5. April 2007
Novell® BorderManager® ist die erste Firewall- und VPN-Technologie, die Lösungen für sicheres Identitätsmanagement ermöglicht. Mit seinen leistungsstarken Verzeichnis-integrierten Funktionen lassen sich die Internetaktivitäten des Benutzers steuern, beschleunigen und überwachen. Novell BorderManager 3.7 setzt zur Sicherung Ihres Netzwerks gegen unerwünschte Internet-Inhalte eine identitätsbasierte Zugriffssteuerung und Forward-Proxys ein und gewährleistet gleichzeitig ein hervorragendes Leistungsniveau.
Novell BorderManager integriert zusätzlich IPSec-basierte VPN-Services und eine ICSA-Labs-zertifizierte Firewall, um den Schutz Ihres Netzwerks und die Produktivität Ihrer Benutzer sicherzustellen.
Dieses Dokument bietet einen kurzen Überblick über die neuen Komponenten und Funktionen von Novell BorderManager 3.9. Außerdem werden alle bekannten Probleme und Einschränkungen für diese Version beschrieben.
Im Folgenden werden die neuen Funktionen von Novell BorderManager 3.9 aufgeführt:
Ab Novell BorderManager 3.9 ist es möglich, den Proxy über iManager zu konfigurieren.
Ab dieser Version ist Novell BorderManager in der Lage, über den FTP-Proxy eine Verbindung im aktiven Modus zum Ursprungs-FTP-Server herzustellen.
Die Konfiguration von Terminalserver und Sitzungs-Failover wird nicht mehr in der Datei proxy.cfg durchgeführt. Sie können die Konfiguration nun über iManager durchführen.
Ab dieser Version kann die Konfigurationsdatei für Proxy- und Zugriffsregeln gesichert werden. Sie können diese Konfigurationsdatei wiederherstellen, wenn Sie die gesicherte Konfiguration wieder benötigen. Zur Sicherung der Proxy- oder Zugriffsregelkonfiguration klicken Sie auf auf der Seite "Proxy-Services" bzw. auf der Seite "Zugriffsregeln". Zur Wiederherstellung der gesicherten Konfiguration klicken Sie in der Proxy-Auswahlseite von BorderManager auf . Suchen Sie anschließend die gesicherte Datei.
Wenn Sie die Zugriffsteuerungsregeln konfigurieren, können Sie die Option aktivieren. Wenn diese Option ausgewählt wurde, werden alle mit der jeweiligen Regel verbundenen Zugriffsversuche protokolliert. Sie können über den Secure Logging Server von Novell Audit auf diese Protokolle zugreifen.
Das Erscheinungsbild der VPN-Administrationsschnittstelle von Novell BorderManager 3.9 wurde geändert.
Novell BorderManager 3.9 unterstützt einen vorinstallierten Schlüssel zum Aufbau des VPN-Tunnels zwischen zwei Site-to-Site-Mitgliedern.
Ab dieser Version bietet Novell BorderManager einen VPN-Client auf der Linux*-Plattform an. Der VPN-Client läuft unter SUSE Linux Enterprise Desktop (SLED) 10 mit der NDS NMAS-Authentifizierungsmethode.
NetWare 6.5 SP 6.
Diese Version enthält folgende Komponenten und Funktionen:
Diese Version bietet eine Neuinstallation einschließlich folgender Elemente:
Die VPN-Schemaerweiterung wird über NWCONFIG durchgeführt.
Automatische Installation von Proxy-, Zugriffssteuerungslisten-, Firewall- und VPN-Konfigurations-Plugins für iManager 2.6 unter NetWare® 6.5 SP 6.
Eine Funktion zum Erstellen traditioneller Volumes zur Cache-Speicherung unter NetWare 6.5 ist enthalten.
Unterstützung des Proxy, der Zugriffssteuerungsliste, der Firewall und der VPN-Migration, um die Aufrüstung von Novell BorderManager 3.8 zu ermöglichen.
Option für die Wiederherstellung nach einer fehlgeschlagenen Installation.
Zusätzliche VPN-Paketfilter für Aufrüstungen.
