7/6 Novell Security Manager

Security 7/6 Novell Security Manager 7/6.1 Inleiding BorderManager wordt binnen heel veel organisaties die een netwerk op basis van Novell gebruiken ingezet om de koppeling naar internet op een veilige manier mogelijk te maken en te kunnen garanderen dat het surfgedrag van medewerkers in overeenstemming is met het beleid van de organisatie. Inmiddels heeft Novell aangekondigd dat BorderManager versie 3.8 (dat is de meest recente versie) nog maar officieel ondersteund zal worden tot 10 november 2007. De patches zullen nog wel worden bijgehouden tot 10 november 2013, maar de ervaring leert dat zodra produc- Novell Netwerkoplossingen, aanvulling 20 7/6.1-1

Novell Security Manager ten geen general support meer hebben de commerciële levensduur van het product vaak snel over is. Astaro Dat betekent dus dat we zullen moeten gaan zoeken naar een vervangend product. Normaal gesproken worden in de support life cycle ook aangegeven wat dat vervangende product binnen de Novell-portfolio is. Voor BorderManager is echter nog geen vervangend product opgegeven. Toch verkoopt Novell inmiddels een security-product dat alle punten te vergelijken is met BorderManager. Deze is gebaseerd op een Linux-kernel en is ook voorzien van alle eisen die aan een moderne firewall worden gesteld. Dit product heet Novell Security Manager. Novell Security Manager is echter niet door Novell zelf ontwikkeld, maar wordt in licentie geleverd via het bedrijf Astaro. De samenwerking zoals Novell die met Astaro heeft is niet gebruikelijk. Het zou erop kunnen duiden dat Novell op termijn Astaro wil overnemen of dat de Astaro-oplossing maar een tijdelijk iets is, totdat Novell zelf een beter product ontwikkeld heeft. Lange tijd heeft het er naar uitgezien dat dat product Novell Account Manager zou zijn, maar dit product moet u voorlopig alleen zien als vervanger voor ichain, de reversed proxy-server en firewall van Novell. Voorlopig lijkt de oplossing van Astaro dus de beste mogelijkheid om te implementeren op een nieuwe Novell NetWare op basis van moderne technologieën. Of u het product uiteindelijk koopt bij Novell of bij Astaro maakt op zich niets uit, tenzij u gebruik kunt maken van MLA- of CLA-kortingen, dan zal Novell zelfs iets goedkoper zijn. Als u als klant upgradeprotectie hebt, kan het voordelig zijn om nog even te wachten met het implementeren van Novell Security Manager, aangezien er waarschijnlijk een upgrade pad bekend geworden in de komende maanden. 7/6.1-2 Novell Netwerkoplossingen, aanvulling 20

Security 7/6.2 Installatie van Novell Security Manager Een van de mooiste eigenschappen van Novell Security Manager is dat het een relatief nieuw product is dat dus helemaal is opgezet om te voldoen aan de eisen die aan beheer en gebruik van een moderne firewall worden gesteld. Het volledige beheer wordt uitgevoerd via een webinterface en de verschillende onderdelen van het product werken naadloos samen. Een charmante eigenschap van Novell Security Manager is dat de installatie van het product zeer eenvoudig is. De basisinstallatie kan in ongeveer tien minuten wordt uitgevoerd, hoewel u zich wel moet realiseren dat die basisinstallatie natuurlijk pas het begin is: het configureren van de appliance zal zeker meer tijd kosten. Appliance Novell Security Manager maakt gebruik van hetzelfde concept dat ook al eerder in ichain is gebruikt, namelijk een appliance (ook wel black box genoemd). Dit betekent dat tijdens de installatie alles op de harddisk wordt gewist en het volledig op het systeem met alle tools die nodig zijn wordt geïnstalleerd. Astaro werkt op basis van een Linuxkernel, maar het beheer wordt zogezegd volledig gedaan via een webinterface. Als u zelf aanpassingen maakt in de concentratie van Linux vervalt daarmee de garantie die Astaro en dus ook Novell bieden. Als u echter weet wat u doet kan het in sommige gevallen wel handig zijn om toch stiekem iets rechtstreeks aan te passen, maar in vrijwel alle gevallen kunt u prima uit de voeten met de webinterface. Astaro heeft de installatie ingedeeld in zeven stappen. In de eerste stap wordt uitgelegd met welke toetsen de installatie wordt uitgevoerd, dit spreekt allemaal redelijk Novell Netwerkoplossingen, aanvulling 20 7/6.2-1

