Questões do Novell BorderManager 3.8 SP1

1.0 Problemas e limitações conhecidas

O Novell BorderManager 3.8 Support Pack 1 (NBM 3.8 SP1) apresenta os seguintes problemas e as seguintes limitações conhecidas:

1. O filtro de ping determinado permite efetuar o ping de um dos lados do firewall por vez. Ele não permite a execução simultânea de ping entre um par de hosts pelo firewall. Para fazer com que o ping funcione simultaneamente, crie um filtro ICMP estático e desabilite os filtros imediatamente após o uso. Isso é feito por motivo de segurança.
2. O firewall com o registro habilitado pode não funcionar apropriadamente quando fica sobrecarregado por um longo tempo.
3. Esse processo de descarregar e recarregar o filtsrv durante a instalação pode abrir o sistema por 10 a 15 segundos. Caso ache que o sistema ficará vulnerável devido a essa brecha, não exponha o sistema durante a instalação.
4. A autenticação pode falhar durante a instalação do NBM 3.8 caso a senha contenha caracteres especiais.

2.0 Mudanças do software

Esta versão do NBM 3.8 SP1 traz mudanças de software que são descritas nas seções a seguir.

2.1 Correções de defeitos do software com switches

O Novell BorderManager 3.8 SP1 traz mudanças de software que corrigem as questões descritas nas seções a seguir.

2.1.1 Banner SMTP personalizado

O switch a seguir permite a configuração do banner SMTP

[Extra Configuration]

BM_SMTP_Banner = "Test BM SMTP Banner. Any unauthorized use of this software would lead to legal action against the user"

2.1.2 Substituindo o proxy de correio

Para permitir que o proxy TCP genérico use a porta 25 como substituição do proxy de correio

[Extra Configuration]

AllowGTCPProxyToUsePort25=1

Defina o valor como 1 para permitir que o proxy TCP genérico use a porta 25.

2.1.3 Restringindo o túnel do proxy HTTP

Por padrão, o proxy HTTP permite solicitações CONNECT em todas as portas. Isso pode ser uma ameaça à segurança. O switch a seguir controla as portas nas quais o túnel é permitido.

[Tunneling]

EnableTunnelingControl=1

EnableTunnelingControlLog=1

[HttpTunnelingAllowed]

port=<port-1>

...

port=<port-N>

Defina o switch EnableTunnelingControl=1 para permitir solicitações CONNECT nas portas relacionadas e na porta 443. As solicitações CONNECT serão negadas em todas as portas que não estiverem relacionadas.

Defina o switch EnableTunnelingControlLog=1 para registrar todas as portas negadas em sys:\etc\proxy\tunnel.log.

Quando EnableTunnelingControl=0, todas as solicitações CONNECT em todas as portas são permitidas. Isso pode ser uma ameaça à segurança.

3.0 Correções do software

As seguintes correções do software estão disponíveis neste patch do Novell BorderManager 3.8 SP1:

3.1 Proxy

1. Ocorre um abend no proxy quando o registro de HTTPS está habilitado.
2. O redirecionamento de autenticação não funciona adequadamente quando proxies HTTP transparentes e de encaminhamento são habilitados ao mesmo tempo.
3. Ocorrem perdas de memória quando o login único está habilitado para o proxy FTP.
4. O slashdot.org suspende o proxy do BorderManager se a leitura antecipada estiver habilitada.
5. Ocorre um abend no proxy.nlm depois que é feito o upgrade do BorderManager da versão 3.7 para a 3.8.
6. O acesso ao proxy é bem-sucedido mesmo que dwntrust seja executado.
7. Ocorre um abend no proxy RTSP durante o processamento do cabeçalho de transporte.
8. A senha do FTP é limitada a 32.
9. A autenticação SSL funciona mesmo que não sejam especificados um nome de usuário ou uma senha.
10. A página de erro de HTTP do Novell BorderManager mostra caracteres inválidos se o idioma do servidor não for o inglês.
11. O aviso do console SMTP, Primary mail domain is not configured... (Domínio primário de correio não configurado), aparece mesmo quando há suporte a vários domínios para mensagens recebidas.
12. Ocorre uma falha ao carregar o IPXIPGW.NLM com erros de símbolo público.
13. Ocorre uma falha ao iniciar o servidor de multicast ICP.
14. Ocorre uma falha ao carregar o Clntrust trust com o idioma chinês habilitado na área de trabalho.
15. O proxy Telnet transparente não funciona.
16. O Stopbrd interrompe o servidor quando as licenças ACL não estão instaladas.

