[an error occurred while processing this directive] [an error occurred while processing this directive]  
NOVELL CONNECTION KEZDőLAP  
Novell conNection
A hálózati szakértők magazinja
 
 

Védelem kívül és belül egyaránt

Novell BorderManager 3.7

Minden hálózati rendszergazda tisztában van vele, hogy a hálózat biztosításának első lépése a hozzáférés korlátozása. Sokan kínos lecke árán tanulják meg, mennyire fontos feladat is ez: az Information Security Magazine éves felmérésében ( http://www.infosecuritymag.com/articles/october01/images/survey.pdf) résztvevő több mint 2500 biztonsági vezető, konzultáns, mérnök és rendszergazda több mint fele jelezte, hogy az elmúlt évben belső felhasználóik jogtalan vagy jogosulatlan célokra használták a hálózat erőforrásait. 63 százalékuk jelzett például pornográfiát vagy e-mailben történő zaklatást, 60 százalékuk pedig szerencsejátékokat, nem kívánt leveleket, saját e-kereskedelmi webhely üzemeltetését vagy éppen online befektetéseket. Aligha meglepő, hogy a válaszolók majdnem 90 százaléka élt meg a hálózaton kívülről jövő támadásokat. Nem kérdés tehát, a hálózati szakemberek tisztában vannak a hálózati biztonság legfontosabb elemével: szabályozni kell a hálózati erőforrások elérését a cég tűzfalán kívül és belül egyaránt.

5,2 millió felhasználó éli meg nap mint nap, hogy a Novell BorderManager képes a fenti cél megvalósítására. A Novell BorderManager a piac egyik legjobb tűzfal- és virtuális magánhálózati (VPN-) terméke. Egészen pontosan, az IDC egy friss kiadványa 20 hasonló termék közül az ötödik helyezettnek hozta ki a BorderManagert, amelynek legfrissebb, NetWare 6-on és 5.1-en egyaránt futó 3.7-es verziója pár napja jelent meg önálló termékként, illetve a Novell Secure Access integrált biztonsági megoldáscsomag részeként.

Címtár a lelke mindennek

A hálózati hozzáférés rendkívül hatékony módja a címtárak használata - egészen egyszerűen azért, mert rugalmasabb hozzáférés-vezérlést tesz lehetővé, mint a hardveres eszközök, no meg azért, mert nem erőforrásonként kell mindent felügyelni, hanem egy helyen, a címtárban. A kiemelkedő teljesítményű Novell eDirectory pedig gyakorlatilag korlátlan számú felhasználóra képes mindezen funkcionalitást kiterjeszteni, ráadásul mivel többplatformos, használatával szabályozható a NetWare, Linux, Solaris és Windows szerverek elérése egyaránt.

Aligha meglepő, hogy az eDirectory biztosítja az alapot a Novell Secure Accessben található összes termékhez, így a BorderManagerhez is, amelynek legfrissebb verziója az alábbi szolgáltatásokat kínálja:

  • Proxy-szolgáltatások az internetes tartalom hozzáférésének szabályozására és felgyorsítására.
  • VPN szolgáltatások: külső telephelyek vagy egyéni felhasználók biztonságos összekötésére a céges tűzfalon belüli erőforrásokkal.
  • Tűzfalszolgáltatások a céges hálózat védelmére a külső és belső támadá-soktól.

Egyszerűbb telepítés

Néhány fontos aprósággal bővült a Novell BorderManager 3.7 telepítőprogramja. Például a BorderManager-komponensek telepítése előtt felismeri, hogy az INETCFG segédprogram be volt-e már valaha töltve a szerveren (a BorderManager mindenképpen az INETCFG-t használja a belső hálózati konfigurációra). Ha nem, akkor a telepítőprogram felszólít a kilépésre és az INETCFG elindítására. A szerverkonzolon ki kell adni a LOAD INETCFG parancsot (igazából a LOAD-ra nincs is szükség), az INETCFG pedig elkészíti saját indítófájljait. A megjelenő kérdésre, hogy importálja-e a beállításokat a szerver AUTOEXEC.NCF fájljából, válaszoljunk igennel.

Amint azt Scott Jones termékmenedzser elmondta, a BorderManager telepítőprogramjának korábbi változata nem követelte meg az INETCFG betöltését, így aztán előfordult, hogy el is felejtették néhányan. Az eredmény: változatos gondok a BorderManager-szolgáltatások konfigurációja során. Nem lehetett konfigurálni a Novell BorderManager VPN szolgáltatásokat, és borzalmas nehézségekbe ütközött a hálózati címfordítás (NAT), a statikus útválasztás, a modemek és hálózati kártyák beállítása.

A telepítőprogram ellenőrzi a szerver SYS:\ETC könyvtárában lévő GATEWAYS fájlt is, és kikeresi belőle az alapértelmezett átjáró IP címét. Ha nem találja - ez előfordulhat, mert a NetWare 6 és 5.1 telepítőprogramjai nem követelik meg az alapértelmezett átjáró megadását -, akkor bekéri, hiszen a BorderManager összes szolgáltatása használja az alapértelmezett átjárót, amely az internet-hozzáférést biztosítja. Ha a telepítőprogram nem kérné be ezt az adatot, akkor az INETCFG segédprogram Protocols | TCP/IP pontjában lehet beállítani: az Enable LAN Static Routing pont kiválasztása után meg kell nyomni az Insert gombot, kiválasztani a Default Route pontot és megadni az alapértelmezett átjáró IP címét. Hát nem egyszerűbb telepítés közben?

Számos olyan konfigurációs feladatot is elvégez a BorderManager 3.7 telepítőprogramja, amelyet a korábbi verziókban kézzel kellett. Kiválaszthatók és bekapcsolhatók például az egyes proxyszolgáltatások - a telepítőprogram automatikusan gondoskodik arról, hogy létrehozza a szükséges csomagszűrési kivételeket a szolgáltatások által használt portok megnyitásához. (Feltéve, hogy kiválasztottuk a nyilvános interfész „biztosítását" - amikor is alapértelmezés szerint a telepítőprogram letilt minden forgalmat ezen az interfészen.)

A BorderManager korábbi változataiban a NetWare Administrator segédprogramból kellett kézzel engedélyezni minden egyes proxy-szolgáltatást, majd kézzel, a FILTCFG segédprogrammal konfigurálni a szolgáltatások által használt portok kivételeit (a NetWare 6 alkalmazások és szolgáltatások által használt portok listája a http://support.novell.com/cgi-bin/search/searchtid.cgi?/10065719.htm címről tölthető le).

Viszontlátásra FILTCFG!

A jó hír, hogy a FILTCFG segédprogramot egyáltalán nem kell használni,

ha nem akarjuk. A BorderManager 3.7 része a böngésző alapú, a webböngésző alapú Novell iManagerhez illeszkedő csomagszűrő-konfigurációs segédprogram. A csomagszűrő-konfigurációs segédprogram grafikus, egyszerű nyelvű felületet kínál a BorderManager 3.7 tűzfalszolgáltatásainak konfigurálásához (ld. 1. ábra). A szöveges felületű Novell BorderManager FILTCFG segédprogram az Internet Engineering Task Force (IETF) a csomagtípusokat leíró RFC-dokumentumainak meglehetősen misztikus szövegezését használta. Jones elismerte, hogy különösen kezdők számára a FILTCFG annyira bonyolultnak tűnhetett, mint a fekete mágia. No persze, gyakorlott fekete mágusok természetesen továbbra is használhatják a FILTCFG-t.

Tegyük fel, hogy kiépült végre házon belül az új Novell GroupWise e-mail rendszer, és most lehetővé kéne tenni a felhasználók számára, hogy a GroupWise WebAccesszel elérjék leveleiket a tűzfalon kívülről is. Tegyük fel továbbá, hogy a BorderManager 3.7 NetWare 6-on fut. A iManager BorderManager 3.7 modulja webböngészőből indítható. Az iManager a Microsoft Internet Explorer 5.5, illetve Netscape 6.1, 4.7 és 4.6 verzióit kezeli, bár ez utóbbi kettő esetében csak egy ún. „Egyszerű" módot biztosít. A böngészőben az alábbi URL-t kell megadni, a böngésző típusától függően:

https://yourserverIPaddress:2200/eMFrame/iManage.html (Normál mód)

https://yourserverIPaddress:2200/eMFrame/Simple.html (Egyszerű mód)

Megjegyzés: Bár a Novell iManagerrel kívülről is elérhető a BorderManager 3.7 tűzfal, ez komoly biztonsági veszélyt jelenthet. A Novell azt ajánlja, hogy csak a céges hálózaton belül engedélyezzük a hozzáférést.


