Wykład 13: “Warstwa VI
Wykład 13: “Warstwa VI
i VII –
i VII –
Novell
Novell
”
”
Mikołaj Leszczuk
2
Plan wykładu
• Novell Groupwise
• Novell Secure Access Suite
3
Novell Groupwise (1/2)
• Powstał jako biblioteka dla
programu WordPerfect w maju
1986, wersja z lutego 1987
zawierała osobisty kalendarz, w
1988 dodana obsługa emaili i
organizowanie spotkań.
• 1994 Zakup przez Novell,
integracja z Netware,
Groupwise 1.4, AppleScript.
4
Novell Groupwise (2/2)
• 1995 Dodanie dostępu z
poziomu WWW
• 1997: Groupwise 5.2 IMAP,
LDAP, Java, workflow support
• Obecna wersja (z 2003 r.)
GroupWise 6.5 – współdzielone
foldery, messaging, workflow,
SSL, SMS-y na komórki i pagery,
PDA, dostęp zdalny itp. itd
5
Kontrola dostępu – wiele
różnych systemów i
użytkowników
OS/390
hp-ux
6
Problem – identyfikowanie
użytkowników i udzielanie
dostępu
AIX, Solaris, HP-UX,
AIX, Solaris, HP-UX,
Linux, etc
Linux, etc
D
M
Z
NetWare
NetWare
NT/2000
NT/2000
OS/390
OS/390
App
s
PK
PK
I
I
NetWare/NT
NetWare/NT
Admin
Admin
Użytkownik
Użytkownik
App
s
Web Serwer
Web Serwer
Użytkown
Użytkown
ik Web
ik Web
Użytkownik
Użytkownik
VPN, Dial-up,
VPN, Dial-up,
Wireless
Wireless
Access Control Server
Access Control Server
Administr
Administr
a
a
-
-
tor
tor
dostępu
dostępu
do
do
aplikacji
aplikacji
OS/390
OS/390
Admin
Admin
Admin
Admin
Unix
Unix
Web Serwer
Web Serwer
7
To nie jest łatwe dla
użytkownika
8
Problemy z hasłami
Bezpieczeństwo
jest naruszone
Użytkownik
będzie:
• Używał
prostych
haseł
•
Tych samych
haseł
• Zapisywał je
9
Problem biznesowy –
wysokie koszty
• Czy wiecie, że…
– Typowy użytkownik spędza 44 godziny
rocznie dokonując operacji logowania do 4
aplikacji – 1996 study by the Network
Applications Consortium
– Większość użytkownik nie może
zapamiętać więcej niż 3 haseł – Hurwitz
Group, 2000
– Ponad 30% kontaktów z help deskiem
dotyczy haseł - Giga, Renee Woo, March
2001
– Zarządzanie hasłami (reset, definicja)
kosztuje od $200 do $300 na użytkownika
rocznie – IDC
10
Podsumowanie problemów z
dostępem do systemów i
aplikacji
Problemy dla firmy:
•
Wysokie koszty administracji
•
Wysokie koszty pomocy
•
Ograniczone bezpieczeństwo
•
Podatność na luki w
systemie bezpieczeństwa
•
Trudności w egzekwowaniu
reguł bezpieczeństwa
•
Brak dobrej weryfikacji
użytkownika
Problemy dla użytkowników:
•
Zbyt wiele identyfikatorów i
haseł
•
Mniejsza produktywność
•
Niedobre doświadczenia
11
Jesteśmy w raju
•Zarządzanie jednym kontem
dostępu dla użytkownika
•Redukcja kosztów
•Eliminacja wielu haseł lub ich
brak
•Zwiększone bezpieczeństwo
12
Siła katalogu i jednej sieci
Kto i co może
w sieci ?
