Первый взгляд
Андрей Павленко
Сегодня, наверное, никто, даже те, кому не часто приходится пользоваться компьютером в своей работе, не будет спорить, что мы живем в эпоху быстро развивающихся компьютерных телекоммуникаций. Для большинства людей это понятие в первую очередь ассоциируется с Интернет. Всемирная компьютерная сеть входит в нашу жизнь, проникая во все сферы человеческой деятельности, становится частью мировой культуры, порождая вокруг себя споры, приобретая и ярых поклонников, и непримиримых противников. Все это говорит о том, что Интернет становится привычным понятием, таким же, как телевидение или космическая связь.
Наиболее быстро реагирующая на все перспективные технологические новшества часть человечества, однозначно решившая для себя вопрос о нужности Интернет, старается уже сегодня извлекать пользу, которую дает доступ к глобальной информационной сети. Желание это культивируется и подталкивается гигантами компьютерного бизнеса, зарабатывающими в первую очередь не на абстрактных продуктах, совершенно неактуальных для большинства неспециалистов, а на технологических решениях, позволяющих уже сегодня получать ощутимую выгоду от их использования. Интернет в этом смысле на достаточно длительный срок приняла наиболее перспективное и приоритетное для многих фирм направление, определяющее сегодня положение дел в компьютерной индустрии.
Не стала исключением и одна из уважаемых компьютерных компаний, занимающихся разработкой сетевого программного обеспечения, - фирма Novell. Поклонники ее продуктов связывают свои перспективы с четко наметившейся приоритетной направленностью в сторону приложений для сетей интранет/Интернет.
В числе продуктов, появившихся в последнее время и обозначивших поворот Novell в сторону Интернет, наиболее значительным было ПО Border Manager.
Отнюдь не только проксисервер
Border Manager - это программный продукт, предназначенный для организации производительного и безопасного доступа корпоративной сети в Интернет, а также для решения задач управления доступом и соединением, всегда возникающих на границе между внутренней сетью предприятия и выходом в Интернет.
Интернет, построенная на таких идеях, как свобода от цензуры, общедоступность и независимость стоимости доступа от вида предоставляемых услуг, своими основополагающими принципами существенно отличается от корпоративных сетей. Инструментальные средства для подключения корпоративной сети к Интернет должны включать в себя механизмы обеспечения безопасности, конфиденциальности, управления доступом и основываться на коммерческих моделях предоставления информации. Кроме того, они должны быть достаточно легки в управлении, поддерживать существующую инфраструктуру, основываться на открытых стандартах и, самое главное, увеличивать производительность работы пользователей за счет повышения скорости доступа к необходимой информации.
Border Manager отвечает таким требованиям. В число его компонентов включены IP-шлюз (обеспечивает два типа шлюзов: IP - IP и IPX - IP), средства для организации виртуальных частных сетей (VPN) и прокси. В его состав также входят дополнительные модули для утилиты администрирования NWAdmin, позволяющие управлять и контролировать работу всех компонентов Border Manager с помощью одного программного средства с консоли администратора.
Какие же задачи можно решать с помощью нового программного продукта Novell? Для того чтобы понять это, имеет смысл рассмотреть наглядный и очень типичный сегодня пример.
Любая организация или предприятие, активно использующие в своей работе различные информационные технологии (в первую очередь ЛВС) и принимающие решения об организации подключения локальной сети к Интернет, должны правильно выбрать программные и аппаратные средства. Для этого надо решить несколько задач: обеспечение конфиденциальности и защиты информации внутри частной сети от потенциальных нарушителей из внешнего мира, управление доступом локальных пользователей в Интернет, ускорение доступа к информации, экономия средств за счет снижения накладных расходов на оплату трафика. Для тех, кто в свое время вложил деньги в продукты Novell (а таких в нашей стране достаточно много) и чьи сети под управлением NetWare по сей день верой и правдой служат им, использование Border Manager представляет дополнительную выгоду, поскольку не требует полной замены сложившейся инфраструктуры, внедрения новых технологий или решения вопросов совместимости с системами других производителей.
