Fernzugriff via DYNDNS

M

mike_roh_soft

Level-1
Beiträge
191
Reaktionspunkte
11
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

ich hoffe mal das Thema ist hier richtig angesieselt...

Das Thema wurde DYNDNS schon mehr mals behandelt.
Zum Thema Sicherheit habe ich mir etwas überlegt und würde gerne eure Meinung dazu haben.

Ich habe eine Haussteuerung auf der ein Webserver mit meiner Visu läuft.

Wenn ich nun via DYNDNS meine Haussteuerung erreichen will gehe ich wie folgt vor:
1. Webserverport von 80 auf z.B. 34259 ändern
2. Portforwarding des Webservers an der Fritzbox einrichten
3. DYNDNS Eintrag erstellen z.B. 13254673456.dyndns.org <-> aktuelle IP meiner Frtzbox
4. Unterordner "myVisu" mit den html-seiten erstellen, statt direkt im root-verzeichnis abzulegen
5. Nicht index.html als Startseite sondern einstieg.html (damit muss man die html-seite direkt im Browser eingeben und nicht nur den Verzeichnisnamen)
6. Die einstieg.html prüft als erstes ob der User angemeldet ist. Falls nicht kommt ein redirect zu einem LoginFenster. Benutzname und PW sind auf der Steuerung fest hinterlegt.

Jetzt kommt die Frage:
Ist das (13254673456.dyndns.org:34259/myVisu/einstieg.html) nicht schon sicherer als meine Logindaten bei der Bank?
Benutername: 13254673456.dyndns.org
PIN: 34259

Wenn jemand meine DYNDNY Adresse, Port, Unterordner und einstiegsseite kennt, kommt er auf meine Haussteuerung. Daort muss er sich aber auch noch einloggen.

Wie sicher würdet ihr das einstufen?
Damit ist zwar die Nutzung der Visu recht gut geblockt aber der Zugriff auf den Webserver trotzdem offen.
Ist das gefährlich?

Danke Mike
 
Hallo,

du kannst deinen Webserver auf Port 80 (oder 8080) weiter betreiben. Das hat für dich Vorteile wenn du in deinem Lokalen Netzwerk unterwegs bist, denn dann musst du deinen Port nicht mit anhängen.

Die Fritzbox unterstützt es einen Port an einen anderen weiterzuleiten. So könntest du Port 3141592 extern auf Port 80 intern weiterleiten.

Die Sicherheit ist immer so eine Sache. Nichts ist 100% sicher. Wenn du es anders Lösen würdest, und jemand würde alle nötigen Informationen wissen, ist es mit der Sicherheit auch dahin!

Wenn du sagst das Benutzername und Kennwort fest auf dem Webserver hinterlegt sind, dann hoffe ich das sie das nicht in Klartext, sondern mindestens MD5-gewandelt sind, weil du sonst mit der information wie die Datei heißt, und wo sie liegt, diese einfach im Browser anzeigen kannst.

Vielleicht willst du dir auch mal .htaccess angucken. Das könnte ein zusätzlicher Schutz sein!

Ich hoffe das ist erstmal Information genug, wenn nicht immer her mit den Fragen!

Grüße

Marcel
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hi,

stimmt ich kann ja einen externen Port auf den internen 80er umleiten.. das war von mir zu quergedacht - danke!

Die Zugangsdaten liegen nicht auf dem Webserver sondern in der Haussteuerung/Beckhoff-SPS als Stringvariable unverschlüsselt. Darauf sollte aber keiner zugreifen können.

.htaccess geht nicht weil der Beckhoff Webserserver kein PHP beherrscht. Sonst könnte man ja einfach das Verzeichnis damit schützen...

Ich habe mit dem Beckhoff Webserver einfach keine Möglichkeit serverseitig die Zugriffe von außen einzuschränken, oder?

Danke
 
Ich kenne mich leider mit Beckhoff nicht so gut aus! Daher kann ich dazu nicht viel sagen.

Eine alternative Idee wäre es, Verbindungen von Außen nur über einen VPN-Tunnel zuzulassen.
D.H. Die Rechteverwaltung passiert mit dem VPN-Server, und du brauchst dir mit deiner Haussteuerung keine
großen Gedanken mehr machen. Das Problem: Es müsste ein PC mitlaufen, oder du hast ein Spezielles Fritzbox-Modell welches einen eigenen VPN-Server mitbringt, oder eines das über ein paar Umwege OpenVPN unterstützt.

