Der Rublon Authentication Proxy muss sich nicht zwingend im gleichen Netzwerk wie Ihr RADIUS- oder LDAP(S)-Server befinden. Dies betrifft beispielsweise FreeRADIUS, Active Directory oder OpenLDAP. Es ist möglich, den Auth Proxy auf einem cloudbasierten Server zu installieren, zum Beispiel auf einer AWS-Instanz außerhalb Ihres internen Netzwerks. Dabei müssen allerdings bestimmte Anforderungen in Bezug auf Netzwerkkonfiguration und Sicherheit beachtet werden.
Wichtig: Der Rublon Authentication Proxy benötigt für eine ordnungsgemäße Kommunikation die folgenden offenen Ports:
RADIUS: UDP Port 1812
LDAP: TCP Port 389
LDAPS: TCP Port 636
core.rublon.net: TCP Port 443
Vergewissern Sie sich, dass keine Firewall oder Netzwerkrichtlinie diese Ports blockiert.
Deployment Optionen für Rublon Authentication Proxy
1. RADIUS-/LDAP(S)-Server und Auth Proxy befinden sich im gleichen privaten Unternehmensnetzwerk
Der Authentication Proxy kann auf demselben System oder auf einem separaten Rechner installiert werden, solange beide sich im gleichen internen Netzwerk befinden. Dadurch bleibt der gesamte Authentifizierungsverkehr innerhalb Ihres geschützten Netzwerks, was die Angriffsfläche reduziert.
2. Ein System befindet sich im Unternehmensnetzwerk, das andere in der Cloud
Es ist auch möglich, den Rublon Authentication Proxy auf einem Server in der Cloud zu betreiben, während der RADIUS- oder LDAP(S)-Server lokal im Unternehmensnetzwerk verbleibt. In diesem Fall muss der Netzwerkzugriff so konfiguriert werden, dass der lokale Server den Auth Proxy über das Internet erreichen kann.
Achten Sie darauf, dass keine Firewall-Regeln die Verbindung blockieren. Da in diesem Szenario Authentifizierungsdaten über öffentliche Netzwerke übertragen werden, ist eine sichere Konfiguration unerlässlich.
Wenn Sie RADIUS verwenden, vermeiden Sie nach Möglichkeit die Nutzung des Protokolls PAP über das Internet. Verwenden Sie stattdessen sicherere Authentifizierungsprotokolle wie EAP-MS-CHAPv2 (indem Sie proxy_requests auf true in der Konfigurationsdatei des Rublon Authentication Proxy setzen) oder implementieren Sie einen VPN-Tunnel, um die Verbindung zwischen dem RADIUS/LDAP(S)-Server und dem Rublon Auth Proxy zu sichern.
3. RADIUS-/LDAP(S)-Server und Auth Proxy befinden sich beide in einer Cloud-Umgebung
In diesem Szenario werden sowohl der RADIUS/LDAP(S)-Server als auch der Rublon Authentication Proxy in einer Cloud-basierten Virtual Private Cloud (VPC) gehostet, wodurch eine sichere, isolierte Netzwerkumgebung entsteht. Anwender verbinden sich mit Ihrem in der Cloud gehosteten Dienst oder VPN, der mit dem Auth Proxy innerhalb der VPC kommuniziert. Der Auth Proxy verbindet sich dann mit dem RADIUS/LDAP(S)-Server, der ebenfalls in der VPC gehostet wird, und stellt sicher, dass der gesamte Authentifizierungsverkehr in einer sicheren Cloud-Umgebung bleibt.
Hilfreiche Links
Muss der Auth Proxy auf einer separaten Maschine oder direkt auf dem VPN-Server installiert werden?
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren