais das patentes dos E.U.A. listadas na página de patentes legais da Novell na Web e uma ou mais patentes adicionais ou aplicativos de patentes pendentes nos E.U.A. e em outros países.

Para obter uma lista das marcas registradas da Novel, consulte o endereço http://www.novell.com/company/legal/trademarks/tmlist.html

Todas as marcas registradas de terceiros pertencem aos seus respectivos proprietários.