Zasoby
Kontrola
dostępu
do zasobów
Personalizacja
Administrato
r
NDS eDirectory
Systemy
Inne katalogi
(mail)
Aplikacje
Integracja
i e-aprowizacja
użytkowników
13
• Secure Access
Suite
• Zestaw
produktów
zawiera:
– Novell eDirectory
– Novell iChain
– Novell BorderManager
– Novell SecureLogin
– Novell Account Management 3
– Novell Modular Authentication Services
EE (NMAS)
Rozwój rozwiązań z kategorii
bezpieczeństwo i kontrola
dostępu
14
Bezpieczny dostęp do
systemów w sieci
heterogenicznej
AIX
AIX
NetWare
NetWare
NT/2000
NT/2000
Solaris
Solaris
Linux
Linux
HP-UX
HP-UX
OS/390
OS/390
Free BSD Unix
Free BSD Unix
Novell
Account
Managemen
t 3
Zarządzanie kontami
i jedno hasło dostępu
do serwerów w
heterogenicznej sieci
W nowej wersji
włączono obsługę
wielu dodatkowych
systemów
Novell
eDirectory
AS/400, OpenVMS,
AS/400, OpenVMS,
Tru64 UNIX wkrótce
Tru64 UNIX wkrótce
15
Możliwość zarządzania
kontami w systemach
Account Management
NT
2000
Linu
x
Solaris
(x86)
HP
UX
AIX
Tru64
OS
/
39
0
AS/
400
VMS
Ap
p
x
Solaris
(sparc)
Free
BSD
eDirectory
NetWare
…
NT/2000
Solaris
(Sparc)
Linux
AIX
16
Novell Account
Management 3.0 (1/2)
• Użytkownik ma ten sam
identyfikator i hasło na
wszystkich platformach, z
których korzysta
17
Novell Account
Management 3.0 (2/2)
• Po stronie stacji roboczej nie potrzeba
żadnej modyfikacji lub instalacji
dodatkowego oprogramowania (tzw.
klienta)
– Jeden punkt administrowania kontami
użytkowników i grupami
• Konta są automatycznie tworzone, konfigurowane i
usuwane na wszystkich platformach
• Synchronizacja informacji o kontach lub
przekierowanie zapytań do katalogu
• Wykorzystuje rozbudowane skrypty, aby można było
zarządzać katalogami domowymi i innymi zasobami
• Administratorzy poszczególnych platform zachowują
kontrolę nad swoimi systemami.
– Można dodać zaawansowaną weryfikację
tożsamości
18
Single Sign On - jeden
bezpieczny login do
aplikacji
Novell SecureLogin
Novell
eDirectory
Applikacje
Applikacje
Web, Win32, Citrix,
Web, Win32, Citrix,
& Host Based
& Host Based
OS/390
19
Rozwiązanie problemu dostępu
do różnych aplikacji – Novell
Secure Login
• Rozwiązanie umożliwiające
wykorzystanie jednokrotnej autoryzacji
(single sign-on) dla aplikacji webowych
i windowsowych, Citrix/MS Terminal
Server i innych terminali oraz hostów
uniksowych z możliwością użycia
dodatkowych metod weryfikacji
(metody biometryczne, tokeny,
smartcards)
• Jeden login i dostęp do wszystkich
aplikacji
20
Jeden login do sieci i
aplikacji
(Single Sign-on)
Bezpieczne przechowywanie haseł i udostępnianie
ich aplikacjom w trakcie uruchomienia. Nie wymaga
dodatkowych inwestycji sprzętowych i zmian w
oprogramowaniu !!!
21
Typowy login bez Novell
SecureLogin
Serwer
Serwer
aplikacji
aplikacji
Novell
Novell
Directory
Directory
Services
Services
Stacja
Stacja
użytkownika
użytkownika
3)
Użytkownik
podaje ID i
hasło
4)
Aplikacja
startuje
1)
Uruchomienie
aplikacji
2)
Aplikacja
prosi o ID i
hasło
Login ID:
Password:
22
Uwierzytelnianie przez
Novell SecureLogin (NSL)
Serwer
Serwer
aplikacji
aplikacji
Novell
Novell
eDirectory
eDirectory
Stacja
Stacja
4)
NSL wysyła
prośbę o ID i hasło
do eDirectory
Login ID:
Password:
2)
Uruchomienie
aplikacji
3)
Aplikacja
prosi o ID i
hasło
1)
Początek
dnia - login do
eDirectory -
autoryzacja
użytkownika
5)
NSL przekazuje
sekret (poufne dane:
ID/hasło) z eDirectory do
aplikacji
23
Rozwiązanie problemu
Novell SecureLogin:
– Nie wymaga zmian w aplikacjach
– Agent Secure Login na stacji:
• Automatyczne wykrywanie loginu dla
dowolnej aplikacji z klientem Windows,
www, Unix, OS/390 (przez emulatory
terminali)
– Centralna administracja
– Audyt i raporty z wykorzystania
aplikacji (kto, kiedy)
– Do weryfikacji można wykorzystać
certyfikaty
24
Skąd wziąć certyfikaty?
