Netzwerkschutz – Hinweise für Administratoren

Client-Zugriff

Allgemein

Um unsere webbasierten Desktop-Anwendungen zu nutzen, müssen Browser, sellyApps und eine aktuelle Java-Runtime auf dem Client-System installiert bzw. vorhanden sein. Weitere Informationen dazu finden Sie z.B. hier: sellyApps-Administrator-Informationen.

Unsere Webseiten benutzen zur Einstiegs-Navigation Javascript. Für unsere Anwendungen benötigen Clients die Verwendungs- und Ausführungsmöglichkeit von Java-Servlets.

Bitte verwenden Sie Clients, die TLS mit Server-Name-Indication (SNI) zur Transportverschlüsselung unterstützen. Windows XP, ältere Browser und Java 1.6 unterstützen kein SNI, daher kann es hier zu Problemen kommen. Bitte beachten Sie auch den Abschnitt „Webserver Transportverschlüsselung“.

Nutzung eines Proxy-Servers

Wenn Sie in Ihrem Netzwerk einen Proxy-Server für den Internetzugriff einsetzen, muss dieser an drei Stellen konfiguriert werden:

  1. Browser: Für den Aufruf von „Meine Startseite“
  2. sellyApps: Für den Download der aktuellen Konfigurationsdateien zur Übergabe an Java-Webstart (jnlp-Dateien)
  3. Java-Runtime: Zur Verwendung der Java-Applets von selly (z.B. sellyorder)

Die Proxy-Einstellungen für Java können über das Java-Control-Panel eingerichtet werden. Die entsprechenden Informationen für sellyApps finden Sie hier: sellyApps-Proxy-Einstellungen.

Lokaler Malware-Schutz/lokale Firewall

Wird auf dem Client eine Schutzlösung eingesetzt (Anti-Virus/Firewall/Anti-Malware), muss diese die Ausführung von sellyApps, Java-Applets und Java-Webstart zulassen.

Konfigurationshinweise für den benötigten Internetzugriff finden Sie im Abschnitt Firewall- und Proxy-Konfiguration.

Java-Browser-Plugin

Das Java-Browser-Plugin wird mit der Verwendung von sellyApps nicht nicht mehr benötigt und bedarf keiner weiteren Einstellungen oder Aktivierungsprozesse.

Firewall- und Proxy-Konfiguration

Java-Servlets

Clients benötigen die Verwendungs- und Ausführungsmöglichkeit von Java-Servlets, wobei Verbindungen zu Port 80 und 443 möglich sein müssen. Für eine störungsfreie Nutzung der Anwendungen sollte die Datenübertragung des Octet-Streams nicht durch Firewalls/Proxy-Server ausgebremst, verändert oder verhindert werden. Dies betrifft auch etwaige Fehlermeldungen von Proxy-Servern.

Weitere Hinweise zu diesem Thema finden Sie nachfolgend unter Mime-Typen. Informationen zu https und unseren IP-Adressen sind weiter unten aufgeführt.

Mime-Typen und Datenübertragung

Als MIME-Typen müssen neben den üblichen text/html; text/css und image/gif; image/jpeg; Image/png; application/pdf; Microsoft Word (u.a.: application/msword); Microsoft Excel (u.a.: application/vnd.msexcel) auch folgende zugelassen werden:

  • .cab=application/octet-stream
  • .class=application/x-java-applet
  • .js=application/x-javascript
  • .jar=application/java-archive
  • .java=application/octet-stream

Wichtig: Die mittels GZIP oder DEFLATE komprimierten Daten dürfen durch verwendete Firewalls und Proxy-Server nicht verändert werden.

Code-Signatur (Zertifikat)

Unsere Java-Applet/Servlet-Dateien (*.jar) sind signiert, um den Code vor Manipulation zu schützen. Die öffentlichen Zertifikatsinfos für das aktuell gültige Zertifikat können Sie als Base64-codierte Datei hier herunterladen, um dieses und die Zertifikatskette ggf. in Firewallprodukten zu hinterlegen.

Webserver Transportverschlüsselung (mit Zertifikat)

Der Großteil unserer Webserver bietet https-Transportverschlüsselung über Port 443 mit SHA256-Zertifikaten an. Dabei unterstützen unsere Server die TLS Versionen 1.0, 1.1 und 1.2. SSL wird jedoch aus Sicherheitsgründen nicht angeboten. In unserem Code verwenden wir nach Möglichkeit entsprechende URLs mit https.

Bitte verwenden Sie Clients, die Server-Name-Indication (SNI) unterstützen, da unter einer IP-Adresse auch mehrere Hosts erreichbar sein können. Windows XP und Java 1.6 unterstützen kein SNI!

Die öffentlichen Zertifikatsinfos für einige Zertifikate können Sie als Base64-codierte Dateien hier herunterladen, um diese und die Zertifikatskette ggf. in Firewallprodukten zu hinterlegen.

Gültigkeitsprüfung Zertifikate und Zertifizierungsstelle

Bitte beachten Sie, dass Browser, sellyApps und Java beim jeweiligen Programmstart eine Überprüfung auf Gültigkeit oder Widerruf der verwendeten Zertifikate für Transportverschlüsselung, Codesignierung und Zertifizierungsstellen durchführen. Dafür werden z.B. folgende Domains verwendet:

  • crl.globalsign.com / crl.globalsign.net
  • ocsp2.globalsign.com
  • javadl-esd-secure.oracle.com
  • ctldl.windowsupdate.com

Eine zwischengeschaltete Firewall-/Proxy-Lösung sollte die Kommunikation zu diesen Servern idealerweise ermöglichen. Die Überprüfungsmechanismen (z.B. CRL und OCSP) können in den jeweiligen Programmen oft auch aktiviert bzw. deaktiviert werden.

