Wykład 13: “Warstwa VI i VII

Novell Groupwise (2/2)

• 1995 Dodanie dostępu z

poziomu WWW

• 1997: Groupwise 5.2 IMAP,

LDAP, Java, workflow support

• Obecna wersja (z 2003 r.)

GroupWise 6.5 – współdzielone

foldery, messaging, workflow,

SSL, SMS-y na komórki i pagery,

PDA, dostęp zdalny itp. itd

Problem – identyfikowanie

użytkowników i udzielanie

dostępu

AIX, Solaris, HP-UX,

Linux, etc

NetWare

NT/2000

OS/390

App

NetWare/NT

Admin

Użytkownik

App

Web Serwer

Użytkown

ik Web

Użytkownik

VPN, Dial-up,

Wireless

Access Control Server

Administr

tor

dostępu

aplikacji

OS/390

Admin

Unix

Web Serwer

Problem biznesowy –

wysokie koszty

• Czy wiecie, że…

– Typowy użytkownik spędza 44 godziny

rocznie dokonując operacji logowania do 4
aplikacji – 1996 study by the Network
Applications Consortium

– Większość użytkownik nie może

zapamiętać więcej niż 3 haseł – Hurwitz
Group, 2000

– Ponad 30% kontaktów z help deskiem

dotyczy haseł - Giga, Renee Woo, March
2001

– Zarządzanie hasłami (reset, definicja)

kosztuje od $200 do $300 na użytkownika
rocznie – IDC

Podsumowanie problemów z

dostępem do systemów i

aplikacji

Problemy dla firmy:

•

Wysokie koszty administracji

•

Wysokie koszty pomocy

•

Ograniczone bezpieczeństwo

•

Podatność na luki w
systemie bezpieczeństwa

•

Trudności w egzekwowaniu
reguł bezpieczeństwa

•

Brak dobrej weryfikacji
użytkownika

Problemy dla użytkowników:

•

Zbyt wiele identyfikatorów i
haseł

•

Mniejsza produktywność

•

Niedobre doświadczenia

Siła katalogu i jednej sieci

Kto i co może

w sieci ?

Zasoby

Kontrola

dostępu

do zasobów

Personalizacja

Administrato

NDS eDirectory

Systemy

Inne katalogi

(mail)

Aplikacje

Integracja

i e-aprowizacja

użytkowników

• Secure Access

Suite

• Zestaw

produktów

zawiera:

– Novell eDirectory
– Novell iChain
– Novell BorderManager
– Novell SecureLogin
– Novell Account Management 3
– Novell Modular Authentication Services

EE (NMAS)

Rozwój rozwiązań z kategorii

bezpieczeństwo i kontrola

dostępu

Bezpieczny dostęp do

systemów w sieci

heterogenicznej

AIX

NetWare

NT/2000

Solaris

Linux

HP-UX

OS/390

Free BSD Unix

Novell
Account
Managemen
t 3

Zarządzanie kontami
i jedno hasło dostępu
do serwerów w
heterogenicznej sieci

W nowej wersji
włączono obsługę
wielu dodatkowych
systemów

Novell

eDirectory

AS/400, OpenVMS,

Tru64 UNIX wkrótce

Możliwość zarządzania

kontami w systemach

Account Management

2000

Linu

Solaris

(x86)

HP
UX

AIX

Tru64

AS/

400

VMS

Solaris

(sparc)

Free

BSD

eDirectory

NetWare

…

NT/2000

Solaris

(Sparc)

Linux

AIX

Novell Account

Management 3.0 (2/2)

• Po stronie stacji roboczej nie potrzeba

żadnej modyfikacji lub instalacji
dodatkowego oprogramowania (tzw.
klienta)

– Jeden punkt administrowania kontami

użytkowników i grupami

• Konta są automatycznie tworzone, konfigurowane i

usuwane na wszystkich platformach

• Synchronizacja informacji o kontach lub

przekierowanie zapytań do katalogu

• Wykorzystuje rozbudowane skrypty, aby można było

zarządzać katalogami domowymi i innymi zasobami

• Administratorzy poszczególnych platform zachowują

kontrolę nad swoimi systemami.

