guybrush 19 Geschrieben 19. Juni 2009 Melden Teilen Geschrieben 19. Juni 2009 hallo, ich suche gerade eine feine lösung, um unsere diversen webapps nach aussen auf eine sicher(er)e art und weise zu veröffentlichen. nach ein wenig recherche bin ich auf folgende appliance gestoßen, die es eigentlich schon genau trifft: SSL-VPN Secure Remote Access - SSL VPN Series for SMB - SonicWALL, Inc. die demo vom admininterface hat mich schonmal ganz gut überzeugt, der preis (soweit ich mich erinnere, ca € 2.000,-) scheint auch zu passen. ausserdem hat sonicwall einen recht guten ruf. mein letztes gespräch mit dem systemhaus meines vertrauens hat mich mit einem (für mich) neuen produkt aus dem hause microsoft konfrontiert - dem Intelligent Application Gateway. Da mir dieses produkt komplett neu ist, wollte ich mal fragen, ob jemand mit einem meiner kandidaten (oder am besten schon mit beiden) gearbeitet hat und mir dazu ein bißchen mehr sagen kann? lg johannes Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 20. Juni 2009 Melden Teilen Geschrieben 20. Juni 2009 Hallo Johannes, MS IAG kenne ich nicht, aber die Sonicwall-Büchse habe ich im Einsatz. Insgesamt ein empfehlenswertes Produkt, wenn die Einsatzbedingungen passen. Beachte aber, dass es mit dem Anschaffungspreis nicht getan ist: Softwareupdates und Support kosten extra - je nach Dauer und gewünschten Umfang auch nicht ganz unerheblich. Was meinst Du denn konkret mit ...um unsere diversen webapps nach aussen auf eine sicher(er)e art und weise zu veröffentlichen[/Quote]? Gruß Steffen Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 20. Juni 2009 Melden Teilen Geschrieben 20. Juni 2009 Für die veröffentlichung von Webapplikationen würde ich jetzt eher Richtung ISA-Server gehen, aber ist natürlich abhängig davon was du genau vor hast. Die SonicWALL NSA-Serie haben seit Firmware 5.2 nun auch SSL-VPN integriert, falls ihr mit euer Firewall generell unzufrieden seid könnte das noch eine Überlegung wert sein. Ansonsten sind die grösseren ex-Aventail Geräte die SonicWALL heute verkauft wesentlich besser als die kleinen Geräte, aber das ist natürlich auch eine Frage des Budgets. Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 20. Juni 2009 Autor Melden Teilen Geschrieben 20. Juni 2009 hi, danke für die infos. generell habe ich folgendes nach aussen zu veröffentlichen: - owa - scm (ca antispam webinterface) - ein webinterface für unsere kunden (wird derzeit entwickelt) - für mich meine persöhnliche intranetseite - evtl. ein ticketsystem - im besten fall noch ein paar fileshares - citrix webinterface das alles is natürlich etwas ****, da alles auf verschiedenen hosts läuft. so müsste ich alle unsere öffentlichen ip´s verwenden und die ports dann forwarden. und genau das will ich nicht: portforward ins interne netz. bin da mit owa schon extrem unglücklich. ausserdem könnte ich dann unsere pptp-vpn´s ablösen, war mir auch sehr gut passen würde (wartung usw...). @LukasB: ich bin mit unseren watchguards eigentlich sehr zufrieden. und jetzt, wo ich endlich HA einführen konnte, werde ich mich auch nicht mehr so schnell von denen trennen. mir gehts eigentlich rein um einen sicheren zugang zum internen netz. ich hätte vor, die box einfach hinter die fw zu stellen, und dann 443 auf diese zu forwarden. oder in die dmz, das überleg ich mir dann noch. @s.k.: wenn ich mich recht erinnere, landen authentifizierte user auf einem portal, wo dann die diversen applikationen veröffentlicht sind (in richtung cwi). somit kann ich viel granularer entscheiden, was wer sieht, ohne da extra firewallregeln erstellen zu müssen für die diversen pptp-user gruppen. lg johannes Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 20. Juni 2009 Melden Teilen Geschrieben 20. Juni 2009 das alles is natürlich etwas ****, da alles auf verschiedenen hosts läuft. so müsste ich alle unsere öffentlichen ip´s verwenden und die ports dann forwarden. und genau das will ich nicht: portforward ins interne netz. bin da mit owa schon extrem unglücklich. Wie wärs mit einem ISA, mit einem SAN oder Wildcard-Zertifikat auf einer öffentlichen IP, der das ganze dann hinter die DMZ verteilt? Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Hallo, @s.k.:wenn ich mich recht erinnere, landen authentifizierte user auf einem portal, wo dann die diversen applikationen veröffentlicht sind (in richtung cwi). somit kann ich viel granularer entscheiden, was wer sieht, ohne da extra firewallregeln erstellen zu müssen für die diversen pptp-user gruppen. Ja es gibt eine Portalseite, auf der man u.a. sog. Bookmarks anlegen kann. Diese kann der Admin vorgeben oder der User selbst anlegen, wenn er dazu berechtigt ist. Diese Bookmarks können auch auf Webserver verweisen. Dabei macht die SSL-Appliance URL-Rewriting (der User sieht immer die selbe URL, nämlich die vom Webportal). Naturgemäß funktioniert dies aber nur zuverlässig bei einfachen Webapplikationen. Je nachdem, wie (sauber) die Webapplikation programmiert ist, wird der Hostname/die URL aber auch an anderer Stelle übergeben. Dann läuft das gegen die Wand. Problematisch ist z.B. Javascript. generell habe ich folgendes nach aussen zu veröffentlichen:- owa - scm (ca antispam webinterface) - ein webinterface für unsere kunden (wird derzeit entwickelt) - für mich meine persöhnliche intranetseite ... da alles auf verschiedenen hosts läuft. so müsste ich alle unsere öffentlichen ip´s verwenden und die ports dann forwarden. Wie Lukas schon schrieb, bietet sich hierfür eine Webserververöffentlichung über den ISA-Server an.Die SSL-VPN 2000 bietet diesen Modus aber auch: das sog. "Application Offloading". Hier wird der jeweilige Webserver über eine/n eigene URL/Hostnamen angesprochen. Diese/r wird aber in die gleiche IP-Adresse aufgelöst. Die Appliance wertet die URL aus, lädt die passende Seite per Reverseproxy und stellt sie dem anfragenden Client dar. - im besten fall noch ein paar filesharesGeht per SSL-VPN entweder im Fulltunnel-Modus (Netextender) oder über das Portal per Java-Applet. - citrix webinterfaceBeachte, dass es meines Wissens nicht genügt, das Webinterface wie einen Webserver zu veröffentlichen, denn dieses dient nur der Darstellung (und ggf. Authentifizierung). Sobald die Terminalserverapplikation gestartet wird, läuft wieder eine normale ICA-Session. Auch hierfür sollte wieder ein VPN genutzt werden. Bei der Sonicwall SSL-VPN 2000 entweder der Fulltunnel-Modus oder das Java-Applet im Portal. Citrix bietet mit dem "Access Gateway" übrigens seine eigene spezialisierte SSL-VPN-Lösung an... ich hätte vor, die box einfach hinter die fw zu stellen, und dann 443 auf diese zu forwarden. oder in die dmz, das überleg ich mir dann noch.Auf jeden Fall in die DMZ, damit Du an der Firewall regeln kannst, was zwischen LAN und Appliance erlaubt ist. Auf diesen Traffic kann man dann auch UTM-Services (IDP, Antivirus etc.) anwenden. Gruß Steffen Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Citrix bietet mit dem "Access Gateway" übrigens seine eigene spezialisierte SSL-VPN-Lösung an... Und dann gibts noch den Citrix Secure Gateway, eine Variante die bei XenApp mit dabei ist und keine zusätzlichen Kosten in Form einer Appliance mitsich zieht. CSG ist eine reine Software-Applikation, die man z.b. auf einem ISA-Server mitlaufen lassen kann. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Und dann gibts noch den Citrix Secure Gateway, eine Variante die bei XenApp mit dabei ist und keine zusätzlichen Kosten in Form einer Appliance mitsich zieht. CSG ist eine reine Software-Applikation, die man z.b. auf einem ISA-Server mitlaufen lassen kann. Hmm, man kann, aber es wäre technisch doch angenehmer, wenn das CSG in einer DMZ auf einem eigenen Host platziert wird. ;) Bye Norbert Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 25. Juni 2009 Autor Melden Teilen Geschrieben 25. Juni 2009 Wie wärs mit einem ISA, mit einem SAN oder Wildcard-Zertifikat auf einer öffentlichen IP, der das ganze dann hinter die DMZ verteilt? wie ist das gemeint mit dem san? ich schätze mal, du meinst hier keine emc? ein wildcardzertifikat auf die öffentliche ist in arbeit, aber dann hab ich immer noch das problem, dass ich hinter einer ip, maximal hinter 2 ip´s mehrere webserver betreiben muss, die intern auf mehreren servern laufen. oder hab ich da was nicht ganz verstanden? Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 25. Juni 2009 Melden Teilen Geschrieben 25. Juni 2009 wie ist das gemeint mit dem san? ich schätze mal, du meinst hier keine emc? Subject Alternate Name - ein Zertifikat das auf mehrere Namen lautet. ein wildcardzertifikat auf die öffentliche ist in arbeit, aber dann hab ich immer noch das problem, dass ich hinter einer ip, maximal hinter 2 ip´s mehrere webserver betreiben muss, die intern auf mehreren servern laufen. oder hab ich da was nicht ganz verstanden? Jap, ein Problem das ein Reverse-Proxy für dich lösen kann :) Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 25. Juni 2009 Autor Melden Teilen Geschrieben 25. Juni 2009 ah, ok. subject alternate name war mir bis jetzt nicht geläufig. ich hab mich mal kurz reingelesen. in meinem fall wäre allerdings dann ein wildcard zertifikat schon genug, da alle seiten per subdomain meiner domain laufen würden (also mail.meinedomain.at, citrix.meinedomain.at usw....). somit hätte ich dies schon erschlagen. dann brauch ich nur noch einen reverse proxy, der mir das unterstützt (wie den isa/iag?). oder ich mache es, wie einst eigentlich durchgedacht, mit eben dem sslvpn portal. was würdet ihr sagen, wo liegen die vor- und nachteile beider lösungen? was würdet ihr favorisieren. lg johannes Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.