Erstellung eines Installationsüberblicks mit Beschreibung der wichtigsten Installationsschritte in sys:ni\data\NBM_Instlog.csv
Sie können folgende Services über iManager konfigurieren:
Proxy
Zugriffssteuerungsliste
Firewall-Services
VPN-Server
Client-to-Site-Service
Site-to-Site-Service
iManager 2.6 wird in dieser Version unterstützt. Dabei können die Server von jeder Arbeitsstation aus konfiguriert werden, auf der Internet Explorer (Version 5.5, 6.0 oder höher) installiert ist. Dies erleichtert die Einrichtung von Verkehrs- und Authentifizierungsregeln erheblich.
Folgende Funktionen werden mit dieser Version implementiert:
Am Novell BorderManager-Proxy wurden eine Reihe von Änderungen vorgenommen.
Sitzungsüberbrückung
FTP-Proxy-Konfiguration im aktiven Modus
Der Client-to-Site-Service unterstützt detaillierte Richtlinien zum Zugriff auf private Ressourcen. Dabei werden folgende Funktionen unterstützt:
IKE und SKIP zur Schlüsselverwaltung:
NMAS LDAP-Methode für Novell BorderManager 3.98 zur Authentifizierung des Benutzers beim autorisierten Remote-Verzeichnis (LDAP).
X.509-Zertifikatsauthentifizierungsmodus.
Novell BorderManager 3.9 VPN unterstützt Novell Modular Authentication Services (NMAS) für den Client-to-Site-Service. Zusätzlich zum Zertifikatauthentifizierungsmodus mit IKE können der VPN-Client und der Server mithilfe der NMAS-Methoden authentifiziert werden. Die eDirectory-Sequenz (NDS) ermöglicht einem Benutzer die Authentifizierung beim VPN-Authentifizierungs-Gateway mit dem eDirectory-Passwort. Novell BorderManager 3.9 setzt die Installation von NMAS 3.1.2 für den Server und von NMAS 2.2.4 oder höher für den Client voraus. Die erforderlichen NMAS-Methoden müssen sowohl auf dem Client als auch auf dem Server installiert und konfiguriert sein.
Sie können die VPN-Authentifizierung mit einem vorinstallierten Schlüssel durchführen, der im VPN-Server konfiguriert ist. Bei diesem Modus wird die Standard-Verschlüsselungsregel an den Client gesendet.
Der aggressive Modus wird für die IKE SA/Phase 1-Verhandlung unterstützt.
Zu den Änderungen an den Verkehrsregeln gehören:
UDP-Verkehr: Die UDP-Portnummer wird nicht mehr benötigt. Der Benutzer muss lediglich die TCP-Portnummer angeben.
Drittanbieter-Connectivity: Verschiedene Client-Typen können jetzt im PSS- und Zertifikatsmodus eine Verbindung zum VPN-Server herstellen. Die Clients können sich dabei auf Betriebssystemen wie Macintosh* oder Linux befinden oder sie können SSH-Arbeitsstationen sein.
DNS/SLP-Konfiguration: Diese Konfiguration bietet die Adressenliste der DNS-Server und Verzeichnisagenten, die während der VPN-Sitzung beim Client angewendet werden. Die Verzeichnisagentenliste (SLP) wird verwendet, wenn während der VPN-Sitzung eine Novell-Authentifizierung stattfindet. Nach dem Ende einer Verbindung gelten für den Client wieder die ursprünglichen DNS-Informationen.
Der Benutzer hat die Wahl zwischen der Zertifikats- und der NMAS-Authentifizierung, es können aber auch beide Methoden verwendet werden. Bei Auswahl der Zertifikatsauthentifizierung müssen eine oder mehrere Herkunftsverbürgungen konfiguriert werden. Für die NMAS-Authentifizierung muss die Zugriffsberechtigungsebene (der minimal zulässige Authentifizierungsgrad) konfiguriert werden.
Die bei der Client-to-Site-Konfiguration in der Registerkarte "Allgemein" verfügbare Funktion "IP-Adresszuweisung" erleichtert die Aufrechterhaltung der eindeutigen Verbindung im Server für verschiedene Clients. Sie löst auch die Probleme im Zusammenhang mit Client-IP-Adresskonflikten hinter NAT. Nach Abschluss der IP-Adresszuweisung müssen die Zwischen-Router im internen Netzwerk auf den VPN-Server verweisen.
Anstelle eines Zertifikatssubjektnamens können Benutzer oder VPN-Mitglieder einen alternativen Subjektnamen verwenden.