– Można dodać zaawansowaną weryfikację

tożsamości

Single Sign On - jeden

bezpieczny login do

aplikacji

Novell SecureLogin

Novell

eDirectory

Applikacje

Web, Win32, Citrix,

& Host Based

OS/390

Rozwiązanie problemu dostępu

do różnych aplikacji – Novell

Secure Login

• Rozwiązanie umożliwiające

wykorzystanie jednokrotnej autoryzacji
(single sign-on) dla aplikacji webowych
i windowsowych, Citrix/MS Terminal
Server i innych terminali oraz hostów
uniksowych z możliwością użycia
dodatkowych metod weryfikacji
(metody biometryczne, tokeny,
smartcards)

• Jeden login i dostęp do wszystkich

aplikacji

Typowy login bez Novell

SecureLogin

Serwer

aplikacji

Novell

Directory

Services

Stacja

użytkownika

Użytkownik

podaje ID i

hasło

Aplikacja

startuje

Uruchomienie

aplikacji

Aplikacja

prosi o ID i

hasło

Password:

Uwierzytelnianie przez

Novell SecureLogin (NSL)

Serwer

aplikacji

Novell

eDirectory

Stacja

NSL wysyła

prośbę o ID i hasło

do eDirectory

Password:

Uruchomienie

aplikacji

Aplikacja

prosi o ID i

hasło

Początek

dnia - login do

eDirectory -

autoryzacja

użytkownika

NSL przekazuje

sekret (poufne dane:

ID/hasło) z eDirectory do

aplikacji

Rozwiązanie problemu

Novell SecureLogin:

– Nie wymaga zmian w aplikacjach
– Agent Secure Login na stacji:

• Automatyczne wykrywanie loginu dla

dowolnej aplikacji z klientem Windows,
www, Unix, OS/390 (przez emulatory
terminali)

– Centralna administracja
– Audyt i raporty z wykorzystania

aplikacji (kto, kiedy)

– Do weryfikacji można wykorzystać

certyfikaty

Skąd wziąć certyfikaty?

• Wystawianie i przechowywanie

certyfikatów w ramach
eDirectory – Novell Certificate
Server

– Obsługa schematu PKI
– LDAP
– Weryfikacja

• Zarządzanie cyklem życia

certyfikatów

• Możliwość wykorzystania

certyfikatów ze źródeł
zewnętrznych

Novell eDirectory = PKI

Rozwiązanie problemu

Novell SecureLogin:

– Wymuszanie reguł dotyczących

haseł

• Np. długość, charakterystyka

– Możliwość automatycznego

generowania haseł

– Obsługa użytkowników mobilnych

• Sekrety podążają za użytkownikiem -

eDirectory

• Możliwy lokalny zaszyfrowany cache

– Hasła są szyfrowane na stacjach

przez klienta NSL 3 i transmitowane

bezpiecznie

Novell SecureLogin dzisiaj

To tylko część listy predefiniowanych
aplikacji

MSN
Messenger

ACT

Browser Pop-
ups

CorporateTi
me

Entrust

Eudora

Goldmine

ICQ

JUNO

Lotus
Notes

Lotus
Organizer

Meeting
Maker

MS Internet Gaming Zone

MS FrontPage

MS Money 98/99

Quicken

Siebel
Sales
Yahoo!
Messenger

Visual
SourceSafe

Windows
Logon

MS SQL

Microsoft
Outlook

Clarify

QuickBooks
Pro

Rumba 6

Attachmate Extra!
6.3
Attachmate Extra!
6.5

Opera Web

Internet Explorer
Dialer

AOL

Internet Explorer
Web

Internet Explorer Pop-
up

Compuserve

Earthlink

Reflection 7

HostExplorer

PCOM 4.3,
5.0

Mindspring

Netscape
Web

Netscape Pop-up

NeoPlanet Web

MSN

Prodigy

Novell
GroupWise

PeopleSoft

Oracle

SoftFront Track for
Win

Worldnet

Novell Secure Login 3

Podsumowanie

SecureLogin 3:

– Rozwiązanie upraszczające pracę,

zmniejszające koszty i zwiększające
bezpieczeństwo dzięki jednokrotnemu
logowaniu w sieci

– Można zastosować w dowolnym

środowisku

– Brak dodatkowych nakładów na sprzęt
– Możliwość zwiększenia bezpieczeństwa

przez dodatkowe mechanizmy
weryfikacji Novell Modular
Authentication Services EE (tokeny,
SmartCard, biometryka)

Bezpieczny dostęp dzięki

zaawansowanemu

uwierzytelnieniu

Novell Modular

Authentication Service

Novell

eDirectory

Zaawansowane uwierzytelnienie:

X.509, urządzenia biometryczne,

karty zbiżeniowe, tokeny, etc.

