anmelden
DE   FR   IT  
Start » Organisation » Wartungsarbeiten
Wartungsarbeiten
  • Öffentlich
  • Mitarbeitende VeKa
  • VT VeKa-Betrieb
  • VT ZMV
  • Kontaktpersonen Abfragedienste Leistungserbringer
  • Kontaktperson P.ONE VeKa
  • Kontaktperson P.ONE Sonstige
  • FTP-Kontaktpersonen
Technische Hilfestellung zum Wartungsfenster am 20. Oktober 2018

Weitere Ankündigungen von Wartungsfenster finden Sie unter: https://www.sasis.ch/de/eintrag/11142

Bitte lesen Sie die nachfolgenden Informationen sorgfältig durch und leiten Sie die Informationen Ihrer IT-Ansprechperson weiter. Diese sollen Ihnen bei der anstehenden Umstellung helfen, die korrekten Anpassungen vorzunehmen.

Für die angekündigte Umstellung am 20. Oktober 2018 haben wir per sofort ein Testsystem bereitgestellt, gegen welches Sie Ihre Umstellungen im Voraus testen können. Wir bitten Sie zu beachten, dass die neue Verbindung SNI unterstützen muss. Es ist möglich, dass ältere Proxys in Ihrem Netzwerk diese Erweiterung nicht unterstützen und zuerst ein Update benötigen. Wir bitten Sie daher dringend, Ihre Anpassungen möglichst bis zum Donnerstag, 18. Oktober 2018 zu testen und umgehend mit uns Kontakt aufzunehmen, sofern Sie keine erfolgreiche Verbindung herstellen können. Hinweise zur SNI-Unterstützung finden Sie untenstehend.

Wir bitten Sie zudem zu beachten, dass die Testumgebung einen leicht älteren Stand der Live-Daten repräsentiert. Das System kann entsprechend nur zu Testzwecken verwendet werden und untersteht den gleichen Datenschutzregelungen, welche für Sie auch auf dem Live-System gelten.

Zugriff Testsystem - Host-File-Eintrag
Bitte beachten Sie, dass Sie die Verbindung auf die neue Umgebung bereits wie beschrieben im Voraus testen können. Damit Sie auf die neue Umgebung gelangen, erstellen Sie bitte einen entsprechenden Host-File-Eintrag mit der neuen IP-Adresse. Die neue IP-Adresse finden Sie in der Ankündigung des Wartungsfensters, siehe Link zuoberst auf dieser Seite. Um sicherzustellen, dass Sie sich auf der Testumgebung befinden, können Sie https://www.vvk-online.ch aufrufen und prüfen, ob Sie einen roten Balken auf Höhe des SASIS AG-Logos sehen. Ist dies der Fall, greifen Sie erfolgreich auf die Testumgebung zu.

SNI - Server Name Indication - Denken Sie an Ihren Proxy
Seit über zehn Jahren ist SNI ein Standard im Netzwerkverkehr, welcher nun auch bei der SASIS AG eingeführt wird. Viele Browser unterstützen dies bereits seit 2006. Anders als bei Browsern ist dies bei Proxys oft nicht standardmässig eingerichtet. Bitte richten Sie Ihren Proxy entsprechend ein. Teilweise müssen Sie Ihre Proxy-Software zuerst updaten, damit diese Konfigurationsmöglichkeiten zur Verfügung stehen.

Bekannte Proxys, die upgedatet werden müssen, damit Sie danach die Konfiguration durchführen können:
true-Tunnel ab Version 1.4.0 wird SNI unterstützt (Hersteller: Firma keyon)

HTTP-Header muss korrekten Hostname beinhalten
Bitte stellen Sie sicher, dass der Hostname korrekt durchgereicht wird. Eine Anpassung des Proxys alleine löst dies meist nicht. Oft werden in ERP's, wie zum Beispiel SAP BI, ein Proxy verwendet, welcher mit localhost angesprochen wird. Dies reicht der Proxy dann an unsere Umgebung weiter im HTTP-Request. Unsere Schutzmechanismen schätzen dies neu als Angriff ein und blockieren den Request dementsprechend. Hier können Sie zum Beispiel einen Host-File-Eintrag erstellen für die Hostnamen, die auf die IP des Proxys zeigen und den Hostnamen in der Konfiguration des ERP's anpassen.

Weitere Informationen: In TLS negotiations, the client sends the host name twice: once before the SSL connection is established in the SNI (Server Name Indication) and once after in the actual HTTP request. If the server names mismatch, this would indicate a broken client and can be indicated as an attack.

SFTP-Server - Hilfestellung bei Verbindungsproblemen
Bitte beachten Sie, dass in unserer neuen Umgebung erhöhte Sicherheitsstandards wie Ciphers oder MACs eingehalten werden. Dies kann dazu führen, dass Sie ältere SFTP-Clients updaten müssen, bevor sich diese erfolgreich mit unserem SFTP-Server verbinden können. Sollte Sie keine Verbindung herstellen können, laden Sie bitte den neusten FileZilla-Client herunter und versuchen Sie über diesen eine Vebrindung herzustellen. Sollte dies weiterhin nicht funktionieren, stellen Sie bitte sicher, dass eine Entsprechende Firewall-Regel besteht. Sollte die Verbindung mit dem neusten FileZilla-Client funktionieren, liegt das Verbindungsproblem bei Ihrem SFTP-Client den Sie standardmässig verwenden. Bitte wenden Sie sich in diesem Fall an den Hersteller des SFTP-Clients. Unsere Tests haben gezeigt, dass ältere Versionen von SFTP-Clients, zum Beispiel FileZilla (getestet mit einer Version aus dem Jahre 2014), keine Verbindung herstellen können, aufgrund der erhöhten Sicherheitsstandards.

Ebenfalls die weit verbreitete SFTP-Library edtFTPnet/PRO der Firma EnterpriseDT kann erst ab Version 9.2.2 (in unseren Tests) eine erfolgreiche Verbindung herstellen.

SFTP-Server - Public Key Authentifizierung
Die aktuellen Public Keys werden bewusst nicht automatisch übernommen. Sollten Sie auf der neuen Umgebung ebenfalls die Public Key Authentifizierungsmethodik verwenden wollen, wenden Sie sich bitte mit dem Public Key und Ihrem SFTP-Benutzer an support@sasis.ch.

Weitere Fragen
Für weitere Fragen und Unterstützung bei der Umstellung stehen wir Ihnen gerne via support@sasis.ch zur Verfügung.