Vezetői összefoglaló

Sok cég használja ki az Internetet, mint olcsó távolsági kapcsolatot, és bővíti hálózatait virtuális magánhálózatokkal (VPN-ekkel). Ez a megoldás számos előnnyel jár: az alkalmazottakkal való még szorosabb együttmködéssel a belső webszervereken keresztül; a vásárlókkal való még szorosabb együttmködéssel az Interneten keresztül; valamint az üzleti partnerekkel való még szorosabb együttmködéssel az extraneteken keresztül. Nem szabad ugyanakkor szem elől téveszteni az Internethez csatlakozás, az intranetek és extranetek kialakítása során az egyik legfontosabb szempontot - a biztonságot. Az Internet hírhedten megbízhatatlan. Emiatt a vállalati hálózatok az Internettel összekapcsolása lehetőséget teremt a kívülről jövő támadások számára. A védekezéshez számos gyártó biztosít ún. tűzfalakat - egyfajta sáncot az Internet és a vállalati hálózat közé.

Létezik azonban egy sokkal súlyosabb és sokkal kényesebb biztonsági probléma, még az Internetes betörőknél is kellemetlenebb. Az Internetes technológiák - például a belső webszerverek - alkalmazása támadási lehetőséget nyit a cégen belülről is. Ebben az esetben pedig mit sem használ az Internet-tűzfal. A szoftvergyártók csoportosan kerestek írt az Internetes technológiák alkalmazásával járó számos biztonsági és technológiai problémákra. Különféle termékekkel álltak elő - Internet-tűzfalakkal, teljesítmény-gyorsítókkal, VPN-ekkel, és Internetes Webtartalom-szrőkkel. A gond mindezekkel csupán az, hogy a hálózat üzemeltetője kénytelen maga a különféle gyártók termékeiből valamiféle egységes megoldást kovácsolni. Különálló termékek kavalkádjának felügyelete bonyolult, kevéssé hatékony, és számos hibalehetőséget rejt magában.

Az ICSA jelentése szerint a tűzfal-betörések 90 százaléka valamilyen konfigurációs hibára vezethető vissza. A rendszergazdáknak minden egyes felhasználó adatait többféle címtárban kell vezetniük, a felhasználók pedig többféle azonosítót és jelszót kell, hogy megjegyezzenek. S ami mindebben a legrosszabb: legyen akármilyen bonyolult és költséges a végeredményként kapott megoldás használata és felügyelete, még mindig nem nyújt elégséges védelmet a belülről jövő támadások ellen. Amire valójában szükség lenne, egy sor olyan szolgáltatás, amelyik kellő védelmet nyújt mind a külső, mind a belső támadások ellen, javítja a teljesítményt, nem hiányoznak belőle a biztonságos VPN-funkciók, valamint lehetővé teszi a ki- és bemenő Internet-forgalom teljes ellenőrzését - mindezt lehetőleg egyetlen, integrált, könnyen felügyelhető csomagban.

A BorderManager nyújtotta megoldás

A Novell BorderManager átfogó biztonsági felügyeleti megoldást nyújt. A biztonsági felügyeleti szolgáltatások megvalósítása során kihasználja a Novell-címtárszolgáltatás (eDirectory) erejét. A BorderManagerrel egy cég az alábbiakat valósíthatja meg:

  • Kihasználhatja az Internet nyújtotta új technológiákat úgy, hogy közben hatékonyan védi hálózatát mind a külső, mind a belső támadások ellen.
  • Még nagyobb teljesítményt biztosíthat felhasználóinak - anélkül, hogy egy szemernyit is fel kellene áldoznia a biztonságból.
  • Tovább csökkentheti a hálózat összköltségeit a központi felügyelet és irányítás révén.

Mivel a BorderManager szorosan egybeépül az eDirectory-val, a rendszergazdák egyetlen, központi helyről irányíthatják a biztonsági rendszert és férhetnek hozzá az egész hálózathoz. Az eDirectory-n keresztül megvalósított biztonsági felügyelet igen jól méretezhető, és még azt is lehetővé teszi, hogy a rendszergazdák jogkörük egy részét átruházzák másokra, ellenőrzött, biztonságos módon. Az eDirectory-val való szoros integráció révén a BorderManager természetes kiegészítés a meglévő eDirectory-felhasználók számára. Mivel az összes hitelesítés az eDirectory-n keresztül történik, nem szükséges párhuzamosan külön-külön címtárakat és adattárakat fenntartani az egyes termékekhez és funkciókhoz. Ennek eredményeképpen a BorderManager csökkenti az emberi hibák előfordulását is, és ezzel tovább növeli a rendszer biztonságát. Az eDirectory-n keresztüli egyetlen jelszavas bejelentkezéssel pedig a felhasználók gyorsan és biztonságosan elérhetik az összes általuk jogosan használható hálózati erőforrást - jelentkezzenek be akár egy közvetlenül a LAN-ra kapcsolódó munkaállomásról, akár telefonon keresztül egy távoli LAN-munkaállomásról, vagy VPN-en keresztül az Internetről. Jóval nagyobb biztonságot nyújt az eDirectory-alapú hitelesítés, mint a hagyományos TCP/IP-alapú biztonsági megoldások. A TCP/IP-alapú biztonság sokkal inkább az IP-címekre és szegmensekre épül, mintsem az egyes felhasználókra. Mindennek eredményeképpen a rendszer biztonsága gyenge - ha például egy alkalmazott munkaállomásán le is van tiltva valamely hálózati erőforráshoz való hozzáférés, még mindig átsétálhat egy másikhoz, amelyiken nincs. Az IP-címeket dinamikusan kiosztó DHCP protokoll tovább nehezíti a helyzetet, hiszen ha az egyes felhasználók gépeinek IP-címei dinamikusan változnak, a személyenkénti biztonsági felügyelet lehetetlenné válik. Ezzel szemben az eDirectory-re épülő BorderManager képes valódi felhasználó- és erőforrás-alapú védelmet biztosítani. A felhasználó erőforráskérései a felhasználó személyétől, nem pedig az éppen használt munkaállomás adataitól függően bírálódnak el.
A BorderManager az alábbi szolgáltatásokat tartalmazza:

  • Tűzfal-szolgáltatások
  • Virtuális magánhálózati (VPN-) szolgáltatások
  • Proxy gyorsítótár-szolgáltatások
  • Irányelv alapú felügyelet
  • Hitelesítési szolgáltatások
  • Naplózások, riasztások és jelentéskészítés