SSL-VPN unter ETCH |
|
Bei der Suche eines Remotezuganges in unser Netzwerk für mehrere Benutzer mit unterschiedlichen Berechtigungen
von vielen Standorten ohne großen Installationsaufwand am Client, fiel die Entscheidung schnell auf eine
SSL-VPN Verbindung. Eine reine SSL-VPN Lösung verbindet gleich ganze Netzwerke oder Systeme, aber meine
Daten und Ausdrücke sollten im Unternehmen bleiben, und nicht durch Würmer erweitert werden.
Welches System ist GNU und bietet eine Administrationsoberfläche sowie eine einfache Handhabung für
unsere Anwender (DAU's), der SSL-Explorer.
|
|
|
SSL-Explorer
SSL-Explorer im Überblick:
· Standortunabhängig, einfach übers Internet oder LAN
· Uneingeschränkte Anzahl gleichzeitiger Verbindungen
· Zugriff auf beliebige Anwendungen
· stellt eine virtuelle VPN Verbindung her
· Nutzung verschiedenster Betriebssysteme
· Einfach mit einem Internet-Browser
· GNU - damit kostenlos
|
|
|
Systemvoraussetzungen
DSL mit fester IP-Adresse oder eine genamte über z.B.: DynDNS
(zum testen wäre eine weitere Internetverbindung von Vorteil
ACHTUNG: nicht aus dem gleichen Netz!)
Router mit Weiterleitung.
Zwei Rechner oder eine virtualisierte Umgebung
Funktionsweise
Eine SSL-Explorer-Sitzung läuft vereinfacht dargestellt in folgenden Schritten ab:
Der Benutzer verbindet sich über einen Browser mit der Login-Seite des SSL-Explorers.
Dort meldet er sich an und gelangt auf das Benutzerinterface.
Hier werden nur Ressourcen angezeigt auf die er auch zugreifen darf.
Nach Bedarf wird dem Anwender über den Browser ein Java-Applet heruntergeladen,
welche ihm den nötigen Zugriff auf die Ressourcen des internen Netzes ermöglicht.
Der Anwender greift nun über die aufgebaute SSL-Verbindung geschützt auf die Ressourcen zu.
Nach der Sitzung werden die Java-Applet's beendet und gelöscht.
Installation
Aus Sicherheitsgründen und der einfachheitshalber geh ich von einem frisch aufgesetzten Debian ETCH
"Standard System" (ohne Zusätze) aus. Siehe Grundinstallation.
Installieren wir erst mal uns den mc.
$ apt-get install mc
Da das benötigte Java aus dem non-free Softwarebereich stammt, müssen wir die sources.list anpassen.
$ mcedit /etc/apt/sources.list
Am Ende der Datei die Zeilen
deb http://ftp.de.debian.org/debian/ etch main non-free contrib
einfügen.
Da wir alles nur noch aus dem Internet installieren wollen, löschen wir noch die Zeile deb cdrom.... aus der sources.list.
Nun updaten wir unser System und installieren alle benötigten Pakete.
$ aptitude update
$ aptitude upgrade
$ aptitude install build-essential
$ aptitude install java-package
$ aptitude install ant
$ aptitude install sun-java5-jre
$ aptitude install sun-java5-jdk
Wenn alles geklappt hat sollte der Befehl java -version folgendes ausgeben.
$ java -version
java version "1.5.0_14"
Java(TM) 2 Runtime Eviroment, Standard Edition (build 1.5.0_14-b03)
Java HotSpot(TM) Client VM (build 1.5.0_14-b03, mixed mode, sharing)
Sollte diese Ausgabe nicht passen, so ist vermutlich neben Suns Java noch eine weitere JVM installiert
(z.B. GIJ, Sablevm, Kaffe oder Jamvm). Soll in Zukunft Suns Java als Standard verwendet werden, kann dies so erfolgen.
