home *** CD-ROM | disk | FTP | other *** search
/ PC Plus SuperCD 12 / 12_pcplus_supercd.iso / docs / border.txt next >
Encoding:
Text File  |  1997-10-13  |  18.0 KB  |  441 lines
  1.  
  2. CD de Evaluación 
  3.  
  4.  
  5. Guía detallada del proceso de Implementación e 
  6. instalación de Border Manager
  7.  
  8.  
  9. Introducción
  10.     
  11. Tenga en cuenta que algunos procedimientos de esta guía de implementación e instalación podrán 
  12. variar con respecto a la versión definitiva del producto incluida en este CD.
  13.  
  14. Border Manager es una potente suite de software que gestiona de forma centralizada los privilegios 
  15. de acceso de los usuarios y la seguridad a lo largo de la red corporativa, la intranet y la Internet.
  16.  
  17. En esta guía de implementación e instalación se describen los pasos necesarios para instalar el 
  18. producto en un servidor NetWare, su integración posterior con la herramienta de administración 
  19. NWAdmin y la configuración de los parámetros principales.
  20.  
  21. Enfoque del producto
  22.  
  23. Border Manager representa una nueva clase de tecnología de Novell.  Las tecnologías de Internet e 
  24. intranet tienen tres defectos clave: La seguridad, el Rendimiento y la Administración.  El producto  
  25. Border Manager está específicamente enfocado en resolver estas areas
  26.  
  27. Seguridad
  28. Border Manager incluye un conjunto completo de servicios de seguridad. El producto incluye tres 
  29. niveles de seguridad:
  30.  
  31.         Restricciones por Protocolo y Direcciones: Filtros.
  32.         Restricciones a nivel de sesión: NDS.
  33.         Filtros de contenido: Proxy.
  34.  
  35. Rendimiento
  36. Border Manager ofrece el Proxy Cache mas eficiente de la industria. NetWare es el lider 
  37. incuestionable de Servicios de Ficheros (I/O) y toda esta tecnología se ha aplicado a los 
  38. servicios de cache. Cuando se combina con el Servicio de Directorios NDS, Border Manager 
  39. pasa a liderar una nueva clase de tecnología.
  40. Imagine que le pasaría a la infraestructura de la Internet si cada CPI (Centro Proveedor de 
  41. Internet) del mundo pudierá tener en cache sus 100 servicios más accedidos.
  42.  
  43. Administración
  44. Border Manager ofrece el mejor sistema de administración, posible gracias a que se encuentra 
  45. completamente integrado con el Servicio de Directorios NDS.
  46. Si sabe administrar NetWare 4, sabe administrar Border Manager. Se incorporan nuevos 
  47. atributos en el administrador de NetWare para las nuevas funciones.
  48.  
  49. Además de la seguridad, el rendimiento y la administración, Border Manager incluye tres servicios 
  50. adicionales que amplian las funcionalidades de Internet/Intranet
  51.  
  52. Gateway IPX/IP
  53. El Gateway IPX/IP permite que los usuarios/clientes IPX de la red puedan acceder a Internet. El 
  54. Gateway IPX/IP se integra con el NDS para permitir un servicio de seguridad a nivel de sesión. 
  55. Funciona como un Firewall natural protegiendo los servicios internos de los ataques desde 
  56. Internet basados en IP.
  57.  
  58.  
  59. Gateway IP/IP
  60. El Gateway IP/IP permite que se utilice un esquema de direcciones IP ilegales en el lado privado 
  61. de la Intranet.  Es muy útil cuando hay limitación de las direcciones IP legales. Al emplear el 
  62. Gateway IP/IP se ofrece una seguridad mejorada limitando la visibilidad de los hosts internos.
  63.  