• Wystawianie i przechowywanie
certyfikatów w ramach
eDirectory – Novell Certificate
Server
– Obsługa schematu PKI
– LDAP
– Weryfikacja
• Zarządzanie cyklem życia
certyfikatów
• Możliwość wykorzystania
certyfikatów ze źródeł
zewnętrznych
Novell eDirectory = PKI
25
Rozwiązanie problemu
Novell SecureLogin:
– Wymuszanie reguł dotyczących
haseł
• Np. długość, charakterystyka
– Możliwość automatycznego
generowania haseł
– Obsługa użytkowników mobilnych
• Sekrety podążają za użytkownikiem -
eDirectory
• Możliwy lokalny zaszyfrowany cache
– Hasła są szyfrowane na stacjach
przez klienta NSL 3 i transmitowane
bezpiecznie
26
Novell SecureLogin dzisiaj
To tylko część listy predefiniowanych
aplikacji
MSN
Messenger
ACT
Browser Pop-
ups
CorporateTi
me
Entrust
Eudora
Goldmine
ICQ
JUNO
Lotus
Notes
Lotus
Organizer
Meeting
Maker
MS Internet Gaming Zone
MS FrontPage
MS Money 98/99
Quicken
Siebel
Sales
Yahoo!
Messenger
Visual
SourceSafe
Windows
Logon
MS SQL
Microsoft
Outlook
Clarify
QuickBooks
Pro
Rumba 6
Attachmate Extra!
6.3
Attachmate Extra!
6.5
Opera Web
Internet Explorer
Dialer
AOL
Internet Explorer
Web
Internet Explorer Pop-
up
Compuserve
Earthlink
Reflection 7
HostExplorer
PCOM 4.3,
5.0
Mindspring
Netscape
Web
Netscape Pop-up
NeoPlanet Web
MSN
Prodigy
Novell
GroupWise
PeopleSoft
Oracle
SoftFront Track for
Win
Worldnet
27
Novell Secure Login 3
Podsumowanie
SecureLogin 3:
– Rozwiązanie upraszczające pracę,
zmniejszające koszty i zwiększające
bezpieczeństwo dzięki jednokrotnemu
logowaniu w sieci
– Można zastosować w dowolnym
środowisku
– Brak dodatkowych nakładów na sprzęt
– Możliwość zwiększenia bezpieczeństwa
przez dodatkowe mechanizmy
weryfikacji Novell Modular
Authentication Services EE (tokeny,
SmartCard, biometryka)
28
Bezpieczny dostęp dzięki
zaawansowanemu
uwierzytelnieniu
Novell Modular
Authentication Service
Novell
eDirectory
Zaawansowane uwierzytelnienie:
X.509, urządzenia biometryczne,
karty zbiżeniowe, tokeny, etc.
29
NMAS - Novell Modular
Authentication Services EE
• Zastosowanie – ochrona danych w sieci
• Zaawansowana weryfikacja tożsamości
• Wprowadza dodatkowe sposoby
sprawdzania tożsamości
– Hasło, PIN („coś, co wiesz”)
– Rozwiązanie sprzętowe – token,
SmartCard, karta zbliżeniowa („coś, co
masz”)
– Uwierzytelnienie biometryczne – odcisk
palca, dłoni, tęczówka oka („twoja
cecha”)
30
Różne sekwencje logowania
NMAS
LUB
LUB
LUB
31
Korzyści
• Kreatywność
– Użytkownicy mogą używać różnych
metod logowania
• Duże możliwości wyboru
– NMAS oferuje szeroką gamę metod
poświadczania tożsamości
(biometryczne, tokeny, certyfikaty...)
• Blokowanie stacji roboczych i
wygaszacza ekranu
– Zabezpieczony również dostęp do
stacji.
