Zugriff auf Webserver im LAN - SSL VPN sinnvoll?
Hallo,
wir planen im vorhandenen LAN (1 Windows Server 2003 und 9 Clients alle XP Pro) einen Webserver aufzusetzen. Derzeit verwenden wir als Router einen Draytek 2200.
Unsere 15 Außendienstmitarbeiter sollen Zugriff auf den Webserver bekommen. Auf dem Webserver läuft eine Applikation, die auf unsere ERP Lösung zugreift.
Dies wird per UMTS geschehen. Hierbei tauchen ja schon die ersten Stolpersteine auf.
Jetzt stellt sich die Frage ob man den Webserver direkt im I-Net verfügbar macht oder den Zugriff lieber per VPN realisiert.
Die Außendienstmitarbeiter benötigen zunächst nur Zugriff auf den Webserver. Andere Ressourcen im Netz müssen nicht verfügbar sein. Dies kann sich aber ändern.
Ich habe nun eine Lösung per SSL VPN ins Auge gefasst. Sinnvoll?
Ich hab mir den Draytek 2930 angesehen, preislich absolut im Rahmen des Budgets.
Ich bin aber auch für andere Vorschläge offen.
Uns geht es vorallendingen um das Thema Sicherheit.
Ist die Herangehensweise mit dem SSL VPN die Richtige oder verlagern wir nur das Problem? Letzendlich muss ich mich dann auf die Webapplikation des Draytek verlassen.
Würde mich über Anregungen oder Lösungsvorschläge freuen.
mfg
Alforno
wir planen im vorhandenen LAN (1 Windows Server 2003 und 9 Clients alle XP Pro) einen Webserver aufzusetzen. Derzeit verwenden wir als Router einen Draytek 2200.
Unsere 15 Außendienstmitarbeiter sollen Zugriff auf den Webserver bekommen. Auf dem Webserver läuft eine Applikation, die auf unsere ERP Lösung zugreift.
Dies wird per UMTS geschehen. Hierbei tauchen ja schon die ersten Stolpersteine auf.
Jetzt stellt sich die Frage ob man den Webserver direkt im I-Net verfügbar macht oder den Zugriff lieber per VPN realisiert.
Die Außendienstmitarbeiter benötigen zunächst nur Zugriff auf den Webserver. Andere Ressourcen im Netz müssen nicht verfügbar sein. Dies kann sich aber ändern.
Ich habe nun eine Lösung per SSL VPN ins Auge gefasst. Sinnvoll?
Ich hab mir den Draytek 2930 angesehen, preislich absolut im Rahmen des Budgets.
Ich bin aber auch für andere Vorschläge offen.
Uns geht es vorallendingen um das Thema Sicherheit.
Ist die Herangehensweise mit dem SSL VPN die Richtige oder verlagern wir nur das Problem? Letzendlich muss ich mich dann auf die Webapplikation des Draytek verlassen.
Würde mich über Anregungen oder Lösungsvorschläge freuen.
mfg
Alforno
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135485
Url: https://administrator.de/contentid/135485
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
den Webserver direkt ins Interent zu hängen halte ich für die schlechteste der denkbaren Möglichkeiten, zumindest wenn nur ein paar Außendienstler darauf zu greifen sollen.
Ein VPN Tunnel, egal ob SSL oder IPSec (welches der Draytek auch kann...) ist hier wohl besser.
Das du dich immer der Software irgendeines Herstellers auslieferst sollte dir Klar sein...
brammer
den Webserver direkt ins Interent zu hängen halte ich für die schlechteste der denkbaren Möglichkeiten, zumindest wenn nur ein paar Außendienstler darauf zu greifen sollen.
Ein VPN Tunnel, egal ob SSL oder IPSec (welches der Draytek auch kann...) ist hier wohl besser.
Das du dich immer der Software irgendeines Herstellers auslieferst sollte dir Klar sein...
brammer
.
Brammer hat Recht. Für einen direkten Zugriff müsstest du ein Loch in die Firewall des Draytek bohren. Mit Port Translation (Verschleierung) und HTTPS wäre das einigermaßen vertretbar ist aber sicherheitstechnisch die schlechteste Lösung.
VPN oder SSL VPN ist da schon erheblich sicherer, allein schon aus der Tatsache das du sehen kannst WER auf diese Seite zugreift.
Mit deinem jetzigen Draytek kannst du mit 3 Mausklicks ein PPTP VPN einrichten und das mit den bordeigenen VPN Clients der Außendienstmitarbeiter mal testen.
Problematisch ist bei UMTS/GSM VPN Zugriff aber immer das hier:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
was dann Änderungen an Verträgen, APN, Tarifen usw. nach sich ziehen kann.
Ein SSL_VPN z.B. mit dem Draytek 2930 löst das natürlich elegant und hat die gleiche Sicherheit wie ein normales VPN nur das es eben über eine SSL Verbindung Browser basierend geschickt wird.
Dies ist eine erhebliche Erleichterung für die externen Mitarbeiter, da sie keine Sorge mit NAT usw. an Hotspots und Mobilnetzen haben und lediglich ein User/Passwort im Browser angeben.
