DELECO Proxy

 Top  Previous  Next

Hinweis: Wenn Sie den DELECO Proxy benötigen, wenden Sie sich bitte an den DELECO-Support oder Ihren DELECO-Projektleiter.

 

Der DELECO Proxy ist eine eigenständige Anwendung, welche die Funktionen des DELECO ERP Servers sicher über das Internet zur Verfügung stellt. Mit seiner Hilfe können DELECO App und DELECO Weboberfläche von unterwegs ohne zusätzliche Hilfsmittel, wie VPN, verwendet werden. Der DELECO Proxy kann sowohl unter Windows als auch unter Linux verwendet werden.

 

 

Technische Grundlagen

Der DELECO Proxy dient als Mittler zwischen mobilen Endgeräten und dem DELECO ERP Server. Sämtliche Kommunikation mit einer mobilen Anwendung läuft ausschließlich über den DELECO Proxy. Technisch betrachtet ist der DELECO Proxy ein Reverse Proxy.

 

Die Einbindung des DELECO Proxy in das Unternehmensnetzwerk sollte wie folgt aussehen:

 

ADMIN_DELECOProxy_Netzwerkplan

Abb.: Netzwerkplan

 

 

Der DELECO ERP Server befindet sich im geschützten, von außen nicht erreichbaren Intranet. Innerhalb des Intranet ist keine Verschlüsselung notwendig. Die Client-Anwendungen können deshalb direkt mit dem DELECO ERP Server kommunizieren. Der DELECO Proxy dagegen befindet sich innerhalb der DMZ (demilitarisierte Zone). Er ist somit über das Internet erreichbar und auch angreifbar. Die mobilen Endgeräte kommunizieren direkt mit dem DELECO Proxy. Die Firewalls müssen so konfiguriert werden, dass Daten nur über den DELECO Proxy an den DELECO ERP Server geschickt werden können. Aus Sicht der DELECO App oder der DELECO Weboberfläche spielt es dabei keine Rolle, ob diese sich direkt mit DELECO ERP Server verbinden oder indirekt über den DELECO Proxy zugreifen.

 

 

Der DELECO Proxy übernimmt folgende Aufgaben:

Er stellt einen verschlüsselten Kanal (HTTPS/SSL) zwischen den mobilen Anwendungen und dem DELECO ERP Server bereit.

Er stellt sicher, dass nur explizit freigeschaltete Nutzer sich über das Internet am DELECO ERP Server anmelden können.

Er blockiert nicht autorisierte Anfragen von unbekannten Client-Anwendungen.

Er speichert temporär Anfragen, um den DELECO ERP Server nicht unnötig zu belasten.

Er schreibt folgende Informationen aller Anfragen in Log-Dateien: Uhrzeit, IP-Adresse, Art der Anfrage (jedoch keinen Inhalt).

Er hält keinerlei sicherheitsrelevante Daten im Hauptspeicher.

Er benötigt nur eingeschränkte Nutzerrechte.

 

 

Installation Windows

Folgende Voraussetzungen sind für die Einrichtung des DELECO Proxy notwendig:

Dedizierter Rechner / VM, welcher sich innerhalb der DMZ befindet

Installierter DELECO Proxy Dienst bzw. Daemon

Signiertes, gültiges SSL-Zertifikat im pfx-Format, mindestens SHA265-basiert

 

1. Runtimes installieren

https://dotnet.microsoft.com/en-us/download/dotnet/8.0/runtime

ASP.NET Core Hosting Bundle installieren

Hinweis: Da die Anwendung über das Internet zugänglich ist, sollten sicherheitskritische Updates der Runtimes zeitnah installiert werden, um potenzielle Risiken zu minimieren.

 

2. Als Dienst einrichten

Proxy nach C:\Programme\DELTA BARTH Systemhaus\DELECO\DELECO Proxy kopieren

Scripts\install_service mit Adminrechten ausführen

In die Dienste gehen -> DELECO Proxy -> Eigenschaften

Tab Anmelden: den lokalen Nutzer ohne Adminrechte auswählen (Bsp.: “delecoproxy”)

Starttyp: Automatisch (Verzögerter Start)

 

3. Erinnerung einrichten zur Erneuerung des Zertifikats

Bitte beachten Sie, dass Zertifikatsdateien nur eine zeitlich begrenzte Gültigkeit besitzen. Richten Sie sich eine Erinnerung ein um das Zertifikat rechtzeitig zu erneuern. Nach Ablauf des Zertifikats ist die Benutzung der App außerhalb des Firmennetzwerkes nicht mehr möglich.

