O controle de acesso é uma parte importante da segurança do BorderManager. Esta seção fornece informações sobre como usar o controle de acesso, descreve o que são regras de acesso e o que é uma lista de controle de acesso e mostra como o controle de acesso funciona em um servidor BorderManager. Ela contém as seguintes subseções:

• "Usar o controle de acesso com o BorderManager"
• "Implementar o controle de acesso"
• "Regras de acesso"
• "Listas de controle de acesso"

Usar o controle de acesso com o BorderManager

Controle de acesso é o processo através do qual um administrador pode regular e monitorar o acesso dos usuários a vários serviços da intranet ou da Internet. O controle de acesso proporciona uma faixa bem mais ampla de opções de segurança da rede do que a filtragem de pacotes apenas. Como na filtragem de pacotes, você pode usar o controle de acesso para oferecer segurança no nível da rede (firewall de Nível I), mas também pode usá-lo para oferecer segurança no nível do circuito (firewall de Nível II) e no nível do aplicativo (firewall de Nível III).

Além disso, você pode usar o controle de acesso para implementar uma diretiva de segurança global que seja bem mais personalizada para atender às necessidades do site. Você pode definir acesso por usuário, por grupo de usuários, por horário do dia, por aplicativo e assim por diante.

Você usa o controle de acesso para especificar quais pedidos feitos através do Gateway IP da Novell, dos Serviços de Proxy e da VPN precisarão ser permitidos e quais precisarão ser negados. Por exemplo, talvez você queira controlar a utilização de determinado serviço de proxy ou limitar quem poderá usar o Gateway IP da Novell para se conectar com a Internet e, principalmente, quando esses usuários poderão estabelecer a conexão.

Ao configurar o controle de acesso para usar o Cyber Patrol, você também pode criar regras de acesso que utilizam categorias de URLs do Cyber Patrol. Isso permite que você implemente a filtragem de conteúdo baseado em categorias para controlar o acesso dos usuários a categorias inteiras de URLs que podem possuir conteúdo censurável da Web. Para obter maiores informações, consulte o site do Cyber Patrol na Web no endereço www.cyberpatrol.com/novell.

Para obter informações sobre projetos de segurança que utilizam o controle de acesso em combinação com outros serviços do Novell BorderManager, consulte o "Visão geral", "Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation)", "Visão geral e planejamento do recurso Serviços de Proxy" e "Visão geral e planejamento da VPN (Virtual Private Network)".

O software de controle de acesso do BorderManager funciona permitindo ou negando pedidos feitos através do Gateway IP da Novell, dos Serviços de Proxy e da VPN. Para obter informações sobre como configurar esses serviços, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Configuração e gerenciamento dos serviços de proxy Configuração e gerenciamento da VPN

Implementar o controle de acesso

O controle de acesso do BorderManager contém dois elementos:

• Regras de acesso --- Regras específicas que definem quais origens podem acessar quais destinos em quais horários.
• Listas de controle de acesso --- Conjuntos ordenados de regras de acesso que controlam o acesso à intranet e à Internet através de um servidor BorderManager.

A maneira como a configuração inicial do controle de acesso do BorderManager é tratada varia em função da versão do sistema operacional NetWare^® em que o software BorderManager está sendo instalado.

Instalação no NetWare 5

Durante a instalação no NetWare 5^TM, você pode optar por executar o controle de acesso. Se você optar por executá-lo em um servidor BorderManager, o serviço ficará habilitado e será necessário criar regras de controle de acesso para que o BorderManager funcione corretamente. Do contrário, todos os pedidos de acesso serão negados porque a única regra de acesso padrão é uma regra Negar Qualquer.

Se você optar por não executar o controle de acesso na instalação, poderá habilitar o serviço sempre que quiser. Consulte o manual Configuração e Gerenciamento do Controle de Acesso para obter informações detalhadas sobre como ativar o controle de acesso.

Instalação no NetWare 4.11

Se você estiver instalando o BorderManager em um sistema NetWare 4.11, por padrão o controle de acesso ficará desabilitado e todos os pedidos de acesso serão permitidos. Consulte o manual Configuração e Gerenciamento do Controle de Acesso para obter informações detalhadas sobre como ativar o controle de acesso.

