BorderManager™ - VIRTUÁLIS MAGÁNHÁLÓZATOK

Hosszú éveken keresztül az volt a szokás, hogy a vállalatok saját nagytávolságú hálózati kapcsolatokat üzemeltettek, és ezeken keresztül kapcsolódtak a távoli telephelyekhez, esetleg üzleti partnereikhez, például a beszállítókhoz és nagykereskedőkhöz. Ezek a nagytávolságú hálózatok jellemzően bérelt telefonvonalak voltak. Emellett sok cégnél szokás volt modemfarmokat telepíteni, amelyeken keresztül a felhasználók távolról, behívásos telefonkapcsolaton keresztül csatlakozhattak a vállalati hálózatokra.

E hagyományos megoldásnak megvannak a maga hátulütői – a legnagyobb mindjárt a költség. A bérelt vonalak drágák, a modembankok vásárlása és fenntartása nemkülönben. Ráadásul a behíváshoz szükséges távolsági telefonkapcsolatok igen költségessé teszik a messziről történő hozzáférést a hálózathoz. A távoli behívásos kapcsolatok másik örökletes baja a nem megfelelő biztonság, hiszen az adatok a nyilvános telefonhálózaton keresztül továbbítódnak.

Vonzó megoldást nyújtanak mindezen problémákra a virtuális magánhálózatok (VPN-ek). A VPN-ek az Internet infrastruktúráját használják fel a telephelyek összekötésére, illetve a távoli behívásos kapcsolatok kialakítására. Az Internet közel univerzális kiterjedése révén nincs többé szükség saját bérelt vonalakra és modemfarmokra; hasonlóképpen, megsznnek a távolsági telefonhívások is. Mindennek eredményeképpen a VPN-ek sokkal olcsóbbak, mint a hagyományos nagytávolságú kapcsolatok: a legtöbb cég 20–70 százalék közötti megtakarítást ér el VPN-ek használatával.

VPN-ek kialakíthatók a vállalati intraneteken is. Saját hálózatok hozhatók létre az intraneten belül, mondjuk egy adott osztály vagy egy bizalmas adatokkal dolgozó csoport számára. Megoldható például, hogy földrajzilag különálló helyszínen dolgozó mérnökök együttmködjenek egy új, titkos projekten, és megoszthassák egymással az adatokat anélkül, hogy félteniük kellene azokat a jogosulatlan hozzáféréstől.

Az alábbi dokumentumban összegyjtöttük a legfontosabb tényezőket, amelyeket figyelembe kell vennünk egy VPN kialakításakor, és azokat a követelményeket, amelyeknek egy valóban hatékony megoldást nyújtó VPN-nek meg kell felelnie. Ismertetjük, hogyan mködnek a VPN-ek, áttekintjük a hálózati szabványokat, amelyekre mködésük alapul. Végezetül bemutatjuk a Novell VPN-megoldását – a BorderManager VPN Services 3-at, a BorderManager Enterprise Edition 3, a Novell internetes biztonsági felügyeleti csomagjának részét.

VPN-ek kialakításakor két fontos tényezőt kell mindenképpen figyelembe vennünk. Az első ezek közül a biztonság. A bérelt magánvonalak biztonságosak, ám az Internet, lévén nyílt hálózat, híresen nem az. &Eeacute;ppen ezért minden szervezetnek különös gondot kell fordítania arra, hogy a VPN védve legyen a jogosulatlan hozzáférések ellen. Ebbe beletartozik az internetes buherátorok távoltartása, a VPN-adatok titkosítása a lehallgatás ellen, valamint az adatforgalom szándékos rongálásának megakadályozása. A második a sávszélesség. Az Interneten keresztül jellemzően sokkal alacsonyabb sávszélesség érhető el, mint bérelt vonalakkal. &Eeacute;ppen ezért ügyelni kell arra, hogy a VPN teljesítménye elegendő legyen, ne rontsa le a felhasználók termelékenységét.

