Kontrola graniczna sieci

Border Services ułatwiają podłączanie sieci korporacyjnych do Internetu.

Border Services ułatwiają podłączanie sieci korporacyjnych do Internetu.

Podłączenie sieci korporacyjnej do Internetu stwarza nowe możliwości komunikacyjne wszystkim pracownikom firmy, stawiając jednocześnie nowe wyzwania administratorom odpowiadającym za bezpieczeństwo przechowywanych w niej informacji. Wersja beta produktu nazwanego kodowo Border Services firmy Novell ułatwia administratorom IntranetWare integrację ich sieci z Internetem, przy jednoczesnej implementacji odpowiednich zabezpieczeń przed nie autoryzowanym dostępem, a także umożliwia redukcję kosztów utrzymania całego rozwiązania. Nowy produkt jest wyposażony w mechanizmy umożliwiające budowanie prywatnych sieci wirtualnych na bazie publicznych sieci WAN.

Administracja

Pakiet składa się z czterech niezależnych serwisów internetowych: serwera Proxy, modułu sieci wirtualnych (VPN - Virtual Private Network), bramki IP/IP - czyli programowego routera oraz oprogramowania typu firewall. Każdy z tych modułów pracuje w systemie IntranetWare i zintegrowany jest w dużym stopniu z usługami katalogowymi NDS, które zapewniają scentralizowaną administrację aplikacjami pakietu.

Mimo że na rynku dostępnych jest już kilka rozwiązań niezależnych producentów odpowiadających funkcjonalnie komponentom wchodzącym w skład Border Services, lecz żadna z firm nie oferuje rozwiązania kompleksowego - równie bogatego i zintegrowanego, jak pakiet Novella.

Większość funkcji administracyjnych pakietu Border Services wykonać można za pośrednictwem standardowego narzędzia NWAdmin. Dlatego też osoba zarządzająca siecią nie musi już stosować kilku aplikacji do jej administracji, wystarczy jedna integrująca wszystkie możliwości. Dzięki dobrej integracji z NDS-em administrator nie musi także martwić się o wielokrotne wpisywanie tych samych danych (np. ustalanie praw dostępu), tak jak ma to miejsce w przypadku innych produktów. Raz ustalone parametry są bowiem wykorzystywane przez wszystkie aplikacje Novella, w tym także Border Services.

Proxy

Sercem nowego pakietu jest serwer Proxy, który podobnie jak rozwiązania Netscape'a i Microsoftu umożliwia buforowanie na dysku lokalnego serwera przesyłanych stron WWW, dzięki czemu użytkownicy mają szybszy dostęp do nich przez sieć. Za pośrednictwem NWAdmin administrator ustala, które strony mają być buforowane. Ma on do wyboru wiele kryteriów, np. częstotliwośc odświeżana stron itp. Możliwe jest także określenie praw dostępu do poszczególnych serwerów w Internecie poszczególnym użytkownikom sieci korporacyjnej lub też całkowity jego zakaz do i z określonych domen lub przedziałów adresów IP. Serwer Proxy oferuje także limitowanie dostępu do i z Internetu o określonych porach dnia, co umożliwia np. zakaz surfowania pracownikom firmy w regularnych godzinach pracy po serwerach, które nie są bezpośrednio związane z wykonywanymi przez nich obowiązkami. Operacja taka oprócz wyłączenia ulubionych "przeszkadzajek" zwiększa także dostępne pasmo sieciowe dla tych, którzy wykorzystują Internet profesjonalnie. Serwer Proxy Novella posługuje się w pracy standardowym protokołem Internet Cache Protocol (ICP). Umożliwia to automatyczne odwoływanie się do innych serwerów proxy pracujących w sieciach korporacyjnych i żądanie od nich przesłania zbuforowanych stron w przypadku, gdy nie znajdują się one na dysku podstawowego serwera, zanim jeszcze serwer ten próbował je ściągać z Internetu. Wadą stosowania serwera proxy Novella jest jednak fakt, że nie umożliwia on przesyłania identyfikatorów i haseł do serwerów internetowych, które wymagają identyfikacji. Być może problem ten zostanie rozwiązany w finalnej wersji produktu.