Der VPN-Server unterstützt Site-to-Site-Services zwischen zwei Novell BorderManager 3.9-VPN-Servern sowie zwischen einem Novell BorderManager 3.8-Server und einem Novell BorderManager 3.9-Server. Dieser Service unterstützt detaillierte Richtlinien. In iManager kann der Novell BorderManager 3.9-Server als Master oder als Slave konfiguriert werden. Folgende Site-to-Site-Funktionen werden unterstützt:
IKE und SKIP zur Schlüsselverwaltung:
X.509-Zertifikatsauthentifizierungsmodus.
Unterstützung von Netz- und Sterntopologie
VPN-Server hinter NAT
Drittanbieter-Connectivity-Unterstützung ermöglicht verschiedenen Client-Typen die Verbindung zum Server im PSS-Modus.
Die webbasierte VPN- und Proxy-Überwachung ermöglicht eine Darstellung der Aktivitäten auf dem VPN- und Proxy-Server. Diese Komponente ist über die NetWare-Remote-Verwaltungsumgebung verfügbar. Die Darstellung ist zwar schreibgeschützt, bietet aber die Möglichkeit zum Zurücksetzen der Verbindungen. Sie bietet detaillierte Daten für jede einzelne Sitzung und für jeden einzelnen Server. Außerdem zeigt die Darstellung den Status des Site-to-Site-Services. Die Überwachungskomponente steht auf der Administrator-, Benutzer- und Entwickler-Ebene zur Verfügung.
Gehen Sie zum Start der Überwachungsfunktion zu https://<ipadresse> Klicken Sie im linken Bereich auf .
Ein wichtiges Merkmal der VPN-Überwachung ist die Schaltfläche . Für Site-to-Site-Services gibt es zwei Verfahren zur Synchronisierung:
Synchronisierung ausgewählter Server: Wählen Sie die Server durch Aktivierung der entsprechenden Kontrollkästchen aus und klicken Sie dann auf die Schaltfläche .
Synchronisierung aller Server: Klicken Sie auf die Schaltfläche , um gleichzeitig alle Mitglieder zu synchronisieren.
Gehen Sie zum Start der Überwachungsfunktion zu https://<ipadresse> Klicken Sie im linken Bereich auf .
Es ist möglich, die Site- und Cache-Statistik für alle Proxy-Services abzurufen. Es ist möglich, die aktualisierten Server-Statistiken zu festen Intervallen abzurufen.
Die VPN-Komponente arbeitet auch als selbständiges Dienstprogramm.
VPN liest BorderManager 3.8 VPN-Konfigurationen aus ihren jeweiligen Standorten aus (Konfigurationsdateien oder Novell eDirectory) und konvertiert sie in eine mit Novell BorderManager 3.9 kompatible Konfiguration.
Halten Sie vor der Installation alle VPN-Services an, falls die Installation auf einem Master-Server erfolgt.
Als Zusatzfunktion werden bei öffentlichen Schnittstellen, bei denen die Paketfilterung aktiviert ist, während einer Aufrüstung vom Installationsprogramm automatisch Filter für Novell BorderManager 3.8 VPN-Services hinzugefügt.
VPN und die Firewall sind ICSA Labs-zertifizierte Firewalls.
Diese Komponenten umfassen folgende Elemente:
Brdcfg.nlm kann jetzt zum Hinzufügen von Ausnahmen für VPN-Services auf dem Novell BorderManager 3.9-Server verwendet werden. Diese Ausnahmen lassen VPN-Verkehr durch die Firewall zu.
Die Konfiguration von Paketweiterleitungsfiltern mit iManager wurde vereinfacht.
Dieser Abschnitt beschreibt die bekannten Probleme und Einschränkungen von Novell BoderManager 3.9.
Bei der Aufrüstung des Servers auf NetWare 6.5 wird vptunnel.lan vom Server gelöscht.
Durch die Deinstallation werden lediglich die Novell BorderManager 3.8-Dateien entfernt, aber nicht die Konfiguration.
Downgrade der Datei filtsrv.nlm bei Verwendung der NetWare 6.5 SP6 Overlay-CDs oder -DVD zur Aufrüstung eines Servers, auf dem bereits NBM 3.8 installiert ist. Kopieren Sie zur Behebung dieses Problems die Datei filtsrv.nlm manuell in das Verzeichnis sys:\system. Verwenden Sie die Datei filtsrv.nlm, Version 1.61.13, von Donnerstag, 24. November 2005.