Ahhoz, hogy valóban hatékonyan mködjön, számos feltételnek kell megfelelnie egy VPN-nek:

• Megbízhatóság. A VPN-nek biztosítania kell a rajta áthaladó adatok védelmét lehallgatás ellen.
• Hitelesség. A VPN-nek biztosítania kell, hogy a rajta dolgozó emberek valóban egy meghatározott közösség tagjai. Emellett a VPN-nek biztosítania kell az adatok és az adatforrások hitelességét, vagyis azt, hogy a küldő valóban az, akinek mondja magát.
• Integritás. A VPN-nek biztosítania kell, hogy a megérkezett adatok valóban pontosan megegyezzenek az elküldött adatokkal, vagyis védenie kell az adatokat az átviteli hibáktól és a szándékos rongálástól.
• Többféle protokoll kezelése. Bár az Internet tiszta IP alapú, NetWare-felhasználók milliói használnak a mai napig IPX-et. &Eeacute;ppen ezért célszer, ha a VPN képes nemcsak az IP-t, hanem az IPX-et is kezelni.
• Képes mind telephelyek közötti, mind kliensek és telephelyek közötti kapcsolatra. A VPN-nek képesnek kell lennie nemcsak az egyes telephelyek összekapcsolására, hanem a távolról behívó felhasználók kiszolgálására is.
• Kezelnie kell a meglévő és jövőbeni VPN-szabványokat. A VPN-nek feltétlenül szabványalapúnak kell lennie, hiszen csak így biztosítható a különféle gyártók eszközei közötti kölcsönös együttmködés és az, hogy a cégek maguk választhassák ki az igényeiknek legjobban megfelelő megoldást. A szabványalapúság ezenfelül nyitva hagyja a lehetőségeket a mindig legmodernebb technológiák használata előtt.
• Optimalizált teljesítmény. A VPN legyen képes maximálisan kihasználni az Internet korlátozott sávszélességét.

1. ábra. VPN-alagutak

A VPN-ek az adatokat ún. „alagutakon” (tunnel) keresztül továbbítják az Interneten vagy a vállalati intraneten. Az alagutak az Internetet vagy a vállalati intranetet kapcsolati médiumként használó biztonságos, titkosított virtuális kapcsolatok. Telephelyek közötti VPN esetében szerverek közötti alagutak, kliens–telephely VPN esetében kliensek és szerverek közötti alagutak jönnek létre. (Ld. az előző oldal 1. ábráját.)

A VPN minden egyes IP- (vagy IPX-) csomagot titkosít és beágyaz, mielőtt továbbítaná az alagúton keresztül. A beágyazott csomag tartalmaz a hitelesítéshez, az adat és a forrás azonosításához szükséges adatokat. Ezen hitelesítési adatok alapján ellenőrzi a VPN az adatok integritását is, azt, hogy az eredeti adat nem sérült meg a továbbítás során.

A VPN alagútmechanizmust az IPSec (IP Security) nev szabvány (RFC # 1825-1827) definiálja. Az eredeti IP- (vagy IPX-) csomagok titkosítva, VPN-alagútcsomagokba beágyazva továbbítódnak az Interneten. A 2. ábra bemutatja a VPN-alagútcsomag formátumát, amennyiben az IPSec és a SKIP (Simple Key exchange Internet Protocol) szabványokat együtt használjuk. A SKIP-et alább részletesen ismertetjük.

2. ábra: Beágyazott IPSec-csomag

A csomag egyes részei:

• Forráscím. A VPN-forrásszervert vagy -klienst azonosítja. Az eredeti küldő személyazonossága titokban marad, ezzel is növelve a biztonságot.
  
• Célcím. A VPN-célszervert vagy -klienst azonosítja. A fogadó személyazonossága titokban marad, ezzel is növelve a biztonságot.
  
• (A SKIP IETF ajánlása alapján definiált) kulcsfelügyeleti (SKIP) fejléc. A csomagban használt kulcsot, algoritmust és a következő protokollt határozza meg.
  