Novell Security Manager voor zich, hoewel wij persoonlijk op één punt de installatie iets anders in elkaar hadden gezet, maar daarover later meer. Het tweede deel van de eerste stap van de installatie waarschuwt u dat u op het punt staat uw harddisk volledig te wissen en te overschrijven. In de tweede stap maakte de keuzes voor de toetsenbord lay-out. In de derde stap wordt de rest van hardware gedetecteerd. Astaro heeft een harddisk nodig van minimaal 10 Gigabyte en dient minimaal te beschikken over twee netwerkkaarten. Met minder diskcapaciteit start de installatie niet, maar u bent wel in staat om met maar één netwerkkaart het systeem op te bouwen. U krijgt dan alleen een waarschuwing dat het systeem weinig zinvol zal zijn en feitelijk alleen gebruikt kan worden voor oefenen en demonstraties. 7/6.2-2 Novell Netwerkoplossingen, aanvulling 20

Security In stap vier kiest u achtereenvolgens de area waar u zich bevindt (in ons geval dus Europa), de tijdzone waarin u zich bevindt en u geeft de huidige datum en tijd op. De volgende stap bepaalt hoe uw netwerk eruit gaat zien. In eerste instantie dient u een van de netwerkkaarten te selecteren. Deze kaart moet gekoppeld zijn aan het veilige (administratieve) netwerk. De overige netwerkkaart of -kaarten dient u later te configureren via de webinterface. Het enige zwakke punt in deze installatie is het invoeren van het netwerkadres van de administratieve netwerk. U bent hier geneigd om meteen terug naar het vorige invoerscherm te gaan, maar als u op internet drukt gaat u naar het volgende installatiescherm en kunt u uw netwerkinstellingen dus niet meer helemaal correct invoeren. Een optie ga terug naar het vorige scherm ontbreekt helaas. Novell Netwerkoplossingen, aanvulling 20 7/6.2-3

Novell Security Manager Daarmee zijn we gekomen aan stap zes van de installatie. Hierin kunt u aangeven of u alleen de gratis opensourcesoftware wilt gebruiken of dat u ook de enterprise toolkit wilt installeren. In deze toolkit zit onder andere de Kaspersky-virusscanner en software om spam controle uit te voeren en de inhoud van plaatjes te kunnen controleren. Er is vrijwel geen reden denkbaar om de toolkit niet te installeren. Daarna nog een laatste vraag om er zeker van te zijn dat u daadwerkelijk uw harddisk wilt wissen en in stap zeven start de daadwerkelijke installatie. Afhankelijk van de hardware zal de installatie nu enige tijd in beslag nemen maar normaal gesproken zal dit niet langer dan tien minuten duren. Hierna moet u de cd verwijderen en de machine opnieuw opstarten. De basisinstallatie is nu gedaan. 7/6.2-4 Novell Netwerkoplossingen, aanvulling 20

Security Novell Netwerkoplossingen, aanvulling 20 7/6.2-5

Novell Security Manager 7/6.2-6 Novell Netwerkoplossingen, aanvulling 20

Security 7/6.3 De concentratie van Novell Security Manager Na de installatie van een Novell Security Manager kunnen we beginnen met het configureren van het systeem. U maakt via HTTPS een verbinding met het administratief IPadres dat u net hebt ingegeven en u krijgt een andere licentieovereenkomst te zien die u moet accepteren om door te kunnen gaan. Tevens dient u nu direct wachtwoorden op te geven voor de vijf users die Astaro kent. Gelukkig zijn de wachtwoorden voor de Astaro configuration manager en de boot manager optioneel, want Novell Security Manager is nogal veeleisend als het gaat om wachtwoorden. Uw wachtwoorden moet minimaal een hoofdletter hebben, minimaal een cijfer en minimaal een leesteken. Daarnaast moet het minimaal acht karakters lang zijn, maar dat hebt u al snel als u aan alle andere voorwaarden wilt kunnen voldoen. Novell Netwerkoplossingen, aanvulling 20 7/6.3-1

