HOB RD VPN Web Server Gate

Posted by hob Thu, 04 Mar 2010 15:40:00 GMT

1 Einsatzzweck

In jedem Unternehmen gibt es Webserver, die von den Mitarbeitern zur Verwaltung sensibler Daten genutzt werden. Um diese wichtigen Daten zu schützen, sind diese Webserver nur im Intranet des Unternehmens erreichbar.

Oft möchten Firmen diese Daten ausgewählten Mitarbeitern aber auch unterwegs zur Verfügung stellen, um schnell und einfach zum Beispiel Kundendaten abzufragen oder Emails zu beantworten.

Welche Kriterien müssen erfüllt sein, wenn man sensible Webseiten im Internet erreichbar macht?

  1. Die Webseiten dürfen zu keiner Zeit nicht autorisierten Personen zugänglich sein.
  2. Die Webanwendung soll für autorisierte Nutzer wie gewohnt funktionieren. d.h.:
    -  Alle Hyperlinks zu weiteren Webanwendungen sind wie bisher verfügbar.
    -  Der Zugriff erfolgt allein über den Browser; es wird keine spezielle Client-Software benötigt.
  3. Es sollen möglichst wenige Ports in der Firewall geöffnet werden.
  4. Möglichst geringer Konfigurations- und Wartungsaufwand der Lösung.

HOB hat die Lösung, die sicheren Zugriff, gewohnte Nutzung, einfache Konfiguration und einfache Erweiterbarkeit auf vertrauliche Daten vereint:

Das HOB RD VPN Web Server Gate.

Abbildung 1: Funktion des Web Server Gates

2 Key Features

2.1 Sichere Verschlüsselung

Um die sensiblen Daten vor unerwünschtem Zugriff zu schützen wird die gesamte öffentliche Kommunikation durch das Internet mit SSL verschlüsselt, egal ob der interne Webserver SSL unterstützt oder nicht. Es werden alle gängigen Verschlüsselungs-Algorithmen mit bis zu 256 Bit Schlüssellänge unterstützt, damit sind sensible Information perfekt geschützt.

2.2 Sichere Authentifizierung

Bevor ein Benutzer auf einen internen Webserver zugreifen kann, muss er sich authentifizieren, d.h. nur ausgewählte Nutzer können auf die Webanwendung zugreifen. Auch die Authentifizierung ist bereits verschlüsselt. Das HOB RD VPN Web Server Gate unterstützt viele verschiedene Authentifizierungsmethoden, etwa

  • Userid und Passwort
  • Token mit one-time-password, Radius, Challenge
  • Zertifikat für Client-Authentifizierung über SSL, Smartcard

2.3 Dynamische Anpassung der Webapplikation

Der Zugriff auf die internen Webserver erfolgt mit dem Web Server Gate ohne jegliche Konfiguration. Dazu wird die Webapplikation beim Abruf durch den Nutzer dynamisch verändert. Dabei werden alle Hyperlinks in HTTP Header, HTML Seiten, Cascading Stylesheets (CSS) und Javascript so modifiziert, dass ihr Ziel durch das Web Server Gate zeigt.

2.3.1 URL Aufbau

Alle internen Webapplikationen sind über die URL des Web Server Gates https://wsg.hob.de/ erreichbar, zwischen ihnen wird durch Pfadangaben unterschieden.

 

Webserver über Web Server Gate
http://intern1.hob.de/  https://wsg.hob.de/http://intern1.hob.de/
http://intern2.hob.de/  https://wsg.hob.de/http://intern2.hob.de/

 

2.3.2 Beispiel: modifizierte Hyperlinks in HTML

Nehmen wir an, eine Webapplikation http://intern.hob.de/app/ liefert folgende Webseite aus:

<html>
<head><title>Beispiel</title></head>
<body>
<a href="http://www.hob.de/">
absoluter Hyperlink
</a>
<a href="page.htm">
zum aktuellen Verzeichnis relativer Hyperlink
</a>
<a href="/folder/page.htm">
zum Root Verzeichnis relativer Hyperlink
</a>
</body>
</html>

Listing 1: originale Beispielseite http://intern .hob.de/app/

Die Seite enthält verschiedene Hyperlinks:

  1. Absoluter Hyperlink:
    Der Browser wechselt zu der URL http://www.hob.de/

  2. zum aktuellen Verzeichnis relativer Hyperlink:
    Der Browser wechselt zur der URL http://intern .hob.de/app/page.htm

  3. zum Root Verzeichnis relativer Hyperlink:
    Der Browser wechselt zur der URL http://intern .hob.de/folder/page.htm

Das Web Server Gate ändert die Webseite ab:

<html>
<head><title>Beispiel</title></head>
<body>
<a href="/http://www.hob.de/">
absoluter Hyperlink
</a>
<a href="page.htm">
zum aktuellen Verzeichnis relativer Hyperlink
</a>
<a href="/http://intern.hob.de/folder/page.htm">
zum Root Verzeichnis relativer Hyperlink
</a>
</body>
</html>

Listing 2: modifizierte Beispielseite https://wsg.hob.de/http://intern.hob.de/app/

Die Hyperlinks wurden dabei modifiziert:

  1. Absoluter Hyperlink wird relativ zum Root Verzeichnis:
    Der Browser wechselt zu der URL https://wsg.hob.de/http://www.hob.de/
  2. zum aktuellen Verzeichnis relativer Hyperlink bleibt unverändert:
    Der Browser wechselt zur der URL https://wsg.hob.de/http://intern.hob.de/app/page.htm
  3. zum Root Verzeichnis relativer Hyperlink wird erweitert:
    Der Browser wechselt zur der URL https://wsg.hob.de/http://intern.hob.de/folder/page.htm

2.4 Cookies

Cookies sind kleine Informationen, die der Webserver im Browser ablegen kann und die der Browser bei jeder Anfrage wieder zum ausstellenden Webserver liefert. Bei Nutzung des Web Server Gate liegen alle für den Browser erreichbaren internen Webserver in einer URL, der Browser hat also keine Möglichkeit zu entscheiden ob ein vorliegendes Cookie zu http://intern1.hob.de/ oder http://intern2.hob.de/ gesendet werden muss.

Das Web Server Gate verwaltet daher Cookies für alle Webserver für jeden User eigenständig und stellt dem Browser und dem Webserver die jeweils passenden Cookies zur Verfügung.

2.5 Zugriffsbeschränkung: Target Filter

Das Web Server Gate bietet durch sein dynamisches Arbeiten grundsätzlich die Möglichkeit jeden Webserver zu erreichen. Aber nicht jeder User soll auf alle Webserver zugreifen dürfen, oder es sollen nur bestimmte Webserver über das Web Server Gate erreichbar sein.

Um den Zugriff einzuschränken können so genannte Target-Filter konfiguriert werden, die den Zugriff auf bestimmte Webserver einschränken. Diese Einschränkung kann für alle User oder für jeden User einzeln vorgenommen werden.

2.6 Komprimierung der Daten

Die Kommunikation zwischen Client und Web Server Gate kann optional im gzip-Format komprimiert werden. Dadurch werden die Netzwerklast und die Antwortzeiten der Webanwendung reduziert.

2.7 Auto Login: Single SignOn

Das Web Server Gate bietet Möglichkeit den Nutzer automatisch an eine Webapplikation anzumelden, dabei werden HTML Formulare unterstützt.

2.8 Browser Caching ausschalten

Um die Ladezeiten besuchter Webseiten zu verringern, speichert ein Webbrowser normalerweise empfange Daten in dem sog. Cache auf der Festplatte ab. Beim erneuten Laden der Seite muss die gespeicherte Information dann nicht wieder heruntergeladen werden.

Das Web Server Gate kann optional einen erweiterten HTTP Header senden, der den Browser anweist, empfangene Daten nicht zu cachen. Wird das Web Server Gate zum Beispiel aus dem Internetcafe genutzt, kann damit vermieden werden, dass sensible Daten vom Browser abgespeichert werden und nicht autorisierten Nutzern zur Verfügung stehen.

2.9 Navigationsflyer

Das Web Server Gate fügt in jede Webapplikation einen Navigationsflyer ein. Das ermöglicht es dem Benutzer leicht auf die Startseite zurückzukehren oder die Web Server Gate Sitzung zu beenden. Damit der Flyer keine Elemente der Webapplikation verdeckt, ist er im Browserfenster frei verschiebbar.

2.10 Browser Lesezeichen

Benutzer die immer die gleiche interne Webapplikation http://intern .hob.de/ über das Web Server Gate nutzen, können sich ein Browser Lesezeichen mit der URL https://wsg.hob.de/http://intern.hob.de/ anlegen. Beim Aufruf dieses Bookmarks fordert das Web Server Gate zuerst die Authentifierung des Users an und leitet danach automatisch an die Webapplikation weiter.

3. Fazit

Das Web Server Gate stellt eine einfache Möglichkeit dar, um über das Internet sicher auf firmeninterne Daten zuzugreifen, ohne dass dazu aufwändige Änderungen an der IT-Infrastruktur notwendig wären.

04.03.2010 MJ

keine Kommentare |

You must be registered in order to write comments. To register as a new user click here.

If you're already registered, please leave a comment here

Leave a comment


emplates.arcsin.se/'), link_to("Frédéric de Villamil", 'http://fredericdevillamil.com')) %>
Powered by typo