• Hitelesítési fejléc (Authentication Header, AH, az RFC 1826-nak megfelelően). Az adatok és a forrás hitelességét biztosító hitelesítési adatokat tartalmazza. A VPN a hitelesítési fejlécet az alábbi négy szabványos átalakítás valamelyikével végzi: 128 bites kulcsolt MD5 (az RFC 1828-ban definiált módon), 128 bites HMAC-MD5-tel (az RFC 2104-ben definiált módon), 160 bites kulcsolt SHA1-gyel (az RFC 1852-ben definiált módon), vagy 160 bites HMAC-SHA1-gyel (az RFC 2104-ben definiált módon). A hitelesítési fejléc ezenfelül tartalmaz adatokat a célból, hogy a fogadó ellenőrizhesse az adatok integritását, azt, hogy nem sérült-e a csomag továbbítás közben.

• Encapsulated Security Payload (ESP) (az RFC 1827-ben definiálva). Az eredeti IP- (vagy IPX-) csomag adatait titkosítja az alábbi 4 szabványos titkosítási algoritmus valamelyikével: RC5-CBC (az RSA által definiált módon), RC2-CBC (az RSA által definiált módon), DES-CBC (az RFC 1829-ben definiált módon), vagy Triple DES-CBC (az RFC 1851-ben definiált módon). A titkosítás biztosítja az adatok titkosságát.

3. ábra: Megosztott titkos adat generálása Diffie-Hellman módszerrel

A Sun Microsystems által definiált SKIP egy feltörekvő szabvány az Internet egyes entitásai közötti titkosítási kulcsok felügyeletére. Ez a protokoll titkos, kétirányú kommunikációt tesz lehetővé az Interneten ún. inline- (vonali) kulcscserét használva.A protokoll vázlatosan a következő módon mködik a VPN-szerverek (ill. a kliens és a szerver) között:

Mindkét szerver elvégez egy bizonyos speciális számítást a Diffie-Hellman algoritmussal. (Ld. 3. ábra.) Mindkét szerveren ugyanazon paraméterekkel kell lefuttatni a Diffie-Hellman algoritmust. Ez úgy oldható meg, hogy a szerverek rendszergazdái előzőleg megosztják egymással a paramétereket a titkos csatornától független módon, például titkosított e-mailben. Az algoritmus során mindkét szerver saját privát Diffie-Hellman értékét, valamint a másik szerver nyilvános Diffie-Hellman értékét használja fel. A számítás eredménye a két szerver közötti „megosztott titoknak” (shared secret) számít. Ezt a titkos értéket a szerverek időről időre újraszámítják a biztonság növelése érdekében.

Amint a 4. ábrán látható, egy véletlenszám-generátor segítségével mindkét szerver készít egy titkosítási kulcsot, és ezt a kulcsot használja a VPN-en keresztülhaladó csomagok titkosításához és visszafejtéséhez. Mindkét szerver a megosztott titkos értéket használja a titkosítási kulcs titkosításához, és a kulcsot a csomagokkal együtt küldi el a másik szervernek, minden egyes csomagban.. Az adattitkosítási kulcs n csomagonként változik, a biztonság növelése érdekében. (n értékét a VPN-rendszergazda határozza meg.)

A fogadó szerver ezek után visszafejti az adattitkosító kulcsot, annak segítségével ellenőrzi a csomag hitelességét, majd visszafejti magát a csomagot. A szerver ezután a visszafejtett csomagot a megfelelő fogadóhoz továbbítja.

4. ábra: az adattitkosítási kulcs generálásának folyamata

A Novell BorderManager VPN Services 3 átfogó VPN-megoldást kínál, amellyel biztonságosan és gazdaságosan alakíthatók ki magánhálózatok az Interneten vagy a vállalati intraneten. A BorderManager VPN Services 3 kezeli az IP és IPX protokollokat egyaránt – ezzel egyedül áll a piacon. A BorderManager VPN Services 3 szorosan összeépül az NDS-sel, a VPN felügyeletének és üzemeltetésének leegyszersítése érdekében.