  64. Redes Privadas Virtuales. (Virtual Private Networks, VPN)
  65. Con servicio VPN se amplian los servicios WAN mediante la utilización de los canales 
  66. existentes de internet. VPN permite unir redes distantes a través de Internet. La clave de la 
  67. tecnología consiste en la encriptación segura de los datos desde un nodo a otro de la red 
  68. privada virtual además de la integración con el NDS.  Esta tecnología permitirá a las empresas y 
  69. las grandes corporaciones el desarrollo de nuevas rutas de comunicación para extender sus 
  70. servicios de red.
  71.  
  72.  
  73. Pasos de la instalación
  74.  
  75. El procedimiento de instalación de Border Manager requiere que se hayan realizado la instalación o 
  76. configuración de IntranetWare o IntranetWare para PYMES
  77.  
  78.  
  79. I.     Instale uno de dichos Sistemas Operativos tal como se documenta en la guía de 
  80. instalación.
  81.  
  82. 1      No es necesario que instale el producto NIAS 4 (MPR + Gateway IPX/IP) incluido con 
  83. IntranetWare.
  84.  
  85. Si ya ha instalado NIAS 4.0 en el servidor IntranetWare, no se preocupe. Border Manager 
  86. incluye el nuevo producto NIAS 4.1, el cual actualizará la versión de su sistema.
  87.  
  88. Pasos para la instalación de Border Manager.
  89.  
  90. 1      Desde la consola del servidor:
  91. -    LOAD INSTALL
  92.  
  93. 1      Instalación de Border Manager.
  94.         -    Se realiza desde:  "Product Options, Install a Product not Listed, F3"
  95. -    Indique el camino hasta el directorio donde se encuentra el producto. En nuestro caso al 
  96. tratarse del CD de evaluación, indicamos el nombre del mismo y el directorio:
  97.             "NOVEVAL:BM"
  98.  
  99. El procedimiento realiza la instalación de los productos NIAS 4.1 y BORDER 4.1 los cuales 
  100. incluyen a su vez varios componentes nuevos además de los existentes en las versiones 
  101. anteriores.
  102.  
  103.     Support Pack V3:
  104.             Conjunto de parches y mejoras para IntranetWare.
  105.  
  106.     NIAS 4.1:
  107.         - Multiprotocol Router de Novell
  108.         - Incorpora el Remote Access Server.  (Nueva versión 3 de NetWare Connect)
  109.         - Soporte de PPP Multilink
  110. - Network Address Translation (NAT). Soporta el trabajar con direcciones IP ilegales y su 
  111. conversión a direcciones legales.
  112.         - Soporte de SNMP.
  113.  
  114.     BORDER 4.1:
  115. - Proxy Cache.
  116.         - Reverse Proxy Cache.
  117.         - Cache Jerárquico.
  118.         - Servicios de seguridad mejorados a través del Servicio de Directorios.
  119.         - Servicios de Gateway a nivel de circuito.
  120.         - Servicios de filtros. Incluso permite bloquear el acceso a páginas Web en base a su 
  121. contenido.
  122. - Servicios de Redes Privadas Virtuales
  123. - Servicios de cache predictivos.
  124.         - Registro de todas las transacciones (log).
  125.         - Soporte de SNMP.
  126.  
  127.      Arranque el Servidor IntranetWare.
  128.  
  129. Una vez que el procedimiento de instalación termina, deberá volver a arrancar el servidor.
  130.  
  131. DOWN
  132.         RESTART SERVER
  133.  
  134.      Configuración de Filtro de Paquetes
  135.  
  136. Durante el arranque del servidor, se ejecutará automáticamente un proceso que permite 
  137. configurar el modo de trabajo inicial de Border Manager (BRDCFG.NLM). En este punto, el 
  138. administrador elije si desea trabajar o no con Filtro de Paquetes.
  139.  
  140.  
  141.  
  142.  
  143.  
  144.     Si contesta positivamente, Border Manager ejecutará el proceso de configuración de Filtros. 
  145. Este programa permite seleccionar entre dos opciones:
  146.  
  147. -    Set Filter on the Public interface. Bloqueará todo el tráfico en los interfaces seleccionados. 
