|
Bitte Maus über die Komponenten im Diagramm bewegen
|
|
Entfernter Terminal Client
Out-Of-Office Benutzer, die aufgrund lokaler Sicherheitseinschränkungen nicht in der Lage sind auf einen entfernten Terminal-Server zuzugreifen, bzw. kein VPN etablieren können (z.B. weil Rechte am PC fehlen, die Firewall restriktiv konfiguriert ist, etc.). Beispiele hierfür: öffentliche WLAN HotSpots, Internet-Cafés, Seminarräume, Workstation in fremden Unternehmen, etc.
Reguläres Internet-Surfen via HTTP oder HTTPS ist jedoch möglich.
Benutzer laden den Tunnel2-Client von der Webseite, entpacken und starten die Software (ohne Installation möglich, falls Installationsrechte fehlen).
Der Tunnel2 Client startet, nachdem der Benutzer auf "Connect!" geklickt hat, den regulären Microsoft Terminal Client, empfängt den generierten Terminal-Services Netzwerkverkehr, verpackt die Daten in ein HTTP Format und sendet diese via HTTP oder HTTPS (verschlüsselt) durch Firewalls und Web-Proxies hindurch an den Unternehmenswebserver.
Bitte beachten: Selbst bei Verwendung von HTTP als Protokoll können die enthaltenen Daten verschlüsselt werden! HTTP dient ausschliesslich als Transportcontainer! Die Terminal-Services Daten werden so kodiert, dass eine zwischen Client und Server stehende Firewall den Netzwerkverkehr z.B. für reguläre GIF/JPEG Grafiken hält!
Firewall und/oder Web Proxy Server
Schränkt den - hinter dieser Firewall/Web-Proxy arbeitenden Benutzer so ein, dass Zugriff auf den Terminal-Server oder Implementierung eines VPN nicht möglich ist.
Der vom Tunnel2-Client generierte Datenverkehr kann von Firewall/Web-Proxy nicht von regulärem Internet-Surfen unterschieden werden, so daß selbst Firewalls mit aufwändigen sog. Content-Filtern den Zugriff auf den Terminal-Server nicht verhindern können.
Der Tunnel2 Client unterstützt diverse Mechanismen zur Proxy-Authentifizierung.
Internet
Windows Terminal-Server Datenverkehr wird so kodiert, dass zwischen Benutzer und Terminal-Server stehende Firewall-Systeme die Daten für reguläres "Internet-Surfen" halten.
Bitte beachten: Trotz der Verwendung von HTTP als Transportprotokoll kann der enthaltene Datentraffic verschlüsselt werden (HTTPS ist per se verschlüsselt). Optionen:
- Windows Terminal Server Datenverschlüsselung (wird auf dem Terminal-Server aktiviert)
- Tunnel2 Client Verschlüsselung (ab Version 1.1)
Firewall vor dem Terminal-Server / Webserver
Keine Konfiguration zur Weiterleitung des IP-Ports 3389 mehr erforderlich, Zugriffe entfernter Benutzer erfolgen per HTTP (IP-Port 80) oder HTTPS (IP-Port 443) auf den Unternehmenswebserver (somit Standardkonfiguration). Keine Einrichtung von VPN Endpoints oder ähnlichem.
Webserver
Internet Information Server™ 5/6 (Windows) oder Apache httpd (Windows, Unix) oder Apache Tomcat (Windows, Unix) bzw. sonstige Java-fähige Webserver (Websphere™, Weblogic™ etc.). Keine dedizierte Maschine Bedingung, integriert sich nahtlos in den Unternehmenswebserver.
Die Tunnel2 Secure Terminal Server Gateway-Komponente wird in den Unternehmenswebserver installiert und empfängt den HTTP/HTTPS Datenverkehr generiert vom Tunnel2 Client und leitet die Daten an den Zielterminalserver (bzw. Windows XP Desktop) weiter.
Terminal Server
Vollständig im lokalen Netz versteckt, kein direkter Zugriff aus dem Internet auf das System mehr möglich, somit vor direkten Internet-Attacken bestens geschützt.
