IIS, SSL, SSO VPN und sonstiges. Mitdenker gesucht

Internet Internet Sicherheit
#1

Hallo zusammen,

ich glaub ich sehe den Wald nicht mehr vor lauter Bäumen und bin auf der Suche nach ein paar aussenstehenden Meinungen zu folgender Aufgabe (wir befinden uns in der Windows Welt):

_Sie bereiten für einen Interessenten mögliche Server Szenarien vor. Die Aufgabe ist es eine Webapplikation im ersten Schritt für interne Mitarbeiter zur Verfügung zu stellen. Im zweiten Schritt diese auch nach außen, sprich über das Internet, zu veröffentlichen. Die Webapplikation stellt aufbereitete Daten über eine Webschnittstelle zur Verfügung. Die User greifen als Client nur über die bereits erwähnte Webschnittstelle auf die Applikationen zu um mit Ihren Daten zu arbeiten.

Wichtige Anforderungen sind:

  • Eine sichere und verschlüsselte Verbindung muss mindestens bei dem externen User Zugriff gewährleistet sein. Intern sollen die User über ein Single Sign On direkt an der Webapplikation angemeldet werden. Die externe Anmeldung ist noch nicht definiert. Hier erwartet der Interessent auch 1 – 2 Vorschläge von Ihnen wie eine Integration der externen User erfolgen kann.
  • Eine Ausfallsicherheit der Systeme soll ab der ersten Projektphase gewährleistet sein.
  • Webserver und Applikationsserver werden bei dem Interessenten immer auf getrennten Maschinen installiert. Dies ist bei der Ressourcen Planung zu berücksichtigen.
  • Die Software soll 64 Bit fähig sein. Erläutern Sie dem Interessenten hier bitte auch kurz die wesentlichen Unterschiede zwischen einer 32 und 64 Bit Applikation.

Als mögliche Betriebssysteme kommen Windows Server 2003 oder 2008 in Frage.

Bitte stellen Sie zwei mögliche Szenarien vor. Das erste Szenario aus Sicht von möglichst niedrigen Kosten. Das zweite aus Sicht von bestmöglichster Umsetzung der erwähnten Anforderung._

Mein Ansatz bisher für die kostengünstige Lösung:

IIS mit SSL für intern (LAN) und extern (WAN). Zugriff über *hier weiß ich noch nicht genau wie, wahrscheinlich ein* Tunnel vom IIS zum Applikation Server.

? Die Ausfallsicherheit kann m. E. nur durch Redundanz erfolgen. Habt ihr da eine bessere Idee? Ich denke das diese auch virtualisiert werden könnten. Das spart zumindest beim Einsatz von w2k8 Lizenzen.

Unterschiede zw. 32 und 64 Bit Applikationen: Da fällt mir eigentlich nur ein, dass man mehr Speicher an eine 64 Bit App adressieren kann. Kleiner Nachteil dabei ist, dass 64 Bit Applikationen durch den größeren Adressraum auch etwas mehr Speicher belegen.

Mein Ansatz für die zweite Anforderung (bestmöglichster Umsetzung der erwähnten Anforderung):
Bringt mich zur kostengünstigeren Lösung zurück. Redundante Server erfordern entsprechende Lizenzen. Aber wie könnte man denn auch, ohne auf eine gewisse Ausfallsicherheit zu verzichten, kostengünstige planen?

Dank & Gruß, olli

#2

Hallo zusammen,

ich glaub ich sehe den Wald nicht mehr vor lauter Bäumen und
bin auf der Suche nach ein paar aussenstehenden Meinungen zu
folgender Aufgabe (wir befinden uns in der Windows Welt):

_Sie bereiten für einen Interessenten mögliche Server
Szenarien vor. Die Aufgabe ist es eine Webapplikation im
ersten Schritt für interne Mitarbeiter zur Verfügung zu
stellen. Im zweiten Schritt diese auch nach außen, sprich über
das Internet, zu veröffentlichen. Die Webapplikation stellt
aufbereitete Daten über eine Webschnittstelle zur Verfügung.
Die User greifen als Client nur über die bereits erwähnte
Webschnittstelle auf die Applikationen zu um mit Ihren Daten
zu arbeiten.