Таким образом, концепция организации защищенного доступа частной корпоративной сети в Интернет строится на использовании целого набора программных средств: фильтрации пакетов; прокси; контроля доступа локальных пользователей; шлюзов IP/IP и IP/IPX; механизма трансляции сетевых адресов NAT (Network Address Translation); создания виртуальных частных сетей (VPN - Virtual Private Networks).
Более подробно о возможностях Border Manager я расскажу на примере тестовых испытаний продукта в нашей компании.
Тестовые испытания Border Manager
Для комплексного исследования функциональных возможностей продукта была сформулирована классическая задача: организовать локальную сеть внутри предприятия с выходом в Интернет. Естественно, было необходимо обеспечить следующие основные возможности:
- должный уровень безопасности, услуг и средств управления, позволяющих легко организовывать и ограничивать (что очень актуально для большинства руководителей) доступ пользователей во внешний мир;
- условия для разработки и использования Web-приложений, а также других проектов, связанных с Интернет.
Для работы с Сетью мы использовали постоянное подключение через Ethernet (хотя сам продукт не ограничивает пользователей при выборе каналов связи). На границе сегмента ЛВС, подключенного к внешней сети, был установлен сервер с ПО Border Manager. Следуя рекомендации инженеров из службы технической поддержки Novell, мы определили минимальную конфигурацию сервера, отвечающую нашим первоначальным потребностям: процессор Pentium 166, ОЗУ 32 Мб, жесткий диск IDE HDD 2 Гб. В этой роли выступил компьютер Klondike FS. Кроме того, в нем были установлены две сетевые платы Intel EtherExpress PRO 100B для связи и маршрутизации между сегментами.
Процедура инсталляции
Имея опыт в установке и обслуживании серверов компании Novell, мы затратили немного времени на инсталляцию ОС IntranetWare, платформы для работы Border Manager, и самого продукта. Все делается традиционными средствами с помощью утилиты Install. В процессе установки предлагается выбор из двух компонентов: NIAS (сервер доступа в Интернет) и собственно Border Manager. По окончании копирования файлов процесс установки не заканчивается. Здесь впервые за все время работы с продуктами Novell пришлось столкнуться с ситуацией, когда для завершения инсталляции было необходимо произвести перезагрузку сервера. Впрочем, это не создало никаких дополнительных проблем, и понадобилось только один раз - главное, знать об этом до начала установки. После рестарта сервера последовательно запускаются модули, inetcfg и filtcfg, позволяющие сконфигурировать сначала маршрутизатор, а затем firewall для обеспечения безопасного доступа в Сеть. При первоначальной конфигурации фильтров нужно правильно указать сетевой интерфейс сервера, подключенный к внешней сети. Используя сделанный выбор, система автоматически назначит минимальное количество фильтров для работы своих служб: прокси (HTTP, FTP, Gopher) и VPN. На этом этапе (так же, как и после инсталляции) можно выбрать два сценария конфигурации: сначала все запретить и последовательно открывать необходимые порты либо разрешить любой трафик, последовательно блокируя то, что необходимо закрыть от внешнего мира.
Но и это еще не все. Для окончания установки необходимо инсталлировать дополнительные модули для утилиты NWAdmin на машине администратора Border-сервера. Это обязательная процедура, без которой сервер не будет активизирован. Чтобы выполнить ее, из специально созданного на сервере каталога необходимо запустить программу установки и по ее выполнении вызвать NWAdmin. При первом обращении к объекту “сервер”, на котором установлено ПО Border Manager, будет задан вопрос о схеме доступа ваших пользователей во внешнюю сеть по умолчанию: либо все разрешить, потом последовательно запрещая по мере необходимости, либо полностью закрыть выход во внешний мир, впоследствии добавляя правила, разрешающие выход с назначенными правами. При любом выборе его очень легко впоследствии изменить, отметив пункт enforce rules.
