Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Ergebnis 1 bis 10 von 10

Thema: Port Forwarding durch zweiten Router / Firewall absichern?

  1. #1
    olivero Gast

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hallo liebe Forumuser ....

    ich habe bei mir in der Firma die Aufgabe Fernwartung abbekommen. Heißt konkret, dass ich mich über verschiedene Möglichkeiten schlau machen soll, wie wir unsere Maschinen warten können. Das Problem ist, wir wissen eben nicht wo die nächste Maschine stehen wird; ist dort also Internet, ISDN, analoges Telefon etc. vorhanden oder nicht.

    ISDN und Modemverbindung (analoge) habe ich jetzt hinbekommen (auch danke eurer Beiträge). Jetzt würde mich die Nutzung via Breitband interessieren. Dazu habe ich nun folgende Frage:

    Nehmen wir an, der Kunde hat einen DSL-Anschluss und würde Port Forwarding einrichten. Nun ist das ja ein erhebliches Sicherheitsloch .... Könnte ich diesen Zugang mit einem nachgelagerten Router / einer Firewall wieder absichern und trotzdem auf die SPS / das Panel zugreifen?
    Der Nachgelagerte Router soll die IP des DSL-Routers mit DDNS bekannt geben und mir über VPN einen sicheren Zugang zur SPS usw. liefern. Der DSL-Router müsste dann für VPN zwar andere / weitere Ports freischalten, die er an den nachgelagerten Router durchreicht ... aber wäre dann der Zugang nicht sicher, trotz des Port Forwarding? Und funktioniert das dann noch alles?

    Vielen Dank im vorraus.
    Angehängte Grafiken Angehängte Grafiken
    Zitieren Zitieren Port Forwarding durch zweiten Router / Firewall absichern?  

  2. #2
    Registriert seit
    10.03.2009
    Ort
    Verl
    Beiträge
    604
    Danke
    269
    Erhielt 137 Danke für 116 Beiträge

    Standard

    Zitat Zitat von olivero Beitrag anzeigen
    Das Problem ist, wir wissen eben nicht wo die nächste Maschine stehen wird; ist dort also Internet, ISDN, analoges Telefon etc. vorhanden oder nicht.
    Dann nimm Mobilfunk...

    Zitat Zitat von olivero Beitrag anzeigen
    Nehmen wir an, der Kunde hat einen DSL-Anschluss und würde Port Forwarding einrichten. Nun ist das ja ein erhebliches Sicherheitsloch ....
    Wieso? Meines Erachtens nach hat Port Forwarding nichts mit Sicherheit zu tun, sondern mit technologischen Einschränkungen...

    Zitat Zitat von olivero Beitrag anzeigen
    Könnte ich diesen Zugang mit einem nachgelagerten Router / einer Firewall wieder absichern und trotzdem auf die SPS / das Panel zugreifen?
    Der Nachgelagerte Router soll die IP des DSL-Routers mit DDNS bekannt geben und mir über VPN einen sicheren Zugang zur SPS usw. liefern. Der DSL-Router müsste dann für VPN zwar andere / weitere Ports freischalten, die er an den nachgelagerten Router durchreicht ... aber wäre dann der Zugang nicht sicher, trotz des Port Forwarding? Und funktioniert das dann noch alles?
    Hä? Ich glaube, du denkst viel zu kompliziert.

    Nimm doch folgenden Aufbau:
    PC --- Internet --- DSL-Modem+Router --- SPS/Panel

    Gehst du über einen externen VPN-Server oder richtet der Kunde dir das ein?
    Viele Grüße

    Sven Rothenpieler


    Es gibt 3 Arten von Menschen - die, die zählen können und die, die es nicht können!


  3. #3
    olivero Gast

    Standard

    Zum Port Forwardin:
    Ich hatte beim lesen diverser Beiträge (in vielen Foren) den Eindrcuk gewonnen, dass ein festes Port Forwarding im Router / Firewall eine Sicherheitslücke ist.

    Mobilfunk:
    Ist natürlich auch eine Option. Allerdings würde mich der speziell von mir beschriebene Fall interessieren. Ist natürlich ein sehr spezielle Szenario....

    Die Idee mit dem zweiten Router ist:

    Der Kunde hat bereits einen DSL-Router und richtet einmalig nur ein Port Forwarding ein. Er richtet keinen VPN ein, nix ....
    Damit aber eine sichere Verbindung besteht soll der zweite Router ins Spiel kommen.
    Wenn ich die Variante nehme:
    PC --- Internet --- DSL-Modem+Router --- SPS/Panel

    komme ich ohne DDNS doch nicht auf das DSL-Modem+Router (bei Annahme keiner festen IP durch den ISP)? Und wenn der Kunde kein VPN hat, kommt doch, wenn jemand die IP kenn, jeder zur SPS. Oder nicht?
    Also immer unter der Annahme der Kunde hat nur eine rudimentären Internetanschluss.