• Łatwa administracja
– Reguły przechowywane w eDirectory
32
Bezpieczny dostęp z Internetu
do firmowego intranetu i
aplikacji WWW
iChain
iChain
®
®
bezpieczeństwo,
bezpieczeństwo,
SSO,
SSO,
reverse proxy
reverse proxy
Platformy/NOS
Platformy/NOS
NetWare, Windows,
NetWare, Windows,
Solaris, HP-UX, AIX, Linux, OS/390
Solaris, HP-UX, AIX, Linux, OS/390
Bazy
Bazy
danych
danych
Aplikacje
Aplikacje
Web, Win32, Citrix,
Web, Win32, Citrix,
oraz z komputerów
oraz z komputerów
typu host
typu host
Zaawansowane uwierzytelnianie
PKI, Smart Cards, biometryczne,
karty zbliżeniowe, tokeny i itd.
Novell
eDirectory
Świat
Świat
zewnętrzny
zewnętrzny
Internet
Internet
Serwery
Serwery
i aplikacje Web
i aplikacje Web
Novell iChain
33
Zabezpieczenie danych
i transmisji
• Ochrona komunikacji klienta z WWW
przed podsłuchem
• Kodowanie SSL
• Weryfikacja certyfikatów przez serwer
• SSLizer
– Bezpieczne i niewidoczne kodowanie
– Eliminacja obsługi SSL przez serwer
WWW
– Łatwa instalacja
– Zwiększenie wydajności: serwery WWW
zwolnione z procesu szyfrowania!
34
iChain: usługi
uwierzytelniania
Kontrola dostępu:
– Dostęp według reguł
przechowywanych w eDirectory
• Dostępne trzy różne poziomy
– „Public” — bez uwierzytelniania i kontroli
dostępu
– „Restricted” — tylko uwierzytelnianie
– „Secure” — uwierzytelnianie i kontrola
dostępu do serwerów WWW
– Reguły dostępu mogą być
przypisane do:
• Użytkowników
• Grup
• Organizacji
35
Weryfikacja tożsamości
• Tokeny - ActivCard, Vasco, RSA,
itp.
• Certyfikaty X.509
• Konto, hasło
• Przekazywanie informacji o
autoryzacji do serwera WWW
• Aplikacje WWW nie muszą już
weryfikować tożsamości
samodzielnie
36
Secure Access dla
przedsiębiorstw
Novell
eDirectory
FIRMA
FIRMA
systemy bezpieczeństwa
systemy bezpieczeństwa
firewall
firewall
VPN
VPN
serwer RADIUS
serwer RADIUS
forward proxy
forward proxy
Novell BorderManager
®
Świat
Świat
zewnętrzny
zewnętrzny
Internet
Internet
37
Novell BorderManager
(NBM) (1/2)
• Novell BorderManager jest kluczowym
rozwiązaniem do kontroli i
zabezpieczenia dostępu w ofercie
Novella
• BorderManager zawiera certyfikowany
firewall, VPN, filtrowanie żądań
generowanych przez wirusy oraz
skalowaną usługę filtrowania treści w
internecie do których mają dostęp
użytkownicy w celu zwiększenia
ochrony sieci oraz produktywności
pracowników
38
Novell BorderManager
(NBM) (2/2)
• Wykorzystanie kontroli dostępu
na poziomie użytkownika razem
z usługami proxy i cache
zabezpiecza sieć przed
niepożądaną zawartością
pobieraną z Internetu przy
równoczesnym zachowaniu
wysokiej wydajności
39
Czy wiesz że…
• 70% niepożądanego ruchu
internetowego ma miejsce pomiędzy
godziną 9 a 17
• Więcej niż 60% zakupów online
dokonuje się w godzinach pracy
• 35% spadku produktywności jest
związane z przeglądaniem Internetu
• 27% firm z listy Fortune 500 miało
problemy prawne związane z
nadużyciem Internetu lub poczty
elektronicznej
40
Czy to jest problem?
41
Kto powoduje problemy?
42
Jak to działa?
Klient
NBM3.7
SurfControl Content DB
http://
www.cnn.com
Jaką kategorię
przypiszemy do
www.cnn.com?
www.cnn.com to
Rozrywka ale
także
Wiadomości
finansowe
Reporter/Monitor
Dozwolo
ne?
NIE
TAK
www.cnn.co
m
43
Dlaczego filtrować?
• Zarządzanie produktywnością
– Zapobiega nadużyciom związanym z
Internetem
• Ograniczanie ruchu w sieci
– Chroni przed niebiznesowym
wykorzystaniem przepustowości sieci
• Redukcja ryzyka
– Gwarantuje dostępność zasobów
firmy dla realizacji celów biznesowych