Bei der Installation von Novell BorderManager 3.8 tritt bei der Authentifizierung möglicherweise ein Fehler auf, wenn das Passwort Sonderzeichen (z. B. % oder #) enthält #.
Nach einer Aufrüstung von iManager 2.5 auf 2.6 während der Aufrüstung von NetWare OS ist das iManager-Plugin nicht verfügbar, wenn Novell BorderManager 3.8.x bereits installiert ist. Kopieren Sie die Dateien bm.npm und vpn.npm aus dem Verzeichnis sys:\public\brdmgr\snapins\ in das Plugin-Modul von iManager und installieren Sie sie. Starten Sie iManager neu.
Aufgrund der kurzen Zeitüberschreitungsdauer bei Inaktivität kann es zu einer Trennung der Clients kommen. Ändern Sie den Standardwert der Inaktivitäts-Zeitüberschreitung in einen höheren Wert, wenn die Benutzer über einen längeren Zeitraum im Leerlaufmodus bleiben.
Wenn das System während einer VPN-Sitzung in den Leerlaufstatus übergeht, kann es zum Verlust der IP-Adresse kommen. Trennen Sie das VPN und deaktivieren Sie den Adapter. Aktivieren Sie ihn wieder, um die IP-Adresse zu erhalten.
Wenn der vptunnel nach Abschluss der Anfangskonfiguration nicht auf dem Slave geladen wird, führen Sie auf dem Slave den Befehl "reinitialize system" aus.
In dieser Version gibt es keine Unterstützung für die Ring-Topologie.
Bei der Migration von Novell BorderManager 3.8 SP 5 auf Novell BorderManager 3.9 wird die Bitmaske in der Warnmeldungskonfiguration nicht migriert.
Nach der Migration von Novell BorderManager 3.8 SP 5 auf Novell BorderManager 3.9 können Site-to-Site-Mitglieder keine Tunnels mehr aufbauen. So können Sie das Problem umgehen:
Führen Sie einen der folgenden Vorgänge aus:
Wenn eine Migration von 3.8 Master auf 3.9 Master erfolgt ist, wählen Sie und ändern Sie die Mitgliedsversion von Master in 3.9.
Wenn keine Migration der 3.8 Slaves auf 3.9 erfolgt ist, wählen Sie und ändern Sie die Mitgliedsversion in 3.8.
Wenn eine Migration der 3.8 Slaves auf 3.9 erfolgt ist, wählen Sie und ändern Sie die Mitgliedsversion in 3.9.
Starten Sie alle Server neu.
Es ist nicht möglich, einen Slave-Server in der Mitgliederliste hinter NAT zu überwachen. Zur Überwachung eines derartigen Slave müssen Sie eine Direktverbindung zwischen NetWare Remote Manager und dem Slave einrichten.
Die Terminalserver-Authentifizierung funktioniert nicht bei der Java-Applet-basierten Authentifizierung oder bei der einmaligen Novell BorderManager-Proxy-Anmeldung mit clntrust.exe.
Die MAC OS-SSL-Authentifizierung beim Proxy unterstützt keine Java-Applet-Authentifizierung.
Master- und Slave-AuthAgents, die auf demselben Computer ausgeführt werden, verwenden dieselbe Protokolldatei.
Es gibt keine Unterstützung von NSS-Volumes für das Proxy-Caching. Stattdessen werden dringend traditionelle NetWare-Volumes empfohlen.
In Clustern steht der Inhalt eines Proxy-Caches für ein Failover nicht anderen Knoten zur Verfügung.
Pingbacks werden zwar gefiltert, aber nicht protokolliert.
In der Liste "Easy Filter Configuration" wird nur die auf dem Server konfigurierte öffentliche Schnittstelle aufgeführt. Diese Liste mit den Schnittstellen wird nicht sofort aktualisiert, wenn der Schnittstellenstatus von "Öffentlich" in "Privat" geändert wird. ( zum Wechseln zwischen "Öffentlich" und "Privat). Die Liste wird alle 30 Sekunden aktualisiert. Führen Sie eine Neuinitialisierung des Systems durch ( System), damit Änderungen sofort angezeigt werden
Der Stateful-Ping-Filter ermöglicht das Pingen von jeweils einer Seite der Firewall. Das simultane Pingen zwischen zwei Hosts über die Firewall hinweg ist nicht möglich. Wenn Sie das simultane Pingen ermöglichen möchten, erstellen Sie einen statischen ICMP-Filter und deaktivieren Sie die Filter unmittelbar nach der Verwendung. Diese Empfehlung basiert auf Sicherheitsaspekten.