Wichtige Anforderungen sind:

  • Eine sichere und verschlüsselte Verbindung muss
    mindestens bei dem externen User Zugriff gewährleistet sein.
    Intern sollen die User über ein Single Sign On direkt an der
    Webapplikation angemeldet werden. Die externe Anmeldung ist
    noch nicht definiert. Hier erwartet der Interessent auch 1 – 2
    Vorschläge von Ihnen wie eine Integration der externen User
    erfolgen kann.
  • Eine Ausfallsicherheit der Systeme soll ab der
    ersten Projektphase gewährleistet sein.
  • Webserver und Applikationsserver werden bei dem
    Interessenten immer auf getrennten Maschinen installiert. Dies
    ist bei der Ressourcen Planung zu berücksichtigen.
  • Die Software soll 64 Bit fähig sein. Erläutern Sie
    dem Interessenten hier bitte auch kurz die wesentlichen
    Unterschiede zwischen einer 32 und 64 Bit Applikation.

Als mögliche Betriebssysteme kommen Windows Server 2003 oder
2008 in Frage.

Bitte stellen Sie zwei mögliche Szenarien vor. Das erste
Szenario aus Sicht von möglichst niedrigen Kosten. Das zweite
aus Sicht von bestmöglichster Umsetzung der erwähnten
Anforderung._

Mein Ansatz bisher für die kostengünstige Lösung:

IIS mit SSL für intern (LAN) und extern (WAN).

Für Intern ist kein SSL erforderlich, macht aber letztendlich keinen grossen Unterschied und kann man wenn man will mit konfigurieren…

Zugriff über
*hier weiß ich noch nicht genau wie, wahrscheinlich ein*
Tunnel vom IIS zum Applikation Server.

Auch hier muss für die Kostengünstige Lösung zwischen APP und WEB keine verschlüsselung sein.

Wenn einer von extern (WAN) kommt dann ist eh zwingend ne SSL Verbindung angesagt. Ebenso die Firewall noch vor dem WEB und APP.

? Die Ausfallsicherheit kann m. E. nur durch Redundanz
erfolgen. Habt ihr da eine bessere Idee? Ich denke das diese
auch virtualisiert werden könnten. Das spart zumindest beim
Einsatz von w2k8 Lizenzen.

Hast Du Dir das Lizenzbedingungen von Microsoft GENAU angeschaut? IMHO bringt bei 2 Maschinen das noch nicht sooo viel. Bedenke auch Lizensierung Prozessorkern vs. Maschine. Bei Quadcore kann das ggf. schon interressant werden…

Mein Ansatz für die zweite Anforderung (bestmöglichster
Umsetzung der erwähnten Anforderung):
Bringt mich zur kostengünstigeren Lösung zurück. Redundante
Server erfordern entsprechende Lizenzen. Aber wie könnte man
denn auch, ohne auf eine gewisse Ausfallsicherheit zu
verzichten, kostengünstige planen?

Wie meinen?
Also: kostengünstig: zwei Server mit je einem Prozessor. Ausfallsicherheit durch redundante netzteile und RAID auf der Plattenseite. Das Backup kann dann je nach bedarf noch auf einem der beiden mitlaufen (suboptimal, aber kostengünstig) oder eben auf einer extra Kiste (Kostenfaktor).

bestmöglich: z.B. Zwei VMWare ESX Umgebungen samt VC. Beide Systeme sind eh von vornherein mit Redundanten netzteilen, Raid, Wartungsverträgen, etc ausgestattet und wenn eine „maschine“ Ausfällt übernimmt der andere ESX Knoten. Backup macht auch der ESX und man kann zusätzlich noch einen backup Server (den man auch virtuell halten kann und der so keine extra Hardwarekosten benötigt) laufen lassen.

Abweichungen je nach Lehrplan möglich :wink:

Gruß
h.

#3

_Als mögliche Betriebssysteme kommen Windows Server 2003 oder
2008 in Frage.

Bitte stellen Sie zwei mögliche Szenarien vor. Das erste
Szenario aus Sicht von möglichst niedrigen Kosten. Das zweite
aus Sicht von bestmöglichster Umsetzung der erwähnten
Anforderung._

Man verkauft die Windows-Lizenzen und baut das mit einem netzwerkfaehigen Betriebssystem, welches es kostenlos gibt. Damit erschlaegt man die Randbedingungen beider Szenarien und kann sich auf eins konzentrieren.

Mein Ansatz bisher für die kostengünstige Lösung:

IIS mit SSL für intern (LAN) und extern (WAN). Zugriff über
*hier weiß ich noch nicht genau wie, wahrscheinlich ein*
Tunnel vom IIS zum Applikation Server.

Apache mit SSL und mod_kerberos.so fuer’s Single-Sign-On, wenn der Kommunikationskanal zwischen Web- und Anwendungsserver geschuetzt werden muss, kann man da ein IPSec-VPN dazwischen machen. Eine VPN-Verbindung zwischen client und Webserver halte ich wegen des SSL fuer ueberfluessig.

