Lösungsbeispiele Security-Lösungen
Projekt: Sicherer Zugriff über das Internet auf eine zentrale Anwendung
Situation: Der Kunde verfügt über mehrere Dienststellen. Von diesen Dienststellen aus soll eine Anwendung gestartet werden können, die auf einem Server in der Zentrale liegt. Die Clients in den Dienststellen wechseln häufig. Dies darf nicht zu einer Behinderung führen.
Konzeption: Da der Zugriff von wechselnden und unbekannten Clients aus erfolgen soll, empfiehlt KIT Kom eine browserbasierte Bereitstellung der Anwendung über RD Web Access und RD Gateway. Die Verbindung wird über https abgesichert. Die Authentifizierung geschieht über Active Directory, d.h. nur solche Benutzer können eine Verbindung herstellen, die über einen gültigen Benutzernamen mit Kennwort verfügen. Der Benutzer hat außerhalb dieser Anwendung keine Möglichkeit, auf den Server oder dessen Daten zuzugreifen.
Ergebnis: Um die zentrale Anwendung zu starten muss ein Dienststellen-Mitarbeiter im Browser eine https-Adresse eingeben. Er wird dann nach Benutzername und Kennwort gefragt. Wenn beides mit den Angaben in Active Directory übereinstimmt, erhält er im Browser das Icon für die Anwendung und kann diese starten.
Projekt: WLAN-Infrastruktur für Gäste und Mitarbeiter
Situation: Die Mitarbeiter eines Kunden von KIT Kom arbeiten an stationären PCs, die mit dem LAN verbunden sind. Bei Besprechungen treffen sich alle mit ihren Laptops im Besprechungszimmer. Dort soll die Verbindung über WLAN hergestellt werden: Firmen-Mitarbeiter sollen auf diese Weise mit LAN oder Internet verbunden sein, Gäste sollen nur Zugriff auf das Internet erhalten.
Konzeption: Da KIT Kom beim Kunden bereits eine Firewall-Lösung von Sophos im Einsatz hat, wird die Sophos WLAN Appliance hinzugefügt. Der Besprechungsraum wird mit einem passenden Access Point ausgestattet. Sophos UTM wird so konfiguriert, dass zwei WLAN-Netze zur Verfügung stehen: „WLAN für Gäste“ und „WLAN für die Firma“. Bei „WLAN für Gäste“ wird als Authentifizierung „preshared key“ konfiguriert, bei „WLAN für die Firma“ die Weiterleitung an einen RADIUS-Server. Der RADIUS-Server wird entsprechend eingerichtet.
Ergebnis: Im Besprechungsraum müssen die Firmenmitarbeiter in ihren Laptops für WLAN einmalig die Anmeldung mit ihrem Benutzernamen und Kennwort hinterlegen. Der Verbindungsaufbau mit dem Firmen-LAN funktioniert dann automatisch, und sie können auf alle Server zugreifen. Über das Firmen-LAN kommen die Mitarbeiter auch ins Internet. Gästen teilt man den preshared key mit. Nach Eingabe haben sie Verbindung mit dem Internet.
Alternativ kann für Gäste auch ein Ticketsystem eingerichtet werden. In diesem Fall erhält der Gast ein Ticket mit einem preshared key, der nach Ablauf einer bestimmten Zeit keine Gültigkeit mehr hat.