Die öffentlichen Zertifikatsinfos für einige unserer Zertifikate können Sie als Base64-codierte Dateien hier herunterladen, um diese und die Zertifikatskette ggf. in Firewallprodukten zu hinterlegen. Unsere Zertifikate werden grundsätzlich von GlobalSign bzw. der „GlobalSign Organization Validation CA – SHA256 – G2“ ausgestellt.

IP-Adress-Beschränkung

Sie können die Berechtigungen auf unsere IP-Adressen und Domain-Namen beschränken. Dies ist für einzelne Adressen, Domain-Namen oder auch für den gesamten Bereich 212.21.67.0/24 möglich. Eine Liste mit ausgewählten IP-Adressen und Domainnamen finden Sie nachfolgend.

DNS-Namen und IP-Adressen

Verwendete Webserver

Die angegebenen IP-Adressen der jeweiligen Applikation müssen für den IP-Datenverkehr auf Port 80 (http) oder 443 (https) freigegeben bzw. zugelassen werden. Abhängig vom Typ der eingesetzen Firewalls, Grenzrouter oder Proxyserver, ggf. auch die Hostnamen/Aliasnamen (als FQDN).

Die Liste ist eine Übersicht der meistverwendeten Server und Domain-Namen und daher nicht vollständig. Durchgestrichenen Werte sind gültig, jedoch veraltet und künftig nicht mehr in Gebrauch.

 *.selly.biz
www 212.21.67.188
home 212.21.67.68
redirect 212.21.67.199
hilfe 212.21.67.200
status 87.225.252.82
 *.sellyorder.de
www 212.21.67.195 umgeleitet auf www.selly.biz
home, m 212.21.67.68
srv4 212.21.67.34
srv1, srv2, srv3 212.21.67.34 Aliasnamen wg. Kompatibilität
srv9 212.21.67.33 Alias für srv3.sellyconnect.de (nur sellyconnect)
pdb 212.21.67.41 Alias für srv1.prins24.de (nur Produktdatenbank)
 *.sellydispo.de
www 212.21.67.197 umgeleitet auf www.selly.biz
srv4 212.21.67.36
srv1, srv2, srv3 212.21.67.36 Aliasnamen, wg. Kompatibilität
 *.sellyconnect.de
www 212.21.67.199 umgeleitet auf www.selly.biz/
srv3 212.21.67.33
 *.sellymenue.de
www 212.21.67.196 umgeleitet auf www.selly.biz
home 212.21.67.68   
srv4 212.21.67.38
srv1, srv2, srv3 212.21.67.38 Aliasnamen wg. Kompatibilität
 *.sellyexpress.de
www 212.21.67.199 umgeleitet auf www.selly.biz
srv3 212.21.67.37
 *.sellyreport.de
www 212.21.67.199 umgeleitet auf www.selly.biz
home 212.21.67.68   
srv7 212.21.67.35
srv8 212.21.67.35 Aliasnamen, wg. Kompatibilität
 *.sellyoffline.de
www 212.21.67.199  umgeleitet auf www.selly.biz
srv7 212.21.67.39
srv8 212.21.67.39 Aliasnamen wg. Kompatibilität
 *.prins24.de/com gv-prins.de/com
www 212.21.67.199 umgeleitet auf www.selly.biz
home 212.21.67.68   
srv1 212.21.67.41
s5e1 212.21.67.41 Aliasnamen wg. Kompatibilität
 *.b2b-selly.de
ws 212.21.67.66 https erforderlich Zertifikat ws.b2b-selly.de
wscc 212.21.67.65 https erforderlich Zertifikat wscc.b2b-selly.de
 *.sellydirekt.de/sellydirect.de
www 212.21.67.40 für diverse Webs/Applikationen erforderlich
 *.sellyoffer.de
www 212.21.67.199 umgeleitet auf www.selly.biz
srv1 212.21.67.42

Verwendete E-Mail-Server

Bestätigungs- und/oder Benachrichtigungsemails werden ausschließlich von folgenden Mailservern unter Benutzung des Absenders reply@[applikation].de versendet:

  • Standard
    • mailout00.sellysystems.de [212.21.67.132]
    • mailout0A.sellysystems.de [212.21.67.133]
    • mailout01.sellysystems.de [212.21.67.19]
    • mailout02.sellysystems.de [212.21.67.20]
    • mailout03.sellysystems.de [212.21.67.27]
    • mailout04.sellysystems.de [212.21.67.28]
  • Fallback
    • mailout05.sellysystems.de [212.21.67.3]
    • mailout06.sellysystems.de [212.21.67.4]
    • mailout07.sellysystems.de [212.21.67.11]
    • mailout08.sellysystems.de [212.21.67.12]

Weiterführende Hinweise

Erreichbarkeit und Verfügbarkeit

Sie können die Verfügbarkeit unserer Webangebote auf status.selly.biz einsehen, hier werden auch Wartungsarbeiten und bekannte Störungen protokolliert.

Als Gegenstück dazu können Sie die Erreichbarkeit der Webangebote ausgehend vom Client auf unserer Hilfeseite testen.

Newsletter

Wenn Sie über spezifische Änderungen via Newsletter informiert werden möchten, dann können Sie sich hier mit Ihrer E-Mail-Adresse anmelden: Newsletter.