Konfiguration von SSH-TunnelnDie Konfiguration eines (oder mehrerer) Tunnels, in den oben aufgeführten Fluxpunkt Modulen für STARFACE, läuft immer gleich ab. Es können beliebig viele Tunnel zu unterschiedlichen Zielen angelegt werden. Ein Tunnel, der in einem Modul angelegt wurde, ist zwar in anderen Modulen sichtbar (als nützliche Information zur Vermeidung von Portkonflikten), aber nur im Ursprungsmodul änderbar. Dadurch wird sichergestellt, dass ein Tunnel, der für die Funktion eines Moduls erforderlich ist, nicht versehentlich bei der Konfiguration eines anderen Moduls verändert oder gelöscht wird. Je nach Modul kann es zudem Einschränkungen der Port-Mappings und Tunnel-Richtungen geben, die die Umsetzung der vorgesehenen Anwendungsfälle erleichtern sollen. Die folgende Abbildung zeigt eine Tunnelkonfiguration für vier verschiedene Port-Weiterleitungen – jeweils zwei eingehende und zwei ausgehende – für den Zugriff externer Hosts auf STARFACE-Dienste und den Zugriff der STARFACE auf zwei Domänencontroller zu Benutzeranmeldung: EingabevalidierungDie Angaben zum SSH-Server betreffen den zuvor installierten OpenSSH-Server. Die Erreichbarkeit des Servers unter dem angegebenen Port sowie Zugangsdaten und Fingerprint werden während der Eingabe geprüft. Die Angabe des Server-Fingerprint (einem Hash des öffentlichen Schlüssels des Servers zu Identifikationszwecken) ist optional. Beim ersten erfolgreichen Verbindungsversuch wird das Feld automatisch ausgefüllt. Sobald die Felder SSH-Server, Benutzername und Kennwort ausgefüllt wurden, beginnt im Hintergrund die Verbindungsprüfung. Im Erfolgsfall wird der Server-Fingerprint ausgefüllt und in der Fußzeile Verbindung erfolgreich getestet ausgegeben. TCP-Port-Mappings (Dienste)Die Konfiguration erfolgt aus Perspektive der STARFACE. Alle Angaben, wie z.B. remote, lokal, entfernt, etc. beziehen sich auf diese Betrachtung. Über die Taste Dienste-Vorlagen (Abb. rechts) finden Sie eine vordefinierte Auswahl an Weiterleitungskonfigurationen für verschiedene Dienste. Die Auswahl einer Vorlage fügt die entsprechenden Regelwerke in die Liste der Port-Mappings ein. Per Mouse-Over-Funktion auf den Port-Mapping-Feldern wird die Bedeutung der aktuellen Konfiguration ausführlich erläutert. Ein Port-Mapping definiert, wer wie auf welche Dienste zugreifen darf. Die Symbole der Kopfzeile, sowie die darunter befindlichen Felder haben folgende Bedeutung: | | | | | STARFACE | Verschlüsselter Tunnel | SSH-Server | Optionale Weiterleitung | Optionaler Ziel-Server | Lokaler Port | Richtung | Remote-Port | Richtung | Hostname/IP |
Die Felder Lokaler Port und Remote-Port werden während der Eingabe validiert. Je nach Weiterleitungsart können z.B. nur Ports >= 1024 konfiguriert werden. Es wird außerdem geprüft, ob verschiedene Port-Mappings kollidierende Port-Angaben enthalten. Es ist z.B. nicht möglich, einen (1) lokalen Port auf verschiedene Remote-Ports abzubilden. Es können jedoch verschiedene Remote-Ports auf einen lokalen Port verweisen oder verschiedene lokale Ports auf einen Remote-Port. Die Verwendung von Portnummern kleiner 1024 erfordert zudem erhöhte Rechte (Windows-Administrator- oder -System bzw. Linux-Root). Wird ein solcher Port angegeben, wird das entsprechende Feld mit einer Warnung und einem Hinweis versehen. Ob es dem SSH-Server möglich ist, an einen gewählten Remote-Port zu binden, hängt vom SSH-Serversystem, den Rechten des SSH-Server-Dienstes und anderen darauf laufenden Diensten ab. Eine Vorabprüfung ist deshalb nicht möglich. Beim späteren Aktivieren des Tunnels wird jedoch jedes Mapping aktiv geprüft und entsprechende Fehler angezeigt. Weiter- leitungsart | Bedeutung | Optional |
---|
| Nur der SSH-Server selbst darf über seinen Remote-Port auf den lokalen STARFACE-Port zugreifen. |
| | Nur die STARFACE selbst darf über ihren lokalen Port auf den Remote-Port des SSH-Servers (oder eines Ziel-Servers) zugreifen. | Eingabemaske für eine optionale Weiterleitung zu einem Ziel-Host | | Die STARFACE und mit ihr verbundene Hosts dürfen über den lokalen STARFACE-Port auf den Remote-Port des SSH-Servers (oder eines Ziel-Servers) zugreifen. Da die STARFACE in dieser Konfiguration als Gateway für andere Systeme dient, die über den SSH-Tunnel auf den Ziel-Server/SSH-Server zugreifen können, wird die entsprechende Port-Mapping-Zeile besonders hervorgehoben. Ein zusätzlicher Hinweis wird in der Fußzeile des Dialogfensters eingeblendet. | Eingabemaske für eine optionale Weiterleitung zu einem Ziel-Host | | Der SSH-Server und mit diesem verbundene Hosts dürfen über den Remote-Port auf den lokalen STARFACE Port zugreifen. Da der SSH-Server in dieser Konfiguration als Gateway für andere Systeme dient, die über den SSH-Tunnel auf die STARFACE zugreifen können, wird die entsprechende Port-Mapping-Zeile besonders hervorgehoben. Ein zusätzlicher Hinweis wird in der Fußzeile des Dialogfensters eingeblendet. | (Optischer Hinweis auf die Zugriffsmöglichkeit Dritter)
|
Löschen bestehender Port-MappingsPort-Mappings können durch Auswahl des X-Symbols am rechten Zeilenrand gelöscht werden. Das Symbol wird bei einem Mouse-Over über die Port-Mapping-Zeile eingeblendet. Beispielkonfigurationen | | | | | | Zugriff der STARFACE auf ein lokales AD | 1389 (beliebiger Port) | | 389 | <Domänencontroller> (IP oder Hostname) | Auf der STARFACE ist der Domänencontroller anschließend über 127.0.0.1:1389 erreichbar. | Zugriff der STARFACE auf einen lokalen Microsoft SQL-Server | 1433 (beliebiger Port) | | 1433 | <SQL-Server> (IP oder Hostname) | Auf der STARFACE ist der SQL-Server anschließend über 127.0.0.1:1433 erreichbar. | Zugriff der STARFACE und von Endgeräten auf ein lokales ESTOS MetaDirectory | 1712 (beliebiger Port) | | 1712 | <ESTOS MetaDirectory> (IP oder Hostname) | Auf der STARFACE ist das MetaDirectory anschließend über 127.0.0.1:1712 erreichbar. Für Telefone im STARFACE-Subnetz ist das MetaDirectory über <STARFACE-IP>:1712 erreichbar (sofern dieser Port in der STARFACE Firewall geöffnet wurde). | Zugriff auf das Prometheus-Frontend für eigene Systeme | 9100 9999 | | 9100 9999 | | Aus dem internen Firmennetzwerk (hinter dem SSH-Server) ist Prometheus über <SSH-Server>:9100 bzw. <SSH-Server>:9999 erreichbar. |
|