Gå til hovedinnhold

Brannmuråpninger og bruk av proxy

Teknisk informasjon knyttet til brannmuråpninger og bruk av proxy.

Autentisering gjennom ID-porten vil kreve tilgang fra brukerens webleser til ID-porten samt ID-portens nivå 4 ID leverandører: Buypass, Commfides og BankID.

Beskrevet under er to alternativer hvorved virksomheter skal kunne etablere tilgang til løsningens komponenter.

  • Alternativ 1 beskriver nødvendige portåpninger
  • Alternativ 2 beskriver to variasjoner for bruk av proxy.

Alternativ 1: Konfigurasjon av brannmur og DNS

Dette alternativet krever at nødvendig DNS informasjon er på plass. Tilgang til tjenester på Internett oppnås ved å åpne brannmuråpningene i listen nedenfor:

Oversikt over nødvendige brannmuråpninger.
DNS-navn IP-adresse Port Beskrivelse Nettverk
idporten.difi.no 146.192.252.60 443 ID-porten Internett
oidc.difi.no 146.192.252.54 443 ID-portens OpenID Connect provider Internett
secure.buypass.no 185.62.162.142 443 Buypass ID provider Internett
secure.buypass.no 185.62.160.142 443 Buypass ID provider Internett
app03.commfides.com 91.232.83.41 443 Commfides ID provider Internett
csfe.bankid.no 91.102.25.19 443 BankID ID provider Internett

Alternativ 2: Konfigurasjon og bruk av NHNs sikkerproxy

NHN har en sikkerproxy som gir tilgang til flere nettverkstjenester på internett, bl.a. global DNS, NTP, mm. Den logiske adressen for denne proxy er sikker.proxy.nhn.no:8080 som ved oppslag gir IP adresse 185.84.36.241. Bruk av denne proxy kan gi tilgang til alle komponenter i løsningen, inklusiv ulike internett-tjenester.

Alternativ 2, variasjon A

I denne variasjon må brukerens webleser være konfigurert for å bruke NHNs sikkerproxy. Ved slik bruk av NHNs sikkerproxy bør det ikke være nødvendig med andre konfigurasjoner (f.eks. interne DNS eller nye brannmuråpninger).

Et eksempel på hvordan dette gjøres (manuelt) i Internet Explorer vises i figuren under.

Skjermbilde over proxyinnstillinger

Obs: Det er tenkt at virksomhetens IT enhet kan gjennomføre en automatisk utrulling av denne konfigurasjon til aktuelle weblesere, og det ikke må konfigureres manuelt av brukerne.

Obs: Virksomheter må vurdere om en slik konfigurasjon vil kunne skape forstyrrelser for andre nettverkstrafikk lokalt.

Alternativ 2, variasjon B

Denne variasjonen omhandler styring av utvalgte trafikk via NHNs sikkerproxy, f.eks. trafikk mellom virksomheten og ulike internett-tjenester (ref. tabellen over).

Fremgangsmåten for slik bruk av NHNs sikkerproxy vil kunne variere fra virksomhet til virksomhet, avhengig av virksomhetens IT infrastruktur. Imidlertid kan denne bruk av NHNs sikkerproxy vise seg å være den enkleste måten for virksomheter å opprettholde sikker, kontrollerte styring av sitt nettverkstrafikk.

Webleser som støttes

Det kreves ingen programtillegg til nettleser. Løsningen støtter følgende nettlesere versjoner og nyere:

  • Microsoft Edge 15.14946
  • Chrome 54.0.2840
  • Firefox 51
  • Internett Explorer 11 (vil fases ut).

Det vill være mulig å bruke IE10 men da vil brukeren få en advarsel om at webleser bør oppgraderes. Eldre webleser brukes på egen risiko.

Protokoller

HTTPS protokollen (port 443) brukes mellom klienten og tjenestene brukt av løsningen. Ved lanseringstidspunkt ble TLS 1.2 valgt for kryptering av forbindelsene. Som driftsleverandør vil Norsk Helsenett kontinuerlig vurdere sterkere krypteringsmetoder.