? Die Ausfallsicherheit kann m. E. nur durch Redundanz
erfolgen. Habt ihr da eine bessere Idee?

Hier wuerde ich zu zwei voellig unabhaengigen Maschinen greifen, mit redundanten Netzwerkpfaden verbinden und meine Lieblings-HA-Software DRBD und Heartbeat raufwerfen. Dann kann man sich auch billiges Blech ohne RAID oder Schnickschnack nehmen.

Ich denke das diese auch virtualisiert werden könnten. Das spart
zumindest beim Einsatz von w2k8 Lizenzen.

Je nach gewaehlter Virtualisierungsloesung fallen da aber auch nochmal Lizenzkosten an. Wenn ich mich recht entsinne, will VMware fuer alles, was auch nur halbwegs HA kann, richtig Kohle sehen. Xen kenne ich als einzige andere Alternative fuer Profis, und soweit ich weiss, konnten die kostenlosen Sachen von denen auch noch nicht so viel in dieser Richtung.

Unterschiede zw. 32 und 64 Bit Applikationen: […]

Sachen, ueber die man seit Jahren nicht mehr nachdenkt.

Just my 2 cents,
Gruss vom Frank.

#4

Hi Frank,

leider komme ich um den Einsatz in der WinWelt nicht drum herum. Als einziges bestünde die Möglichkeit, den Apache vorzuschnallen. Somit kann man die Ausfallsicherheit des WebServers eingrenzen bzw. bestmöglich abfangen.

Dennoch: Da ASPX benötigt wird und ich aktuell nicht gut genug weiß, wie gut der Indianer ASPX kann, wird noch immer ein IIS benötigt.

Grüße, olli

#5

Hi,

Mein Ansatz bisher für die kostengünstige Lösung:

IIS mit SSL für intern (LAN) und extern (WAN).

Für Intern ist kein SSL erforderlich, macht aber letztendlich
keinen grossen Unterschied und kann man wenn man will mit
konfigurieren…

Wie kann ich denn sauber diese Anfragen trennen? Sehe ich es richtig, dass ich für SSL und den normalen Zugriff jeweils eine separate „Webseite“ zur Verfügung stellen muss oder kann man das irgendwie galant und sauber umleiten?

Zugriff über
*hier weiß ich noch nicht genau wie, wahrscheinlich ein*
Tunnel vom IIS zum Applikation Server.

Auch hier muss für die Kostengünstige Lösung zwischen APP und
WEB keine verschlüsselung sein.

Der Tunnel ist bei dieser Software die einzigste Möglichkeit zw. getrennten Maschninen Daten auszutauschen. Das Problem ist hier die Performance, da die Software mit einem eigenen Protokoll arbeitet und hin und her übersetzt werden muss.

Hast du zufällig eine Ahnung ob man evtl. durch einen eigenen Application Pool hierfür missbrauchen kann? Da habe ich nicht genügend Erfahrungen. Da ich mein Konzept morgen präsentieren darf, fehlt mir auch etwas die Zeit um prakitsche Erfahrungen zu sammeln.

Wenn einer von extern (WAN) kommt dann ist eh zwingend ne SSL
Verbindung angesagt. Ebenso die Firewall noch vor dem WEB und
APP.

? Die Ausfallsicherheit kann m. E. nur durch Redundanz
erfolgen. Habt ihr da eine bessere Idee? Ich denke das diese
auch virtualisiert werden könnten. Das spart zumindest beim
Einsatz von w2k8 Lizenzen.

Hast Du Dir das Lizenzbedingungen von Microsoft GENAU
angeschaut? IMHO bringt bei 2 Maschinen das noch nicht sooo
viel. Bedenke auch Lizensierung Prozessorkern vs. Maschine.
Bei Quadcore kann das ggf. schon interressant werden…

Nein. Ganz ehrlich, wer sieht denn da durch? Soweit zu lesen ist, erwirbt man mit einer Enterprise Lizenz vier mal die Möglichkeit diese Lic zu virtualisieren.

Mein Ansatz für die zweite Anforderung (bestmöglichster
Umsetzung der erwähnten Anforderung):
Bringt mich zur kostengünstigeren Lösung zurück. Redundante
Server erfordern entsprechende Lizenzen. Aber wie könnte man
denn auch, ohne auf eine gewisse Ausfallsicherheit zu
verzichten, kostengünstige planen?

