Unsere Erfahrung mit SSL VPNs und die Integration von HOBLink JWT

Posted by Matthias Höflinger Mon, 10 May 2010 09:14:00 GMT

Wie bereits in anderen Einträgen im HOB-Techtalk Blog erwähnt wurde, haben SSL VPN Lösungen die IPsec VPN Lösungen immer noch nicht vollständig ersetzt, wobei allerdings eine zunehmende Tendenz zu beobachten ist.

Während IPsec VPNs einen kompletten Netzwerkzugriff ermöglichen, bieten SSL VPNs die Möglichkeit den Zugriff, falls gewollt, zu beschränken. Soll einem Benutzer nur Zugriff auf einen internen Webserver gewährleistet werden, kann der Administrator ihm auch nur diesen freischalten. Sollte dem User nur Zugriff auf einen bestimmten Terminalserver oder nur auf seinen eigenen Desktop PC ermöglicht werden, kann der Administrator ihn auch auf diesen begrenzen. Um die Zugangsbeschränkungen zu realisieren, benötigen SSL VPNs allerdings die entsprechenden „Werkzeuge“.

Stellen Sie sich vor, es gäbe ein gesichertes Gebäude, an dem man mit einer Karte entweder alle Türen öffnen kann oder keine einzige und komplett abgewiesen wird. Das wäre Ihr IPsec-Gateway. Jetzt stellen Sie sich ein verbessertes System vor, bei dem Sie die Karten so verschlüsseln können, dass individuelle, personalisierte Zutrittsbereiche realisiert werden können. Was nutzt das aber, wenn es keinen Aufzug oder Gang gibt, der zu diesen Türen die Sie öffnen dürfen führt?

Während die IPsec Lösungen für den Zugang vorwiegend die am Client-Rechner installierte Software benutzen, stellen SSL VPN Anwendungen diese Software selbst bereit. Dabei ist das Ziel, die Anforderung am Client-PC auf nur bereits installiertes zu begrenzen (d.h. ein Webbrowser und Extras wie Java oder ActiveX). Das erleichtert die  Arbeit der Administratoren (arbeiten an einer einzigen, bekannten, zugänglichen Stelle) und macht die Benutzeroberfläche unabhängiger vom PC. Aus diesem Grund verfügen diese Anwendungen über viele Extras und decken somit die meisten Anforderungen eines gewöhnlichen Benutzers ab. Aber dann gibt es noch Zugänge, die nicht so oft genutzt werden, oder anders gesagt, manche Client-PCs  sind noch unterschiedlicher als der gewöhnliche Rechner – und gerade solche Fälle sind nicht von einer „out-of-the-box“ Anwendung gedeckt. In so einem Fall werden die Vorteile solch einer Lösung schnell zum Nachteil: Nicht nur der Administrator ist bei den Anwendungsmöglichkeiten eingeschränkt, sondern auch der Benutzer kann an seinem benutzerdefinierten Client-System nichts ändern. Die Anwendungssoftware muss sich weiterentwickeln.

So kommt es, dass immer mehr SSL VPN Benutzer Interesse an unserem Java RDP Client zeigen: HOBLink JWT.

Die meisten SSL VPN Anwendungen sind mit einem gewöhnlichen RDP-Client, Microsoft, Citrix, und einem „open source“ Java-Client ausgestattet. Dies deckt im Grunde genommen die Bedürfnisse eines Microsoft OS Clients ab und wenn Sie von einem Mac oder Linux eine Verbindung aufbauen wollen, sollte der „open source“ Client Ihre Grundbedürfnisse erfüllen – zumindest so lange bis Sie etwas Besseres gefunden haben.

Doch immer mehr Kunden finden „das ist nicht gut genug“. Es sollte doch möglich sein, eine Verbindung von einem Mac zu einem Desktop PC zu erstellen, ohne auf eine Tastaturbelegung, Drucker, Dual-Screen-Monitor oder sonstige notwendigen und normalen Optionen zu verzichten.

Wie ist es mit einem 64-bit OS? Diese sind keine Seltenheiten mehr und sollten unterstützt werden (Die Weltbevölkerung wächst mit der Zeit und es steht außer Zweifel, dass die Computer-Welt sich viel schneller ändert!).

HOBLink JWT ist unsere Antwort darauf. Ein Java RDP-Client, welcher auf einem Webserver hinter Ihrer SSL VPN Anwendung gehostet werden kann (d.h. weder eine Installation auf dem Client noch auf dem Terminal Server / Office PC), mit voller Funktionalität und das ganze Plattformunabhängig.

Wir folgten der Nachfrage und begannen mit dem Marktführer der SSL-VPNs: Juniper. Immer mehr Kunden hosten HOBLink JWT auf einem Webserver hinter dem VPN, und erhalten die Funktionalität eines Hyperlink (Bookmark) auf der Benutzeroberfläche. Aber das genügte uns nicht und deshalb arbeiteten wir mit den Möglichkeiten des Juniper VPNs um Java Applets direkt auf der Anwendung zu hosten. Dies erübrigt nicht nur den Webserver, es verbessert auch die Verbindungsgeschwindigkeit. In Zusammenarbeit mit Juniper war das mit JWT 3.2  möglich und jetzt weiterentwickelt mit JWT 3.3 auf den Juniper Freigaben 6.4R1+.

In Kürze wird HOBLink JWT direkt in der Anwendung integriert sein, was für die Endkunden den ganzen Prozeß erleichtern soll.

SSL VPNs nehmen den nächsten Schritt um IPSec VPN Lösungen zu ersetzen. Ihre Zugangsmöglichkeiten werden bald viel flexibler sein - jedoch nicht weniger sicher.

Weitere Informationen finden Sie unter

www.hob.de

11.05.2010 Laurent « Chipper » Vaucheret

keine Kommentare |

You must be registered in order to write comments. To register as a new user click here.

If you're already registered, please leave a comment here

Leave a comment


emplates.arcsin.se/'), link_to("Frédéric de Villamil", 'http://fredericdevillamil.com')) %>
Powered by typo