1. ábra: A Novell BorderManager 3.7 része egy böngészős, grafikus csomagszűrőkonfigurációs segédprogram, amellyel sokkal egyszerűbb a tűzfalszolgáltatások konfigurációja Netware 6-on.

A jelen cikk írásakor a BorderManager 3.7 csomagszűrő-konfigurációs segédprogramjának felhasználói felülete még tesztelés alatt állt, ezért a GroupWise WebAccess hozzáférés pontos konfigurációja még nem volt tisztázott. Mindenesetre semmivel sem lehet nehezebb, mint az alábbi lépések:

  • Az iManager menüből válasszuk ki a Filter Configuration pontot (az NBM Access Management csoportban, ld. 1. ábra).
  • Keressük ki a szervert, amelyhez a hozzáférést be kívánjuk állítani.
  • Válasszuk ki az Add (Felvesz) pontot a szerveren konfigurált szűrőket összefoglaló tábla mellett.

A csomagszűrő-konfigurációs segédprogram végigvezet az új szolgáltatás konfigurálásának folyamatán. Bekéri például az engedélyezni kívánt szolgáltatások típusát, amely a GroupWise WebAccess esetében kettőt jelent: webes szolgáltatásokat, illetve biztonságos webes szolgáltatásokat. A csomagszűrő-konfigurációs segédprogram ezek után beállítja a szükséges

csomagszűréseket, hogy a szolgáltatások áthaladhassanak a BorderManager 3.7 tűzfalon. Más szavakkal, e segédprogram használata esetén nem kell megtanulni külön terminológiát csak azért, hogy a csomagtípusokat konfi-guráljuk.

Ön- és közmérséklet

Jones szerint a Novell BorderManagert vásárló cégek nagy része a HTTP proxyszolgáltatás miatt veszi, amely „forward proxy"-módban lehetővé teszi az internetes tartalomhoz való hozzáférés szabályozását a négy fő kérdés - ki, mit, hol, mikor? - alapján. A hozzáférési szabályok az NWADMIN BorderManager moduljában konfigurálhatók, majd rendelhetők felhasználókhoz, funkcionális szerepekhez vagy csoportokhoz. A Novell BorderManager 3.7-ben a hozzáférési szabályok még mindig az NWADMIN-nal konfigurálhatók, de még idén megjelenik egy (ingyenes) webes felügyeleti eszköz, amely a Novell iManager részeként alkalmas lesz a Novell BorderManager 3.7 szabályainak konfigurálására.

A Novell BorderManager 3.7 hozzáférési szabályaival az alábbiak adhatók meg (ld. 2. ábra):

  • Azok a kliensgépek, amelyekről a felhasználók elérhetik az internetet.
  • A protokollok, amelyeken keresztül a felhasználók elérhetik az internetet.
  • Meghatározott URL-ek, amelyeket a felhasználók elérhetnek.
  • Azon napszakok vagy időtartamok, amikor e szabályok érvényesek.

Tegyük fel, hogy készíteni akar egy hozzáférési szabályt a cég elnöke számára, amely azt mondja ki, hogy bár-mely munkaállomásról bármilyen tartalmat elérhet, bármikor. (No persze, ő a főnök.)

Nem biztos, hogy ugyanezt minden felhasználó számára ugyanígy biztosítani akarjuk. Aligha előnyös, ha a dolgozók egész nap a webet böngészik hasznos munka helyett. Ráadásul a tartalom, amit ezek a felhasználók letöltenek (pl. letöltött zene vagy filmek) komoly mértékben leronthatja a hálózati sávszélességet.