 

Konfiguration

Die Basiseinstellungen werden über die Konfigurationsdatei "appsettings.json" vorgenommen. Diese Datei befindet sich im Hauptverzeichnis des DELECO Proxy.

Folgende Einstellung können vorgenommen werden:

 

Einstellung

Beschreibung

Kestrel:Endpoints:Http:Url

Port, an welchem der DELECO Proxy Anfragen entgegen nimmt.

Standardmäßig wird der Port "443" (Standard SSL-Port) verwendet.

 

Kestrel:Endpoints:Http:Certificate

Angabe des SSL-Zertifikates

 

DelecoServer

URL des DELECO ERP Servers

Standardmäßig wird die URL "http://delecoserver:9180" verwendet.

 

 

 

Es gibt verschiedene Möglichkeiten den DELECO Proxy mit einem SSL-Zertifikat zu verwenden. Für Windows-Systeme bietet es sich an, das Zertifikat in den Windows Zertifikatsmanager zu hinterlegen und dies direkt zu verwenden. Eine Beispiel-Konfiguration dafür sieht wie folgt aus:

 

{

 “Kestrel”: {

   “Endpoints”: {

     “Https”: {

       “Url”: “https://delecodemo.delta-barth.de”,

       “Certificate”: {

         “Subject”: “delecodemo.delta-barth.de”,

         “Store”: “My”,

         “Location”: “LocalMachine”

       }

     }

   }

 },

 “DelecoServer”: {

   “Url”: “http://localhost:9180”

 }

}

 

Wietere Konfigurationsmöglichkeiten sind unter folgendem Link zu finden: https://docs.microsoft.com/de-de/aspnet/core/fundamentals/servers/kestrel/endpoints?view=aspnetcore-6.0

 

 

Fragen und Antworten

Frage: Der Proxy wurde gestartet, jedoch kann keine Verbindung mittels HTTPS aufgebaut werden.

Antwort: Stellen Sie sicher, dass das SSL-Zertifikat im Zertifikatspeicher von Windows hinterlegt ist und der Proxy mit dem Zertifikat verbunden ist.

 

Frage: Der Proxy wurde erfolgreich eingerichtet und kann über die Weboberfläche erreicht werden. Jedoch bekommt die DELECO App keine Verbindung.

Antwort: Stellen Sie sicher, dass das SSL-Zertifikat (mindestens SHA265-basiert) von einer offiziellen Zertifizierungsstelle ausgestellt wurde und gültig ist. Selbstsignierte Zertifikate müssen unter Android und iOS manuell eingerichtet werden (siehe Einrichten einer SSL-Verschlüsselung).

 

Frage: Innerhalb des Intranets kann sich ein DELECO Nutzer problemlos anmelden. Von außen über das Internet kommt jedoch die Fehlermeldung: "Nutzer oder Passwort falsch.".

Antwort: Der Nutzer muss im DELECO für die externe Anmeldung zunächst freigeschaltet werden. Öffnen Sie den Nutzer im Modul "Nutzer" im DELECO ERP Client und aktivieren Sie die Einstellung "Externe Anmeldung erlauben". Danach kann es maximal eine Minute dauern, bis die Freischaltung im DELECO Proxy erfolgt ist.

 

Frage: Können Daten der mobilen Endgeräte und dem DELECO Proxy von Dritten mitgelesen werden?

Antwort: Die gesamte Kommunikation zwischen den mobilen Endgeräten und dem DELECO Proxy findet in verschlüsselter Form (nach SSL Standard) statt.

 

Frage: Kann ein Angreifer per Brute-Force-Angriff das Passwort eines Nutzers ermitteln?

Antwort: Ein Nutzer wird nach 10 erfolglosen Anmeldeversuchen in DELECO gesperrt. Dabei wird ein entsprechender Eintrag in das Tagesprotokoll geschrieben. Der betroffene Nutzer muss daraufhin manuell vom Systemadministrator im Modul "Nutzer" entsperrt werden.

 

Nähere Informationen zur Nutzerverwaltung in DELECO befinden sich im DELECO Benutzerhandbuch.