HOB Secure Communications Server

Posted by Dietmar Schmidt Mon, 31 May 2010 07:50:00 GMT

Mit HOB Secure Communications Server (SCS) besitzt HOB eine flexible Betriebssystem Plattform als Ergänzung zu den HOB Server und Security Produkten.

Schon lange gab es bei HOB Überlegungen die qualitativ hochwertigen eigens entwickelten Produkte zusammen mit einem sicheren und stabilen Betriebssystem auszuliefern.

Im Jahre 2006 wurde zu diesem Zweck die Abteilung HOB Operating Systems gegründet. HOB Operating Systems beschäftigt sich überwiegend mit Open Source Betriebssystemen, vor allem GNU/Linux und FreeBSD.

Obwohl FreeBSD für HOB einige Vorteile gegenüber GNU/Linux besitzt, wurde GNU/Linux, aufgrund der größeren Treiberunterstützung, als Basis für SCS verwendet (Alternativ wird derzeit der Einsatz von FreeBSD geprüft).

Bei der Entwicklung für HOB SCS gab es anfangs die Überlegung eine vorhandene Linux Distribution anzupassen. Linux Distributionen gibt es sehr viele. Distrowatch listet über 600 verschiedene auf, die überwiegend Anpassungen vorhandener Distributionen darstellen.

Der Gedanke eine vorhandene Distribution anzupassen, wurde sehr schnell verworfen, da diese Distributionen für unseren Einsatzzweck zu umfangreich oder zu unflexibel erschienen. Auch die bekannten Linux Builder wie SuSE Studio oder rPath ermöglichten nicht die Anpassungen, die von uns gewünscht wurden. Daher wurde HOB SCS von Grund auf direkt aus den verfügbaren Quellcodes entwickelt. Die Verwirklichung eines eigenen Betriebssystems ohne Einbeziehung einer vorhandenen Distribution ist sicherlich schwieriger und langwieriger, bei HOB wurde diese Entscheidung aber nie bereut, da wir somit den größtmöglichen Einfluss auf unser Betriebssystem haben.

Zur Administration und Konfiguration von HOB SCS wurde HOBmin entwickelt. HOBmin ermöglicht die Verwaltung des Betriebssystems HOB SCS mittels Browser. Dabei wird der Zugriff auf die Verwaltungsoberfläche mit SSL verschlüsselt.

Nach gut zwei Jahren Entwicklung, im November 2008, war es dann soweit. HOB SCS konnte zusammen mit HOB RD VPN, der HOB Software-Lösungsfamilie für den Remote-Zugriff (SSL-VPN), ausgeliefert werden.

Die Reaktionen am Markt waren durchaus positiv. HOB SCS zusammen mit HOB RD VPN ermöglichte als Software Appliance den universellen Einsatz als SSL VPN mit den Vorteilen einer Appliance Lösung bei freier Hardwarewahl, da HOB SCS mit RD VPN im Gegensatz zu den meisten anderen SSL VPN Appliances keine Hardware Lösung ist, sondern nur auf Software basiert. Ein weiterer Vorteil einer Software Appliance ist die Bereitstellung als virtuelle Appliance, dabei wird HOB SCS im Open Virtualization Format (OVF) mit den VMware Tools zum Import für VMware vSphere angeboten.

Durch die Bereitstellung des Betriebssystems SCS ergeben sich für HOB (und damit auch für unsere Kunden) viele Vorteile, beispielsweise können wir Probleme die sich durch das Zusammenspiel von Betriebssystem und Applikation ergeben nahezu ausschließen. Patches, Updates und Erweiterungen bekommt der Kunde aus einer Hand.

Momentan wird HOB SCS sehr aktiv weiterentwickelt. Die nächste Version (die in einigen Wochen verfügbar sein soll) wird neben aktualisierten Paketen zukünftig weitere HOB Produkte integrieren (HOBLink VPN, HOB RD VPN Compact etc). Zusätzlich bekommt HOBmin, unser Administrationsservice, einen deutlich erweiterten Funktionsumfang. Der für die Konfiguration und Administration keinerlei Wünsche offen läßt.

Weitere Informationen zu HOB SCS

Posted in | keine Kommentare |

Unsere Erfahrung mit SSL VPNs und die Integration von HOBLink JWT

Posted by Matthias Höflinger Mon, 10 May 2010 09:14:00 GMT

Wie bereits in anderen Einträgen im HOB-Techtalk Blog erwähnt wurde, haben SSL VPN Lösungen die IPsec VPN Lösungen immer noch nicht vollständig ersetzt, wobei allerdings eine zunehmende Tendenz zu beobachten ist.

Während IPsec VPNs einen kompletten Netzwerkzugriff ermöglichen, bieten SSL VPNs die Möglichkeit den Zugriff, falls gewollt, zu beschränken. Soll einem Benutzer nur Zugriff auf einen internen Webserver gewährleistet werden, kann der Administrator ihm auch nur diesen freischalten. Sollte dem User nur Zugriff auf einen bestimmten Terminalserver oder nur auf seinen eigenen Desktop PC ermöglicht werden, kann der Administrator ihn auch auf diesen begrenzen. Um die Zugangsbeschränkungen zu realisieren, benötigen SSL VPNs allerdings die entsprechenden „Werkzeuge“.