$ update-alternatives --config java
Es gibt 3 Alternativen, die »java« bereitstellen
Auswahl Alternative
--------------------------------------------------
1 /usr/bin/gij-wrapper-4.1
*+ 2 /usr/lib/jvm/java-gcj/jre/bin/java
3 /usr/lib/jvm/java-1.5.0-sun/jre/bin/java
Drücken Sie die Eingabetaste, um die Vorgabe[*} beizubehalten,
oder geben Sie die Auswahlnummer ein: 3
für die JVM und mit
$ update-alternatives --config javac
Download der aktuellen Version von sourceforge.net
Mein Link auf die sslexplorer-1.0.0_RC17-src.tar.gz war
http://downloads.sourceforge.net/sslexplorer/sslexplorer-1.0.0_RC17-src.tar.gz?modtime=1204725029&big_mirror=0
und somit lautet die Befehlszeile:
$ cd /opt/
$ wget http://downloads.sourceforge.net/sslexplorer/sslexplorer-1.0.0_RC17-src.tar.gz?modtime=1204725029&big_mirror=0
Jetzt enpacken wir das ganze
$ tar -zxvf sslexplorer-1.0.0_RC17-src.tar.gz
und gehen in den erstellten Ordner
$ cd sslexplorer-1.0.0_RC17
Jetzt kann die Installation erfolgen mit
$ ant install
Wenn die Bildschirminformationen alle durchgelaufen sind erscheint am Schluss folgendes
[java] Starting installation wizard................Point your browse http://wulff.mw:28080.
Windows Installation
Auf den zweiten Rechner in das Browserfenster die Adresse mit dem Port eingeben:
http://10.1.0.2:28080
und den Anweisungen des Installation Wizard befolgen.
Mann kann jeder Zeit die Installation abbrechen durch einen klick auf Cancel.
Meine Auswahl:
Step 1 - Configure Certificate
· Create New Certificate
Step 1 - Set Keystore Passphrase
· Passphrase: | geheim,geheim
Step 1 - Create New Certificate
· Host name: | localhost
· Organisational unit: | ich
· Company: | privat
· City: | muehldorf a. inn
· State: | test
Step 2 - Configure User Database
· Built-in
Step 3 - Configure Super User
· Username: admin
· Email: admin@lug.de
· Password: admin
Step 4 - Configure Web Server
· [alles auf Standard belassen!]
Step 5 - Configure Proxies
· [alles auf Standard belassen!]
Install SSL-Explorer Enterprise Edition
· Nicht angekreuzt
Die Zusammenstellung bestätigt
Linux
Nach Abschluss der Installation ist der Service heruntergefahren, wir müssen noch folgenden Befehl ausführen:
Exited Installer.
You may now restart the service
$ ant install-service
$ chmod 700 /opt/sslexplorer-1.0.0_RC17/sslexplorer/install/platforms/linux/x86/wrapper
Starten wir nun den Dienst mit
$ /etc/init.d/sslexplorer start
Windows Installation
Auf den zweiten Rechner in das Browserfenster die Adresse mit dem entsprechenden Port eingeben:
https://10.1.0.2:443
Der Browser wird das Certifikat nicht akzeptieren, da wir es selber erstellt haben.
Dieses kann bestätigt werden, und nach dem einloggen erscheint der Startbildschirm des SSL-Explorers.
SSL-Explorer Einrichtung
Ein Ersatz der Bedienungsanleitung von SSL-Explorer kann ich nicht bieten!
Aber den Ersteinstieg möchte ich erleichtern!
!!! ACHTUNG !!!
Sollten Sie sich nach einem Neustart vom Linux-Server nicht mehr am SSL-Explorer anmelden können,
könnte es an der falschen charset der jcifs.encoding in der system.propertis
liegen.
Tragen Sie den charset Wert aus der
/etc/java-1.5.0-sun/flovormap.properties
STRING=text/plain;charset=iso8859-1;eoln="\n";terminators=0
in die
/opt/sslexplorer-1.0.0_RC17/sslexplorer/conf/system.propertis
jcifs.encoding=ISO8859-1
ein.
Nach der Änderung und nach jedem Neustart des Systems muss der SSL-Explorer ein Restart bekommen.
$ /etc/init.d/sslexplorer restart
Dieser Fehler hat mir fast den letzten Nerv geraubt!
Eine Anleitung in englisch für den aktuellen SSL-Explorer finden Sie als
HTML
und als
PDF.
Jeder Link hat eine Kurzbeschreibung die erscheint wenn man darüber verweilt.
Managementkonsole
Configuration
|
System Configuration
Verschiedene System-Einstellungen und Optionen rund um den SSL-VPN-Server-Explorer.
