Securepoint bietet ab Version 11 seiner Firmware unter anderem eine neue Funktion namens Clientless VPN an. Dahinter verbirgt sich HTML5 als Basis-Technologie um über websockets eine Verbindung zu einem RDP- oder VNC-Host aufbauen und die Darstellung des Bildschirms innerhalb eines aktuellen Browsers realisieren zu können.

In diesem Artikel wird ein erster Blick auf diese neue Funktion geworfen.

RDP-/VNC-Host anlegen

Im ersten Schritt müssen die RDP- bzw. VNC-Host, zu denen eine Verbindung aufgebaut werden soll, hinterlegt werden.

  • Auf “VPN – Clientless VPN” klicken.
  • Auf die Schaltfläche “+ Add” klicken.
  • Mindestens “Server Name”, “IP Address” und “Type” angeben und auf die Schaltfläche “Save klicken.

Gruppe(n) anlegen

Dieser Schritt ist notwendig, da über Gruppen geregelt wird, auf welche Hosts zugegriffen werden darf. Auf diese Weise ist es möglich, verschiedenen Gruppen unterschiedliche Hosts zur Verfügung zu stellen. Ein Beispiel: Administratoren erhalten Zugriff auf alle Server, Anwender nur auf Terminal- oder VDI-Server.

  • Auf “Authentication – User” klicken.
  • Zur Registerkarte “GROUPS” wechseln und auf die Schaltfläche “+ Add Group” klicken.
  • Einen “Group Name” vergeben, “Userinterface” und “Clientless VPN” aktivieren.
  • Auf die Registerkarte “CLIENTLESS VPN” wechseln und den zuvor erstellten Host durch einen Klick auf die Schaltfläche “+” dieser Gruppe zuordnen.
  • Alle Änderungen durch einen Klick auf die Schaltfläche “Save” übernehmen.

Tipp: In diesem Dialog ist es möglich, durch einen Klick auf die Schaltfläche “+ New” neue Hosts anzulegen.

Benutzer anlegen

Das Securepoint OS ist nicht nur in der Lage mit lokalen Benutzern zu arbeiten, sondern auch mit RADIUS oder Active Directory. In diesem Beispiel wird ein lokaler Benutzer verwendet.

  • Auf “Authentication – User” klicken.
  • Auf der Registerkarte “USER” auf die Schaltfläche “+ Add User” klicken.
  • Auf der Registerkarte “GENERAL” unter “Login” einen Namen eingeben und das Kennwort festlegen.
  • Auf der Registerkarte “GROUP” die Gruppe auswählen, die dem Benutzer zugeordnet werden soll.
  • Alle Änderungen mit einem Klick auf die Schaltfläche “Save” übernehmen.

Verbindung aufbauen

Intern kann das nun eingerichtete Clientless VPN unter der URL

https://192.168.175.1

angesprochen werden.

Möchte man von extern zugreifen, so muss zunächst die Firewall konfiguriert werden:

  • Auf “Firewall – Implied Rules” klicken.
  • Zur Registerkarte “VPN” wechseln.
  • “User Interface Portal” aktivieren.
  • Den Dialog mit einem Klick auf die Schaltfläche “Close” schließen.

Der erste Eindruck

Sobald man von intern oder extern auf das User Interface Portal zugreift und sich mit Benutzername und Kennwort angemeldet hat, zeigt sich folgendes Bild:

Erst nach einem Klick auf “VPN” zeigt sich das Clientless VPN und die für den Benutzer bzw. dessen Gruppe freigeschalteten Hosts.

Klickt man auf einen Host, wird die Verbindung hergestellt. Je nachdem ob man die Anmeldedaten im Host-Objekt hinterlegt hat, findet eine automatische Anmeldung statt oder es erscheint die Anmeldemaske.

Als ein Contra-Punkt kann die feste Bildschirmauflösung gelten. Allerdings muss man dazu sagen, das sich die Firmware ja noch in der Entwicklung befindet. Im Forum kann man lesen, das noch weitere Änderungen kommen.

Fazit

Securepoint’s Clientless VPN stellt kein vollständiges VPN dar, es können “nur” RDP- und VNC-Verbindungen getunnelt werden. Damit dürfte aber schon der häufigste Anwendungsfall bedient sein, schließlich lassen sich dadurch sowohl Anwender als auch Administratoren schnell und einfach anbinden. Auch intern im Rahmen von BYOD kann diese Technik sinnvoll eingesetzt werden. So ist es möglich über eine weitere Netzwerkschnittstelle ein eigenes “BYOD”-Netz aufzubauen, das vom sicheren, produktiven LAN getrennt ist und das Mitarbeiter oder Gäste lediglich via Clientless VPN auf bestimmte Hosts und damit auf bestimmte Dienste zugreifen lässt.

Ein aktueller, moderner Browser genügt. Einzige Ausnahme stellt (mal wieder) der Internet Explorer von Microsoft dar, da Dieser zwingend Adobe’s Flash benötigt um die neue Funktion nutzen zu können.

Die Abgrenzung zu Mitbewerbern besteht mitunter darin, das keine zusätzliche Lizenzierung notwendig ist und auf Anwenderseite keine Installation benötigt wird. Allerdings bieten Produkte wie z.B. ThinRDP deutlich mehr Funktionsumfang, benötigen dafür aber eine Installation auf dem Host (Workstation Edition) oder auf einem Server.

Securepoint-Kunden mit aktiver Subskription erhalten die neue Firmware, sobald diese fertiggestellt und veröffentlicht ist, kostenfrei.

Update 09.10.2012

Seit heute ist die Beta 2 von Securepoint OS v11 freigegeben. Darin enthalten ist unter anderem ein Vollbildmodus für Clientless VPN.

Ähnliche Artikel:

  1. Securepoint OS v11 Beta 2 – Vollbildmodus bei Clientless VPN
  2. Securepoint OS v11 Beta – Portweiterleitung
  3. Securepoint UTM – root-Benutzer anlegen
  4. Securepoint OS v11 – L2TP-IPsec PSK und Android
  5. Securepoint OS v11 – VPN-Benutzern eine IP-Adresse und Portfilter-Regeln zuweisen