A BorderManager VPN Services 3-mal készíthető mind telephelyek közötti, mind kliensek és telephelyek közötti VPN-ek. A BorderManager VPN Services 3 igen jól méretezhető, képes akár alagutanként 256 telephelyet, illetve szerverenként 1000 behívó felhasználót kiszolgálni. Ezenfelül a BorderManager VPN Services 3 kezeli a szimmetrikus többfeladatos rendszereket a nagyobb sebesség érdekében.

Telephelyek közötti BorderManager VPN Services 3 VPN-t létrehozva a független LAN-szegmensek egyetlen összetartozó nagytávolságú hálózattá egyesíthetők az Internetet használva távolsági kapcsolatként. Mivel a BorderManager VPN Services 3 az IP és IPX protokollokat egyaránt kezeli, a LAN-szegmensek szintén állhatnak IP- és IPX-hálózatok tetszés szerinti kombinációjából.

5. ábra: Telephelyek közötti BorderManager VPN

Az 5. ábrán látható módon, a telephelyek közötti VPN létrehozásához az összes telephelyen létre kell hozni egy BorderManager VPN Services 3 szervert, és össze kell kötnünk őket az Interneten keresztül. A szerverek kapcsolódhatnak háló, gyr vagy csillag konfigurációban.

Használható a telephelyek közötti VPN-konfiguráció arra is, hogy egy, a vállalati hálózatot az üzleti partnerek hálózatával összekötő extranetet alakítsunk ki. Az egyetlen különbség az extranet és a cég saját telephelyek közötti VPN-je között a BorderManager VPN Services 3 szerverek fizikai helye.

Kliens–szerver VPN-t létrehozva a BorderManager VPN Services 3-mal megoldható, hogy a távoli, telefonon keresztül behívó felhasználók biztonságos internetes kapcsolaton keresztül férhessenek hozzá a VPN-erőforrásokhoz (ld. 6. ábra.) Ily módon gazdaságos és biztonságos hozzáférés alakítható ki a távoli felhasználók számára, mindazon erőforrásokhoz, amelyekre csak szükségük van, függetlenül az ők vagy az erőforrások helyétől.

A felhasználók a VPN-t a BorderManager VPN Services 3 kliensen keresztül érik el. A kliens a BorderManager VPN Services 3 szerverre csatlakozik, amelyik átjáróként funkcionál a VPN felé. A felhasználó kapcsolódhat a VPN-szerverhez PPP-n, egy Internet-szolgáltatón keresztül, de kapcsolódhat közvetlenül is egy távoli hozzáférési programmal, mint például a NetWare Connect.

Az optimális teljesítmény biztosítása érdekében a BorderManager VPN Services 3 kliens beállítható úgy, hogy csak a – rendszergazda által meghatározott – védett hálózatok adatforgalmát titkosítsa.

6. ábra: BorderManager kliens–szerver VPN

A BorderManager VPN Services 3 szabványalapú, a Novell-címtárszolgáltatáshoz (NDS-hez) szorosan illeszkedő modern architektúrára épül. Ez a felépítés maximális rugalmasságot biztosít, egyszersíti a VPN-ek üzemeltetését és felügyeletét, valamint lehetővé teszi, hogy a felhasználók egyetlen bejelentkezéssel hozzáférjenek az összes hálózati erőforráshoz.

A BorderManager VPN Services 3 kezeli az összes fontos szabványos alagútkezelési, titkosítási és kulcsfelügyeleti mechanizmust, így erős, ugyanakkor rugalmas biztonsági keretrendszert képes nyújtani. Kezeli a gyakorlatban is bizonyított IPSec szabványra épülő alagútkezelést. Kezeli a kulcsok kezelésére szolgáló SKIP szabványt. S végül kezeli a továbbított adatok szabványos transzformációit: mind az USA-belföldi, mint a nemzetközi programváltozat képes használni a 128 bites kulcsolt MD5-öt, a 128 bites HMAC-MD5-öt, a 160 bites kulcsolt SHA1-et és a 160 bites HMAC- SHA1-et.