Novell Security Manager Gratis licentie Hierna kunt u inloggen en beginnen met het configureren van het systeem. Wat u waarschijnlijk als eerste zult doen is het invoeren van een licentiecode. Zonder deze code is de werking van Astaro namelijk zeer beperkt. Er is eigenlijk geen enkele reden om niet te werken met een licentie aangezien u een tijdelijke licentie gratis kunt downloaden bij Astaro. Voor thuisgebruik leveren ze zelfs een ongelimiteerde licentie voor maximaal tien machines. U mist dan wel de software waar licentiegelden voor betaald moeten worden, maar de basis features zijn in ieder geval beschikbaar. Het instellen van de licentie gebeurt via het menu system licensing: Browse naar uw licentiefile en druk op start. De installatie duurt ongeveer één minuut en in die tijd mag u absoluut de webpagina niet verlaten. Aan het einde van de installatie wordt de pagina automatisch ververst en wordt de licentie-informatie getoond. Het is een goede gewoonte om direct na de installatie van de licentie te kiezen voor system up2date service. Vanuit dat scherm kunt u namelijk direct de nieuwste viruspatterns installeren. In dit scherm ziet u ook voor de eerste maal het verschil tussen de opensource-software en de software waar een licentie 7/6.3-2 Novell Netwerkoplossingen, aanvulling 20

Security voor nodig is. De Kaspersky-virusscanner is onderdeel van de gelicenseerde software en ClamAV wordt geleverd als gratis variant. Als u een licentie hebt ingegeven worden overigens beide virusscanners gebruikt. Als een van de twee een steek laat vallen hebt u in ieder geval de andere nog. Er is nog een derde virusprotectiemechanisme, de Sensory agent. Dit is een hardwareoplossing en kan alleen gebruikt worden als u de appliance niet als software van Astaro koopt maar als hardwareoplossing. De volgende stap zal vrijwel zeker zijn het activeren van de tweede netwerkinterface en eventueel het aanpassen van de eerste kaart. Als u in het menu kiest voor network interfaces kunt u deze configuratie aanpassen of aanvullen. 7/6.3.1 De functionaliteiten van BorderManager nabouwen in Novell Security Manager Grofweg kunt u stellen dat BorderManager de volgende functionaliteiten biedt: Novell Netwerkoplossingen, aanvulling 20 7/6.3-3

Novell Security Manager level 1 firewall packet level filtering; level 2 firewall network address translation; level 3 firewall proxy-services. Daarnaast heeft BorderManager de mogelijkheid om op basis van wie u bent in de NDS bepaalde functionaliteit toe te staan of juist niet. Tenslotte biedt BorderManager nog VPN-mogelijkheden. Al deze features normen ook ondersteund in Novell Security Manager. Er wordt een kort getoond waar u deze features in kunt stellen. Packetfiltering Door vanuit het hoofdmenu te kiezen voor packetfilter komt u in het scherm waarin nieuwe de regels met betrekking tot filtering aan kunt geven. Dit menu heeft drie keuzes. Bij rules kunt u de regels aanmaken op een manier die vergelijkbaar is met wat we gewend zijn in de filtcfg.nlm: Naast deze regels is het vanuit het menu ook mogelijk om het ICMP-protocol te beïnvloeden en (via de advanced optie) invloed uit te oefenen op de manier hoe met het protocol om wordt gegaan. 7/6.3-4 Novell Netwerkoplossingen, aanvulling 20