Wie meinen?
Also: kostengünstig: zwei Server mit je einem Prozessor.
Ausfallsicherheit durch redundante netzteile und RAID auf der
Plattenseite. Das Backup kann dann je nach bedarf noch auf
einem der beiden mitlaufen (suboptimal, aber kostengünstig)
oder eben auf einer extra Kiste (Kostenfaktor).

bestmöglich: z.B. Zwei VMWare ESX Umgebungen samt VC. Beide
Systeme sind eh von vornherein mit Redundanten netzteilen,
Raid, Wartungsverträgen, etc ausgestattet und wenn eine
„maschine“ Ausfällt übernimmt der andere ESX Knoten. Backup
macht auch der ESX und man kann zusätzlich noch einen backup
Server (den man auch virtuell halten kann und der so keine
extra Hardwarekosten benötigt) laufen lassen.

Das setzt voraus das man schon mit ESX arbeitet und eine entsprechende Infrastruktur hat.

Dank dir für den HirnSchmalz,

olli

#6

Hi,

Mein Ansatz bisher für die kostengünstige Lösung:

IIS mit SSL für intern (LAN) und extern (WAN).

Für Intern ist kein SSL erforderlich, macht aber letztendlich
keinen grossen Unterschied und kann man wenn man will mit
konfigurieren…

Wie kann ich denn sauber diese Anfragen trennen? Sehe ich es
richtig, dass ich für SSL und den normalen Zugriff jeweils
eine separate „Webseite“ zur Verfügung stellen muss oder kann
man das irgendwie galant und sauber umleiten?

also die „Trennung“ geht z.B. über die benutzerverwaltung. Du kannst das aber auch wie gesagt über Zertifikate machen. Wie es der Aufwand beliebt :wink:

Zugriff über
*hier weiß ich noch nicht genau wie, wahrscheinlich ein*
Tunnel vom IIS zum Applikation Server.

Auch hier muss für die Kostengünstige Lösung zwischen APP und
WEB keine verschlüsselung sein.

Der Tunnel ist bei dieser Software die einzigste Möglichkeit
zw. getrennten Maschninen Daten auszutauschen. Das Problem ist
hier die Performance, da die Software mit einem eigenen
Protokoll arbeitet und hin und her übersetzt werden muss.

Hast du zufällig eine Ahnung ob man evtl. durch einen eigenen
Application Pool hierfür missbrauchen kann?

Meine Glaskugel weiss nicht was Du für eine Software meinst also kann ich auch keine Lösung anbieten.
In einer realen Welt mit zwei Anforderungsprofilen würde man aber auch zwei Szenarien aufbauen und dem Kunden ggf. sogar mehr Lösungsanätze bieten. Verschlüsselung zwischen den Servern beinhaltet dann auch eine Anmeldesicherheit und verschlüsselte Platten. DA ist dann Performance eh nochmal eine andere Sache.

bestmöglich: z.B. Zwei VMWare ESX Umgebungen samt VC. Beide
Systeme sind eh von vornherein mit Redundanten netzteilen,
Raid, Wartungsverträgen, etc ausgestattet und wenn eine
„maschine“ Ausfällt übernimmt der andere ESX Knoten. Backup
macht auch der ESX und man kann zusätzlich noch einen backup
Server (den man auch virtuell halten kann und der so keine
extra Hardwarekosten benötigt) laufen lassen.

Das setzt voraus das man schon mit ESX arbeitet und eine
entsprechende Infrastruktur hat.

Nicht unbedingt. Virtualisierung kann man auch hervorragend in bereits bestehende Strukturen einbauen und den rest dann z.B. mit P2V nach und nach virtualisieren oder die Kisten weiter nebenher arbeiten lassen bis die Wartung, etc. ausgelaufen ist.

Nur wenn man etwas Neu aufbaut sollte man hier ggf. überlegen ob es auf Dauer nicht effizienter ist zu virtualisieren. Hängt vom Szenario ab, ganz klar.

Gruß
h.

1 Like
#7

Moin,

Wie kann ich denn sauber diese Anfragen trennen? Sehe ich es
richtig, dass ich für SSL und den normalen Zugriff jeweils
eine separate „Webseite“ zur Verfügung stellen muss oder kann
man das irgendwie galant und sauber umleiten?

also die „Trennung“ geht z.B. über die benutzerverwaltung. Du
kannst das aber auch wie gesagt über Zertifikate machen. Wie
es der Aufwand beliebt :wink:

Erzähl mir mehr …
Bisher kenne ich nur den einfachen Weg über ein SSL Zertifikat, das ich - wo auch immer her - habe und dem Webserver beibringe damit zu arbeiten.
Was meinst du mit „über die Benutzerverwaltung“?

Dank & Grüße, olli