A BorderManager VPN Services 3 az összes felhasználót az NDS-en keresztül hitelesíti, így biztosítva, hogy kizárólag a szigorúan meghatározott VPN-közösség tagjai használhassák a VPN-t. A rendszergazdák a VPN-hez való hozzáférést egyszeren a felhasználó az NDS-ben tárolt ún. hozzáférés-vezérlési listáján (ACL-jén) keresztül szabályozhatják. Más szavakkal, a VPN-felhasználók pontosan ugyanazon NDS-adatbázissal felügyelhetők, mint minden más hálózati felhasználó. Nem szükséges külön adatbázist fenntartani a VPN-felhasználók számára, s így egyszersíthető a felügyelet.

A BorderManager VPN Services 3 három új tulajdonsággal bővíti az NDS NetWare Control Protocol (NCP) szerverobjektumot:

• A védett hálózatok listája. A lista minden egyes eleme az adott VPN-szerver által védett hálózat címét és alhálómaszkját határozza meg.
  
• Védett hálózatok jelzőbit. Egyetlen érték, amelyik azt határozza meg, hogyan titkosítják az IP-adatokat az ehhez a VPN-szerverhez kapcsolódó VPN-kliensek. Az érték az alábbiak valamelyike lehet: minden IP-forgalmat titkosít; egyáltalán nem titkosít; csak az adott szerver védett hálózatainak forgalmát titkosítja. (Az IPX-forgalom mindig titkosítódik, függetlenül e jelzőbit értékétől.)
  
• VPN-kliens inaktivitásának határértéke. Egy olyan egyérték tulajdonság, amely azt határozza meg, hogy a kliens milyen mérték inaktivitása után bontsa az adott VPN-szerver a kliens kapcsolatát.

A BorderManager VPN Services 3 által a NetWare Administrator-hoz telepített bedolgozómodul automatikusan létrehozza ezeket az attribútumokat mindazon NCP-szerverek esetében, amelyek VPN-szerverekként is mködnek, és alapértelmezés értékekkel tölti fel őket.

A BorderManager VPN Services 3-mal egy cég különálló hálózati szegmensei egyetlen, nagytávolságú hálózattá foghatók össze.

Telephelyek közötti VPN esetében a BorderManager VPN Services 3 szervereket master/slave (alá- és fölérendelt) viszonyra kell beállítani, felügyeleti okokból. A teljes VPN központilag, a master szerverről konfigurálható és felügyelhető. Ez leegyszersíti a hálózatfelügyeletet és az üzemeltetést.

Rendkívül egyszer a telephelyi VPN kialakítása a BorderManager VPN Services 3-mal. Elsőként a BorderManger VPN Services 3 master szervert kell telepíteni, az alábbi lépések szerint:

• Telepítsük a BorderManager VPN Services 3-at a master szerverre. (A legelső szerver lesz a master szerver.)
  
• Generáljuk le a master szerveren a fő (master) RSA privát/nyilvános kulcspárt.
  
• Generáljuk le a master szerver Diffie-Hellman nyilvános és privát kulcsait.
  
• Küldjük át a fő RSA nyilvános kulcsot és a master szerver Diffie-Hellman paramétereit – amelyekkel a master szerver Diffie-Hellman nyilvános és privát kulcsait generáltuk – az összes alárendelt (slave) gépnek. (Ez jellemzően valamilyen sávonkívüli módszerrel, általában titkos e-mailen keresztül történik.)

Következő lépésként a rendszergazda telepíti és konfigurálja a BorderManager VPN Services 3-at az összes alárendelt szerveren, az alábbi lépések szerint:

• Telepítsük a BorderManager VPN Services 3-at az alárendelt (slave) szerverre.
  
• Generáljuk le az alárendelt szerver Diffie-Hellman nyilvános és privát kulcsait ugyanazokkal a Diffie-Hellman paraméterekkel, amelyeket e-mailben kaptunk a master szerver rendszergazdájától.
  