2. ábra: A Novell BorderManager 3.7 moduljával a NetWare Administratorban állíthatók be a hozzáférési szabályok - például egyes webhelyek személyre szóló tiltása. Szintén itt engedélyezhető és tiltható a SurfControl tartalomkategóriáihoz való hozzáférés.

Mindezen potenciális problémák elkerülése érdekében beállíthatók olyan hozzáférési szabályok, amelyek csak a munkával kapcsolatos webhelyek elérését engedélyezik. Az internet-hozzáférés túlságosan drasztikus korlátozása azonban rossz hatással lehet a dolgozók moráljára. Egy friss tanulmányban a dolgozók 72 százaléka, aki a céges internet-kapcsolatot személyes dolgokra is használja, azt állította, hogy ettől kevésbé stresszesek és hatékonyabban tudnak dolgozni. Bár ez a hatékonyság aligha számszerűsíthető, az biztos, hogy az internet-hozzáférés pozitív hatással van a dolgozókra.

A felhasználók kielégítése érdekében tehát kétféle szabályt alakíthatunk ki: az egyik korlátozza az internet-hozzáférést munkaidőben, de a másik korlátlan hozzáférést enged ebédidőben és munka után. Nyilván ez sem tökéletes megoldás, de így elkerülhetők a korlátlan internet-hozzáférésből származó problémák és legalább munkaidőben garantálja a szükséges sávszélességet.

Ez a módszer nem old meg egy másik, talán még komolyabb problémát: ha a felhasználók által elért tartalom törvényellenes, akkor az a cégre is rossz fényt vethet. A Novell BorderManager 3.7 lehetővé teszi olyan szabályok létrehozását, amelyek tiltják a hozzáférést egyes URL-ekhez, de a sokmilliónyi webhely közül úgysem lehet kiszűrni az összes veszélyeset és kézzel szabályokat készíteni hozzá.

A jó hír az, hogy erre nincs is szükség. A Novell BorderManager 3.7 része a SurfControl tartalomszűrő szoftvere, amely az IDC jelentése szerint e piac vezető terméke. Ezzel a programmal hét kategória - bűnözés; drog, alkohol és cigaretta; szerencsejáték; hackelés; gyűlöletkeltés; erőszak; fegyverek - több mint 60 ezer webhelyéhez korlátozható a hozzáférés. A Novell BorderManager 3.7 telepítőprogram a SurfControl szoftvert automatikusan bemásolja a szerver SYS:\SURFCTRL könyvtárába, ahonnan szabadon telepíthető. A SurfControl kategóriái és tartalom-adatbázisa bekerülnek az eDirectoryba, és a BorderManager 3.7 modullal állítható be, hogy a termék engedélyezze-e a hozzáférést e kategóriák bármelyikében (ld. 2. ábra). Egy biztonsági ügynökségnél például előfordulhat, hogy egyes kategóriákat - mondjuk a fegyvereket - engedélyezni kívánjuk; egy pénzügyi intézménynél alighanem mind a hetet le akarjuk tiltani.

A Novell BorderManager 3.7 dobozban található SurfControl tartalom-adatbázis soha nem jár le. No persze, a hét kategóriában naponta jelennek meg újabb és újabb webhelyek, és esetleg más kategóriákra is szükség lehet. Szükség lehet továbbá valamiféle jelentéskészítő eszköz használatára - ilyen a SurfControl saját jelentéskészítője, vagy a NetIQ WebTrends Firewall csomagja.

Megjegyzés: A SurfControl jelentéskészítő része a SuperScout Web Filter és a CyberPatrol Web Filter csomagoknak (ezek a SurfControl üzleti ill. oktatási vásárlóinak szánt tartalomszűrő csomagjai). A NetIQ e-business infrastruktúraszoftvert kínál, például felügyeleti és jelentéskészítő eszközt.

Tegyük fel továbbá, hogy a jelentéskészítő eszköz kimutatta, hogy az egyik felhasználó nagyobb mennyiségű pucér nőt nézeget munkaidőben, szemben a céges rendelkezéssel, amely ezt határozottan megtiltja. A felhasználó - és más felhasználók - e tartalomtól a Felnőtt/ Szexuális jellegű SurfControl kategóriával tanácsolhatók el (amely nem része a BorderManager 3.7. mellé kapott hét kategóriának).