Regras de acesso

As regras de acesso são os principais elementos do controle de acesso. Elas se aplicam a clientes que estejam solicitando acesso através do Gateway IP da Novell, dos Serviços de Proxy ou de uma VPN. Essas regras controlam o tráfego através de um servidor BorderManager, geralmente entre a intranet da empresa e a Internet.

Ao criar regras Permitir ou Negar, você pode controlar o acesso a:

• Muitos serviços da rede e da Web
• Gateways IP da Novell
• Serviços de Proxy do BorderManager
• VPNs
• URLs

Você pode configurar regras de acesso nos seguintes níveis de objetos do NDS^TM:

• País (P)
• Organização (O)
• Unidade Organizacional (UO)
• Servidor

Você pode aplicar regras de acesso a uma grande variedade de usuários e recursos, especificando as regras para objetos Organização e objetos Unidade Organizacional. Pode também criar regras que se apliquem especificamente a usuários individuais, como endereços IP, e assim por diante.

Configure regras que afetem todos os usuários do NDS em um container alto o suficiente na Árvore do NDS para incluir todos os objetos Servidor que representem servidores em execução no BorderManager. Isso garante que as mesmas regras serão aplicadas a todos os usuários do NDS, independentemente de qual servidor BorderManager eles usem para acessar a Internet.

Estrutura da regra de acesso

Ao criar uma regra de acesso, você pode especificar os seguintes elementos:

• Ação
• Tipo de Acesso
• Origem
• Destino
• Restrição de Horário
• Registrando

Ação

O parâmetro Ação especifica como a regra de acesso funciona, da seguinte maneira:

• Permitir --- Uma regra Permitir especifica que determinados pedidos de acesso precisam ser permitidos com base na origem, no tipo de acesso, no destino ou nas restrições de horário especificadas.
• Negar --- Uma regra Negar especifica que determinados pedidos de acesso precisam ser negados com base na origem, no tipo de acesso, no destino ou nas restrições de horário especificadas.

Tipo de acesso

A seleção Tipo de Acesso é o elemento de controle mais importante de uma regra de acesso. Você pode especificar um dos seguintes elementos:

• Porta --- Um pedido de acesso feito para determinada porta com base nos números de porta TCP/IP reconhecidos. Para os pedidos de acesso de porta, você pode especificar o tipo da porta, os números de porta e o protocolo de transporte (TCP, UDP ou TCP & UDP).

• URL --- Um pedido de acesso feito para determinado URL com base em uma página ou um site Web.

• Proxy do Aplicativo --- Um pedido de acesso feito a um servidor proxy com base nos proxies implementados no BorderManager (HTTP, FTP, SMTP, NNTP e TCP/UDP Genérico). O controle dos proxies de aplicativos baseia-se nos números de porta TCP/IP reconhecidos, mas é mais específico para o protocolo usado pelo componente Serviços de Proxy do BorderManager.

  Para regras de acesso do proxy, você pode especificar o tipo do proxy, o número da porta, a direção dos pedidos (Enviar, Receber ou Enviar & Receber) e detalhes sobre os tipos de arquivo que deseja restringir.

• Cliente VPN --- Um pedido de acesso feito para um servidor VPN.

Origem

Os parâmetros Origem representam os usuários que desejam acessar a intranet da empresa ou a Internet através de um servidor BorderManager. Cada transação em uma rede possui uma origem e um destino. Dependendo da seleção de Tipo de Acesso especificada anteriormente, o utilitário de configuração de regras de acesso permitirá que você configure regras de acesso que se aplicam a origens diferentes, como é mostrado a seguir:

• <Qualquer> >--- Todos os usuários

• Um ou mais usuários do NDS

• Um ou mais grupos de usuários do NDS

  São usados nomes de usuários NDS, grupos de usuários ou containers específicos para coincidir um nome NDS com um pedido de acesso. O BorderManager armazena os containers, grupos e nomes de usuários NDS como nomes não-tipificados totalmente qualificados. O utilitário de configuração do controle de acesso exibe objetos do NDS para você escolher. Você não pode digitar nomes NDS manualmente nas regras de acesso.

• Um ou mais nomes de hosts DNS

  São usados nomes de hosts específicos para coincidir o nome DNS em um pedido de acesso do usuário.

• Um ou mais nomes de usuários de e-mail ou nomes de domínios de e-mail

  Nomes de usuários de e-mail ou nomes de domínios de e-mail específicos são usados para coincidir o nome de domínio e o nome de e-mail do usuário em um pedido de acesso.

