App "Web-Client" einrichten

Die kostenpflichtige App "Web-client" ermöglicht es, mit einem Web-Browser per Remote-Desktop-Protokoll (RDP), VNC oder SSH auf andere Systeme zuzugreifen. Es ist dafür keine spezielle Software auf dem Client erforderlich, lediglich ein HTML5-fähiger Browser.
Über die Anmeldung mit Benutzername und Passwort hinaus, sollte der Zugang mit Einmalpasswort und/oder Client-Zertifikat abgesichert werden.

App installieren und lizenzieren

Installieren Sie die App "Web-Client" über das Menü "System > Apps".
Die zugehörige Lizenz-Datei installieren Sie bitte im Menü "System > Lizenzen". Kostenlose, zeitlich begrenzte Testlizenzen erhalten Sie über Ihren Fachhändler.
Lizenziert wird die Anzahl gleichzeitiger Verbindungen zwischen DEFENDO und den Zielsystemen.

Zielsysteme konfigurieren

In der Benutzerverwaltung legen Sie je Benutzer fest, zu welchen Zielsystemen er sich verbinden darf. Der Benutzer muss dazu Mitglied der Gruppe "system-ras" sein.
Konfigurieren Sie die Verbindungen je nach Protokoll auf den Reitern (Tabs) "RDP Web-Client", "VNC Web-Client" bzw. "SSH Web-Client".

Einmal-Passwörter aktivieren

Ebenfalls in der Benutzerverwaltung kann je Benutzer auf dem Reiter (Tab) "Passwort" über "Einmal-Passwörter" die zusätzliche Abfrage eines zeitbasierten Einmal-Passworts (time-based one-time password, TOTP) aktiviert werden. Das Einmal-Passwort wird nach erfolgreicher Anmeldung mit Benutzername und Kennwort abgefragt.
Für Benutzer, bei denen Einmal-Passwörter nicht aktiviert sind, genügt die Anmeldung mit Benutzername und Kennwort.
Als Token (TOTP-Generator) kann ein Hardware- oder Software-Token verwendet werden. Meist wird eine Smartphone-App als Software-Token genutzt.
Wir empfehlen, bei Auswahl der Smartphone-App darauf zu achten, dass diese für die geheimen Schlüssel keine Backup-Funktion anbietet. Insbesondere von cloud-basierten Backups raten wir ab.
Der Software-Token sollte nicht auf dem Gerät installiert sein, auf dem der Web-Client genutzt wird.

Zugriff auf Web-Client im Reverse-Proxy konfigurieren

Der Zugriff auf den Web-Client erfolgt via Reverse-Proxy. In der Grundkonfiguration läuft der Reverse-Proxy bereits auf Port 443 mit aktiviertem Zugriff auf den Web-Client. Zumindest aus den internen Netzen sollten Sie den Web-Client daher bereits über "https://DEFENDO-IP/webclient/" erreichen können.
Falls die Firewall so konfiguriert wurde, dass der Reverse-Proxy-Port 443 auch aus dem Internet erreichbar ist, ist der Web-Client vermutlich auch schon aus dem Internet erreichbar.
Sofern alle Dienste, die über Reverse-Proxy erreichbar sind, gleichermaßen aus dem LAN und dem Internet erreichbar sein sollen, spricht nichts dagegen, den direkten Zugriff auf Port 443 auch für das Internet freizuschalten. Sollen hingegen bestimmte Dienste nur für lokale Netze verfügbar sein oder für den Zugriff aus dem Internet Clientzertifikate zum Einsatz kommen, sollten Sie einen zusätzlichen Reverse-Proxy-Port für Zugriffe aus dem Internet anlegen.
Falls Sie sich für einen zusätzlichen Port entschieden haben, legen Sie diesen bitte im Menü "Module > Reverse-Proxy" an. Wählen Sie "authentifiziert (https://)" wenn die Clients über ein Clientzertifikat verfügen müssen um sich verbinden zu können, andernfalls "verschlüsselt (https://)". Wählen Sie ein passendes Zertifikat für den Port. Neue Zertifikate werden im Menü "System > Zertifikatsverwaltung > Schlüsselbund" beantragt.
Klicken Sie in der Liste der Reverse-Proxy-Ports anschließend beim neuen Port bzw. Port 443 auf "Virtuelle Hosts". Der Web-Client lässt sich in jedem virtuellen Host individuell auf dem Reiter (Tab) "DEFENDO Dienste" aktivieren. Der virtuelle Host "*" steht dabei für beliebige Hostnamen oder IP-Adressen. Um diesen virtuellen Host neu anzulegen, das Feld "Servername (Virtueller Host)" leer lassen. Soll der Web-Client nur unter bestimmten DNS-Namen oder IP-Adressen angesprochen werden können, dann legen Sie dafür jeweils einen virtuellen Host an und aktivieren Sie den Web-Client nur in diesen Einträgen.
Virtuelle Hosts eigenen sich nicht, um eine Trennung zwischen Zugriffen aus dem Internet und aus lokalen Netzen zu garantieren, da sich Host-Header fälschen lassen.

Konfiguration der Firewall für Zugriff aus dem Internet

Die Konfiguration der Firewall erfolgt im Menü "Module > Firewall > Regeln". Wählen Sie dort Ihre Internet-Schnittstelle (meist adsl0 oder eth1).
Um Port 443 direkt freizuschalten, tragen Sie eine Regel für das Protokoll "HTTPS" auf dem Reiter (Tab) "... > DEFENDO" ein.
Eventuell bereits auf dem Reiter (Tab) "DNAT > *" eingetragene Regeln für das Protokoll "HTTPS" haben Vorrang.
Um Anfragen aus dem Internet an einen anderen Reverse-Proxy-Port umzuleiten, konfigurieren Sie bitte eine Regel für das Protokoll "HTTPS" auf dem Reiter (Tab) "DNAT > *". Als "zu IP" geben Sie bitte eine IP des DEFENDOs ein. Unter "Port" wird der Reverse-Proxy-Port eingetragen.

Fertig

Ihre Web-Client-Installation ist nun einsatzbereit. Eine Kurzanleitung für Anwender finden Sie im Downloadbereich.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany