Netzwerkschutz — Hinweise für Administratoren

Client-Zugriff

Allgemein

Um unsere web­basierten Desk­top-Anwen­dun­gen zu nutzen, müssen ein Brows­er und sell­yApps auf dem Client-Sys­tem instal­liert bzw. vorhan­den sein. Weit­ere Infor­ma­tio­nen dazu find­en Sie z.B. hier: sell­yApps-Admin­is­tra­tor-Infor­ma­tio­nen.

Unsere Web­seit­en benutzen zur Ein­stiegs-Nav­i­ga­tion Javascript. Für unsere Anwen­dun­gen benöti­gen Clients die Ver­wen­dungs- und Aus­führungsmöglichkeit von Java-Servlets.

Bitte ver­wen­den Sie Clients, die TLS mit Serv­er-Name-Indi­ca­tion (SNI) zur Trans­portver­schlüs­selung unter­stützen. Win­dows XP, ältere Brows­er und Java 1.6 unter­stützen kein SNI, daher kann es hier zu Prob­le­men kom­men. Bitte beacht­en Sie auch den Abschnitt “Web­serv­er Trans­portver­schlüs­selung”.

Nutzung eines Proxy-Servers

Wenn Sie in Ihrem Net­zw­erk einen Proxy-Serv­er für den Inter­net­zu­griff ein­set­zen, muss dieser an zwei Stellen kon­fig­uri­ert wer­den:

  1. Brows­er: Für den Aufruf von “Meine Start­seite”
  2. sell­yApps: Für den Down­load der aktuellen Kon­fig­u­ra­tions­dateien und Applets zum Start mit dem inte­gri­ertem Java

Die Proxy-Ein­stel­lun­gen für sell­yApps find­en Sie hier: sell­yApps-Proxy-Ein­stel­lun­gen.

Lokaler Malware-Schutz/lokale Firewall

Wird auf dem Client eine Schut­zlö­sung einge­set­zt (Anti-Virus/­Fire­wal­l/An­ti-Mal­ware), muss diese die Aus­führung von sell­yApps und Java/­Ja­va-Applets zulassen.

Kon­fig­u­ra­tionsh­in­weise für den benötigten Inter­net­zu­griff find­en Sie im Abschnitt Fire­wall- und Proxy-Kon­fig­u­ra­tion.

Java-Browser-Plugin

Ein Java-Brows­er-Plu­g­in wird mit der Ver­wen­dung von sell­yApps nicht mehr benötigt und bedarf kein­er weit­eren Ein­stel­lun­gen oder Aktivierung­sprozesse.

Firewall- und Proxy-Konfiguration

Java-Servlets

Clients benöti­gen die Ver­wen­dungs- und Aus­führungsmöglichkeit von Java-Servlets, wobei Verbindun­gen zu Port 80 und 443 möglich sein müssen. Für eine störungs­freie Nutzung der Anwen­dun­gen sollte die Datenüber­tra­gung des Octet-Streams nicht durch Fire­wall­s/Proxy-Serv­er aus­ge­bremst, verän­dert oder ver­hin­dert wer­den. Dies bet­rifft auch etwaige Fehler­mel­dun­gen von Proxy-Servern.

Weit­ere Hin­weise zu diesem The­ma find­en Sie nach­fol­gend unter Mime-Typen. Infor­ma­tio­nen zu https und unseren IP-Adressen sind weit­er unten aufge­führt.

Mime-Typen und Datenübertragung

Als MIME-Typen müssen neben den üblichen text/html; text/css und image/gif; image/jpeg; Image/png; application/pdf; Microsoft Word (u.a.: application/msword); Microsoft Excel (u.a.: application/vnd.msexcel) auch fol­gende zuge­lassen wer­den:

  • .cab=application/octet-stream
  • .class=application/x‑java-applet
  • .js=application/x‑javascript
  • .jar=application/java-archive
  • .java=application/octet-stream

Wichtig: Die mit­tels GZIP oder DEFLATE kom­prim­ierten Dat­en dür­fen durch ver­wen­dete Fire­walls und Proxy-Serv­er nicht verän­dert wer­den.

Code-Signatur (Zertifikat)

Unsere Java-Applet/Servlet-Dateien (*.jar) sind sig­niert, um den Code vor Manip­u­la­tion zu schützen. Die öffentlichen Zer­ti­fikatsin­fos für das aktuell gültige Zer­ti­fikat kön­nen Sie als Base64-codierte Datei hier herun­ter­laden, um dieses und die Zer­ti­fikats­kette ggf. in Fire­wall­pro­duk­ten zu hin­ter­legen.

Webserver Transportverschlüsselung (mit Zertifikat)

Der Großteil unser­er Web­serv­er bietet https-Trans­portver­schlüs­selung über Port 443 mit SHA256-Zer­ti­fikat­en an. Dabei unter­stützen unsere Serv­er die TLS Ver­sio­nen 1.0, 1.1 und 1.2. SSL wird jedoch aus Sicher­heits­grün­den nicht ange­boten. In unserem Code ver­wen­den wir nach Möglichkeit entsprechende URLs mit https.

Bitte ver­wen­den Sie Clients, die Serv­er-Name-Indi­ca­tion (SNI) unter­stützen, da unter ein­er IP-Adresse auch mehrere Hosts erre­ich­bar sein kön­nen. Win­dows XP und Java 1.6 unter­stützen kein SNI!

Die öffentlichen Zer­ti­fikatsin­fos für einige Zer­ti­fikate kön­nen Sie als Base64-codierte Dateien hier herun­ter­laden, um diese und die Zer­ti­fikats­kette ggf. in Fire­wall­pro­duk­ten zu hin­ter­legen.

Gültigkeitsprüfung Zertifikate und Zertifizierungsstelle

Bitte beacht­en Sie, dass Brows­er, sell­yApps und Java beim jew­eili­gen Pro­gramm­start eine Über­prü­fung auf Gültigkeit oder Wider­ruf der ver­wen­de­ten Zer­ti­fikate für Trans­portver­schlüs­selung, Code­sig­nierung und Zer­ti­fizierungsstellen durch­führen. Dafür wer­den z.B. fol­gende Domains ver­wen­det:

  • crl.globalsign.com / crl.globalsign.net
  • ocsp2.globalsign.com
  • javadl-esd-secure.oracle.com
  • ctldl.windowsupdate.com

Eine zwis­chengeschal­tete Fire­wall-/Proxy-Lösung sollte die Kom­mu­nika­tion zu diesen Servern ide­al­er­weise ermöglichen. Die Über­prü­fungsmech­a­nis­men (z.B. CRL und OCSP) kön­nen in den jew­eili­gen Pro­gram­men oft auch aktiviert bzw. deak­tiviert wer­den.

Die öffentlichen Zer­ti­fikatsin­fos für einige unser­er Zer­ti­fikate kön­nen Sie als Base64-codierte Dateien hier herun­ter­laden, um diese und die Zer­ti­fikats­kette ggf. in Fire­wall­pro­duk­ten zu hin­ter­legen. Unsere Zer­ti­fikate wer­den grund­sät­zlich von Glob­al­Sign bzw. der “Glob­al­Sign Orga­ni­za­tion Val­i­da­tion CASHA256G2” aus­gestellt.

IP-Adress-Beschränkung

Sie kön­nen die Berech­ti­gun­gen auf unsere IP-Adressen und Domain-Namen beschränken. Dies ist für einzelne Adressen, Domain-Namen oder auch für den gesamten Bere­ich 212.21.67.0/24 möglich. Eine Liste mit aus­gewählten IP-Adressen und Domain­na­men find­en Sie nach­fol­gend.

DNS-Namen und IP-Adressen

Verwendete Webserver

Die angegebe­nen IP-Adressen der jew­eili­gen App­lika­tion müssen für den IP-Daten­verkehr auf Port 80 (http) oder 443 (https) freigegeben bzw. zuge­lassen wer­den. Abhängig vom Typ der einge­set­zen Fire­walls, Gren­zrouter oder Prox­y­serv­er, ggf. auch die Hostnamen/Aliasnamen (als FQDN).

Die Liste ist eine Über­sicht der meistver­wen­de­ten Serv­er und Domain-Namen und daher nicht voll­ständig. Durchgestrich­enen Werte sind gültig, jedoch ver­al­tet und kün­ftig nicht mehr in Gebrauch.

Prinzip­iell nutzen wir feste IP-Adressen, keine dynamisch wech­sel­nden. Diese Liste wird um weit­ere IP-Adressen ergänzt oder entsprechend kor­rigiert, sobald diese bekan­nt sind.

 *.selly.biz
www 212.21.67.188
home 212.21.67.68
redi­rect 212.21.67.199
hil­fe 212.21.67.200
sta­tus 52.233.195.212
87.225.250.70
87.225.252.82
212.21.67.137
Grund­sät­zlich wird eine der links­ge­nan­nten IP-Adressen ver­wen­det. Die tat­säch­lich ver­wen­dete IP-Adresse kann sich kurzfristig ändern, da wir für dieses Web auf mehrere externe Anbi­eter zurück­greifen.
 *.sellyorder.de
www 212.21.67.195 umgeleit­et auf www.selly.biz
home, m 212.21.67.68
apps
212.21.67.69
srv4 212.21.67.34
srv1, srv2, srv3 212.21.67.34 Alias­na­men wg. Kom­pat­i­bil­ität
srv9 212.21.67.33 Alias für srv3.sellyconnect.de (nur sel­l­y­con­nect)
pdb 212.21.67.41 Alias für srv1.prins24.de (nur Pro­duk­t­daten­bank)
 *.sellydispo.de
www 212.21.67.197 umgeleit­et auf www.selly.biz
srv4 212.21.67.36
srv1, srv2, srv3 212.21.67.36 Alias­na­men, wg. Kom­pat­i­bil­ität
 *.sellyconnect.de
www 212.21.67.199 umgeleit­et auf www.selly.biz/
srv3 212.21.67.33
 *.sellymenue.de
www 212.21.67.196 umgeleit­et auf www.selly.biz
home 212.21.67.68   
srv4 212.21.67.38
srv1, srv2, srv3 212.21.67.38 Alias­na­men wg. Kom­pat­i­bil­ität
 *.sellyexpress.de
www 212.21.67.199 umgeleit­et auf www.selly.biz
srv3 212.21.67.37
 *.sellyreport.de
www 212.21.67.199 umgeleit­et auf www.selly.biz
home 212.21.67.68   
srv7 212.21.67.35
srv8 212.21.67.35 Alias­na­men, wg. Kom­pat­i­bil­ität
 *.sellyoffline.de
www 212.21.67.199  umgeleit­et auf www.selly.biz
srv7 212.21.67.39
srv8 212.21.67.39 Alias­na­men wg. Kom­pat­i­bil­ität
 *.prins24.de/com gv-prins.de/com
www 212.21.67.199 umgeleit­et auf www.selly.biz
home 212.21.67.68   
srv1 212.21.67.41
s5e1 212.21.67.41 Alias­na­men wg. Kom­pat­i­bil­ität
 *.b2b-selly.de
ws 212.21.67.66 https erforder­lich Zer­ti­fikat ws.b2b-selly.de
wscc 212.21.67.65 https erforder­lich Zer­ti­fikat wscc.b2b-selly.de
 *.sellydirekt.de/sellydirect.de
www 212.21.67.40 für diverse Webs/Applikationen erforder­lich
 *.sellyoffer.de
www 212.21.67.199 umgeleit­et auf www.selly.biz
srv1 212.21.67.42

Verwendete E‑Mail-Server

Bestä­ti­gungs- und/oder Benachrich­ti­gungse­mails wer­den auss­chließlich von fol­gen­den Mailservern unter Benutzung des Absenders reply@[applikation].de versendet:

  • Stan­dard
    • mailout00.sellysystems.de [212.21.67.132]
    • mailout0A.sellysystems.de [212.21.67.133]
    • mailout01.sellysystems.de [212.21.67.19]
    • mailout02.sellysystems.de [212.21.67.20]
    • mailout03.sellysystems.de [212.21.67.27]
    • mailout04.sellysystems.de [212.21.67.28]
  • Fall­back
    • mailout05.sellysystems.de [212.21.67.3]
    • mailout06.sellysystems.de [212.21.67.4]
    • mailout07.sellysystems.de [212.21.67.11]
    • mailout08.sellysystems.de [212.21.67.12]

Weiterführende Hinweise

Erreichbarkeit und Verfügbarkeit

Sie kön­nen die Ver­füg­barkeit unser­er Webange­bote auf status.selly.biz ein­se­hen, hier wer­den auch Wartungsar­beit­en und bekan­nte Störun­gen pro­tokol­liert.

Als Gegen­stück dazu kön­nen Sie die Erre­ich­barkeit der Webange­bote aus­ge­hend vom Client auf unser­er Hil­fe­seite testen.

Benachbarte Seiten: