Navigation

Portal

Das VPN-Portal fungiert nahtlos zwischen einem Client und einem Server, wobei der Client Remote-HTTP- und -HTTPS-Ressourcen ohne eine direkte Verbindung zum Server abrufen kann. Dazu verarbeitet das Portal die Anfragen des Client, ruft die Ressourcen vom Server ab und übergibt sie dem Client. Mit anderen Worten dient das VPN-Portal als eine Art von Proxy, genauer gesagt als ein Reverse-Proxy, d. h. ein Proxy, in dem sich der Server im Gegensatz zu einem normalen Proxy in der durch die Panda GateDefender-Appliance bedienten Zone befindet (in der Regel die DMZ), während sich der Client von einem Remote-Standort verbindet. Dadurch stammt die Verbindung aus dem ROTEN nicht vertrauenswürdigen Netzwerksegment, die ohne das VPN-Portal nicht zulässig wäre.

Obwohl dies im Prinzip sehr den Methoden der Portweiterleitung entspricht, sind die Vorteile des VPN-Portals der Panda GateDefender-Appliance vielseitig, da es sich um einen voll funktionsfähigen Webserver handelt, der den Client authentifizieren und mögliche Quell-IP-Adressen für die Verbindung unterdrücken kann. Dadurch ist die Kommunikation sicherer. Des Weiteren fügt die Funktion zur Definition mehrerer Pfade von der Remote-Verbindung zu unterschiedlichen Ressourcen auf dem Server zusätzliche Flexibilität zur möglichen Konfiguration hinzu.

Ein direkter Anwendungsfall kann von der Beschreibung abgeleitet werden und beschreibt den Remote-Zugriff eines Mitarbeiters oder Kollegen auf eine Ressource im Intranet des Unternehmens, ohne das der OpenVPN-Server eingerichtet oder aktiviert werden muss. Es muss angemerkt werden, dass auf einer Panda GateDefender-Appliance sowohl ein VPN-Server als auch ein VPN-Portal gleichzeitig vorhanden sein können.

Zur Implementierung dieses Anwendungsfalls müssen ein neuer Pfad und ein neues Ziel definiert werden. Anschließen muss der Benutzer authentifiziert werden, was lokal auf der Panda GateDefender-Appliance durchgeführt werden kann, oder indem eine Verbindung zu einer LDAP/AD-Installation im Intranet hergestellt wird.

Konfiguration

Auf dieser Registerkarte können die Hauptoptionen des Portals konfiguriert werden, die mit dem Domänennamen und dem verwendeten Uplink in Zusammenhang stehen.

Portal aktivieren
Klicken Sie zum Aktivieren des Portals auf den grauen Schalter, der sich nach ein paar Sekunden blau färbt.
Name
Der Name des Portals
Domäne
Die Domäne, für die das Portal zuständig ist und deren Verkehr es aufnimmt.
Name des Portalbesitzers
Der Name des Unternehmens, das Besitzer der Domäne ist. Er wird auf der Hilfeseite verwendet; siehe nächste Option.
Hilfeseite
Aktivieren Sie diese Option, wenn der Domänenstammpfad nicht konfiguriert wurde, um dem Benutzer, der sich mit der Domäne verbindet, eine Informationsseite anzuzeigen. Der Name des Portalbesitzers wird in den Seiteninhalt als Kontaktreferenz eingefügt.
Uplink/IP-Adresse
Der Uplink, über den auf die Ressourcen der Domäne zugegriffen wird.
HTTPS-Support
Durch Aktivierung des Kontrollkästchens würde das VPN-Portal auch Verbindungen zu HTTPS-Domänen zulassen.
Zertifikatskonfiguration
Das für die Verbindung mit HTTPS-Websites zu verwendende Zertifikat.

Im Bereich Erweitert können weitere Optionen konfiguriert werden.

HTTP-Port
Der vom Portal verwendete Port für den normalen HTTP-Verkehr
HTTPS-Port
Der vom Portal verwendete Port für den verschlüsselten HTTPS-Verkehr
Zusätzliche Domänen
Tragen Sie in das Textfeld zusätzliche Domänennamen ein, die mit der Hauptdomäne verknüpft sind (eine Domäne pro Zeile).

Pfade

Nach der Hauptkonfiguration des Portals können verschiedene Ressourcen eingerichtet werden, auf die innerhalb der Zonen zugegriffen werden kann. Im unteren Bereich wird eine Tabelle angezeigt, die alle bereits definierten Pfade zu lokalen Ressourcen enthält. Auf jedem Pfad können folgende Aktionen ausgeführt werden:

  • on off – Den Pfad deaktivieren oder aktivieren.
  • edit – Den Pfad ändern.
  • delete – Den Pfad entfernen.

Neue Pfade können definiert werden, indem Sie über der Tabelle auf den Link Neuen Pfad hinzufügen klicken.

Pfad

Der Pfad zu der Ressource, die vom Client angefordert wurde.

Hinweis

Es sind auch die Unterpfade relativ zum Hauptpfad enthalten.

Ziel
Die lokale Ressource, zu der das Portal den Verkehr weiterleitet und die sich in einer Zone befinden muss, die von der Panda GateDefender-Appliance erreichbar ist.
Zulässige Quell-IP-Adresse
Die Quell-IP-Adresse für den Zugriff auf den Pfad
Anmerkung
Eine benutzerdefinierte Beschreibung
Authentifizierung erforderlich
Aktivieren Sie das Kontrollkästchen, um für den Pfad eine Authentifizierung einrichten.
Authentifizierungseinstellungen des Portals überschreiben
Falls ein gemeinsamer Authentifizierungsserver für den Zugriff auf den Pfad verwendet werden soll, aktivieren Sie das Kontrollkästchen, und wählen Sie eine Option aus dem unteren Mehrauswahlfeld aus.
Aktiviert
Aktivieren Sie das Kontrollkästchen, um den Pfad zu aktivieren.

Bewährte Methoden für eine geschachtelte Authentifizierung:

Während eine Authentifizierung sowohl für das VPN-Portal als auch für den durch das Portal erreichten Pfad vorhanden sein kann, hat es sich bewährt, nur eine Authentifizierung auf einer der beiden Seiten einzurichten. Es gibt jedoch ein kleines Problem bei einer verschachtelten Authentifizierung. Stellen Sie sich ein Szenario vor, in dem das Portal den Benutzernamen und das Kennwort paul/einkennwort erfordert und der Pfad die Kombination maria/andereskennwort erfordert. Bei der ersten Verbindung muss die Kombination paul/einkennwort in das Popup-Fenster, das die Authentifizierung erfordert, eingegeben werden, um Zugriff auf den Pfad hinter dem Portal zu erhalten. Nun erlaubt die Kombination maria/andereskennwort den Zugriff auf den Pfad. Wenn jedoch eine andere Seite im Pfad erforderlich ist, empfängt das Portal die zuletzt gespeicherten Anmeldeinformationen, welche die des Pfades sind. Diese stimmen nicht mit den erforderlichen Anmeldeinformationen für das Portal überein, wodurch ein weiteres Popup-Fenster für eine Authentifizierung angezeigt wird.

Wenn eine verschachtelte Authentifizierung eine obligatorische Anforderung ist, wird vorgeschlagen, die gleiche Kombination aus Benutzername und Kennwort sowohl für das Portal als auch den Pfad zu verwenden.

Inhalt

Vorheriges Thema

IPSec

Nächstes Thema

Authentifizierung

Navigation

© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 11. März 2015.