Achten Sie besonders auf die Automatische Systemupdate-Funktion.
|
|
Server
Hier finden Sie die Grundeinstellungen für Webserver, User, Performance, Proxy und SSL,
sowie Sicherheitseinstellungen wie min. Passwortlängen, maximale Verbindungsversuche und Zeitüberschreitungen.
|
|
Resources
Der Ressourcenabschnitt übernimmt die Einstellungen für Netzwerkumgebung,
Profile und Web-Weiterleitung, sowie das löschen der Clientsoftware nach der Abmeldung.
|
|
Windows Integration
Alle benötigten Werte für die Windowsintegration können hinterlegt werden,
wie die WINS- Adresse, NetBios- Eigenschaften, Anwendername und Passwort.
|
|
Security Options
Die Sicherheitseinstellungen beinhalten Mehrfachanmeldung verhindern, Beschränkung auf Adressen,
Auswahl der Verschlüsselung, Einstellung der Logon- Webseite und natürlich Passwortoptionen.
|
|
Messaging
Einstellungen im Bezug auf den Nachrichtenversand durch den SSL-Explorer an Anwender und Verwalter.
(SMTP- Server, Absender, Betreff, ...)
|
|
Extension Store
Hier dreht sich alles um Anwendungen, die installiert sind oder installiert werden können,
sowie deren Einrichtung, (SSL-Explorer Automatic Updates-Tool)
|
|
SSL Certificates
Die Erstellung, Verwaltung und das exportieren der SSL-Zertifikate die im SSL-Explorer verwendet werden.
|
|
Attribute Definitions
Erstellung von Attribute Definitionen setzen von Werten die zum Beispiel in Applikations-Verknüpfungen
verwendet werden können.
|
Access Control
Zugriffskontrolle
|
Accounts
Die Erstellung, Verwaltung und Löschung der Benutzerkonten wird hier durchgeführt.
Zusätzliche Fragen nach dem Login können die Sicherheit verbessern
|
|
Groups
Wie alle modernen Benutzersysteme bietet auch der SSL-Explorer über ein Gruppensystem eine leichtere
Verwaltung der Anwender (Stark abhängig vom gewählten Rechteverwaltung)
|
|
Policies
Hier werden die Policies erstellt und Assoziation zwischen einer Gruppe von Auftraggebern
(Benutzer oder Gruppen) erstellt und anschließend kann diese Policie Zugang zu den Ressourcen ermöglichen.
|
|
Access Rights
Hier können Sie Zugangsrechte für Benutzer und Administratoren des Systems den Policies zuordnen.
|
|
Authentication Schemes
Hier werden die zur Auswahl stehenden Authentifizierungsysteme eingerichtet und verwaltet,
sowie den verschiedenen Gruppen zugeordnet.
|
|
IP Restrictions
Sind IP-Restriktionen auf Clientbasis gewünscht, so können die Regeln hier erstellt werden.
|
Resources
|
Web Forwards
Hier steht ein Assistent bereit, der die Weiterleitung von Intranet-Webseiten
für verschiedene Anwendungs- Szenarien im Dialog einrichtet.
|
|
Network Places
Die Zugriffsverwaltung auf Windows, Samba, CIFD, lokaler Speicher oder per FTP ist hier einzurichten.
|
|
Applications
Anwendungen die im Configuration/ Extension Manager installiert worden sind müssen hier eingerichet werden,
sowie einer Policies zugeordnet werden. Weitere Anwendungen sind auf der 3sp.com zu finden.
|
|
SSL-Tunneling
Hier können SSL - Verbindungen auf Server und Client in Ihrem Netzwerk konfiguriert werden.
Unter Verwendung von SMTP und POP-Protokollen kann auch ein lokaler Email-Client eingerichtet werden.
|
|
Profiles
Hier können Globale Profile angelegt und verwaltet werden die Policies zugeordnet werden.
|
System
|
Status
Anzeige des aktuellen Zustands des SSL-Explorer einschließlich angemeldeten Benutzer und deren
Speicherzuweisung sowie weitere Informationen über Ihre Hardware.
|
|
Message Queue
Versenden von Nachrichten und Anzeige des Auslieferungszustandes.
|
|
Shutdown
Beenden und Neustart des SSL-Explorer-Dienstes mit der Möglichkeit eines Nachrichtenversandes.
|
|
Toggle options view
Optionen ein- und ausblenden.
|
|
SSL-Explorer Agent
starten und stoppen des SSL-Explorer Agenten.
|
|
Home
Startseite
|
|
User Console
Umschalten auf die Anwenderumgebung (Testen)
|
|
Management Console
Umschalten auf die Administrationsumgebung
|
|
Help
Hilfe ohne Bezug auf die Umgebung
|
|
Logoff
Abmeldung
|
Erste Schritte
Admin ändern
Das Konto Admin ist sehr schützenswert, da es naturgemäß alle Einstellungen vornehmen kann.