Security Network Address Translation Onder de menukeuze network kunt u kiezen voor de optie NAT/masquerading. Astaro ondersteunt niet alleen wat we bij BorderManager verstonden onder NAT en wat hier DNAT en SNAT genoemd wordt, maar is ook in staat om load balancing uit te voeren (bijvoorbeeld naar een load balancing-cluster) en om volledige masquerading uit te voeren. Dit laatste lijkt op NAT, maar zorgt ervoor dat de buitenzijde nog minder informatie krijgt over de verbinding dan met traditionele NAT. Proxy-services Kiest u voor de menuoptie proxies dan hebt u de mogelijkheid om net als bij BorderManager proxies in te stellen voor HTTP, SMTP, POP3 en general. Deze laatste optie is specifiek voor BorderManagergebruikers toegevoegd in de laatste release. Tevens zult u zien dat er een SIP-proxy beschikbaar is. Deze zat natuurlijk niet in BorderManager omdat bij de ontwikkeling van dat product het SIP-protocol nog geen issue was. Een van de meest gestelde vragen met betrekking tot Novell Security Manager heeft te maken met user authen- Novell Netwerkoplossingen, aanvulling 20 7/6.3-5

Novell Security Manager tication. Veel organisaties zijn juist BorderManager gaan gebruiken omdat het met dat product mogelijk was om eenvoudig op basis van gebruikers, groepen of afdelingen te bepalen wat iemand wel mocht. Ook deze functionaliteit zit ingebakken in Novell Security Manager. Onder het menu system user authentication kunt u de koppeling met bijvoorbeeld NDS maken, maar er kan ook gekozen worden voor bijvoorbeeld AD of een andere Radius of LDAP compliant systeem. VPN-mogelijkheden Tenslotte dient er nog een vergelijk gemaakt worden tussen de VPN-mogelijkheden van BorderManager en van Novell Security Manager. Novell Security Manager biedt een echte VPN-oplossing, maar op een andere manier dan dat BorderManager dat deed. Binnen BorderManager gebruikte Novell een proprietary client voor het opzetten en inloggen over een beveiligde verbinding. De Astaro-oplossing maakt gebruik van VTM op basis van IPsec. Dit is een veel algemenere manier om VPN s op te bouwen en wordt ook door meer leveranciers ondersteund. Bij een overstap van BorderManager naar Novell Security Manager zult u zeker aandacht moeten besteden aan de gebruikers die u VPN- 7/6.3-6 Novell Netwerkoplossingen, aanvulling 20

Security functionaliteiten hebt gegeven. De Novell client zal daar moeten worden gedeïnstalleerd. De ervaring leert dat deze software niet gemakkelijk helemaal te verwijderen is. 7/6.3.2 Conclusie Novell Security Manager biedt alle functionaliteiten die BorderManager ook kan bieden en heeft daarnaast een heel scala aan nieuwe functionaliteiten die in deze paragraaf nog niet eens aan de orde zijn gekomen. In een vervolg zullen we ingaan op de mogelijkheden van bijvoorbeeld de antiphising-, antispyware- en antivirusmogelijkheden van Novell Security Manager. Zeker gezien de prijs en de onduidelijkheid over wat er gaat gebeuren met BorderManager is zelfs zonder die extra features de Astaro-oplossing al een heel reëel alternatief voor BorderManager. De extra mogelijkheden die het product biedt boven de functionaliteiten van BorderManager maken de keuze alleen nog maar eenvoudiger. Novell Netwerkoplossingen, aanvulling 20 7/6.3-7

Novell Security Manager 7/6.3-8 Novell Netwerkoplossingen, aanvulling 20

Security 7/6.4 Proxy-configuratie In de voorgaande paragrafen zijn we al ingegaan op de installatie van een van de nieuwe producten binnen de Novell-productgroep: Novell Security Manager. Officieel hoort u daar nog powered by Astaro achter te zetten, want de oplossing is uiteindelijk ontwikkeld door het Duitse bedrijf Astaro. Novell Security Manager is voorlopig het antwoord van Novell als het gaat om firewall-technologieën op het Linux-platform. Ook zijn we al heel kort ingegaan op de manier waarop de BorderManager-functionaliteiten zijn ondergebracht in het Astaro-product. Deze paragraaf gaat een stuk verder: we gaan ervan uit dat de standaardinstallatie reeds is uitgevoerd en het product gelicenseerd is, en we zullen laten zien hoe u die functionaliteiten uit BorderManager onder kunt brengen in het Astaro-product. Om gebruik te kunnen maken van alle features van Novell Security Manager is het belangrijk dat u beschikt over een echte licentie. De licentie voor thuisgebruik (die volledig gratis is) heeft niet alle features die we nodig hebben. Een demonstratielicentie is wel voldoende, maar is maar negentig dagen geldig. Novell Netwerkoplossingen, aanvulling 21 7/6.4-1

Novell Security Manager 7/6.4.1 Automatic updates Het verzorgen van automatische updates is iets wat tegenwoordig in bijna alle software zit, maar voor een firewall is dit natuurlijk een zeer belangrijke functie. Malware- en virusmakers zitten helaas ook niet stil. Het is dus essentieel om de Novell Security Manager ook regelmatig te laten updaten. In tegenstelling tot bij BorderManager kan dit volledig automatisch gebeuren. U doet dit door vanuit de webmanager system te selecteren en vervolgens te kiezen voor up2date service. Het up2date-scherm laat duidelijk zien wat u er kunt configureren, en ook de keuzes zijn behoorlijk intuïtief. Patches voor het systeem worden normaal gesproken niet automatisch geïnstalleerd, maar kunnen wel automatisch worden gedownload (dit ziet u in de bovenste helft van het scherm: er is een update 6.301 gedownload die nog niet 7/6.4-2 Novell Netwerkoplossingen, aanvulling 21

Security geïnstalleerd is). Pattern updates voor de virusscanners worden normaliter wel volledig automatisch gedownload en geïnstalleerd. De reden hiervan is dat dit natuurlijk veel vaker voor zal komen dan een systeemupdate. U ziet daarom ook dat er elk uur wordt gecontroleerd of er een pattern update is. De intervalinstellingen zoals u die ziet, zijn voor zowel het systeem als voor de patterns de standaardinstellingen. 7/6.4.2 User authentication aan edirectory Een van de eerste dingen die u zult willen configureren om het systeem zoveel mogelijk gelijkwaardig te laten werken aan de manier waarop BorderManager dat deed, is de authenticatie, die gekoppeld moet worden aan edirectory. Dit is een van de features die speciaal voor Novell in het product zijn opgenomen. Er zijn zo veel organisaties die de authenticatie via de clienttrust.exe gebruiken om zeker te weten wie achter een IP-adres schuilgaat en om specifiek te kunnen bepalen waar bepaalde medewerkers naartoe kunnen gaan, dat deze functionaliteit een must was om het voor organisaties interessant te laten zijn als upgrade pad voor BorderManager. Het instellen van deze functionaliteit gebeurt ook via het system-menu. Kies nu echter voor user authentication. Novell Netwerkoplossingen, aanvulling 21 7/6.4-3

Novell Security Manager Door te drukken op de button enable kunt u edirectoryauthenticatie configureren. Andere opties in het scherm geven u de mogelijkheid eenvoudigere wachtwoorden toe te staan voor de beheerder (nu moet u een admin-wachtwoord van minimaal acht tekens, met een hoofdletter en een leesteken, gebruiken), maar als u dat overbodig vindt kunt u eenvoudige wachtwoorden toestaan. Dat dit mogelijk ten koste gaat van de beveiliging spreekt voor zich en het lijkt dan ook niet logisch om deze optie uit te zetten, anders dan in een testomgeving. Naast edirectory hebt u in dit scherm ook de mogelijkheid om te kiezen voor Radius, NT4 domains, Active Directory en LDAP als authenticatiemechanismen. 7/6.4-4 Novell Netwerkoplossingen, aanvulling 21

Security Cluster Zodra de status voor edirectory-authenticatie is aangepast, verschijnen de opties die u verder in kunt of zelfs moet vullen. Het is natuurlijk in elk geval noodzakelijk om aan te geven naar welke server u hier de connectie wilt maken. In de huidige versie kunt u hier nog maar één IPadres aangeven, dus als u een omgeving hebt waarin een cluster actief is, is het verstandig hier een cluster enabled resource op te geven. De connectie zelf wordt gemaakt op basis van LDAP over poort 636 of 389. Het verschil met de algemene LDAP-configuratie is dat u hier specifieke edirectory-zaken kunt opgeven, zoals standaard zoekcontainers en de Single-sing-on-optie. Deze laatste optie zorgt ervoor dat Novell Security Manager op dezelfde manier reageert als een BorderManager-installatie die gebruikmaakt van clienttrust. De clienttrust.exe hoeft u voor Novell Security Manager echter niet meer op te starten. 7/6.4.3 HTTP-proxy Een van de belangrijkste redenen waarom organisaties gebruikmaken van een product als BorderManager, is omdat de proxy-server-functionaliteit het ontsluiten van internet een stuk gemakkelijker en veiliger maakt. Werkstations hoeven niet langer rechtstreeks te worden aangesloten op internet, maar hoeven alleen maar te kunnen communiceren met de proxy-server. In principe is er zelfs geen configuratie voor DNS noodzakelijk op werkstations. Deze manier van werken wordt de standaardconfiguratie van de proxy-server genoemd. Novell Netwerkoplossingen, aanvulling 21 7/6.4-5

Novell Security Manager Net als BorderManager ondersteunt Novell Security Manager ook de transparante proxy-server-configuratie. Kiest u als operation mode voor transparant, dan moet het werkstation wel zelf een DNS-configuratie hebben. Het werkstation denkt nu namelijk dat er wel een rechtstreekse verbinding is met internet, maar zodra het verkeer via de Novell Security Manager naar een ander netwerk wordt getransporteerd, zal de Novell Security Manager op de achtergrond dezelfde proxy-server-functionaliteiten gebruiken als bij de standaardoperatie. Transparante proxyservices hebben zowel voor- als nadelen. Een voordeel is dat slimme gebruikers niet de proxysettings van de Internet Explorer kunnen aanpassen en zo om de proxy-server heen kunnen gaan. Een nadeel is natuurlijk dat u wel een DNS-omgeving geconfigureerd moet hebben. Bij BorderManager bent u in staat om beide proxy-servers gelijktijdig actief te hebben. Bij Novell Security Manager is dat helaas niet mogelijk. De optie anonymity bepaalt in hoeverre gegevens in de logfiles herleidbaar moeten zijn tot een specifieke gebruiker. Afhankelijk van de promotie die binnen een bepaalde organisatie gebruikt wordt, kunt u dit aan- of uitzetten. 7/6.4-6 Novell Netwerkoplossingen, aanvulling 21

Security De BorderManager-adepten onder ons kunnen de optie allowed networks goed vergelijken met de optie binnen BorderManager waarbij wordt aangegeven of een IP-adres van de BorderManager zich aan de secure - of insecure - zijde van de BorderManager bevindt. De Novell Security Manager kijkt niet meer naar de adressen zelf, maar naar de netwerken waarin dat adres zich bevindt. Het voordeel van deze methode is dat als uw interne netwerk ook routers heeft, u de mogelijkheid hebt om voor ieder intern netwerk andere regels te laten gelden. Cobion Iets wat niet in BorderManager zit is de mogelijkheid om dynamische content-filtering toe te passen. In de laatste releases van BorderManager was het al wel mogelijk om statische filecodes bij te houden die duiden op virussen (signature files), maar dit was handmatig werken voor de beheerder. Een Novell Security Manager kan dit dynamisch doen. De technologie die daarvoor gebruikt wordt, is die van Cobion. Novell Netwerkoplossingen, aanvulling 21 7/6.4-7

