HOB
HOB ist ein mittelständisches deutsches Software-Unternehmen. HOB entwickelt und vermarktet weltweit innovative Lösungen insbesondere für den Remote-Access. Die Kern-Kompetenz von HOB umfasst Server-based Computing mit dem RDP-Protokoll. HOB ist im Bereich RDP-Protokoll nach Microsoft der Software-Hersteller mit weltweit dem größten Know-How, was in mehreren Produkten und Lösungen zum Einsatz kommt. Für Remote-Access werden Verschlüsselungs-Verfahren eingesetzt.
1. Überblick
Der HOB PPP Tunnel ist Teil der umfassenden Security-Lösung HOB RD VPN.
Beim PPP Tunnel erhält der Benutzer vollständigen Netzwerk-Zugriff auf alle Resourcen im Netzwerk der Zentrale.
Der Netzwerk-Zugriff funktioniert auch umgekehrt, von der Zentrale aus auf alle Resourcen am Client.
Der Zugriff ist äußerst performant durch Komprimierung. Durch Authentifizierung und SSL-Verschlüsselung ist der Zugriff sicher.
SSL als Übertragungs-Protokoll hat den Vorteil, dass es von allen Netzwerk-Devices unterstützt wird; dies ist bei vergleichbaren Lösungen mit IPSec nicht der Fall.
Bei kurzen Unterbrechungen der Leitung zum Client erfolgt automatisch ein Reconnect.
Im Moment werden beim HOB PPP Tunnel Windows Vista als Client unterstützt, andere Plattformen wie Apple MAC, Linux, FreeBSD oder Solaris werden demnächst folgen.
Der PPP Tunnel im HOB RD VPN hat auch die Kurzbezeichnung HOB-PPP-T1.
2. Der HOB PPP Tunnel aus Sicht des Anwenders
Der Anwender startet seinen Browser und verbindet sich zum HOB RD VPN in der Zentrale seiner Firma. Dort muss er sich (nach Verfahren wie unten beschrieben) authentifizieren und erhält das Grund-Bild des HOB RD VPN. Soweit vom Administrator vorgegeben erscheint dort der Menü-Punkt "Start PPP Tunnel".
Wird dieser Menü-Punkt angewählt dann startet der PPP Tunnel, in der Task-Bar von Windows erscheint ein Tray-Icon.
Mit dem Browser können nach dem Start des PPP Tunnels andere Web-Seiten angewählt werden. Auch beim Schließen des Browsers bleibt der PPP Tunnel erhalten.
Der Benutzer kann jetzt über den PPP Tunnel auf alle Resourcen im Netzwerk der Zentrale zugreifen, alle Protokolle wie TCP, UDP oder ICMP gehen durch den PPP Tunnel.
Die Steuerung des PPP Tunnels erfolgt über das Tray-Icon. Klickt der User auf das Tray-Icon, so erscheint eine Statistik. Von dem Fenster mit der Statistik aus kann der Benutzer auch den PPP Tunnel beenden.
Für die Benutzung des PPP Tunnels ist nichts lokal installiert und der Benutzer muss auch keine Administrator-Rechte besitzen. Insbesondere werden keine speziellen Treiber am Client verwendet.
Lediglich eine Java Virtual Machine (JVM) muss auf dem Client installiert sein.
Ist am Rechner des Benutzers der PPP Tunnel gestartet, dann kann der Benutzer gleichzeitig auf andere Resourcen im Internet zugreifen; der Benutzer kann auch andere Funktionen des HOB RD VPN benutzen, bei richtiger Installation in der Zentrale gehen diese Verbindungen dann nicht über den PPP Tunnel.
Man nennt dies auch Split-Tunnel.
Durch die Windows-Firewall am Client kann ein Administrator auch Zugriff auf andere Resourcen im Internet sperren, wenn Split-Tunnel nicht erwünscht ist. Dazu konfiguriert der Administrator die Windows-Firewall im Client entsprechend, dies ist keine Funktion von HOB RD VPN.