Die kostenlose Alternative ist dann OpenVPN auf dem Server zu installieren. Sie erfordert aber einen Client auf dem Endgerät.
Brammer hat Recht. Für einen direkten Zugriff müsstest du ein Loch in die Firewall des Draytek bohren. Mit Port Translation (Verschleierung) und HTTPS wäre das einigermaßen vertretbar ist aber sicherheitstechnisch die schlechteste Lösung.
VPN oder SSL VPN ist da schon erheblich sicherer, allein schon aus der Tatsache das du sehen kannst WER auf diese Seite zugreift.
Mit deinem jetzigen Draytek kannst du mit 3 Mausklicks ein PPTP VPN einrichten und das mit den bordeigenen VPN Clients der Außendienstmitarbeiter mal testen.
Problematisch ist bei UMTS/GSM VPN Zugriff aber immer das hier:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
was dann Änderungen an Verträgen, APN, Tarifen usw. nach sich ziehen kann.
Ein SSL_VPN z.B. mit dem Draytek 2930 löst das natürlich elegant und hat die gleiche Sicherheit wie ein normales VPN nur das es eben über eine SSL Verbindung Browser basierend geschickt wird.
Dies ist eine erhebliche Erleichterung für die externen Mitarbeiter, da sie keine Sorge mit NAT usw. an Hotspots und Mobilnetzen haben und lediglich ein User/Passwort im Browser angeben.
Die kostenlose Alternative ist dann OpenVPN auf dem Server zu installieren. Sie erfordert aber einen Client auf dem Endgerät.
Hallo,
mit dem Draytek kannst du nicht wirklich was falsch machen, alternativ kannst du dir von Cisco mal die Baureihe 8xx ansehen.
brammer
mit dem Draytek kannst du nicht wirklich was falsch machen, alternativ kannst du dir von Cisco mal die Baureihe 8xx ansehen.
brammer
@Alforno
Es ist ein eigen genieriertes Zertifikat. Der Browser popt dann mit einer Warnmeldung auf ob man diesem Zertifikat vertrauen will. Entweder macht man das jedesmal neu oder vertraut ihm generell. Oder....lässt sich ein Zertifikat ausstellen und kopiert das auf den Router.
Ist also mehr oder minder ein kosmetisches Problem....
Es ist ein eigen genieriertes Zertifikat. Der Browser popt dann mit einer Warnmeldung auf ob man diesem Zertifikat vertrauen will. Entweder macht man das jedesmal neu oder vertraut ihm generell. Oder....lässt sich ein Zertifikat ausstellen und kopiert das auf den Router.
Ist also mehr oder minder ein kosmetisches Problem....
Der VPN Client wird von SSL VPN Gateways meist in Form von Java Applets oder Active-X auf die Clients geladen, wobei man bei Active-X lieber die Finger von lässt, denn das bindet einen fest an die Verwendung des doch eher unsicheren Internet Explorers und knechtet einen auf das MS Betriebssystem.
Mit Java steht einem die Welt da eher offen...auch mit IE wenn man ihn denn unbedingt verwenden will.
Draytek benutzt ein Java Applet.
Wenn also deine PDAs Java supporten dann sollte es klappen. Für iPhones kannst du so oder so auch PPTP VPN Zugriff parallele betreiben. Ist nur die Frage ob das sinnvoll ist..
Mit Java steht einem die Welt da eher offen...auch mit IE wenn man ihn denn unbedingt verwenden will.
Draytek benutzt ein Java Applet.
Wenn also deine PDAs Java supporten dann sollte es klappen. Für iPhones kannst du so oder so auch PPTP VPN Zugriff parallele betreiben. Ist nur die Frage ob das sinnvoll ist..
Hallo,
wie aqui schon schreibt SSL VPN mit Smartphones sollte klappen wenn dein Smartphone die Insel JAVA kennt .
Das kann dir der Hersteller beantworten
Was mich bei dieser Lösung nur abschreckt: Hast du schon mal versucht auf einem 2 - 4 Zoll großen Display eine Eingabe in ein ERP System (oder noch besser SAP!) zu machen?
Ein Kollege hat das mal versucht, er hat in einen Pappdeckel ein Loch in der größe eines 4 Zoll Displays geschnitten und diesen Pappdeckel auf einen 15 Zoll Touch geklebt.
Danach hat er versucht Daten einzugeben. Er sucht heute noch die Eingabefelder.
brammer
wie aqui schon schreibt SSL VPN mit Smartphones sollte klappen wenn dein Smartphone die Insel JAVA kennt .
Das kann dir der Hersteller beantworten
Was mich bei dieser Lösung nur abschreckt: Hast du schon mal versucht auf einem 2 - 4 Zoll großen Display eine Eingabe in ein ERP System (oder noch besser SAP!) zu machen?
Ein Kollege hat das mal versucht, er hat in einen Pappdeckel ein Loch in der größe eines 4 Zoll Displays geschnitten und diesen Pappdeckel auf einen 15 Zoll Touch geklebt.
Danach hat er versucht Daten einzugeben. Er sucht heute noch die Eingabefelder.
brammer
Ja, damit machst du mit Sicherheit nichts falsch und damit sollte sich dein Projekt elegant umsetzen lassen !
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !