Zum Hauptinhalt springen

Wie Systeme zusammenhängen

Software läuft nicht im Vakuum. Jedes System — 42°OS eingeschlossen — ist eingebettet in ein Netzwerk aus Servern, Leitungen, Berechtigungen und anderen Systemen. Dieses Kapitel erklärt die grundlegenden Konzepte: was ein Netzwerk ist, wie Systeme miteinander reden, was eine Firewall tut und warum Berechtigungen überall eine Rolle spielen.

Server und Clients

Ein Server ist ein Computer der einen Dienst anbietet — er wartet auf Anfragen und beantwortet sie. Ein Client ist jeder der diesen Dienst nutzt, also Anfragen schickt.

Das ist kein starres Konzept: 42°OS ist Client wenn es Daten aus einer Datenbank abruft. Gleichzeitig ist 42°OS Server wenn es einen Webhook-Endpunkt bereitstellt und auf eingehende Anfragen von Drittsystemen wartet.

Drittsystem (Client)  →  schickt Webhook  →  42°OS (Server)
42°OS (Client)        →  fragt Datenbank ab  →  Datenbankserver (Server)

IP-Adressen und Hostnamen

Jedes Gerät in einem Netzwerk hat eine IP-Adresse — eine eindeutige Nummernfolge die es identifiziert, z. B. 192.168.1.50. Im lokalen Unternehmensnetzwerk beginnen IP-Adressen typischerweise mit 192.168. oder 10..

Da sich Nummern schlecht merken lassen, können Geräten auch Hostnamen vergeben werden: erp-server.intern oder fileserver. Ein DNS-Server (Domain Name System) übersetzt den Hostnamen in die zugehörige IP-Adresse — wie ein Telefonbuch.

Wenn 42°OS also host: erp-db.intern konfiguriert hat, fragt es beim DNS-Server nach der IP-Adresse von erp-db.intern und verbindet sich dann mit dieser IP.

Ports — Türen in einen Server

Ein Server kann viele verschiedene Dienste gleichzeitig anbieten. Ports sind wie nummerierte Türen: jeder Dienst wartet hinter einer bestimmten Tür.

Server 192.168.1.50
├── Port 443   → HTTPS (Weboberfläche)
├── Port 5432  → PostgreSQL (Datenbank)
├── Port 22    → SSH (Fernwartung)
└── Port 25    → SMTP (E-Mail-Versand)

Wenn du 42°OS sagst host: 192.168.1.50, port: 5432, verbindet es sich mit dem PostgreSQL-Dienst auf diesem Server — nicht mit dem Webserver oder dem E-Mail-Server.

Bekannte Standardports:

PortDienst
80HTTP
443HTTPS (verschlüsselt)
22SSH
25SMTP (E-Mail senden)
993IMAP (E-Mail empfangen, verschlüsselt)
5432PostgreSQL
1433Microsoft SQL Server
3306MySQL
445SMB (Fileserver)

Das Netzwerk: LAN, WAN, Internet

LAN (Local Area Network) ist das lokale Netzwerk eines Unternehmens — alle Computer, Server und Drucker die physisch am selben Standort hängen und direkt miteinander kommunizieren können.

WAN (Wide Area Network) verbindet mehrere Standorte miteinander — z. B. Zentrale und Filiale über eine gemietete Leitung.

Internet ist das globale öffentliche Netzwerk.

Für 42°OS wichtig: Systeme im selben LAN können direkt miteinander kommunizieren. Systeme die über das Internet erreichbar sein sollen, brauchen eine öffentliche IP-Adresse — oder eine gesicherte Verbindung per VPN.

Firewall — der Türsteher

Eine Firewall prüft jeden eingehenden und ausgehenden Netzwerkverkehr anhand von Regeln: welche Verbindungen sind erlaubt, welche werden blockiert.