• Tároljuk az alárendelt szerveren a master szerver RSA nyilvános kulcsát, amelyet e-mailben kaptunk a master szerver rendszergazdájától.
  
• Küldjük el az alárendelt szerver Diffie-Hellman nyilvános kulcsát a master szerver rendszergazdájának. (Ez jellemzően valamilyen sávonkívüli módszerrel, általában titkos e-mailen keresztül történik.)

Ha már legalább egy alárendelt szerver mködik, akkor a VPN már konfigurálható a master szerverről, az alábbi módon:

• Válasszuk ki a gyr, háló vagy csillag konfigurációt.
  
• Válasszuk ki a használni kívánt titkosítási és hitelesítési módszert.
  
• Válasszuk ki az alagúton keresztül továbbítani kívánt protokollokat (IP, IPX vagy mindkettő).
  
• Határozzuk meg az adattitkosítási kulcs váltási idejét (csomagok számában).
  
• Engedélyezzük vagy tiltsuk le a dinamikus útválasztást.

A master szerver rendszergazdája ezután begyjti az alárendelt szerverek rendszergazdáitól az alárendelt szerverek Diffie-Hellman nyilvános kulcsértékeit, majd szétosztja ezeket és a master Diffie-Hellman nyilvános kulcsértékét az összes többi (slave) szerverre. A master szerver a csomagokat a saját RSA privát kulcsával írja alá. Minden egyes alárendelt szerver a megkapott Diffie-Hellman nyilvános értékeket a korábban sávon kívül megkapott master RSA nyilvános kulccsal ellenőrzi.

A master szerver ezután elküldi a VPN konfigurációs adatait az összes többi szervernek. Meghatározza a virtuális hálózat topológiáját (csillag, háló vagy gyr), azt, hogy mely protokollokat kell beágyazni (IP, IPX vagy mindkettő), a híváskezdeményezési módszert, valamint a statikus útvonalakat (amennyiben ezeket állítottuk be). A master szerver az összes elküldött konfigurációs csomagot aláírja.

A master és az összes alárendelt szerver telepítése és beállítása után a VPN-szerverek automatikusan létrehozzák az alagutakat: automatikusan hívásokat kezdeményeznek egymás felé. A VPN-szerverei kétféle híváskezdeményezési módra állíthatók be: (1) vagy minden másik VPN-szerver felé kimenő hívást kezdeményeznek, vagy (2) csak azon VPN-szerverek felé kezdeményeznek VPN-hívásokat, amelyek maguk nem hívják az adott szervert. Az alagút létrejötte után addig nem is bomlik le, amíg manuálisan meg nem szüntetik, vagy a VPN-szervert le nem kapcsolják.

Amennyiben a VPN-szerver bármilyen oknál fogva kikapcsolódik, a visszakapcsolás után automatikusan újra létrehozza az összes olyan VPN-szerver felé az alagutakat, amelyekhez korábban kapcsolódott. A híváskezdeményezési mód (bejövő, kimenő vagy mindkettő) a beállításoktól függ.

Amennyiben új hálózatot veszünk fel egy már védett hálózatba bármelyik VPN-szerveren, a többi VPN-szerver automatikusan megtanulja az új hálózat címét, és felveszi azt az útválasztási táblába – más szavakkal, a BorderManager VPN Services 3 képes dinamikus útválasztásra. A rendszergazdának nem kell kézzel konfigurálnia a hálózatot minden egyes VPN-szerveren.

7. ábra: Automatikus útválasztás

Ha például felvesszük a 3.3.3.3 hálózatot a 2.2.2.2 cím VPN-szerver mögötti védett hálózatra a 7. ábrán látható módon, akkor az 1.1.1.1 és 4.4.4.4 VPN-szerverek automatikusan megtanulják, hogy a 3.3.3.3 hálózat csomópontjait a 2.2.2.2 VPN-szerveren keresztül kell elérniük. Amennyiben kívánjuk, a dinamikus útválasztás letiltható.