  148. Emplee esta opción si desea un entorno muy seguro.
  149.  
  150. -    Configure filters. Ejecutará el programa FILTCFG, el cual permite personalizar los filtros 
  151. deseados.
  152.  
  153.     Si define y activa el filtraje de paquetes TCP/IP e IPX, se bloqueará todo el tráfico IP e IPX 
  154. en los interface LAN o WAN seleccionados, excepto el del Gateway IP, Web Proxy Cache y 
  155. Redes Privadas Virtuales.
  156.  
  157.     Tenga en cuenta que la activación de estos filtros impedirá todo tipo de tráfico menos el que 
  158. se menciona arriba, por lo que será su responsabilidad posterior configurar correctamente estos 
  159. filtros para poder permitir otro tipo de tráfico sí deseado.
  160.  
  161. Si por el contrario contesta negativamente, el proceso de instalación continuará con la carga del 
  162. programa INETCFG.
  163.  
  164.      Configuración de las comunicaciones LAN y WAN.
  165.  
  166. Se ejecutará automáticamente un proceso que permite configurar las tarjetas LAN y WAN, así 
  167. como los protocolos y la asociación de los mismos.  (INETCFG)
  168.  
  169.     
  170.  
  171.  
  172.  
  173.     El programa INETCFG permite, entre otros, definir los siguientes parámetros:
  174.  
  175.     - Boards        Tarjetas LAN y/o WAN existentes y sus parámetros 
  176. Hardware, como puede ser: IRQ, MEM, Puerto I/O, etc...
  177.     - Interfaces        Asociación de un medio de comunicaciones con la tarjeta LAN o WAN. Por 
  178. ejemplo, una tarjeta de Red NE2000 siempre estará asociada a Ethernet, 
  179. mientras que una tarjeta de comunicaciones podría estar asociada a PPP, 
  180. HDLC, RDSI, etc...
  181. Si deseamos, por ejemplo, acceder a Internet a través del servidor mediante 
  182. INFOVIA, entonces debemos asociar a la tarjeta WAN el protocolo PPP.
  183. - WAN Call        Posibles destinos a los que el router podrá llamar / conectar.
  184. - Backup Call     Alternativas a los destinos anteriores en caso de fallo de comunicaciones.
  185. - Protocols        Definición/Activación de los diferentes protocolos.
  186.     - Bindings        Asociación de los protocolos a los interfaces.
  187.     
  188.  
  189. 1      Ejecución del setup de Border Manager en el puesto de trabajo del administrador en 
  190. Windows/95, lo cual permitirá extender el esquema del NDS y añadir los snap-in necesarios al 
  191. programa NWAdmin para porder administrarlo y configurarlo
  192.  
  193.  
  194. -    Esto se realiza ejecutando el programa SETUP.EXE que se encuentra en el CD de Border 
  195. Manager en:
  196.  
  197.         BORDERMGR:BORDER41\BORDERMGR\WIN95\SETUP.EXE
  198.  
  199. El proceso de instalación copiará los ficheros DLL's necesarios al directorio PUBLIC\WIN95 
  200. del servidor donde se ha instalado Border Manager.
  201.             
  202.  
  203.  
  204.  
  205.  
  206.     Recuerde que al tratarse de una versión en Inglés, este procedmiento copiará los ficheros de 
  207. mensajes en los directorios ENGLISH del servidor. Si la variable NWLANGUAGE de la estación de 
  208. trabajo del administrador es igual a ESPANOL, entonces el programa NWAdmin no encontrará los 
  209. ficheros y el programa no funcionará correctamente. Para solucionarlo, deberá trabajar en Inglés 
  210. (NWLANGUAGE=ENGLISH) hasta el momento en que se libere Border Manager en Español. Otra 
  211. opción consiste en copiar desde los directorios ENGLISH, todos los nuevos ficheros a los directorios 
  212. ESPANOL. 
  213.  