Novell Security Manager Cobion werkt met profielen die worden aangemaakt en waarin u kunt aangeven wat wel en wat niet mag. Deze profielen kunt u koppelen aan een of meer gebruikers (bijvoorbeeld uit edirectory) of aan een bepaald netwerk. Dit zorgt ervoor dat medewerkers van de financiële afdeling van een ziekenhuis niet de mogelijkheid hebben om te browsen naar partial nudity, en doktoren wel Voor bedrijven die moeten voldoen aan strikte auditvoorwaarden heb u tevens de mogelijkheid om onbekende of onbetrouwbare websites en bijvoorbeeld scripts en ActiveX-componenten te blokkeren. U blokkeert daarmee echter ook bijvoorbeeld WebAccess-pagina s van mailsystemen, maar het is mogelijk om betrouwbare sites (denk aan sites van partners) op te nemen in een whitelist: deze 7/6.4-8 Novell Netwerkoplossingen, aanvulling 21

Security pagina s vallen vervolgens niet meer onder de profielbeperking. Het aantal profielen dat u kunt maken is in principe onbeperkt, hoewel wij nog nooit situaties tegen zijn gekomen waarin meer dan zo n tien profielen gebruikt werden. Voor de snelheid van het systeem maakt het niet uit hoeveel profielen er zijn, maar de overzichtelijkheid van het systeem neemt wel af als er extreem veel profielen zijn aangemaakt. Een feature die ook in BorderManager zit is de mogelijkheid om een parent proxy aan te geven. Deze mogelijkheid wordt steeds minder gebruikt, maar er zijn situaties waarin het wenselijk of zelfs noodzakelijk is om op deze manier te werken (kennisnet werkte tot ongeveer twee jaar geleden alleen maar samen met BorderManager als er gebruik werd gemaakt van een parent/child proxy). Voor gebruikers staat proxy vaak gelijk aan een methode om internet sneller te maken. Als u letterlijk kijkt naar wat een proxy-server is, is het een security device, alleen wordt Novell Netwerkoplossingen, aanvulling 21 7/6.4-9

Novell Security Manager heel vaak de functionaliteit van een proxy-server gecombineerd met die van een cache-server. Die mogelijkheid hebben we ook met Novell Security Manager. Veel spannender is de mogelijkheid om specifieke services die zodanig geconfigureerd kunnen worden dat ze over poort 80 kunnen communiceren, specifiek toe te staan of te blokkeren. Voorbeelden hiervan zijn Citrix-verkeer (de webbased ICAclient), Lotus Notes en Microsoft SQL. Dergelijke opties geven duidelijk aan dat Novell Security Manager van een nieuwere generatie is dan BorderManager. SMTP-proxy Naast de HTTP-proxy heeft Novell Security Manager nog een aantal andere proxy-servers. De meeste services kennen we ook vanuit BorderManager, maar ook hier gaat Novell Security Manager veel verder dan BorderManager ooit is gegaan. Een mooi voorbeeld hiervan is de SMTPproxy. In BorderManager kunt u deze aan- of uitzetten en veel meer valt er niet te configureren; in Novell Security Manager zit hier antispam, antivirus, rbl en content-scanning in. 7/6.4-10 Novell Netwerkoplossingen, aanvulling 21

Security In het configuratiescherm van de SMTP-proxy moet u eerst zorgen voor enkele globale instellingen. De belangrijkste daarvan is de hostname waaronder het systeem bekend is in de buitenwereld. Deze naam moet overeenkomen met de MX-record in de DNS-server die op internet wordt gebruikt. Het hebben van een postmaster-adres is noodzakelijk om te voldoen aan de RFC, maar vrijwel iedereen zorgt ervoor dat deze mail direct weggegooid wordt, omdat hier veel op gespamd wordt. Na deze globale instellingen is de rest van de configuratie voornamelijk bedoeld om de veiligheid te vergroten. De eerste mogelijkheid om dit te doen is door gebruik te maken van RBL s (Realtime Black Lists). Een RBL is een database die wordt bijgehouden door een externe organisatie en waarin bijvoorbeeld e-mailadressen of domeinnamen worden bijgehouden waarvandaan veel gespamd wordt, of van sites waarvan de mailserver bekendstaat als een open relay. Novell Security Manager controleert alle binnenkomende berichten ten opzichte van de informatie Novell Netwerkoplossingen, aanvulling 21 7/6.4-11

