Probleme bei Novell BorderManager 3.8 SP1
16. Februar 2004
1.0 Bekannte Probleme und Einschränkungen
Für Novell BorderManager 3.8 Support Pack 1 (NBM 3.8 SP1) gelten die folgenden bekannten Probleme und Einschränkungen:
- Mit dem Stateful-Pingfilter ist das "Pingen" jeweils nur auf einer Seite der Firewall möglich. Das gleichzeitige "Pingen" zwischen einem Hostpaar über die Firewall ist dagegen nicht möglich. Um gleichzeitig "Pingen" zu können, erstellen Sie einen statischen ICMP-Filter und deaktivieren die Filter sofort nach der Verwendung. Dies ist aus Sicherheitsgründen erforderlich.
- Eine Firewall mit aktivierter Protokollierung arbeitet nicht ordnungsgemäß, wenn sie längere Zeit ausgelastet wurde.
- Durch das Entladen und erneute Laden von filtsrv während der Installation kann das System 10 bis 15 Sekunden lang offengelegt werden. Falls Sie der Auffassung sind, dass das System aus diesem Grund für Attacken anfällig wird, sollten Sie es während der Installation nicht offen legen.
- Während der Installation von NBM 3.8 kann ein Fehler bei der Beglaubigung auftreten, falls das Passwort Sonderzeichen enthält.
2.0 Software-Änderungen
Diese NBM 3.8 SP1-Version enthält Software-Änderungen, die in den folgenden Abschnitten beschrieben werden.
2.1 Softwarefehlerkorrekturen mit Schaltern
Novell BorderManager 3.8 SP1 enthält Software-Änderungen, die die in den folgenden Abschnitten beschriebenen Probleme beseitigen.
2.1.1 Benutzerdefiniertes SMTP-Banner
Mit dem folgenden Schalter kann das SMTP-Banner konfiguriert werden:
[Extra Configuration]
BM_SMTP_Banner = "Test-BM-SMTP-Banner. Die unerlaubte Verwendung dieser Software würde rechtliche Schritte gegen den Benutzer nach sich ziehen."
2.1.2 Ersetzen von Mail-Proxy
So ermöglichen Sie dem generischen TCP-Proxy die Verwendung von Anschluss 25 anstelle des Mail-Proxy
[Extra Configuration]
AllowGTCPProxyToUsePort25=1
Legen Sie den Wert "1" fest, damit der generische TCP-Proxy den Anschluss 25 verwenden kann.
2.1.3 Einschränken des HTTP-Proxy-Tunnelling
Standardmäßig ermöglicht der HTTP-Proxy CONNECT-Anforderungen für alle Anschlüsse. Dies kann eine Bedrohung für die Sicherheit darstellen. Der folgende Schalter steuert die Anschlüsse, an denen das Tunneling zulässig ist.
[Tunneling]
EnableTunnelingControl=1
EnableTunnelingControlLog=1
[HttpTunnelingAllowed]
port=<Anschluss-1>
...
port=<Anschluss-N>
Konfigurieren Sie den Schalter EnableTunnelingControl=1, um CONNECT-Anforderungen für die aufgeführten Anschlüsse und Anschluss 443 zuzulassen. CONNECT-Anforderungen für alle nicht aufgeführten Anschlüsse werden verweigert.
Legen Sie den Schalter EnableTunnelingControlLog=1 fest, um alle abgelehnten Anschlüsse in "sys:\etc\proxy\tunnel.log" zu protokollieren.
Mit EnableTunnelingControl=0 sind alle CONNECT-Anforderungen für alle Anschlüsse zulässig. Dies kann eine Bedrohung für die Sicherheit darstellen.
3.0 Softwarefehlerkorrekturen
In diesem Patch von Novell BorderManager 3.8 SP1 wurden die folgenden Softwarefehler behoben:
3.1 Proxy
- Proxy wird abgebrochen, wenn die HTTPS-Protokollierung aktiviert ist.
- Die Beglaubigungsumleitung arbeitet nicht fehlerfrei, wenn Transparent- und Forward-HTTP-Proxys gleichzeitig aktiviert sind.
- Starke Belastung des Arbeitsspeichers, wenn die einmalige Anmeldung für FTP-Proxy aktiviert ist.
- "Slashdot.org" deaktiviert BorderManager-Proxy, wenn die Vorauslesen-Funktion aktiviert ist.
- "Proxy.nlm" wird abgebrochen, nachdem BorderManager von Version 3.7 auf Version 3.8 aufgerüstet wurde.
- Der Proxy-Zugriff ist möglich, selbst wenn dwntrust ausgeführt wird.
- RTSP-Proxy wird während der Verarbeitung des Transport-Headers abgebrochen.
- FTP-Passwort ist auf 32 Zeichen beschränkt
- Die SSL-Beglaubigung wird ausgeführt, selbst wenn kein Benutzername oder Passwort angegeben wird.
- Auf der HTTP-Fehlerseite für Novell BorderManager werden bei einer anderen Serversprache als Englisch ungültige Zeichen angezeigt.
- Die SMTP-Konsolenwarnung, dass die primäre Mail-Domäne nicht konfiguriert ist, wird selbst bei Unterstützung mehrerer Domänen für eingehende Emails angezeigt.
- Beim Laden von IPXIPGW.NLM wird die Fehlermeldung "Öffentliches Proxy-Symbol laden" angezeigt.
- Fehler beim Starten des ICP-Multicast-Servers.
- Clntrust-Vertrauensstellung wird nicht geladen, wenn auf dem Desktop Chinesisch als Sprache aktiviert ist.
- Transparent Telnet-Proxy wird nicht ordnungsgemäß ausgeführt.
- Stopbrd führt zum Absturz des Servers, wenn keine ACL-Lizenzen installiert sind.