A BorderManager VPN Services 3-mal készült kliens–telephely VPN egy BorderManager VPN Services 3 szerverből, valamint egy vagy több BorderManager VPN Services 3 kliensből áll. A BorderManager VPN Services 3 kliens Windows 95/98 alatt fut, és szervesen összeépül a Windows telefonos hálózatával. A BorderManager VPN Services 3 kliens a Novell klienssel integrált bejelentkezést biztosít, így a felhasználó egyetlen bejelentkezéssel hozzáfér az összes hálózati erőforráshoz.

Bármelyik BorderManager VPN Services 3 szerver képes VPN-átjáróként mködni a BorderManager VPN Services 3 kliensek számára. Ugyanez a szerver egyidejleg képes telephelyek közötti master vagy alárendelt szerverként funkcionálni. A VPN-átjárószerver titkosított alagutat biztosít a VPN-kliensek számára, amelyen keresztül biztonságosan tudnak kommunikálni a szerver által védett hálózatokkal.

A BorderManager VPN Services 3 szerverhez kapcsolódó kliensek hozzáférését az adott szerver rendszergazdája szabályozza, az NDS hozzáférés-vezérlési listáján keresztül.

A BorderManager VPN Services 3 kliens automatikusan kialakítja az átjárószerver felé az alagutat. Ez a kliens–telephely alapú mködésnél azért fontos, mert új alagutat kell minden egyes kapcsolathoz létrehozni.

A kapcsolat kezdeményezésekor a BorderManager VPN Services 3 kliens a Windows 95/98 telefonos hálózatát használva távoli PPP-kapcsolatot kezdeményez akár egy Internet-szolgáltató, akár közvetlenül a BorderManager VPN Services 3 szerver felé. Ez utóbbi esetben be kell kapcsolni a Novell Internet Access Server (NIAS) távoli hozzáférési funkcióját a szerveren.

A PPP-kapcsolat létrehozása után a BorderManager VPN Services 3 kliens az NDS-en keresztül, egy ún. „kihívásos válasz”- (challenge response) mechanizmussal hitelesíti magát a VPN-átjárószerverhez (ld. 8. ábra).

A „kihívásos válasz”-elv hitelesítési folyamat lépései az alábbiak:

1. A felhasználó bejelentkezik a saját felhasználói azonosítójával és jelszavával.
   
2. A kliens csak a felhasználó nevét küldi el a szervernek. (A jelszó biztonsági okokból nem továbbítódik a dróton keresztül.)
   
3. A VPN-szerver megkeresi a felhasználó adatait tároló NDS-szervert.
   
4. A VPN-szerver ellenőrzi az NDS-en keresztül, hogy a felhasználó valóban jogosult-e hozzáférni-e az adott VPN-szerverhez.(E ponttól kezdve a VPN-szerver az NDS-szerver proxyjaként mködik. A hitelesítési folyamatot ténylegesen az NDS-szerver végzi.)
   
5. Az NDS-szerver kiszámít egy „kihívásos válasz”-értéket a felhasználó eltárolt jelszava alapján, és visszaküldi azt a klienshez a VPN-szerveren keresztül. (A VPN-szerver ezt a csomagot a saját RSA nyilvános kulcsával titkosítja a hitelesítés érdekében.)
   
6. Amennyiben ez a kliens első bejelentkezése az adott VPN-szerverre, úgy megjelenik egy párbeszédablak, ahová a felhasználónak be kell írnia a VPN-szerver RSA nyilvános kulcsát. Ezt a felhasználó a szerver rendszergazdájától kapja meg (jellemzően e-mailben). Helyesen megadva a 16 bájtos értéket, a kliens elmenti azt, és a további hitelesítések automatikusan történnek mindaddig, amíg a kulcsot újra nem generálja a VPN-szerver. (Ezt időről időre célszer megtenni biztonsági okokból.)
   