  214.     Nota!!    En Windows / 95 puede buscar la variable NWLANGUAGE y cambiarla en el registry 
  215. empleando el programa regedit.exe.
  216.  
  217. 1      Ejecute el Administrador de NetWare y configure Border Manager desde la estación del 
  218. administrador antes preparada:
  219.  
  220.     SYS:PUBLIC\WIN95\NWADMN95.EXE
  221.                                                 
  222. (El Administrador de NetWare ejecutará el módulo NLM de Border Manager de forma 
  223. automática en el servidor y además añadirá la línea necesaria en el fichero AUTOEXEC.NCF). 
  224. Seleccione el Objeto Servidor donde se ha instalado Border Manager. Observe que se han 
  225. creado varias propiedades nuevas para el objeto servidor.
  226.  
  227.  
  228.  
  229.  
  230.     Seleccione "Border Manager Setup", luego en la sección "Configured IP Addresses" introduzca 
  231. las direcciones y máscaras IP que tenga configuradas el servidor.
  232.  
  233.     En esta versión, Border Manager no lee la configuración de las direcciones IP del propio 
  234. servidor que ya se definieron con INETCFG, por lo que es necesario volver a introducirlas.
  235.  
  236.     Realmente, lo importante de las direcciones IP que se introducen aquí es la definición del tipo de 
  237. dirección, es decir, si se trata de una direccióndel tipo pública o una dirección del tipo privada.
  238.  
  239. Private -    Privada representa las redes LAN en el lado privado del Firewall, es decir, 
  240. en el lado de nuestra red privada corporativa.
  241.  
  242. Public -     Publica especifica una dirección válida Internet (la que normalmente nos 
  243. asigna el CPI, Centro Proveedor de Internet).
  244.  
  245. Nota:   Esta opción se eliminará en el producto cuando sea liberado, 
  246. ya que BM (Border Manager) autodetectará las direcciones IP 
  247. válidas asociadas a las tarjetas de red (Binding)
  248.  
  249. Both -    "Ambas" se emplea cuando Border Manager no se utiliza como una  
  250. solución de Firewall. 
  251.  
  252.                     
  253.     Para que el Proxy Cache funcione correctamente y pueda configurarse, primero es necesario 
  254. introducir al menos una dirección del tipo "public" o una del tipo "both". Para ello, introduzca la 
  255. dirección, pulse el botón de OK para que el programa NWAdmin notifique al servidor la misma, 
  256. vuelva a las propiedades del objeto servidor y configure finalmente los parámetros del Proxy Cache, 
  257. para ello  haga doble clic en "Proxy Cache Services", marque el botón "enable". 
  258.  
  259. Escenario INFOVIA
  260.  
  261.     Existe un tipo de configuración que puede parecer complicada. Es el caso de un escenario 
  262. donde se trabaja con una dirección IP dinámica entregada por el CPI cada vez que NetWare se 
  263. conecta al mismo y sin dirección IP en el lado de la red local.
  264.  
  265.     Supongamos un servidor NetWare con Border Manager más una tarjeta RDSI. Deseamos entrar 
  266. a internet a través de Infovía y el CPI nos va a entregar una dirección IP dinámica. Además en 
  267. nuestra "Intranet" no deseamos trabajar en IP para mayor seguridad; al contrario, lo que queremos 
  268. es emplear el Gateway IPX/IP en todos los puestos de trabajo de la red.
  269.  
  270.     Esta configuración supone lo siguiente:
  271.  
  272.     *    Comunicaciones, LOAD INETCFG:
  273.  
  274.         Tarjetas de Red:
  275.         LAN:    Tarjeta (por ejemplo) NE2000 Ethernet
  276.     WAN:     Tarjeta (por ejemplo) RDSI configurada en protocolo PPP.
  277.  
  278.         WAN Call:
  279. Definimos un destino llamado "INTERNET" con el número de teléfono 055 y el usuario y 
  280. password designados por nuestro proveedor, que será parecido a:
  281.  