• Um endereço IP ou uma faixa de endereços IP

• Um ou mais endereços IP de sub-rede, incluindo a máscara de sub-rede de cada endereço de sub-rede (por exemplo, 255.255.252.0)

  Endereços IP específicos, uma faixa de endereços IP ou endereços IP de sub-rede são usados para coincidir o endereço IP do browser do usuário em um pedido de acesso.

Destino

Os parâmetros Destino representam o host da intranet ou da Internet que o usuário deseja acessar através do servidor BorderManager. Dependendo da seleção de Tipo de Acesso especificada anteriormente, o utilitário de configuração de regras de acesso permitirá que você configure regras de acesso que se aplicam a destinos diferentes, como é mostrado a seguir:

• <Qualquer> >--- Todos os usuários

• Um ou mais nomes de hosts DNS

  São usados nomes de hosts específicos para coincidir o nome DNS do site Web que o usuário deseja acessar.

• Um endereço IP ou uma faixa de endereços IP

• Um ou mais endereços IP de sub-rede, incluindo a máscara de sub-rede de cada endereço de sub-rede (por exemplo, 255.255.252.0)

  Endereços IP específicos, uma faixa de endereços IP ou endereços IP de sub-rede são usados para coincidir o endereço IP do site Web que o usuário deseja acessar.

• Um ou mais nomes de grupos de notícias

• Um ou mais nomes de usuários de e-mail ou nomes de domínios de e-mail

• URL (Uniform Resource Locator)

  São usados URLs específicos para coincidir a página ou o site Web que o usuário deseja acessar. Os URLs podem ser especificados para um site inteiro na Web ou para determinada página Web. Se você tiver instalado o software Cyber Patrol que é executado com o BorderManager, poderá usar as listas CyberYES e CyberNOT para coincidir os sites Web que o usuário deseja acessar.

Restrição de horário

Você pode especificar <Qualquer um>, o que significa que a regra será sempre aplicada, ou definir horas específicas do dia e dias específicos da semana durante os quais a regra precisará ser aplicada. Use a grade que é mostrada para especificar os horários e os dias apropriados à rede e aos usuários.

Registro de acerto de regras

Se você marcar a caixa de seleção Habilitar Registro do Acerto de Regras, todas as tentativas de conexão aos destinos e serviços indicados nas regras de acesso serão registradas em um arquivo de registro.

Usar curingas nas regras de acesso

O BorderManager permite que você digite curingas (*) nas seguintes informações de origem e destino:

• Nome do host
• URL
• Nome do e-mail
• Domínio do e-mail
• Grupo de notícias

Um curinga é usado para pular um ou mais caracteres ao comparar duas strings de caracteres. Por exemplo, a string *.xyz.com corresponde a www1.xyz.com e a www2.xyz.com. Um outro exemplo: a string *xyz* corresponde a qualquer string de caracteres que contenha as letras "xyz", como abcxyzsd ou ?xyz/.

NOTA: Não existe correspondência de curingas para containers, grupos e usuários do NDS porque você não pode digitar os nomes de containers, grupos e usuários do NDS manualmente em uma regra de acesso.

Ao usar curingas para comparar URLs, observe que você obterá uma correspondência mais específica se usar // ou / para fixar seu nome curinga mais especificamente. Por exemplo, para coincidir todos os URLs que tenham as letras "cgi" como parte do caminho, a melhor entrada curinga seria "*/cgi/*". Essa entrada coincidiria com todos os URLs apropriados, como http://www.x.com/cgi/xyz. Com uma utilização menos específica de curingas, como "*cgi*," sua entrada coincidiria com http://www.x.com/cgi/xyz, mas também com http://www.cgi.com/xyz, um URL no qual você não estava interessado.

Listas de controle de acesso

Como foi mencionado anteriormente, você pode configurar regras de acesso nos objetos País (P), Organização (O), Unidade Organizacional (UO) e Servidor do NDS. Quando o BorderManager é carregado em um servidor, ele coleta os conjuntos de regras de acesso criados em cada um desses objetos do NDS. Primeiro, ele coleta as regras do seu objeto Servidor, depois do objeto Unidade Organizacional (UO) acima do objeto Servidor, do objeto Organização (O) acima do objeto UO e, por último, do objeto País (P) acima do objeto O. Uma lista de controle de acesso de um servidor BorderManager é, simplesmente, um grupo de todos esses diversos conjuntos de regras de acesso na ordem especificada. Essa lista de regras consolidada controla os destinos ou serviços que os objetos podem e não podem acessar através do servidor BorderManager, assim como quando os objetos podem acessá-los.