7. A kliens kiszámít egy másik „kihívásos válasz”-értéket a jelszó és az NDS-szervertől kapott véletlen érték alapján, majd visszaküldi azt az NDS-szerverhez a VPN-szerveren keresztül.
   
8. Az NDS-szerver a visszaküldött értékből megállapítja, hogy a kliens helyes jelszót adott-e meg. Amennyiben igen, úgy az NDS-szerver hitelesíti a klienst.

Miután az NDS hitelesítette a klienst, visszaadja az irányítást a VPN-szervernek. A VPN-szerver az RSA nyilvános kulcsával titkosítja és aláírja a VPN konfigurációs adatokat, és elküldi azokat a kliensnek. Ezek között megtalálhatók a VPN-szerver Diffie-Hellman paraméterei, valamint a Diffie-Hellman nyilvános kulcsértéke. Megtalálhatók továbbá a VPN-szerver beállításai is: a védett hálózatok listája, a védett hálózati jelzőbitje, valamint a többi biztonsági paraméter (például a beállított titkosítási és hitelesítési módszerek).

A kliens a szervertől kapott konfigurációs adatok segítségével automatikusan konfigurálja magát, és létrehoz egy alagutat. A VPN-szerver Diffie-Hellman paraméterei alapján generálja le saját Diffie-Hellman nyilvános és privát kulcsát. A kliens saját Diffie-Hellman nyilvános kulcsát visszaküldi a VPN-szervernek, a kliens RSA privát kulcsával aláírva. A kliens ezután a saját Diffie-Hellman privát kulcsa és a szerver Diffie-Hellman nyilvános kulcsa segítségével készíti el a „megosztott titok” értéket, és létrehozza a VPN-szerver felé az alagutat.

A kliens a szervertől kapott adatok – a védett hálózatok listája és a védett hálózatok jelzőbitje –alapján határozza meg, hogy mely IP-csomagokat kell titkosítania. A jelzőbittel beállítható, hogy csupán az adott VPN-szerver védett hálózatai felé menő IP-csomagokat titkosítsa. (Az IPX-csomagokat mindenképpen titkosítja a kliens, függetlenül a védett hálózatok jelzőbitjének értékétől.) Ez a szelektív titkosítás maximálisra növeli a teljesítményt, hiszen a kliens a nem védett IP-helyszínekhez (például webhelyekhez) titkosítás nélkül férhet hozzá.

8. ábra. A kihívásos válaszon alapuló hitelesítés

A távoli felhasználó figyelheti a kapcsolatot a kliens aktivitásfigyelő képernyőjén. A 9. ábrán e képernyő látható.

A BorderManager 3 VPN Services 3 a BorderManager Enterprise Edition 3 termékcsomag – egy teljeskör, integrált biztonsági megoldás – része. A BorderManager 3 VPN Services 3 mellett a BorderManager Enterprise Edition 3 az alábbi termékeket tartalmazza:

• A BorderManager Firewall Services 3 biztonsági irányelvek címtáralapú felügyeletét valósítja meg, a bizalmas adat védelme, valamint a felhasználók az intranetes és Internetes tartalomhoz való hozzáférésének vezérlése céljából.
  
• A BorderManager Authentication Services 3 lehetővé teszi, hogy a felhasználók távolról, behívással, az Interneten keresztül csatlakozzanak a hálózathoz és férhessenek hozzá az összes szükséges hálózati erőforráshoz – alkalmazáshoz, fájlhoz, nyomtatóhoz és szolgáltatáshoz –, mindössze egyetlen jelszóval.
  
• A BorderManagerFastCache™ Services 3 az iparág leggyorsabb, legjobban méretezhető internetes gyorsítótár-szolgáltatása, minden webet is használó cég, tartalom- és Internet-szolgáltató számára.
  
• A NetWare® 5 egy teljeskör, az NDS-t kihasználó megoldás biztosítása érdekében.

9. ábra: A kliensaktivitás monitorképernyője

A BorderManager Enterprise Edition 3 a Novell-címtárszolgáltatást (NDS-t) kihasználva az alábbi funkciókat képes nyújtani: