 |
Unser Angebot / Produkte
tacJUMP - zentrale Zugangskontrolle
Beschreibung
Mit der Verbreitung von Netzwerken geht gleichzeitig eine kleine Revolution im Berufsleben einher: Der Arbeitsplatz wird unabhängig vom Standort des Servers. Die Qualität eines Arbeitsplatzes zu Hause ist durch den Zugriff auf Firmenressourcen bedeutend höher. Selbst auf Geschäftsreisen muss man auf die neuen Möglichkeiten nicht verzichten.
Die Beteiligten aus verschiedenen Firmen können via Netzwerk am selben Projekt arbeiten ohne ihren gewohnten Arbeitsplatz zu verlassen. So kann z.B. der Webdesigner die Site seines Kunden auch dann aktualisieren, wenn der Webserver durch ein drittes Data-Center betrieben wird.
Pikettpersonal hat Tag und Nacht die Möglichkeit zur Intervention bei Zwischenfällen.
Leider erlauben diese neuen Möglichkeiten bei unsorgfältiger Implementierung auch den Missbrauch durch unerwünschte Besucher. Im Gegensatz zu den von einem Webserver angebotenen Diensten - Lieferung von Webinhalten - stellt ein administrativer Zugang eine ungleich höhere Bedrohung für die Integrität des Servers dar. |
Kundennutzen
Die Jumpstation ist in gewissem Masse ein interaktiver Firewall. Personen, welche auf einem Server im geschützten Netzwerk arbeiten wollen, müssen sich zuerst auf der Jumpstation anmelden. Von der Jumpstation her wird ihnen dann der Zugriff auf die Server ermöglicht.
Als einzige Zugangsmöglichkeit vom öffentlichen in den geschützten Raum ist die Jumpstation besonders sorgfältig abgesichert, wie es sich für einen öffentlich sichtbaren Server gehört. Ohne Jumpstation müssten für jeden einzelnen Server im geschützten Netz, welche für die Fernwartung zugänglich sind, dieselben Sicherungsmassnahmen ergriffen werden. Mit der Jumpstation kann der Sicherungsaufwand der Server auf ein vernünftiges Mass beschränkt werden.
| |
Leistungsumfang
Mit tacJUMP bietet terreActive eine Jumpstation mit den folgenden Eigenschaften:
- Login via SSH: Mit tacJUMP ist ausschliesslich SSH für Fernzugriffe erlaubt. Passworte sowie Daten werden dabei verschlüsselt übertragen.
- Sourceadress pro Besucher: Die Jumpstation weiss, von welcher Source IP sie einen bestimmten Besucher erwarten darf und verweigert den Zugang, wenn der Besucher von einem ungewohnten Ort her kommt.
- Zeitfenster pro Besucher: tacJUMP erlaubt die Spezifizierung von Zeitfenstern pro Besucher. Zutrittsversuche ausserhalb der Zeitfenster werden verhindert.
- Sichere Umgebung: Der Besucher landet nach der erfolgreichen Anmeldung auf der Jumpstation in einem Kommandointerpreter. Dieser wurde speziell für die Jumpstation entworfen und schützt sowohl die Jumpstation als auch die Besucher untereinander vor neugierigen Blicken und vor Angriffen.
- Privilegien Management: Einmal auf der Jumpstation, hat der Besucher die Möglichkeit, sich in die Server innerhalb des geschützten Netzwerkes einzuloggen. Allerdings erlaubt die Jumpstation den Zugang nur für eine klar definierte Menge von Servern. Diese Menge wird pro Benutzer festgelegt.
- Datei Transfer Kontrolle: Dem Besucher der Jumpstation können zum Datei-Transfer die folgenden Privilegien gegeben werden: 1. Erlaubnis zum Hochladen von Dateien auf die Jumpstation, 2. Erlaubnis zum Herunterladen von Dateien von der Jumpstation, 3. Erlaubnis zum Hochladen von Dateien auf den geschützten Server, 4. Erlaubnis zum Herunterladen von Dateien vom geschützten Server. Der Datei-Transfer geht dabei stets via Jumpstation, benötigt also zwei Schritte. Zur Verfügung stehen scp und rsync via SSH.
- Tunneling beliebiger TCP Protokolle via SSH: Durch die SSH Verbindung zur Jumpstation besteht die Möglichkeit, gewisse TCP Protokolle wie z.B. pcAnywhere oder SQL zu tunneln. Der Besucher meldet sich also auf der Jumpstation an und kann anschliessend durch den SSH Tunnel mit pcAnywhere auf einen Server im geschützten Netzwerk zugreifen. Natürlich wird der Zugang auch hier nur auf die explizit erlaubten Server zugelassen.
- GUI zur Konfiguration: Besucherverwaltung - inklusive Funktionen zum Passwort Management - werden über das webbasierte Jump GUI zur Verfügung gestellt.
- Operator Cockpit: Der Operator der Jumpstation kann sich jederzeit einen Überblick verschaffen: 1. Aktive Besucher auf der Jumpstation 2. Login- und Logout-Zeiten 3. Kopierte Dateien 4. Angesteuerte Server im geschützten Netzwerk 5. Getunnelte Protokolle. Ausserdem ermöglicht das Operator Cockpit die sofortige Unterbrechung von Sessions.
- Optional starke Authentifizierung mit ACE/Server und SecurID: Besucher melden sich in der Grundversion per Benutzername und Passwort auf der Jumpstation an. Als starke Alternative lässt sich die Zutrittskontrolle aber auch über SecurID abwickeln.
|
tacJUMPOUT
Das Produkt tacJUMPOUT ist eine Erweiterung zu tacJUMP, welches speziell auf die Bedürfnisse von Helpdesks und Datacenters hin entwickelt wurde. Mit tacJUMPOUT erhält der Besucher nach der erfolgreichen Anmeldung auf der Jumpstation Zugang zu einer grafischen Oberfläche in welcher alle zugänglichen Rechner im geschützten Netzwerk aufgelistet sind. Durch die einfache Auswahl der Rechner öffnet sich ein neues Fenster mit interaktivem Kommandointerpreter auf der Zielmaschine. tacJUMPOUT kann verwendet werden für: - UNIX Maschinen
- Routers und Switches mit telnet Zugang
- Terminal Concentrators mit telnet Zugang
- Windows Maschinen (mit OpenSSH for Windows)
Die erforderlichen Passworte werden in der Konfigurationsdatei von tacJUMPOUT gespeichert. Mit dem Zusatzprodukt tacPWS lassen sich die Passworte auf einem dritten Server verwalten und speichern. |
|
|
|
|
Partnerschaft mit HP
splunk Partnerschaft
Security Breakfast Zürich, 9. September 2010
Kanton Aargau, Stadt Aarau & Ringier AG
Wir suchen Verstärkung!