Stellen Sie sich vor, es gäbe ein gesichertes Gebäude, an dem man mit einer Karte entweder alle Türen öffnen kann oder keine einzige und komplett abgewiesen wird. Das wäre Ihr IPsec-Gateway. Jetzt stellen Sie sich ein verbessertes System vor, bei dem Sie die Karten so verschlüsseln können, dass individuelle, personalisierte Zutrittsbereiche realisiert werden können. Was nutzt das aber, wenn es keinen Aufzug oder Gang gibt, der zu diesen Türen die Sie öffnen dürfen führt?

Während die IPsec Lösungen für den Zugang vorwiegend die am Client-Rechner installierte Software benutzen, stellen SSL VPN Anwendungen diese Software selbst bereit. Dabei ist das Ziel, die Anforderung am Client-PC auf nur bereits installiertes zu begrenzen (d.h. ein Webbrowser und Extras wie Java oder ActiveX). Das erleichtert die  Arbeit der Administratoren (arbeiten an einer einzigen, bekannten, zugänglichen Stelle) und macht die Benutzeroberfläche unabhängiger vom PC. Aus diesem Grund verfügen diese Anwendungen über viele Extras und decken somit die meisten Anforderungen eines gewöhnlichen Benutzers ab. Aber dann gibt es noch Zugänge, die nicht so oft genutzt werden, oder anders gesagt, manche Client-PCs  sind noch unterschiedlicher als der gewöhnliche Rechner – und gerade solche Fälle sind nicht von einer „out-of-the-box“ Anwendung gedeckt. In so einem Fall werden die Vorteile solch einer Lösung schnell zum Nachteil: Nicht nur der Administrator ist bei den Anwendungsmöglichkeiten eingeschränkt, sondern auch der Benutzer kann an seinem benutzerdefinierten Client-System nichts ändern. Die Anwendungssoftware muss sich weiterentwickeln.

So kommt es, dass immer mehr SSL VPN Benutzer Interesse an unserem Java RDP Client zeigen: HOBLink JWT.

Die meisten SSL VPN Anwendungen sind mit einem gewöhnlichen RDP-Client, Microsoft, Citrix, und einem „open source“ Java-Client ausgestattet. Dies deckt im Grunde genommen die Bedürfnisse eines Microsoft OS Clients ab und wenn Sie von einem Mac oder Linux eine Verbindung aufbauen wollen, sollte der „open source“ Client Ihre Grundbedürfnisse erfüllen – zumindest so lange bis Sie etwas Besseres gefunden haben.

Doch immer mehr Kunden finden „das ist nicht gut genug“. Es sollte doch möglich sein, eine Verbindung von einem Mac zu einem Desktop PC zu erstellen, ohne auf eine Tastaturbelegung, Drucker, Dual-Screen-Monitor oder sonstige notwendigen und normalen Optionen zu verzichten.

Wie ist es mit einem 64-bit OS? Diese sind keine Seltenheiten mehr und sollten unterstützt werden (Die Weltbevölkerung wächst mit der Zeit und es steht außer Zweifel, dass die Computer-Welt sich viel schneller ändert!).

HOBLink JWT ist unsere Antwort darauf. Ein Java RDP-Client, welcher auf einem Webserver hinter Ihrer SSL VPN Anwendung gehostet werden kann (d.h. weder eine Installation auf dem Client noch auf dem Terminal Server / Office PC), mit voller Funktionalität und das ganze Plattformunabhängig.

Wir folgten der Nachfrage und begannen mit dem Marktführer der SSL-VPNs: Juniper. Immer mehr Kunden hosten HOBLink JWT auf einem Webserver hinter dem VPN, und erhalten die Funktionalität eines Hyperlink (Bookmark) auf der Benutzeroberfläche. Aber das genügte uns nicht und deshalb arbeiteten wir mit den Möglichkeiten des Juniper VPNs um Java Applets direkt auf der Anwendung zu hosten. Dies erübrigt nicht nur den Webserver, es verbessert auch die Verbindungsgeschwindigkeit. In Zusammenarbeit mit Juniper war das mit JWT 3.2  möglich und jetzt weiterentwickelt mit JWT 3.3 auf den Juniper Freigaben 6.4R1+.

In Kürze wird HOBLink JWT direkt in der Anwendung integriert sein, was für die Endkunden den ganzen Prozeß erleichtern soll.

SSL VPNs nehmen den nächsten Schritt um IPSec VPN Lösungen zu ersetzen. Ihre Zugangsmöglichkeiten werden bald viel flexibler sein - jedoch nicht weniger sicher.

Weitere Informationen finden Sie unter

www.hob.de

11.05.2010 Laurent « Chipper » Vaucheret

keine Kommentare |


emplates.arcsin.se/'), link_to("Frédéric de Villamil", 'http://fredericdevillamil.com')) %>
Powered by typo