  282.                 Usuario: minombre@miproveedor
  283.                 Password:  miclave
  284.  
  285.         Protocolos:
  286.         IPX:        Configuración por defecto.
  287.         TCP/IP:    IP Packet Forwarding: Como nodo final (end-node).
  288.                     RIP y OSPF: deshabilitados (disabled)
  289.                     LAN Static routing: disabled
  290.                     DNS Resolver configuration: Aquí introducimos los datos que nos facilita el 
  291. CPI.
  292.  
  293.         Bindings:
  294.         NE2000:    Bind de IPX.
  295.     RDSI:    TCP/IP unumbered.
  296.                     WAN Call "INTERNET".
  297.                     Ruta estática "default route" a través de dicha WAN Call "INTERNET".
  298.                     RIP y OSPF deshabilitados
  299.  
  300.     *    Configuración de los parámetros IP de Border Manager en NWAdmin:
  301.  
  302. En el caso de NO desear activar el Proxy Cache, entonces NO ES NECESARIO 
  303. INTRODUCIR NINGUNA INFORMACIαN DE DIRECCIONES TCP/IP EN EL OBJETO 
  304. SERVIDOR
  305.  
  306. En el caso de S╓ desear configurar/activar la opción de Proxy Cache, opción que 
  307. recomendamos, entonces es necesario "engañar" al proceso de configuración.
  308.         
  309.     - Introduzca una dirección "cualquiera" de tipo "public". Pulse el botón OK.
  310.             - Vuelva a acceder al objeto servidor. Habilite/Configure el servicio Proxy/Cache.
  311.             - Elimine la dirección anterior y vuelva a pulsar OK.
  312.  
  313.  
  314. 1      Configure el Web Proxy Cache
  315.  
  316.     Desde las propiedades del objeto servidor, haga clic sobre el botón Web Proxy Cache y active la 
  317. opción "Enable HTTP Proxy".
  318.  
  319.                             
  320.  
  321.  
  322.  
  323.     Pulse OK.
  324.  
  325. En su navegador habilite la opción Proxy para HTTP, FTP y Gopher, empleando la dirección IP 
  326. del Servidor (o la dirección 127.0.0.1 si usa Gateway IPX/IP) y el puerto empleado (el de por 
  327. defecto es el 8080).
  328.  
  329. Observe como se acelera la navegación por Internet cuando vuelva a las páginas ya accedidas. 
  330. El servidor será el encargado de realizar cache de las páginas de internet y estarán disponibles 
  331. para todos los usuarios de la red que usen la función Proxy.
  332.  
  333. 1      Configure las Reglas de acceso a Internet.
  334.  
  335.     Deberá activar, en la propiedad Border Manager del objeto servidor, la opción:
  336.  
  337.         Enforce Rules.
  338.  
  339. Mediante ésta, se indica al servidor que está obligado a emplear las restricciones y reglas de 
  340. acceso a internet, es decir, el Firewall.
  341.  
  342. Tenga en cuenta, que por defecto existe una regla que impide los accesos, por lo que 
  343. inmediatamente después de activar esta opción deberá incluir una regla para los accesos que 
  344. usted desee.
  345.  
  346. Para configurar las reglas, deberá entrar en el botón de Outgoing Rules. Observe que 
  347. aparecerá vacio, pero si pulsa el botón de reglas efectivas (Effective Rules)  verá que existe la 
  348. regla "por defecto" que impide el acceso a cualquier servicio. Recuerde que puede definir reglas 
  349. no sólo en el objeto servidor, sino también por contenedores.
  350.  
  351.     Ejemplos de configuración:
  352.  
  353. Ejemplo A: Deseamos permitir el acceso ilimitado a Internet, pero sólo durante el horario de 
  354. trabajo. Para ello, creamos un grupo al que denominamos "AccesoInternet" y asociamos a los 
  355. usuarios que nos interese.