Novell Security Manager die in deze databases staat. Komt een afzender of domeinnaam voor in de RBL, dan wordt het bericht automatisch gezien als spam. BTAV is een opkomende standaard, in het leven geroepen door de Internet Engineering Task Force, die bedoeld is om het faken van afzenders tegen te gaan. De BATV-functie voegt een digitale handtekening toe aan alle uitgaande berichten. Spammers gebruiken vaak bounce-berichten, die zich voordoen als berichten die geweigerd zijn door de ontvangende mailserver. Door de BATV-toevoeging kan de Novell Security Manager direct echte bounce-berichten onderscheiden van berichten van spammers. 7/6.4-12 Novell Netwerkoplossingen, aanvulling 21

Security Ook de SMTP-proxy heeft een content-filter. Dit filter scant in elk geval alle inkomende berichten, maar u kunt het ook zo instellen dat uitgaande berichten eveneens gecontroleerd worden, zodat u zeker weet dat relaties niet door uw organisatie worden besmet (zelfs als de gevolgschade van een besmetting heel erg meevalt, levert het toch een deuk in het aanzien van uw organisatie op als u virussen verspreidt). Het content-filter kan ook scannen op ongewenste (potentieel gevaarlijke) extensies en kan controleren op het voorkomen van bepaalde teksten of termen in een bericht (het expression-filter). Naast dit content-filter zit er in Novell Security Manager ook een traditioneel spamfilter. Dit filter probeert uit de manier waarop een bericht is samengesteld (bijvoorbeeld aan de hand van woorden, hoofdletters of hyperlinks) op te maken of het moet worden aangemerkt als spam. Een heel aardige optie is dat u twee niveaus kunt instellen waar het systeem naar kijkt. Als iets heel duidelijk spam is, kunt u berichten bijvoorbeeld direct weg laten gooien; en als het waarschijnlijk spam is, laat u het in quarantaine zetten. Gebruikers zijn zelf in staat om via een URL die berichten weer vrij te geven. Hierdoor werkt het systeem in feite volledig zonder dat een beheerder zich ermee hoeft te bemoeien. De ervaring is dat juist door een lijst op te bouwen van berichten die waarschijnlijk ongewenst zijn, en van berichten waarvan u zeker weet dat ze dat zijn, gebruikers minder het idee hebben dat er false positives zijn. Novell Netwerkoplossingen, aanvulling 21 7/6.4-13

Novell Security Manager 7/6.4.4 POP3-proxy Een van de mooie dingen van Novell Security Manager is dat de filosofie achter het product zoveel mogelijk in alle onderdelen is doorgevoerd. Dat ziet u bijvoorbeeld ook als u de POP3-proxy bekijkt. In tegenstelling tot bij BorderManager kunt u hier zoveel netwerken opgeven als u maar wilt waarvandaan of waarheen bevelen kunnen poppen. U hebt dus feitelijk dezelfde antivirus-, antispam- en expression-opties als bij de SMTP-proxy. 7/6.4-14 Novell Netwerkoplossingen, aanvulling 21

Security Of uw organisatie überhaupt het poppen naar een externe mailserver toe wil staan, heeft weer voornamelijk te maken met de security policy, maar als u het toestaat, gebeurt het op deze manier in elk geval op een veilige wijze en hoeft u niet langer te proberen om met personal firewalls (die slecht te beheren zijn) deze zaken te regelen. Een van de functies die tot de laatste versie nooit in het Astaro-product heeft gezeten, is de generic proxy. Deze functionaliteit is specifiek op verzoek van Novell toegevoegd. Veel mensen die BorderManager gebruikten, hadden ook een of meer van deze generic proxies aangemaakt en om de overstap niet nodeloos moeilijk of zelfs onmogelijk te maken was deze functie onontbeerlijk. De functionaliteit die geboden wordt is zeer vergelijkbaar met wat we vanuit BorderManager kennen, maar zo moeten we concluderen veel gemakkelijker. Novell Netwerkoplossingen, aanvulling 21 7/6.4-15