Der vollständige eindeutige eDirectory-Name des Novell BorderManager-Servers muss auf 64 Zeichen beschränkt sein. Beispiel: cn=fw-server.o=novell.
Eine Firewall mit aktivierter Protokollierung funktioniert nach längerer Beanspruchung möglicherweise nicht mehr ordnungsgemäß.
In folgenden Quellen finden Sie Informationen zu Novell BorderManager 3.9:
Novell BorderManager 3.9 Installation Guide
Novell BorderManager 3.9 Administration Guide
Novell BorderManager 3.9 VPN Client Installation Guide
Novell BorderManager 3.9 Troubleshooting Guide
Online-Hilfe
In dieser Dokumentation trennt das Größer-als-Zeichen (>) Aktionen innerhalb eines Schritts und Elemente in einem Querverweispfad voneinander.
Ein Markensymbol (® , TM usw.) bezeichnet eine Marke von Novell und ein Sternchen (*) bezeichnet eine Drittanbieter-Marke
Die neuesten Dokumentationen und Readmes zu Novell BorderManager 3.9 finden Sie auf der Dokumentations-Website von Novell.
Novell, Inc. übernimmt für Inhalt oder Verwendung dieser Dokumentation keine Haftung und schließt insbesondere jegliche ausdrücklichen oder impliziten Gewährleistungsansprüche bezüglich der Marktfähigkeit oder Eignung für einen bestimmten Zweck aus. Novell, Inc. behält sich das Recht vor, dieses Dokument jederzeit teilweise oder vollständig zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen davon in Kenntnis zu setzen.
Novell, Inc. gibt ebenfalls keine Erklärungen oder Garantien in Bezug auf Novell-Software und schließt insbesondere jegliche ausdrückliche oder stillschweigende Garantie für handelsübliche Qualität oder Eignung für einen bestimmten Zweck aus. Außerdem behält sich Novell, Inc. das Recht vor, Novell-Software jederzeit ganz oder teilweise zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen.
Alle im Zusammenhang mit dieser Vereinbarung zur Verfügung gestellten Produkte oder technischen Informationen unterliegen möglicherweise den US-Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer Länder. Sie stimmen zu, alle Gesetze zur Exportkontrolle einzuhalten, und alle für den Export, Reexport oder Import von Lieferungen erforderlichen Lizenzen oder Klassifikationen zu erwerben. Sie erklären sich damit einverstanden, nicht an juristische Personen, die in der aktuellen US-Exportausschlussliste enthalten sind, oder an in den US-Exportgesetzen genannte terroristische Länder oder Länder, die einem Embargo unterliegen, zu exportieren oder zu reexportieren. Sie stimmen zu, keine Lieferungen für verbotene nukleare oder chemisch-biologische Waffen oder Waffen im Zusammenhang mit Flugkörpern zu verwenden. Lesen Sie auf der Novell International Trade Services-Webseite nach, wenn Sie weitere Informationen zum Export der Novell-Software haben. Novell übernimmt keine Verantwortung für das Nichteinholen notwendiger Exportgenehmigungen.
Copyright © 1997-2007 Novell, Inc., Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Herausgebers darf kein Teil dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem Speichersystem verarbeitet werden.
Novell, Inc. besitzt gewerbliche Schutzrechte für die Technologie, die in dem in diesem Dokument beschriebenen Produkt integriert ist. Diese Rechte auf geistiges Eigentum umfassen möglicherweise insbesondere ein oder mehrere Patente in den USA, die auf der Novell-Webseite Novell Legal Patents aufgeführt sind, sowie ein oder mehrere andere Patente oder laufende Patentanträge in den USA und in anderen Ländern
Unter http://www.novell.com/company/legal/trademarks/tmlist.html finden Sie eine Liste der Novell-Marken.
Die Rechte für alle Marken von Drittanbietern liegen bei den jeweiligen Eigentümern.