BorderManager 3.7 vásárlóként a SurfControltól kaphatunk egy kulcsot, amellyel a tartalomszűrő program teljeskörű verziói - a SuperScout Web Filter és a CyberPatrol Web Filter - 45 napig tesztelhetők.

A SuperScout Web Filter és a CyberPatrol Web filter 23 további kategóriát tartalmaz, összesen több mint egymillió URL-lel. Az URL-lista frissítései a SurfControl webhelyéről akár naponta letölthetők. (Korábban csak heti frissítések voltak.) A 45 napos tesztperiódus után egyéves előfizetés vásárolható a SuperScout Web Filter vagy CyberPatrol Web Filter termékre. (Ha ezt nem teszi, a Novell BorderManager 3.7-tel kapott 60 ezer URL természetesen akkor is használható.)

Gyorsabban - de szabályozott módon

A Novell BorderManager HTTP „forward proxy"-szolgáltatásának része a Novell FastCache - a Novell proxy-gyorsító technológiája, amellyel 10-200-szorosára gyorsítható az internetes tartalom elérése. Talán nem mindenki van tisztában azzal, hogy a Novell BorderManager HTTP forward proxy cache és a Volera Excelerator ( http://www.volera.com ) együtt használható hierarchikus proxy-cache architektúrában - a részletekkel kapcsolatban ld. a www.novell.com/info/collateral/docs/4621223.01/4621223.pdf leírást - és így még jobban felgyorsítható az internet-hozzáférés és felszabadítható további sávszélesség (ld. 3. ábra).

A Volera Excelerator egy nagysebességű cache-platform, amely másodpercenként akár 12 ezer kérést is kiszolgál. Hiearchiába szervezve, a Volera Excelerator az internetes tartalom továbbítását jóval több felhasználó számára fel tudja gyorsítani, mint egyetlen BorderManager 3.7 forward proxy szerver. A Novell BorderMananger 3.7 viszont képes a tartalom elérésének szabályozására, amit a Volera Excelerator nem tud. Sőt, a Novell BorderManager 3.7 visszirányú proxy módban is használható, felgyorsítva a tűzfalon kívüli hozzáférést a céges webhelyhez.


3. ábra: HTTP proxy cache hierarchiában használva a Novell BorderManager 3.7 és a Volera Excelerator együttese felgyorsítja és szabályozza az internetes tartalom elérését.

Immunis webszerverek

A Novell BorderManager 3.7 viszszirányú proxyja még egy kellemes funkciót biztosít a gyorsítás mellett: képes a tartalmat biztosító szervereket vírusmentesen tartani. A Novell BorderManager 3.7 PROXY.NLM része a Virus Request Blocking nevű funkció, amely képes távoltartani a HTTP alapú vírusokat, például a Nimdát és a Code Redet, amelyek véletlenszerűen generálnak TCP/IP kéréseket HTTP portokon. (A Code Reddel fertőzött szerver például a 80-as nyílt HTTP porton generál véletlenszerű kéréseket.)

Ha a fertőzött webszervernek sikerül kapcsolatot létesítenie egy Microsoft Internet Information Server (IIS) webszerverrel, akkor a fertőzött szerver egy HTTP GET kéréssel küld egy olyan kódot, amely megfertőzheti az IIS webszervert. (A kód a Microsoft IIS pufferkezelésének egy hibáját használja ki.) E HTTP GET kéréseknek azonban jól felismerhető mintázata van.

Amikor a Novell BorderManager 3.7 visszirányú proxyszervere egy HTTP kérést fogad, a Virus Request Blocking funkció megvizsgálja a kéréseket, összehasonlítja azt az ismert vírusmintákkal, és ha egyezést lát, azonnal és automatikusan blokkolja a kérést.

Jelen cikk írásának pillanatában a Novell BorderManager 3.7 PROXY.NLM-jének adatbázisa mintegy 160 HTTP alapú vírust tartalmaz, de a Novell bővíteni kívánja ezt a listát.