In der Management Console klicken wir auf Access Control / Accounts.
Nun werden uns alle User angezeigt die im System angelegt worden sind.
Im Moment beschränkt sich die Liste auf den Admin den wir mit einem klick auf
bearbeiten können.
Im Reiter Details kreuzen wir Reset password an und Im Reiter Security Questions sollten wir
für jede Frage die nach dem Login erscheint einen überlegten Text eintragen.
Sind alle Angaben vollständig kann das ganze gespeichert werden.
Jetzt erscheint die Abfrage des neuen Passwortes.
Hierzu überlegen sie sich bitte ein Internetfestes Passwort welches keine Namen oder Begriffe beinhaltet
sowie min. zwei Zahlen und min. 2 Sonderzeichen!
Damit die zusätzlichen Fragen bei der Anmeldung auch erscheinen schalten wir diese unter
Access Control / Authentication Schemes unter der Zeile Default klicken wir auf das Bild_edit (
).
Im Reiter Modules verschieben wir Personal Questions (Secondary) in den Bereich
Selected modules (rechts).
So jetzt nerven wir alle Anwender mit der zusätzlichen Frage, solange wir nicht uns mit dem
ausgefeilten Rechtesystem auseinander gesetzt haben.
Weitere Anwender anlegen
Um weitere Anwender anzulegen gehen wir in Access Control / Accounts und klicken auf Create Account
(rechts oben unter Actions)
Tragen wir im ersten Reiter Details den Usernamen ein, dieser ist auch der Anmeldename.
Die Felder Fullname und Email ausfüllen und das Enable anhaken.
Im Reiter Profiles muss nichts geändert werden, sollte aber auf default gestellt werden um den Anwender nicht zu verwirren.
Im Reiter Security Questions tragen wir keine Werte ein, die soll der Anwender sich selbständig aussuchen.
Nach dem Speichern (Save) erscheint die Passworteingabe, hier tragen wir ein Standardpasswort ein,
welches wir den Anwender mitteilen. Damit der Anwender auch sein Passwort ändern muss hacken wir
Force user to change password at next logon an.
Weitere Anwender können Sie nach dem gleichem Schema anlegen, für die Verwaltung steht
zur Verfügung.
Erstellen wir eine neue Anwendung (Putty)
Am einfachsten ist es wenn wir eine Anwendung für den Linux - Rechner installieren, dazu eignet sich Putty
hervorragend.
Gehen wir auf Extension Store unter Management Console / Configuration / Extension Manager
und Reiter Remote Access.
Um Putty zu installieren klicken wir in der Zeile auf
,
Putty wird installiert und erscheint jetzt im Reiter Installed.
Die Anwendung kann jetzt unter Resources / Applications erstellt werden. Hierzu klicken wir auf
Create Application Shortcut (oben rechts unter
)
Im erstem Schritt markieren wir die entsprechende Applikation Putty und klicken Next.
Im zweitem Schritt vergeben wir einen sprechenden Namen wie Putty (LUG) und unter Description:
geben wir eine Erläuterung ein wie Zugang über Putty auf dem Server LUG.
Das Feld Add to favorites markieren wir und klicken auf Next.
Im dritten Schritt geben wir die IP-Adresse des Linux-Rechners an, sowie den Benutzernamen an.
Das Protokoll sowie die Portnummer können bestehen bleiben.
Im viertem Schritt ordnen wir die noch einzige Policy den verwendeten Bereich zu (rechts).
Im vorletzten Schritt bestätigen wir die gemachten Angaben.
Im letzten Schritt beenden wir den Wizard und die Applikation steht bereit.
Trockenschwimmer
Testen wir das frisch erstellte Programm Putty ohne Internetverbindung aber mit SSL und einen entsprechenden
Anwender usw… .
Melden wir uns ab (oben rechts ->] ) und melden uns wieder als normaler Benutzer an.
|
Das Benutzerinterface erscheint.
Hier kann der Anwender seine freigeschalteten Programme starten und sein Passwort mit den Attributen verwalten.
Starten wir Putty mit einem klick darauf.
|
Alle Vertrauensfragen bestätigen!
|
Putty erscheint und kann wie immer verwendet werden.
|
Alle diese Meldungen werden auch bei Ihren Benutzern auftauchen, solange man kein SSl-Root-Zertifikat das
vertrauenswürdig ist, in den SSL-Explorer importiert hat. Natürlich wird eine SSL-VPN verschlüsselte
Verbindung aufgebaut! Eine SSL-Zertifikat gibt es ab ca. 20 € pro Jahr.