Internet → Firewall → internes Netzwerk

        prüft jede Verbindung

Für 42°OS bedeutet das: wenn 42°OS auf einem externen Server läuft und auf eine interne Datenbank beim Kunden zugreifen soll, muss die Firewall des Kunden diese Verbindung explizit erlauben — typischerweise:

  • Nur von der IP-Adresse des 42°OS-Servers
  • Nur auf dem Port des jeweiligen Dienstes (z. B. Port 5432)
  • Nur in eine Richtung (eingehend zum Datenbankserver)

Ohne diese Firewall-Freigabe kommt keine Verbindung zustande, egal wie korrekt die Zugangsdaten sind.

VPN — verschlüsselter Tunnel

Ein VPN (Virtual Private Network) baut einen verschlüsselten Tunnel zwischen zwei Netzwerken oder zwischen einem Gerät und einem Netzwerk auf. Von außen sieht der Datenverkehr verschlüsselt aus — von innen verhält sich das entfernte Netzwerk so als wäre man direkt vor Ort.

Site-to-Site VPN verbindet zwei Netzwerke dauerhaft miteinander — z. B. den Server auf dem 42°OS läuft mit dem internen Netzwerk des Kunden. Beide Seiten sehen sich wie im selben LAN.

42°OS-Server (Rechenzentrum) ←── VPN-Tunnel ───→ Kundennetzwerk (intern)

Client-to-Site VPN verbindet ein einzelnes Gerät mit einem Netzwerk — z. B. ein Laptop der sich von unterwegs ins Büronetz einwählt. Weniger relevant für 42°OS-Deployments, aber relevant wenn Techniker aus der Ferne auf Kundeninstallationen zugreifen.

Berechtigungen: wer darf was

In einer Unternehmens-IT ist nicht alles für alle zugänglich. Berechtigungen werden auf mehreren Ebenen vergeben:

Netzwerk-Ebene — Firewall-Regeln: welche Systeme dürfen überhaupt mit welchen anderen Systemen kommunizieren?

Betriebssystem-Ebene — Benutzerkonten und Dateisystemrechte: wer darf Dateien lesen, schreiben, ausführen?

Anwendungs-Ebene — Datenbankbenutzer mit gezielten Rechten: SELECT-Rechte auf bestimmten Tabellen, aber kein DELETE.

Active Directory — zentrale Verwaltung von Benutzern, Gruppen und Richtlinien für alle Windows-basierten Systeme im Netzwerk.

Für 42°OS bedeutet das: für jede Integration braucht es ein dediziertes Dienstkonto mit genau den Rechten die nötig sind — nicht mehr. Ein Konto das nur Rechnungen aus dem ERP lesen soll, braucht keine Schreibrechte. Das Prinzip heißt Least Privilege — minimale Berechtigung.

Verschlüsselung: HTTP vs. HTTPS

HTTP überträgt Daten im Klartext — jeder der den Netzwerkverkehr mitlesen kann, sieht den Inhalt.

HTTPS verschlüsselt die Verbindung per TLS (Transport Layer Security). Der Inhalt ist für Dritte unleserlich.

Für alle produktiven Verbindungen gilt: HTTPS statt HTTP, IMAPS (Port 993) statt IMAP (Port 143), LDAPS statt LDAP. Zugangsdaten die über unverschlüsselte Verbindungen übertragen werden, können abgefangen werden.

Zusammenfassung: Was vor der Integration geklärt werden muss

Bevor 42°OS an ein bestehendes System angebunden werden kann, braucht es Antworten auf diese Fragen:

FrageWarum wichtig
Welche IP/Hostname hat das System?Damit 42°OS es finden kann
Welcher Port?Damit die richtige Tür angeklopft wird
Gibt es eine Firewall-Freigabe?Ohne Freigabe kommt keine Verbindung durch
Welches Benutzerkonto wird verwendet?Zugangsdaten für den Credential-Store
Welche Rechte hat das Konto?Nur was gebraucht wird, nicht mehr
Ist die Verbindung verschlüsselt?HTTPS/TLS für alle produktiven Verbindungen
Ist VPN nötig?Wenn das System nicht direkt erreichbar ist