Ob sich der Aufwand lohnt ist deine Entscheidung. Ich persönlich habe es genau so gelöst wie du es beschrieben hast, und habe einfach im Haus einen Taster (Hardware) mit dem ich die Funktionen der Visu abschalten kann. Falls die mal jmd. gekapert hat, könnte ich ihm damit die chance nehmen in irgend einer Form einzugreifen, und entziehe damit die komplette Grundlage schaden anrichten zu können.

Ich habe auch darüber nachgedacht die Visu variablen zu loggen, und bei zu vielen zu schnellen oder sich widersprechenden eingaben eine sperre auszulösen, aber habe es nicht umgesetzt.

Grüße

Marcel
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Sowas tut doch niemand ;)

Ab IOS5 gibt es auch die Möglichkeit Kernelerweiterungen zu laden. Leider ist die API nicht dokumentiert... deshalb macht sich das OVPN-Team wohl leider nicht daran... schade eigtl!

Grüße

Marcel
 
Hi,
wie schon gesagt, VPN mit dem Iphone und der Fritzbox geht ohne großen Aufwand.
Hier ist alles beschrieben.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperabilitaet/16206.php?portal=VPN
Wenn dann noch ein RDP-Client (ich werwende ITAP-RDP) auf dem Iphone ist, kann man sich sogar Remote auf einem Windows-Rechner anmelden.
So mache ich schon über zwei Jahre Fernwartung, Überwachung von Webcams, PV-Anlagen usw.

Die Fritzbox ist mit ein bischen Know-How recht flexibel.

Hier unverbindlich eine Anleitung für Android.
http://www.android-hilfe.de/android-allgemein/111801-howto-vpn-mit-fritzbox.html

Gruß
Klaus
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
Mein Vorschlag

- Linux für den Webserver im Haus verwenden
- Darauf einen ssh account einrichten. (mit dummy shell, keine bash)
- Mit ssh bzw. Putty verbinden und Port forwarding benutzen
putty -ssh -L 80:deine_dyn_dns_adresse:80 benutzername
- firefox localhost
- rsa keys verwenden

PS: Mit http://pvbrowser.org würdest Du eingeben
pvbrowser pvssh://benutzername@deine_dyn_dns_adresse
Dabei würde noch nicht mal http verwendet werden.
 
Hi,
danke für deinen Vorschlag aber mir geht eigentlich darum mobile von unterwegs (Restaurant, Bahnhof, Urlaub) via iPhone oder Hotel-PC auf die Steuerung zu Hause zu gelangen.. ok im Hotel sollte man auch aufpassen wegen der Browser-History etc.

Es soll einfach ohne zusätzliche Software gehen und wenn möglich plattformunabhängig.

Gruß
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Wenn es tatsächlich so sicher sein soll dann würde ich einfach einen VPN-Dienstleister nehmen und nen VPN-Client auf den Fernwartungs-PCs installieren.
Aber das ist irgendwie für ne Haussteuerung overkill und unpraktikabel obendrein.

Natürlich kann man den eigenen Laptop mit in den Urlaub nehmen. Aber wer macht das schon... Urlaub ist Urlaub vom PC ;)
 
mike_roh_soft schrieb:
Hi,
danke für deinen Vorschlag aber mir geht eigentlich darum mobile von unterwegs (Restaurant, Bahnhof, Urlaub) via iPhone oder Hotel-PC auf die Steuerung zu Hause zu gelangen.. ok im Hotel sollte man auch aufpassen wegen der Browser-History etc.

Es soll einfach ohne zusätzliche Software gehen und wenn möglich plattformunabhängig.

Gruß
Zum Vergrößern anklicken....

ssh ist plattformunabhängig:

iPhone clients:
http://www.messagingnews.com/onmess...ssh-clients-reviewed-issh-pterm-and-touchterm

Windows -> Putty
Linux, OS-X -> ssh

Hotel-PC könnte problematisch werden.
Sollte man aus den von Dir genannten Gründen eh nicht machen.
 

Similar threads

R
TIA 1200er Webserver Programmierung mit SAIA Web Editor?
Antworten
1
Aufrufe
1K
JoGi65
JoGi65
D
TIA Visu auf Browser oder App. OPC UA?
Antworten
11
Aufrufe
4K
Blockmove
B
H
IO-Link Kommunikation per S7comm
3 4 5
Antworten
85
Aufrufe
44K
Thomas_v2.1
T
K
Sonstiges SIMATIC OP37 - Sicherung via ProSave und FIELD PG M6 schlägt fehl
Antworten
6
Aufrufe
4K
Ludewig
L
A
TIA Daten via WebServer an CPU schreiben
Antworten
5
Aufrufe
3K
RedCali
R
Zurück
Oben