Entweder Anwender schulen und eine eigene Hotline aufbauen, oder in die Portokasse greifen.
Clientbetriebssystem
Leider besteht eine Abhängigkeit bei dem verwendeten Betriebssystem des Client, wenn Programme direkt auf dem
Client ausgeführt werden, dieses ist bei Putty und RDP Terminalserver der Fall. Sollten die Anwender
unterschiedliche Betriebssysteme verwenden, sollte in der Namensgebung dieses vermerkt sein.
Die Anwendung müssen auf dem Client vorhanden sein, wenn sie keine Java Programme sind!
Gruppenbildung / Berechtigungen
Gehen wir davon aus, das Sie eine Gruppe Anwender haben die nur per RDP auf einen Server dürfen und eine Gruppe
Admins die eine Menge dürfen. Jeweils ein Account pro Gruppe ist angelegt.
Gruppe:
Gehen wir auf Access Control / Groups und legen die Gruppe G_User an
(Create Group rechts oben).
Tippen Sie im Feld Account den Anfangsbuchstaben Ihres Users ein und der User erscheint und kann mit der
Maus ausgewählt werden. Mit einem Klick auf Add verschieben Sie den User nach rechts und fügen somit diesen
User der Gruppe hinzu.
Policies:
Gehen wir auf Access Control / Policies und legen die Policy P_User an an (Create Policy
rechts oben). Im Reiter Detail vergeben Sie den Namen und eine Beschreibung. Im Reiter Principals
tragen wir nach dem gleichen Prinzip die Gruppe G_User in das Feld Selected Groups ein.
Access Rights:
Gehen wir auf Access Control / Access Rights und legen die Rechte PR_User an
(Create Personal Right rechts oben).
Diese Rechte werden nur zur Anmeldung benötigt, Administrative Rechte benötigt kein Anwender.
Füllen Sie entsprechenden Felder im Reiter Details aus und gehen anschließend in den Reiter
Access Rights. Hier können Sie alle Berechtigung nach rechts schieben außer Language Change was
noch nicht unterstützt wird (leider). Im Reiter Policies sollte nur P_User stehen.
Sollte ein Anwender z.B. sein Passwort nicht ändern dürfen können Sie diese Berechtigung (Reiter Access Rights)
nach links schieben (Password Change).
Damit diese Berechtigung auch greifen muss die Policies von Global Permissions leer sein!
Resources:
Welche Anwendungen der Anwender sieht und anwenden kann, steuern Sie in den Resourcen unter den
Reiter Policies. Schieben Sie nur die Gruppe nach rechts die auch diese Anwendung starten dürfen.
Und jetzt geht's ans testen!
RDP-Client's
Welchen RDP-Client nehmen wir jetzt denn?
Der Remote Desktop Protocol (RDP) ist in Java geschrieben und funktioniert auch unter Linux. Im Fullscreen-Modus
ist kein Unterschied mehr zum lokalen arbeiten. Lokale Ressourcen können nicht verwendet werden (was auch nicht mein
Ziel ist). Im direkten Vergleich mit dem MS-Client ist er ein bisschen träger.
Der Microsoft RDP Client benötigt ein aktuelles Windows als Betriebssystem auf dem RDP installiert ist.
Die Einstellungen sind weitreichender, es können auch lokale Ressourcen eingebunden werden. das Caching macht sich
schon bemerkbar. Der Fullscreen- Modus hat noch den typischen RDP- Balken oben, was ja auch seine Vorteile hat.
Ich habe beide Clients angeboten.
Citrix Java Client
Den aktuellen Java Client finden Sie unter
Citrix.com. Gehen Sie auf
Support / Download und klicken auf Citrix Client. Hier wählen Sie den Java Client und laden Ihn herunter.
Entpacken Sie die Datei in einem eigenen Verzeichnis mit dem Namen JICAComponents und entfernen Sie die geladene Zip-Datei.
Laden Sie sich die
extension.xml
und legen Sie diese Datei entpackt ins Root Ihres Ordners ab (ohne extension.zip).
Erzeugen Sie eine Zip-Datei aus dem Ordnerinhalt JICAComponents (7-Zip).
Diese können Sie sich auch von der LUG liegende
JICAComponents.zip
laden.