Közismert, hogy nemcsak új vírusok születnek mindennap, hanem sokuk képes arra is, hogy bizonyos mértékben variálja magát a „lebukás" kockázatának csökkentése érdekében. A Virus Request Blocking funkciónak azonban van egy automatikus frissítési része, amely képes automatikusan felderíteni a vírusoktól származó kéréseket - akkor is, ha nem talált világos egyezést a víruskérés-minta adatbázisban. Ezt azért képes megállapítani, mert a fertőzött webszerverek jellemzően sokkal nagyobb mennyiségű kérést generálnak rövid idő alatt, mint a valódi alkalmazások (pl. webböngészők). Az automatikus frissítési funkció számolja a Novell BorderManager 3.7 visszirányú proxyjára érkező egyforma kéréseket, és ha azok száma meghalad egy előre beállított küszöbértéket, blokkol. Ezután átadja egy háttérfolyamatnak a kéréseket, amelyik jellegzetes mintákat keres bennük, és ha talál, átadja a víruskérés-minta adatbázisnak, és e ponttól kezdve már a Virus Request Blocking funkció is képes blokkolni a kérést.

A második legnépszerűbb biztonsági szolgáltatás

Egy friss felmérésben 554 megkérdezett műszaki igazgató és az informatikáért felelős alelnök 62,7 százaléka állította azt, hogy cégük vagy már használ, vagy bevezetni kíván VPN szolgáltatásokat a távoli felhasználók számára. 52,9 százalékuk pedig azt mondta, hogy kifejezetten telephelyek közötti VPN-szolgáltatásokban gondolkoznak.

A fentiek ismeretében aligha meglepő, hogy a második legnépszerűbb BorderManager szolgáltatás a VPN. Örömmel jelentjük, hogy a 3.7-es verzióban a VPN szolgáltatások számos területen továbbfejlődtek. Megannyi más között a BorderManager 3.7 két további VPN kliensszoftver-platformot támogat (Windows XP és ME).

Veni, vidi... NICI!

Támogatja továbbá a BorderManager 3.7 VPN kliensszoftvere a Novell International Cryptographic Infrastructure (NICI) nevű moduláris kriptográfiai infrastruktúrát, amelyet maga a NetWare és számos NetWare-alkalmazás is használ.

A BorderManager korábbi verziói saját kriptográfiai infrastruktúrát alkalmaztak, és természetesen felölelték a kriptográfiai algoritmusok teljes kínálatát (DES, Triple DES, RC2 és RC5). A NICI használata azonban egy nagy előnyt kínál: a BorderManager VPN kliensszoftvere képes integrálódni a NICI-t használó más alkalmazásokkal. Nemsokára integrálható lesz a BorderManager VPN kliensszoftvere a Novell Modular Authentication Services (NMAS) szolgáltatásaival is.

Az NMAS - mellesleg szintén a Novell Secure Access része - lehetővé teszi, hogy egynél több fajta módszerrel, eszközzel hitelesítsék magukat a felhasználók a cég legfontosabb hálózati erőforrásaihoz. A BorderManager Authentication Services (BMAS)

jelenleg RADIUS alapú hitelesítést nyújt, illetve a VPN kliensszoftverrel együtt token és jelszó alapú hitelesítésre képes.

Ha az NMAS biztosítja a hitelesítési szolgáltatásokat a BorderManager VPN kliensgépek számára, az azt jelenti, hogy hitelesítési megoldások sokkal szélesebb köréből lehet választani majd - a név-jelszó páros és tokenek mellett digitális tanúsítványok és biometrikai hitelesítési eszközök, sőt, ezek kombinációi is használhatók lesznek. Az NMAS 2.0 és frissebb változataiból a RADIUS támogatása sem hiányzik.

Összefoglalás

Lehet, hogy Önök szerencsések voltak és még nem tapasztalták az Information Security Magazine felmérésében azonosított problémákat. A szerencse azonban forgandó, és ha még nem telepítettek olyan szoftvert, amely a céges hálózaton belül és kívül egyaránt szabályozza a hozzáférést, könnyen bajba kerülhetnek. Ne higgyenek nekem. Olvassák el a felmérést.