После этого нужно указать два IP-адреса: для сетевого интерфейса, связывающего ЛВС с внешним миром, и для внутренней сети. Внешний адрес должен быть зарегистрированным и уникальным, для внутренней сети рекомендуется использовать специально выделенные для частных сетей, немаршрутизируемые магистральными роутерами серии адресов в соответствии с RFC 1918. Это обеспечивает дополнительную защиту от нежелательного доступа к хост-машинам во внутренней сети.
Теперь можно приступать к выбору и активизации необходимых служб. В первую очередь мы попробовали услуги Proxy Cache. Все, что для этого нужно, - это поставить галочку в соответствующем поле и при желании выбрать формат ведения журналов. После закрытия окна “Netware Server: ____” нужные модули загружаются автоматически на сервер. Пользователь же должен только назначить IP-адреса на машинах клиентов, настроить прокси в их браузерах и разрешить им доступ к необходимым ресурсам в Сети. Для тех клиентов, кому недостаточно доступа по протоколам http, ftp и gopher, потребуется специальная конфигурация фильтров на сервере. Здесь мы переходим к задачам администрирования и управления доступом пользователей внутренней сети к Интернет.
Администрирование и обслуживание
Благодаря использованию службы глобального каталога NDS любая задача администрирования в среде NetWare решается достаточно просто и удобно. Как уже упоминалось выше, Border Manager - это целый набор программных средств для организации защищенного и управляемого доступа в Интернет. После активизации необходимых служб наступает очередь их настройки.
У людей, знакомых с принципами администрирования сетей Novell, управление правами пользователей не вызовет никаких затруднений, поскольку эти задачи решаются традиционными средствами с помощью NDS. После установки дополнительных модулей для утилиты Nwadmin ее возможности расширяются, позволяя делать соответствующие настройки через сервер-объект в дереве NDS, на котором установлен Border Manager. Применив закладку outgoing rules, можно назначить правила доступа конкретному пользователю, или группе (определенным в NDS), или хост-машине (по IP-адресу либо по имени DNS), или целой подсети. В них можно указать, по каким протоколам разрешена либо запрещена работа, указать ограничения по времени и определить доступные ресурсы в Сети (по имени в DNS, IP-адресу или адресу целой подсети). Все, что нужно для назначения прав доступа в Интернет, делается с помощью одного программного средства с консоли администратора.
Определение прав доступа - это первый уровень организации защищенного и управляемого доступа к Интернет средствами Border Manager. Следующие два уровня - фильтрация IP-пакетов и механизм трансляции сетевых адресов NAT (Network Address Translation). Первое, с чем приходится сталкиваться администратору Border-сервера, это просьбы его пользователей открыть брандмауэр для работы с популярными приложениями Интернет, такими, как RealAudio, ICQ и многие другие, которые требуют для соединения и работы специальных портов из стека протоколов IP, по умолчанию заблокированных. Если смотреть на проблему чуть шире, необходимость в дополнительном конфигурировании и использовании специальных портов возникает при реализации более сложных схем доступа из частной сети к внешним ресурсам и наоборот, т. е. при доступе к локальным ресурсам, находящимся за Border Manager, извне (например, когда требуется организовать доступ удаленного пользователя с известным IP-адресом или группы пользователей из известной подсети к внутреннему Web-серверу либо когда надо предоставить ряду пользователей частной сети возможность работы по протоколу telnet с удаленной хост-машиной в Интернет).