3.2 Controle de acesso

1. A categorização N2H2 não funciona para os sites seguros.
2. Os arquivos LOG do Filtro de Pacote são corrompidos se o método de rolagem for definido como horas.
3. Ocorre um abend no aclcheck.nlm durante o processamento de regras de acesso complexas.
4. O desempenho cai quando há grandes listas ACL.

3.3 Firewall e NAT

1. Ocorre um erro durante a análise do arquivo sys:etc\builtins.cfg quando o servidor é reinicializado.
2. Ocorre um abend no filtsrv.nlm durante a instalação do NBM 3.8.
3. Ocorre uma falha de login no servidor NetWare quando a VPN e a NAT são executadas ao mesmo tempo.

3.4 VPN

1. Para os certificados de usuário emitidos pela CA Organizacional da Novell e armazenados no eDirectory, ocorre uma falha na autenticação baseada em certificado de VPN com o certificado exportado se:
   • O usuário correspondente for apagado ou desabilitado;
   • O certificado de usuário for apagado do objeto Usuário no eDirectory.

2. O cliente VPN permanece ativo se o usuário optar por continuar conectado na "caixa de diálogo popup Tempo para desconexão" que aparece quando não há transmissão de dados durante o tempo configurado.
3. Ocorre uma falha na conexão pelo método NMAS-NDS se o nome do usuário não estiver na réplica do servidor local.
4. Instalação do NetWare 6.5 SP1 por cima do NBM3.8.
5. Debuglog.nlm incorreto empacotado para o carregamento do IPXIPGW.NLM4.
6. Não há lista de métodos/opções mais usados para a autenticação NMAS fornecida na página de login do cliente VPN.
7. Quando o endereço VPTUNNEL de qualquer servidor VPN é modificado, a comunicação entre os sites é interrompida.
8. A autenticação VPN de cliente para site não funciona com o método LDAP do NMAS quando existem várias réplicas do servidor. Essa questão foi corrigida no NMAS2.3 do qual devem ser feitos o download e a aplicação no servidor. Mais informações estão disponíveis no TID 2967711 da Novell.
9. Se um membro que foi apagado estiver inativo ou não-contatável, o master não o apagará de sua lista de membros até que ele se torne contatável.

4.0 Informações de suporte técnico

Para contatar a Novell ou um parceiro de serviço da Novell para obter suporte técnico, acesse o site apropriado do Novell Support Connection na Web:

• http://support.novell.com (Américas)
• http://support.novell.de (Europa e Oriente Médio)
• http://support.novell.com.au (Pacífico Asiático)

O site do Novell Support Connection apresenta as questões conhecidas, os patches e outros detalhes importantes atualizados sobre o produto que você está instalando. Você pode utilizar o KnowledgeBase para pesquisar TIDs (documentos de informações técnicas) relativos a esse produto. Além disso, pode acessar os fóruns de suporte para obter informações de suporte técnico e trocar e discutir essas informações com moderadores voluntários e também com outros clientes da Novell.

5.0 Informações legais

A Novell, Inc. não faz representações ou garantias quanto ao conteúdo ou à utilização desta documentação e especificamente se isenta de quaisquer garantias de comerciabilidade expressas ou implícitas ou adequação a qualquer propósito específico. Além disso, a Novell, Inc. reserva-se o direito de revisar esta publicação e fazer mudanças em seu conteúdo a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade sobre essas revisões ou mudanças.

A Novell, Inc. não faz representações ou garantias quanto a qualquer software e especificamente se isenta de qualquer garantia explícita ou implícita de comerciabilidade ou adequação a qualquer propósito específico. Além disso, a Novell, Inc. reserva-se o direito de mudar qualquer parte do software da Novell a qualquer momento, sem ter a obrigação de notificar qualquer pessoa ou entidade sobre tais mudanças.

Você não deve exportar ou reexportar esse produto se isso constituir uma violação a qualquer lei ou regulamento aplicável incluindo, sem limitação, os regulamentos de exportação dos EUA ou as leis do país no qual reside.

Copyright © 2002-2004 Novell, Inc. Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida, fotocopiada, armazenada em um sistema de recuperação ou transmitida sem a autorização por escrito do editor.

Novell é marca registrada da Novell, Inc. nos Estados Unidos e em outros países.

Client32, eDirectory, Internetwork Packet Exchange e IPX, NetWare Loadable Module e NLM e Novell Client são marcas registradas da Novell, Inc.

Todos os produtos de terceiros pertencem aos seus respectivos proprietários.