Im SSL-Explorer, gehen Sie auf Management Console / Configuration / Extension Manager /
Upload Extension und laden Sie die erzeugte Datei.
Die Einstellungen in der Applikation sind gering, außer Hostname, Applikation und Bildschirmgröße gibt es
nichts zum einstellen.
Mit der Applikation desktop hat der Anwender alle seine Programme unter Citrix zur Verfügung (SUPER).
SSL-Tunnel
In die Tunnel-Verwaltung gelangen Sie über die "Management Console" , "Resources", "SSL Tunnels".
Über "Create Tunnel" wird der erste Tunnel angelegt.
Im ersten Fenster wird ein aussagekräftiger Name vergeben und eine Beschreibung des Tunnels.
Im zweiten Fenster geben Sie die Quelle und das Ziel des Tunnels an.
Die Quelle ist am sinnvollsten die localhost 127.0.0.1 und Ports 80.
Ein Autostart der Verbindung kann gesetzt werden.
Der Tunnel ist einsatzbereit.
Router
Nach dem der Trockenschwimmertest erfolgreich verlaufen ist, können wir eine Verbindung aus dem Internet aufbauen.
Hierzu muss die Firewall des Routers so angepasst werden, das alle Anfragen aus dem Internet auf den
Port 443 (SSL) auf unserem SSL-Explorer auf den Port 443 weitergeleitet werden.
|
Bei der Fritz-Box schaut das ganze sehr leicht aus, unter Einstellungen / Internet /
Portfreigabe / SSL Verschlüsselung kann unter "an IP-Adresse" der SSL-Explorer eingetragen
werden.
Bei anderen Routern schaut das ganze ähnlich aus.
|
Für den ersten Verbindungstest aus dem Internet benötigen Sie noch Ihre Internet-Adresse entweder aus Ihrem
Router oder von dieser Seite:
Die aktuelle IP-Adresse ist: echo getenv (REMOTE_ADDR); ?>
Von einem anderen Internetanschluss geben Sie https://ip-adresse ein und der SSL-Explorer-Anmeldung erscheint.
Natürlich haben Sie morgen eine andere IP und müssen somit den Vorgang erneut durchführen.
Abhilfe schaffen DynDNS.org und deren Kollegen, bei denen eine Alias-Adresse zur Verfügung steht.
Anpassungsmöglichkeiten
Es gibt folgende Dateien die händisch angepasst werden können:
· /opt/sslexplorer-1.0.0_RC17/sslexplorer/webapp/theme/default/images/banner.gif
· /opt/sslexplorer-1.0.0_RC17/sslexplorer/webapp/WEB-INF/classes/com/sslexplorer/navigation/ApplicationResources.properties
· /opt/sslexplorer-1.0.0_RC17/sslexplorer/webapp/WEB-INF/classes/com/sslexplorer/security/ApplicationResources.properties
· /opt/sslexplorer-1.0.0_RC17/sslexplorer/webapp/WEB-INF/classes/com/sslexplorer/properties/ApplicationResources.properties
· /opt/sslexplorer-1.0.0_RC17/sslexplorer/build/webapp/META-INF/userAttributes-definitions.xml
Hier wurden hauptsächlich Übersetzungen sowie Anpassungen im Anmeldebereich vorgenommen um es den Anwender so einfach wie möglich zu machen.
Meine geänderten Dateien
Links
Schlusswort
SSL-VPN kann ich jetzt von meiner Wunschliste streichen.
Antriebsfeder des Projekts war nicht unbedingt die Private Nutzung des Systems, sondern die unverschämt hohen
Preise einer SSL-VPN Lösung aus dem Bezahl-Lager für mein Unternehmen.
Ich muss jetzt nicht mehr, nur wegen einer Kleinigkeit ins Unternehmen, sondern kann es direkt von zu Hause aus
machen. Der SSL-Tunnel der durch einen beliebigen lokalen Port auf den Port eines entfernten Rechners erstellt
wurde, dient uns nur als NOT-Zugang des Systems für Admins.
Die Einrichtung weiterer Anwendungen für unsere Anwender verlief weitgehend unproblematisch.
Es soll nicht darüber hinweg täuschen, das dieses Projekt geplant werden muss. Auch die Einsicht von Daten
außerhalb des Unternehmens sind nicht immer unproblematisch. Ein Gespräch mit dem Datenschutzbeauftragten
sollte nicht vergessen werden.
Viel Spaß
Matthias Wulff
www.M-Wulff.de