ESUKOM Best Practice Report
ESUKOM Best Practice Report
ESUKOM Best Practice Report
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Bericht AP5: „<strong>Best</strong>-Practise“-<br />
Dokument<br />
4. Mit den Smartphone eine Verbindung mit dem externen Netz über den Access<br />
Point „Public“ aufbauen<br />
5. Über den NCP VPN-Client für Android eine Verbindung mit dem internen Netz<br />
aufbauen. Folgende Profile sind bereits vorhanden und können zum<br />
Verbindungsaufbau benutzt werden:<br />
• IPsec: ipsec1/ipsec1 – ipsec5/ipsec5<br />
• L2TP: l2tp1/l2tp1 – l2tp5/l2tp5<br />
6. Nachdem die Verbindung erfolgreich zustande gekommen ist, werden die<br />
Metadaten der Verbindung durch den VPN-IF-MAP-Client veröffentlicht.<br />
7. Mit den Webbrowser des Smartphones eine Verbindung zum Patientendienst<br />
aufbauen (siehe Abschnitt 4.2.2)<br />
8. Sobald die Verbindung durch den iptables-IF-MAP-Client erkannt wurde, wird von<br />
diesem eine Suchabfrage auf die für den Zugriff benötigten Privilegien<br />
durchgeführt (die durch den VPN-IF-MAP-Client publizierten Capability-Metadaten<br />
mit den Wert „Arzt“). Sollten diese vorhanden sein, wird der Zugriff durch das<br />
automatische Einfügen einer iptables-Regel durch den iptables-IF-MAP-Client<br />
erlaubt.<br />
4.3.2 Anwendungsfall 2<br />
<strong>Best</strong>andteil des zweiten Anwendungsfalls ist der Zugriff auf sensible Daten in<br />
Abhängigkeit des aktuellen Standorts des Benutzers bzw. des mobilen Endgerätes<br />
(Kernanforderung „Location Based Services“). Konkret geht es darum, dass der Zugriff<br />
auf die sensiblen Daten nur gestattet wird, wenn dieser von einem bestimmten WLAN-<br />
Access-Point aus erfolgt (Access-Point innerhalb der Patientenräume). Sollte der Zugriff<br />
von einem anderen Access-Point aus erfolgen, wird dieses von der Detection Engine als<br />
Regelbruch erkannt und ein Enforcement des jeweiligen Endgerätes eingeleitet. Die<br />
folgenden Komponenten sind zur Umsetzung dieses Anwendungsfalls erforderlich:<br />
MAP-Server (irond)<br />
Detection Engine (irondetect)<br />
Android-Smartphone mit installierten Android-IF-MAP-Client<br />
macmon mit IF-MAP-Erweiterung<br />
Patient-Data-Service<br />
iptables-IF-MAP-Client (Enforcement-Komponente)<br />
Folgende Schritte sind zum Testen des Anwendungsfalls erforderlich:<br />
1. MAP-Server starten<br />
2. Standart-Metadaten per Skript veröffentlichen<br />
3. Detection Engine mit Hilfe des Start-Skripts ausführen. Hierbei ist darauf zu<br />
achten, dass die für den Anwendungsfall richtige Policy aktiviert ist (siehe<br />
Abschnitt 4.2.2). Nach dem Starten öffnet sich die grafische Benutzeroberfläche,<br />
in welche später die erkannten Ereignisse angezeigt werden.<br />
Copyright <strong>ESUKOM</strong>-Konsortium 2010-2012 Seite 20