Tény, hogy a hozzáférést szabályozó cégpolitika, irányelvek kialakítása körülményes lehet. A Novell BorderManager 3.7 és a Novell Secure Access egyéb termékei sem képesek megvála-szolni a hozzáférés-szabályozás politikai jellegű kérdéseit. A kigondolt szabályozás rugalmas megvalósításában azonban rengeteget tudnak segíteni.


Proxy-szolgáltatások

A Novell BorderManager 3.7 az alábbi proxy szolgáltatásokat tartalmazza:

  • HTTP proxy. A proxy fogadja a felhasználók böngészői helyett a kéréseket és cache-ben tárolja a tartalmat. Az ismétlődő kéréseket már cache-ből tudja kiszolgálni.
  • HTTP Accelerator. Visszirányú proxy-szolgáltatás, a céges webszerver letöltéseinek gyorsítására.
  • FTP proxy. FTP-tartalmat cache-elő proxy-szolgáltatás, szerepe hasonló a HTTP Proxyhoz.
  • FTP Accelerator. Visszirányú proxy-szolgáltatás, a cégtől kifelé menő FTP-letöltések gyorsítására.
  • Email proxy. Kétirányú SMTP-proxy (de nem cache-el).
  • News (hírcsoport) proxy. A Usenet-hírcsoportokat a belső felhasználók nevében lekérő proxy (ez sem használ cache-t).
  • Telnet proxy. Kétirányú proxy-szolgáltatás Telnet-protokollhoz.
  • Általános proxy. Kétirányú proxy-szolgáltatás, amely HTTP-n keresztül viszi át a külön nem támogatott szolgáltatásokat (pl. rlogint). Ez a szolgáltatás sem használ cache-t.
  • DNS proxy.
  • RealAudio és RealTime Streaming Protocol (RTSP) proxyk. Nevüknek megfelelően, RealAudio és RTSP tartalmat kérő proxyk.
  • SOCKS kliens. E szolgáltatással a BorderManager proxy SOCKS szerverként látszik a kliensek számára. (A SOCKS egy olyan protokoll, amellyel a proxy-szerverek a tűzfalon belüli kliensgépek kéréseit fogadva elérhetik a tűzfalon kívüli erőforrásokat a kliensgépek biztonságának veszélyeztetése nélkül.)

Hová NE menjünk látogatóba?

Könnyű meghozni azt a döntést, hogyan korlátozzuk az olyan webhelyek elérését, amely rossz fényt vethet a cégre, esetleg jogi problémákat eredményezhet. A SurfControl piacvezető, a Novell BorderManager 3.7-ben is megtalálható tartalomszűrő szoftverével szerencsére korlátozható a szerencsejátékokkal, gyűlöletkeltéssel, erőszakkal vagy más veszélyes tartalommal bíró webhelyek elérése - az adatbázis hét kategóriában összesen 60 ezer törvényellenes vagy potenciálisan veszélyes címet tartalmaz.

Nemcsak a veszélyes és illegális anyagok jelenthetnek problémát. Szinte bármilyen személyes internetes tartalomból származhatnak gondok - még a jóindulatúakból is. Ha teljeskörű szabályozást kívánunk, a SurfControl SuperScout Web Filter ill. CyberPatrol Web Filter nevű termékei összesen több mint egymillió webhelyet képesek szűrni - vagy akár teljesen megtiltani.

A webhelyek 30 tartalomkategóriába vannak gyűjtve, ezek közé tartozik a BorderManager 3.7-ben is megtalálható 7. Ezek között található olyan, amire szintén valószínűleg nemet kívánunk mondani - ilyen például a webes e-mail, ami elég ritkán tartalmaz hasznos üzenetet -, de olyanokat is, amelyekre lehet, hogy szükség van - például a Pénzügy és Befektetés, a Vallás vagy éppen a Hírek kategóriája.