3.2 Zugriffssteuerung
- Die N2H2-Kategorisierung kann für sichere Websites nicht verwendet werden.
- Paketfilter-LOG-Dateien werden beschädigt, wenn für die Roll-Methode Stunden festgelegt werden.
- "Aclcheck.nlm" wird bei der Verarbeitung komplexer Zugriffsregeln abgebrochen.
- Die Leistung wird bei umfangreichen ACL-Listen beeinträchtigt.
3.3 Firewall und NAT
- Ein Fehler wird beim Analysieren der Datei "sys:etc\builtins.cfg" gemeldet, wenn der Server erneut gebootet wird.
- "Filtsrv.nlm" wird während der Installation von NBM 3.8 abgebrochen.
- Ein Fehler wird beim Anmelden am NetWare-Server gemeldet, wenn VPN und NAT gleichzeitig ausgeführt werden.
3.4 VPN
- Für Benutzerzertifikate, die von der Novell Organizational CA ausgestellt und in eDirectory gespeichert werden, tritt bei der Beglaubigung auf der Basis von VPN-Zertifikaten beim exportierten Zertifikat in folgenden Situationen ein Fehler auf:
- Der entsprechende Benutzer wird gelöscht oder deaktiviert.
- Das Benutzerzertifikat wird im Benutzerobjekt in eDirectory gelöscht.
- Der VPN-Client bleibt verbunden, wenn der Benutzer die entsprechende Option im Dialogfeld "Zeitüberschreitung beim Trennen" auswählt. Dieses Dialogfeld wird angezeigt, wenn keine Datenübertragung für den konfigurierten Zeitpunkt vorhanden ist.
- Für die Verbindung mithilfe der NMAS-NDS-Methode wird ein Fehler gemeldet, wenn der Benutzername nicht in der Reproduktion des lokalen Servers vorhanden ist.
- Installation von NetWare 6.5 SP1 über eine installierte NBM3.8-Version.
- Falsches debuglog.nlm-Paket zum Laden von IPXIPGW.NLM4.
- Auf der Anmeldeseite des VPN-Client ist keine Liste gängiger Methoden/Optionen für die NMAS-Beglaubigung vorhanden.
- Wenn die VPTUNNEL-Adresse eines VPN-Servers geändert wird, wird die Site-to-Site-Kommunikation unterbrochen.
- Die Site-to-Site-Beglaubigung des VPN-Client ist mit der NMAS LDAP-Methode nicht möglich, wenn mehrere Reproduktionen für den Server vorhanden sind. Dieses Problem ist in NMAS2.3 behoben. Dieses Programm müssen Sie herunterladen und auf dem Server ausführen. Weitere Informationen finden Sie in Novell TID 2967711.
- Falls ein Mitglied, das gelöscht wird, deaktiviert oder nicht kontaktierbar ist, wird es vom Master erst aus der Mitgliederliste gelöscht, wenn es kontaktierbar ist.
4.0 Informationen zum technischen Support
Zur Kontaktaufnahme mit Novell oder einem Novell-Service-Partner besuchen Sie die entsprechende Novell Support Connection-Website:
- http://support.novell.com (Nord-, Mittel- und Südamerika)
- http://support.novell.de (Europa, Naher und Mittlerer Osten)
- http://support.novell.com.au (Asien und pazifischer Raum)
Auf der Novell Support Connection Website finden Sie Beschreibungen der aktuellsten Probleme, Patches sowie andere wichtige Informationen über das von Ihnen installierte Programm. Die KnowledgeBase enthält Dokumente mit technischen Informationen (Technical Information Documents, TIDs), die sich auf dieses Produkt beziehen. Darüber hinaus stehen Ihnen Support-Foren mit Informationen im Zusammenhang mit dem technischen Support sowie zum Austausch mit ehrenamtlichen Diskussionsleitern und mit anderen Novell-Kunden zur Verfügung.
5.0 Rechtliche Hinweise
Novell, Inc., leistet keinerlei Gewähr bezüglich des Inhalts oder Gebrauchs dieses Handbuchs. Insbesondere werden keine ausdrücklichen oder stillschweigenden Gewährleistungen hinsichtlich der handelsüblichen Qualität oder Eignung für einen bestimmten Zweck übernommen. Novell, Inc., behält sich weiterhin das Recht vor, dieses Dokument zu revidieren und dessen Inhalt jederzeit und ohne vorherige Ankündigung zu ändern.
Novell, Inc., gibt ebenfalls keine Erklärungen oder Garantien in Bezug auf Softwareprodukte ab und schließt insbesondere jegliche ausdrückliche oder stillschweigende Garantie auf handelsübliche Qualität oder Eignung für einen bestimmten Zweck aus. Außerdem behält sich Novell, Inc., das Recht vor, Novell-Software jederzeit ganz oder teilweise zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen.
Die Ausfuhr oder Wiederausfuhr dieses Produkts darf nur unter Einhaltung aller geltenden Gesetze und Bestimmungen erfolgen, einschließlich – jedoch ohne Beschränkung darauf – der US-Ausfuhrbestimmungen bzw. der für Ihr Land geltenden Ausfuhrgesetze.
Copyright © 2002-2004 Novell, Inc. Alle Rechte vorbehalten.
Ohne ausdrückliche schriftliche Genehmigung des Herausgebers darf kein Teil
dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem
Speichersystem verarbeitet werden.
Novell ist in den Vereinigten Staaten und in anderen Ländern eine eingetragene Marke von Novell, Inc.
Client32, eDirectory, Internetwork Packet Exchange, IPX, NetWare Ladbares Modul, NLM und Novell-Client sind Marken von Novell, Inc.
Alle Produkte von Drittanbietern sind Eigentum ihrer jeweiligen Inhaber.