Чтобы работать по описанным схемам, нужно понимать суть механизма NAT. Он используется для двух целей - предоставления пользователям, не имеющим выделенных и зарегистрированных IP-адресов, доступа в Интернет и ограничение доступа IP-хостов из внешнего мира к информационным ресурсам внутренней сети. В зависимости от решаемых задач NAT может работать в трех режимах: динамическом, статическом и смешанном. В динамическом режиме хост-машины внутренней сети, инициируя соединение с глобальной сетью, посылают пакеты, требуя соединения с внешним хостом. Обрабатывая такой пакет, NAT присваивает реальный IP-адрес, который был назначен для этой цели при его конфигурации, и порт из пула выделенных портов стеков TCP, UDP и ICMP. В этом варианте внешние хост-машины не могут инициировать соединение с теми, которые работают за Border-сервером. В статическом режиме NAT конфигурируется в виде таблицы пар адресов, которые состоят из зарегистрированного IP-адреса, выделенного для организации, и рекомендуемого внутреннего адреса из специально выделяемых серий для внутренних сетей. В этой схеме становятся доступными те хост-машины из частной сети, которым с помощью механизма NAT поставлены в соответствие реальные IP-адреса.
Таким образом, чтобы работать, например, по ICQ (см. www.mirabilis.com), нам пришлось совершить следующие действия:
- активизировать механизм NAT в смешанном режиме (динамическом и статическом);
- используя функцию multihoming, установить вторичный реальный IP-адрес для внешнего интерфейса;
- в таблице адресов поставить в соответствие IP-адресу компьютера из внутренней сети, на котором предполагается работа с ICQ, реальный адрес;
- разрешить прохождение входящих пакетов с адресами назначения компьютера, работающего с ICQ, через требуемые для этого порты TCP, и соответствующих исходящих пакетов.
Здесь уместно сравнить описанный выше механизм NAT с работой IP-шлюза, также реализованного в Border Manager в качастве средства доступа к Интернет. Но при этом NAT имеет ряд очевидных преимуществ. Итак, если шлюз Novell IP Gateway может работать только с клиентскими платформами Windows 3.1 и Windows 95, да еще и требует дополнительного ПО, то NAT не зависит от клиентской платформы и может использоваться с Macintosh, UNIX, OS/2 и Windows NT. Кроме того, реализованный на более низком, чем IP Gateway, уровне модели OSI, NAT работает быстрее.
В обязанности администратора, контролирующего доступ локальной сети к Интернет, безусловно, входят также разнообразные задачи учета и статистики, т. е. ведения системных журналов. Кроме того, ему может понадобиться оперативная информация о состоянии системы - ее загрузке, активности отдельных пользователей и т. д. Для этого Novell предлагает два варианта: просмотр статистических данных и системных журналов с консоли администратора (с помощью все той же утилиты Nwadmin) и просмотр с консоли сервера. Придется отметить (это же подтверждают сами представители Novell, см., например, support.novell.com/cgi-bin/search/tidfinder), что обе возможности пока оставляют желать лучшего. Причем в нынешнем виде второй вариант, на мой взгляд, более предпочтителен в плане информативности, хотя проигрывает с точки зрения удобства использования. Будем надеяться, что намерения Novell учесть и исправить эти недочеты в будущем воплотятся в реальность.
Создание интрасети
Определяя цели тестирования Border Manager в начале статьи, я говорил о создании условий для разработки Web-приложений и интеграции интрасетей и Интернет. Надеюсь, что читатели смогли оценить те достоинства Border-сервера, которые полезны для решения таких задач: производительность, защиту, управляемость и экономию средств. Надо упомянуть еще об одном замечательном свойстве прокси-сервера, входящего в Border Manager, - его возможности кэшировать запросы локальных пользователей, просматривающих страницы в Сети, и ускорять работу внутреннего Web-сервера за счет кэширования его страниц, запрашиваемых пользователями извне. С помощью Border-сервера можно обеспечить такие условия, которые позволят разработчикам эффективно трудиться над созданием больших узлов Интернет, на основе современных открытых стандартов и технологий. Еще одной приятной новостью для поклонников Novell наверняка станет объявление компанией Novonyx (совместное предприятие Novell и Netscape, см. www.novonyx.com) о начале поставок семейства продуктов Netscape SpotSuite, адаптированных и оптимизированных для работы в среде NetWare. В нашей лаборатории начинается тестирование этих продуктов.
Автору, техническому эксперту компании Klondike-Systems (www.ks-co.ru), можно написать по адресу: root@ks-co.ru.