A gyerek marad, csak a fürdővíz repül

A SuperScout Web Filter és a CyberPatrol Web Filter adatbázisait emberi szemek ellenőrzik. Nem kell tehát attól félni, hogy tisztességes üzleti webhelyek kimaradnak - ami köny-nyen előfordulhat, ha csak kulcsszavakra kereső szűrőprogramot használunk. Ha például a cég a kormányhivatalokkal kapcsolatos kutatásokat végez, de korlátozni kívánja a bűncselekményekkel kapcsolatos oldalakat, akkor a SuperScout Web Filtere esetén nem kell aggódni, hogy kiszűrődik az USA Igazságügyi Minisztériumának Számítógépes Bűnözési és Szellemi Tulajdon weboldala (www.usdoj.gov/ criminal/cybercrime). A kulcsszavas keresés azonban valószínűleg kiszűrné ezt az oldalt, hiszen csupa „rossz" szó fordul elő rajta.

Természetesen a legtöbb tartalomszűrő szoftver, így a SuperScout Web Filter és a CyberPatrol Web Filter is kínál lehetőséget arra, hogy felülbíráljuk a szoftver által engedélyezett vagy tiltott hozzáférést. A lényeg az, hogy mivel emberek már ellenőrizték előttünk az adatokat, erre igen ritkán lesz csak szükség.

Mivel a SuperScout Web Filter és a CyberPatrol Web Filter integrálódik a Novell eDirectoryval és a Novell BorderManagerrel, felvehetők a SurfControl tartalomkategóriái a BorderManager HTTP proxy hozzáférési szabályai közé. Persze, érdemes egy kis házon belüli felmérést végezni a SurfControl tartalomkategóriáira épülő hozzáférési szabályok kialakítása előtt - felesleges tiltani vagy korlátozni a játékokat, ha a cég felhasználói egyébként sem játszanak soha munkaidőben a hálózaton.

Annál nagyobb gondot jelenthet az, ha a felhasználók a nap nagy részében zenét töltenek le és elfojtják a hasznos - és értékes - sávszélességet. 2000. májusában a Golin/Harris International nevű PR-cég azon kapta magát, hogy egyik fiókirodájában az internetes forgalom 80 százalékát zenefájlok letöltése tette ki. Hasonló helyzetben biztos, hogy érdemes egy olyan szabályt beállítani, amely korlátozza a SurfControl Streaming Media és Remote Proxies kategóriáihoz való hozzáférést. (Ez utóbbi a névtelen fájlcsere-szolgáltatások proxyszervereinek URL-jeit tartalmazza.)

Annak kimutatásához, hogy milyen webhelyeket látogatnak a felhasználók és meddig, a SuperScout Web Filter és a CyberPatrol Web Filter jelentéskészítő és figyelőeszközei használhatók. A termék képes valós idejű sávszélesség-figyelésre is - Kelly Haggerty, a SurfControl egyik alelnöke szerint a vásárlók „nagy része" pontosan ezért veszi a terméket.

A SurfControl jelentéskészítő és figyelőeszközei - amelyeket a BorderManager 3.7 vásárlók a SurfControl teljes verziójának 45 napos próbáját engedélyező kulcsával együtt tölthetnek le - Windows 2000 és NT alatt futnak. A SurfControl frissítési szolgáltatására előfizetők ingyenesen megkapják a jelentéskészítő és figyelőeszközt (egyébként 45 nap után nem működnek tovább).

Ha valaki már most Novell BorderManager vásárló, akkor előfordulhat, hogy már rendelkezik a CyberPatrol Web Filter a Novell BorderManagerhez készített változatának előfizetésé-vel. (Az előző változat a BorderManger korábbi változataihoz készült, és kevesebb helyet szűr, mint a BorderManager 3.7.)

&Eeacute;ppen ezért ez esetben, a BorderManager 3.7-re a SurfControl szintén ingyenesen kínálja a SuperScout Web Filter vagy CyberPatrol Web Filter technológiai frissítését - feltéve,

hogy vásárolunk egy egyéves előfizetést a SuperScout Web Filter vagy CyberPatrol Web Filter legfrissebb verziójához tartozó tartalomra, amely egy év az aktuális szerződés lejárta-kor indul.