Relação hierárquica

O fato de o BorderManager permitir que você configure e armazene regras de acesso em diversos objetos do NDS estabelece uma relação hierárquica de regras de controle de acesso. A localização de determinado conjunto de regras de acesso em uma Árvore do NDS define quais servidores possuem essas regras incorporadas às suas listas de controle de acesso e em qual ordem.

NOTA: A localização de uma regra de acesso em uma Árvore do NDS determina quais servidores BorderManager lêem a regra e qual regra é colocada em uma lista de regras efetivas do servidor. Não há qualquer relação entre o contexto em que uma regra existe e o contexto em que um usuário existe. Uma regra definida em qualquer parte da árvore pode afetar um usuário definido em qualquer parte dessa árvore.

A seqüência de cada lista de regras que você cria é mantida dentro da lista de controle de acesso do servidor BorderManager. Quando várias listas de regras são consolidadas, as regras definidas no nível do servidor são colocadas no início da lista de controle de acesso. As regras definidas próximas à raiz da Árvore do NDS são colocadas no fim. A seqüência de regras na lista de controle de acesso é importante porque, quando um pedido de acesso é feito, o BorderManager lê a lista de controle de acesso do servidor do início (a lista de regras do servidor) e age sobre a primeira regra que se aplica ao pedido.

Exemplo de relação hierárquica

Neste exemplo, a Empresa Acme tem a Árvore do NDS a seguir, com diversos conjuntos de regras de acesso definidos em cinco locais diferentes.

Quando o border_server_1 gera sua lista de controle de acesso, ele lê primeiro suas próprias regras de acesso; em seguida, as regras de acesso em ou=mktg; e depois as regras de acesso em o=acme. As regras de acesso do objeto border_server_1 serão as primeiras da lista. As regras de acesso do objeto o=acme serão as últimas. As regras de acesso são lidas do nível cn= para cima até o nível mais alto na seqüência. Nesse exemplo, border_server_1 nunca lerá as regras de acesso em ou=sales nem no servidor border_server_2.

No entanto, quando o border_server_2 gera sua lista de controle de acesso, primeiro ele lê suas próprias regras, em seguida lê as regras de acesso em ou=sales, depois as regras de acesso em ou=mktg e por último as regras de acesso em o=acme. Observe que as regras em ou=sales são usadas somente pelo border_server_2, porque ele está no contexto de ou=sales.

Se um usuário receber acesso aos dois servidores e tentar acessar a Internet, as listas de controle de acesso desses dois servidores serão idênticas ao que é mostrado na tabela a seguir.

Processamento de regras

Mais uma vez, nenhuma relação existe entre a localização de uma regra e os usuários ou grupos afetados por ela. A localização de uma regra de acesso na Árvore do NDS afeta somente a ordem em que a lista de controle de acesso é lida e quais regras existem na lista de controle de acesso de qual servidor. Embora as regras de acesso existam em um único contexto, isso não quer dizer que elas sejam efetivas somente para os usuários desse contexto. Qualquer regra de acesso na lista de controle de acesso de um servidor BorderManager controla o acesso de todos os usuários que solicitam acesso através desse servidor.

Por exemplo, se a primeira regra de acesso na lista de controle de acesso do border_server_1 for Permitir Qualquer, qualquer usuário que esteja utilizando esse servidor pode acessar qualquer site Web. Se um usuário em ou=sales utilizar o servidor border_server_1 como servidor proxy, esse usuário poderá acessar qualquer site Web.

O BorderManager processa regras de acesso na lista de controle de acesso seqüencialmente para coincidir com um pedido de acesso. Quando um pedido de acesso coincide com uma regra de acesso, a ação especificada na regra (permitir ou negar) é aplicada imediatamente ao pedido de acesso e nenhum processamento adicional ocorre. Se não houver correspondência entre o pedido de acesso e todo o conjunto de regras de acesso (a lista de controle de acesso), a ação padrão Negar Qualquer será aplicada ao pedido de acesso.