Sieci wirtualne

Pasmo oszczędzone poprzez zastosowanie serwera Proxy można wykorzystać na implementację sieci wirtualnych, czyli stworzenie kodowanych połączeń z innymi oddziałami firmy za pośrednictwem Internetu. Dzięki wykorzystaniu tego medium do budowy sieci korporacyjnych, zamiast dzierżawienia oddzielnych linii komunikacyjnych, osiąga się znaczne oszczędności kosztów (związane zarówno z kosztem linii dzierżawionych, jak i ich obsługi).

Usługi VPN dostępne w Border Services koncentrują się na łączności sieć-sieć, a nie klient-sieć, jak ma to miejsce w serwerze Windows NT Server i implementacji protokołu PPTP proponowanej przez Microsoft. Aby osiągnąć podobną funkcjonalność w NT, konieczne będzie prawdopodobnie użycie nowego programowego routera Microsoftu, znanego pod kryptonimem Steelhead. Inną różnicą jest również fakt, że Border Services używają technologii publicznego i prywatnego klucza przy inicjacji połączenia między sieciami a następnie dodatkowej autoryzacji z wykorzystaniem NDS-u. Technologia VPN dostępna w Windows NT wykorzystuje autoryzację typu Windows NT Challenge/Response. Pakiet Border Services umożliwia zrealizowanie wielu wirtualnych połączeń z innymi sieciami z poziomu jednego LAN-u, ale nie pozwala określić za pośrednictwem programu NWAdmin, które z nich mogą być wykorzystywane przez poszczególnych użytkowników. Instalacja i konfiguracja połączeń VPN jest stosunkowo prosta, lecz nie jest ona należycie opisana w dostarczanej pomocy on-line. Należy mieć tylko nadzieję, że zmieni się to do czasu premiery pełnej wersji produktu.

Bramka IP/IP

W systemie sieciowym IntranetWare znajduje się bramka IPX/IP, umożliwiająca klientom sieciowym, korzystającym z protokołu IPX, stosowanie aplikacji wymagających do pracy zainstalowanego na kliencie protokołu IP. Border Services bardziej rozszerza funkcjonalność sieci IntranetWare, oferując bramkę IP/IP. Przydatna jest ona wtedy, gdy przedsiębiorstwo, w której jest wykorzystywana, ma zaimplementowany własny system przydzielania numerów IP wszystkim hostom, pracującym w sieci korporacyjnej, niezgodny z numeracją internetową i przydzielonym firmie przedziałem adresów. Bramka IP/IP dokonuje konwersji adresów IP w przesyłanych w obie strony (między Internetem a siecią korporacyjną) - pierwszej wtedy, kiedy pakiet wysłany przez użytkownika sieci korporacyjnej wychodzi z tej sieci do Internetu (konwersja z adresu IP używanego w sieci korporacyjnej na jeden z adresów z puli adresów przydzielonych w ramach dostępu do Internetu), a drugiej, gdy pakiet wraca do tego użytkownika. Podobnie jak w przypadku bramki IPX/IP, także i gateway IP/IP wymaga stosowania zmodyfikowanej wersji pliku WINSOCK.DLL na każdej ze stacji sieciowych komunikującej się za pośrednictwem bramki. Na każdym kliencie musi być także zainstalowane oprogramowanie Novell Client Requester. Funkcjonalność tej bramki zwiększana jest przez oprogramowanie Multi Protocol Router (MPR), wchodzące w skład IntranetWare. Umożliwia ono implementację dodatkowych mechanizmów zabezpieczeń, np. protokołu PPTP realizującego bezpieczny dostęp do sieci korporacyjnej przez Internet.

Border Services ma jednak jedną istotną wadę związaną z mechanizmami zabezpieczeń - nie umożliwia nadawania użytkownikom certyfikatów zgodnie ze specyfikacją X.509 stosowaną np. w technologii Secure Sockets Layer.

Jednak choć pakiet wymaga jeszcze wielu poprawek i usprawnień, zanim jego komercyjna wersja pojawi się na rynku, to z pewnością będzie on dobrym narzędziem dla wszystkich administratorów sieci IntranetWare, którzy zamierzają integrować zarządzane przez siebie sieci z Internetem.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200