  356.  
  357.     En la lista de reglas pulsando el botón de añadir:
  358.  
  359.     Action:                 Allow
  360.     Source:             Specified Group, "AccesoInternet"
  361.     Time Constraint        Specified (marcamos en gris las horas a las 
  362. que permitimos el acceso)
  363.     Access specification    Protocol "Any"
  364.     Destination            Any
  365.  
  366.     Vea en la siguiente figura como quedaría la ventana de reglas definidas:
  367.  
  368.  
  369.     
  370.             
  371.  
  372. Ejemplo B: Deseamos permitir el acceso ilimitado a Internet inicialmente para, en el futuro, ir 
  373. definiendo nuevas reglas:
  374.  
  375.     En la lista de reglas pulsando el botón de añadir:
  376.  
  377.     Action:                 Allow
  378.     Source:             Any
  379.     Time Constraint        None
  380.     Access specification    Protocol "Any"
  381.     Destination            Any
  382.  
  383.  
  384. Tenga en cuenta que las reglas se van comprobando de abajo hacia arriba en la lista de reglas 
  385. introducidas. Además cuando pulse el botón OK el Administrador de NetWare notificará los 
  386. cambios al servidor  y este tendrá que analizar todas las reglas efectivas que le afecten desde la 
  387. raiz del árbol, por lo que el proceso puede llegar a demorarse algunos minutos, dependiendo del 
  388. tamaño del servicio de diretorios.
  389.  
  390.     En un escenario como el planteado aquí (un único servidor conectado a Internet), esta operación 
  391. no tardará más de 30 - 40 segundos.
  392.  
  393.  
  394. 1      Cyber Patrol 
  395.  
  396. Además de las reglas definidas anteriormente, Border Manager incluye el producto:
  397.  
  398.         CYBER PATROL (Filtros de Internet para el Proxy Server de Novell), de la compañía:
  399.         Microsystems Software, Inc.
  400.  
  401. Este permite definir restricciones de acceso a sitios de Internet en base a los contenidos de los 
  402. mismos. Esto puede realizarse gracias a que MSI mantiene unas bases de datos actualizadas de 
  403. dichos sitios por temas. Border Manager incluye estas bases de datos, y una vez que usted se 
  404. registre en MSI, el propio servidor Border Manager irá actualizando dichas bases de datos, 
  405. llamadas:
  406.         
  407.         CyberNOT List y CyberYES List
  408.  
  409. Ejecute el programa CP_SETUP.EXE que encontrará en el CD de Border Manager:
  410.                             
  411.     BORDERMGR:BORDER41\BORDER\CP_SETUP.EXE
  412.  
  413.  
  414.  
  415.  
  416.  
  417. Nota: Cuando el proceso de instalación le pregunte por la unidad de red donde está el volumen 
  418. SYS: del servidor, no introduzca los "dos puntos ':' " después de la letra. Además, cuando le 
  419. indique que se registre con Cyber Patrol, pulse el botón "Cancel" para que instale la licencia 
  420. Demo del mismo, (dura 45 días).
  421.  
  422. 1      Carge el NLM de Cyber Patrol en la consola del servidor
  423.  
  424. El programa se instala en el directorio SYS:\ETC\CPFILTER del servidor, y será necesario 
  425. incluir la siguiente línea en el AUTOEXEC.NCF
  426.  
  427.     LOAD SYS:\ETC\CPFILTER\CPFILTER.NLM
  428.  
  429.     A partir de este momento podrá definir las reglas de acceso a Internet limitando dicho acceso en 
  430. base a las listas: CyberYES y CyberNOT.
  431.  
  432.  
  433.  
  434. Para más información sobre el resto de opciones configurables en Border Manager sirvase 
  435. consultar la documentación incluida en el CD. Podrá acceder a ella tal como se explica en la 
  436. Guía de instalación.
  437.  
  438.  
  439.  
  440. Página -13-
  441.