3. Reconnect nach kurzen Unterbrechungen der Leitung
Geht kurzzeitig die Netzwerk-Verbindung des Clients verloren, so muss der Benutzer (nachdem die Verbindung wieder aktiv ist) den PPP Tunnel nicht neu starten sondern der PPP Tunnel resynchronisiert sich automatisch mit dem Netzwerk in der Zentrale. In den meisten Fällen laufen Anwendungen am Client ohne Störung weiter.
Die Netzwerk-Verbindung des Clients geht unter anderem dann verloren wenn der Provider die DSL-Leitung kurz unterbricht und danach die DSL-Leitung neu aufgebaut wird. Die meisten Provider tun dies einmal täglich.
4. Der HOB WebSecureProxy in der Firmen-Zentrale
Kernkomponente von HOB RD VPN ist die Server-Komponente HOB WebSecureProxy. Die aktuelle Version des WebSecureProxy oder kurz WSP ist 2.2, verfügbar für Windows, Linux und Unix in insgesamt 11 verschiedenen plattform-spezifischen Versionen.
Der WSP kann auch in HOB SCS laufen, dem Open-Source Unix-based Server-Betriebssystem von HOB. HOB SCS steht für Secure Communications Server.
Der WSP arbeitet mit SSL-Verschlüsselung. HOB SSL unterstützt alle gängigen Verschlüsselungs-Algorithmen, auch AES (Advanced Encryption Standard) mit bis zu 256 Bit Schlüssellänge.
5. Der Web-Server integriert im HOB WebSecureProxy
Der HOB WSP hat einen eingebauten Web-Server, die Komponenten des HOB PPP Tunnels werden von diesem integrierten Web-Server heruntergeladen.
Es werden ca. 300 Kilobytes heruntergeladen. Dies dauert nur wenige Sekunden.
Sind die Client-Komponenten des HOB PPP Tunnels einmal heruntergeladen, so müssen diese nicht bei jeder neuen Verbindung wieder heruntergeladen werden; die Komponenten werden am Client gecacht. Werden im WSP neuere Komponenten installiert, so stellt dies ein Client beim nächsten Verbindungs-Aufbau fest und lädt dann diese neueren Komponenten herunter.
Der WSP benötigt für die Server-Authentifizierung über SSL ein Zertifikat nach X.509 welches z.B. auch in Web-Servern mit SSL /HTTPS benutzt wird.
6. Einspeisen der Netzwerk-Pakete ins Netz der Firmen-Zentrale
Der HOB WSP Version 2.2 hat keine speziellen Funktionen für den PPP Tunnel, die Daten des PPP Tunnels werden nur ver- und entschlüsselt. Im Firmen-Netz läuft das HOB Programm xbipgw16 welches die TCP-Verbindung zum Client aufsplittet und zu L2TP über UDP umsetzt.
Diese L2TP Pakete gehen dann zu einer Hardware / Software Komponente die nicht von HOB geliefert wird und die Pakete ins Netzwerk einspeist.
Diese L2TP Funktionalität ist ein Industrie-Standard und entsprechend in vielen Komponenten eingebaut.
Solche Komponenten können z.B. sein:
- Microsoft Windows RRAS
- Linux mit L2TP Server wie z.B. OpenSwan
- Router mit integrierten L2TP Server
Es kann vorteilhaft sein, die Netzwerk-Pakete aus dem PPP Tunnel direkt im Firmen-Netzwerk einzuspeisen, nicht in der DMZ.
Die Security wird bei dieser Lösung weiterhin in der DMZ terminiert.
Der Client bekommt über PPP eine IP-Adresse und routet Pakete aus diesem Adressbereich über den PPP Tunnel.
Bekommt der Client eine IP-Adresse aus der DMZ, so kann er alle Geräte in der DMZ erreichen, Geräte im eigentlichen Firmennetz nur über optionales NAT (Network Address Translation).
Bekommt der Client aber eine IP-Adresse aus dem Firmen-Netzwerk, so können alle Geräte direkt erreicht werden.
Der Client bekommt über PPP eine IP-Adresse und routet Pakete aus diesem Adressbereich über den PPP Tunnel.
Bekommt der Client eine IP-Adresse aus der DMZ, so kann er alle Geräte in der DMZ erreichen, Geräte im eigentlichen Firmennetz nur über optionales NAT (Network Address Translation).
Bekommt der Client aber eine IP-Adresse aus dem Firmen-Netzwerk, so können alle Geräte direkt erreicht werden.
Teil des HOB PPP Tunnels ist eine Komponente welche NAT im IP-Header und in DNS-UDP-Paketen durchführt. Dadurch können mit dem PPP Tunnel im Firmen-Netzwerk mehrere von einander getrennte Netzwerke (Sub-Netze) erreicht werden.
Diese Komponente ist xl-sdh-ppp-pf-01 welche als Zusatz (Server-Data-Hook) im WebsecureProxy läuft.
Diese Komponente dient optional auch als DNS-Server; bestimmte URLs können über diesen integrierten DNS-Server aufgelöst werden was die Adressen aus dem DNS-Server im Firmen-Netzwerk überschreibt.
Grund für diesen DNS-Server ist es dass bestimmte URLs, welche sowohl eine Adresse im public Internet als auch (unterschiedlich) im Firmen-Netzwerk haben, so aufgelöst werden dass andere Komponenten des HOB RD VPN die Verbindung nicht über den PPP Tunnel aufbauen sondern weiterhin direkt über das public Internet.
HOB PPP-Tunnel Netzwerk Stack
7. Die Authentifizierung am HOB RD VPN
Authentifiziert sich ein Benutzer, so kann dies auf drei unterschiedliche Arten erfolgen, in der jeweiligen Installation festgelegt:
- Userid und Passwort
- Token mit one-time-password wie RSA SecurId, Secure Computing Premier Access oder VASCO DigiPass
- Zertifikat für Client-Authentifierung über SSL (gespeichert z.B. auf einer Smart-Card)
Die Authentifizierung erfolgt über den Browser der über SSL / HTTPS mit dem WSP verbunden ist. Deshalb ist bereits die Authentifizierung verschlüsselt und sicher.
Der HOB WSP hat eine integrierte Radius-Schnittstelle so dass die Authentifizierung gegenüber allen gängigen Radius-Servern erfolgen kann.
Integriert im HOB WSP ist auch eine OCSP-Schnittstelle (Online Certificate Status Protocol) damit überprüft werden kann ob Client-SSL-Zertifikate gültig sind.
Der HOB WSP hat eine integrierte Radius-Schnittstelle so dass die Authentifizierung gegenüber allen gängigen Radius-Servern erfolgen kann.
Integriert im HOB WSP ist auch eine OCSP-Schnittstelle (Online Certificate Status Protocol) damit überprüft werden kann ob Client-SSL-Zertifikate gültig sind.
8. Integrity Check bevor der Client zugreifen darf
Der Client kann optional nach bestimmten Kriterien überprüft werden bevor der Zugriff auf firmeninterne Daten erlaubt wird. Dies wird bei Bedarf bei der Installation im Firmennetz festgelegt.
9. HOB Enterprise Access für zentrale Konfiguration
Die Konfigurations- und Authentifizierungs-Daten wie Userid und Passwort sind entweder im XML-File der WSP-Konfiguration abgespeichert (HOB RD VPN Compact, in Vorbereitung) oder in der Komponente HOB Enterprise Access.
HOB Enterprise Access benutzt entweder eine integrierte Datenbank oder die Daten werden in einem LDAP-Server abgelegt. HOB Enterprise Access unterstützt alle gängigen LDAP-Server wie auch Microsoft Active Directory.
Legt HOB Enterprise Access Daten in einem LDAP-Server ab so werden die entsprechenden Strukturen durch eine Schema-Erweiterung angelegt.
10. Ohne single-point-of-Failure
In größeren Installationen können alle Komponenten des HOB RD VPN im Firmennetz redundand ausgelegt werden. Man hat keinen single-point-of failure und unterbrechungsfreier Betrieb ist
möglich.
Download der Software
HOB Software können Sie vor dem Kauf ausführlich testen. Wir stellen Ihnen eine voll funktionsfähige Version zum Download zur Verfügung
(4 Wochen lauffähig). Klicken Sie hier.
(4 Wochen lauffähig). Klicken Sie hier.
Datenblätter & Whitepapers