NMAS - Novell Modular

Authentication Services EE

• Zastosowanie – ochrona danych w sieci
• Zaawansowana weryfikacja tożsamości
• Wprowadza dodatkowe sposoby

sprawdzania tożsamości

– Hasło, PIN („coś, co wiesz”)
– Rozwiązanie sprzętowe – token,

SmartCard, karta zbliżeniowa („coś, co
masz”)

– Uwierzytelnienie biometryczne – odcisk

palca, dłoni, tęczówka oka („twoja
cecha”)

Korzyści

• Kreatywność

– Użytkownicy mogą używać różnych

metod logowania

• Duże możliwości wyboru

– NMAS oferuje szeroką gamę metod

poświadczania tożsamości

(biometryczne, tokeny, certyfikaty...)

• Blokowanie stacji roboczych i

wygaszacza ekranu

– Zabezpieczony również dostęp do

stacji.

• Łatwa administracja

– Reguły przechowywane w eDirectory

Bezpieczny dostęp z Internetu

do firmowego intranetu i

aplikacji WWW

iChain

bezpieczeństwo,

SSO,

reverse proxy

Platformy/NOS

NetWare, Windows,

Solaris, HP-UX, AIX, Linux, OS/390

Bazy

danych

Aplikacje

Web, Win32, Citrix,

oraz z komputerów

typu host

Zaawansowane uwierzytelnianie

PKI, Smart Cards, biometryczne,

karty zbliżeniowe, tokeny i itd.

Novell

eDirectory

Świat

zewnętrzny

Internet

Serwery

i aplikacje Web

Novell iChain

Zabezpieczenie danych

i transmisji

• Ochrona komunikacji klienta z WWW

przed podsłuchem

• Kodowanie SSL
• Weryfikacja certyfikatów przez serwer
• SSLizer

– Bezpieczne i niewidoczne kodowanie
– Eliminacja obsługi SSL przez serwer

WWW

– Łatwa instalacja
– Zwiększenie wydajności: serwery WWW

zwolnione z procesu szyfrowania!

iChain: usługi

uwierzytelniania

Kontrola dostępu:

– Dostęp według reguł

przechowywanych w eDirectory

• Dostępne trzy różne poziomy

– „Public” — bez uwierzytelniania i kontroli

dostępu

– „Restricted” — tylko uwierzytelnianie
– „Secure” — uwierzytelnianie i kontrola

dostępu do serwerów WWW

– Reguły dostępu mogą być

przypisane do:

• Użytkowników
• Grup
• Organizacji

Secure Access dla

przedsiębiorstw

Novell

eDirectory

FIRMA

systemy bezpieczeństwa

firewall

VPN

serwer RADIUS

forward proxy

Novell BorderManager

Świat

zewnętrzny

Internet

Novell BorderManager

(NBM) (1/2)

• Novell BorderManager jest kluczowym

rozwiązaniem do kontroli i

zabezpieczenia dostępu w ofercie

Novella

• BorderManager zawiera certyfikowany

firewall, VPN, filtrowanie żądań

generowanych przez wirusy oraz

skalowaną usługę filtrowania treści w

internecie do których mają dostęp

użytkownicy w celu zwiększenia

ochrony sieci oraz produktywności

pracowników

Czy wiesz że…

• 70% niepożądanego ruchu

internetowego ma miejsce pomiędzy

godziną 9 a 17

• Więcej niż 60% zakupów online

dokonuje się w godzinach pracy

• 35% spadku produktywności jest

związane z przeglądaniem Internetu

• 27% firm z listy Fortune 500 miało

problemy prawne związane z

nadużyciem Internetu lub poczty

elektronicznej

Jak to działa?

Klient

NBM3.7

SurfControl Content DB

http://

www.cnn.com

Jaką kategorię
przypiszemy do
www.cnn.com?

www.cnn.com to
Rozrywka ale
także
Wiadomości
finansowe

Reporter/Monitor

Dozwolo

ne?

NIE

TAK

www.cnn.co

Dlaczego filtrować?

• Zarządzanie produktywnością

– Zapobiega nadużyciom związanym z

Internetem

• Ograniczanie ruchu w sieci

– Chroni przed niebiznesowym

wykorzystaniem przepustowości sieci

• Redukcja ryzyka

– Gwarantuje dostępność zasobów

firmy dla realizacji celów biznesowych

Document Outline