  4. #4
    Registriert seit
    10.03.2009
    Ort
    Verl
    Beiträge
    604
    Danke
    269
    Erhielt 137 Danke für 116 Beiträge

    Standard

    Zitat Zitat von olivero Beitrag anzeigen
    Er richtet keinen VPN ein, nix ....
    DAS ist eine Sicherheitslücke... ich hoffe, dass das ein hypothetisches Szenario ist und du nicht allen ernstes vorhast über das unsichere Internet ohne VPN auf deine Anlage zuzugreifen.

    Die Lösung, die du hier beschreibst ist vielleicht die kostengünstigste (weil es eben über DSL etc. geht), allerdings ist diese auch am schwierigsten zu Konfigurieren. Du musst nämlich in sämtlichen Routern, die zwischen Internet und Anlage hängen (in diesem Fall mind. 2) das Port Forwarding einstellen, den Port 102 für STEP7 freischalten und diese ins Firmennetzwerk mit einer IP-Adresse einbinden.

    Wenn ich die Variante nehme:
    PC --- Internet --- DSL-Modem+Router --- SPS/Panel

    komme ich ohne DDNS doch nicht auf das DSL-Modem+Router (bei Annahme keiner festen IP durch den ISP)?
    Der Router hat doch eine öffentliche IP-Adresse mit der er im Internet ist. Über diese IP-Adresse ist die SPS, das Panel etc. erreichbar. Ergo könntest du diese IP-Adresse in der STEP7 eintragen, PG/PC-Schnittstelle TCP/IP und auf den Router mittels Port Forwarding zugreifen.
    ACHTUNG: Hierbei bekommt die SPS die IP-Adresse des Routers und das ist wirklich keinem zu empfehlen, da die SPS dann nicht mehr von außen erreichbar ist und somit jemand vor Ort muss.

    Eine Möglichkeit dieses Problem zu umgehen bietet unser ACCON-TeleService IE. Dabei wird ein zusätzlicher Treiber in der PG/PC Schnittstelle installiert, der einen transparenten Austausch der IP-Adressen möglich macht ohne am Programm oder der Hardware-Konfig Änderungen durchzuführen. Somit ist die Fernwartung über Port Forwarding um EINIGES einfacher und angenehmer.

    Nochmal zu der Sicherheitslücke. Ich empfehle dir dringendst über VPN zu gehen und nicht nur über Internet. Damit würdest du dir und vor allem deinem Kunden keinen Gefallen tun.
    Viele Grüße

    Sven Rothenpieler


    Es gibt 3 Arten von Menschen - die, die zählen können und die, die es nicht können!


  5. #5
    Registriert seit
    29.03.2004
    Beiträge
    5.797
    Danke
    144
    Erhielt 1.707 Danke für 1.239 Beiträge

    Standard

    Wenn ihr auf eurem eigenen Router VPN verwenden wollt, müsste der Kunden-Router die entsprechenden Ports für das VPN weiterleiten.
    Das könnte aber mehrere Probleme geben, z.B.:

    - Damit der Kunde mehrere VPNs verwalten kann, müsste er den Port nach außen hin für jeden Kunden ändern. Nicht bei jeder VPN-Software kann man aber den zu verwendenden VPN-Port ein-/umstellen.

    - Der Kunde müsste das interne Netz zu eurem VPN-Router vom anderen Anlagennetz trennen (physikalisch oder per VLAN). Anonsten hätte er durch die Portweiterleitung "unkontrollierte" Pakete von außen in seinem Netz - ich würde sowas nicht haben wollen.

    - Die Portweiterleitung für die VPN-Ports ist meiner Meinung nach immer etwas schwierig. Nicht jeder Router unterstützt dieses.

  6. #6
    Registriert seit
    10.03.2009
    Ort
    Verl
    Beiträge
    604
    Danke
    269
    Erhielt 137 Danke für 116 Beiträge

    Standard

    Zitat Zitat von Thomas_v2.1 Beitrag anzeigen
    - Die Portweiterleitung für die VPN-Ports ist meiner Meinung nach immer etwas schwierig. Nicht jeder Router unterstützt dieses.
    Gut, dass die hardwareseitigen Voraussetzungen erfüllt sind, davon bin ich jetzt mal ausgegangen
    Viele Grüße

    Sven Rothenpieler


    Es gibt 3 Arten von Menschen - die, die zählen können und die, die es nicht können!


  7. #7
    Registriert seit
    29.03.2004
    Beiträge
    5.797
    Danke
    144
    Erhielt 1.707 Danke für 1.239 Beiträge

    Standard

    Zitat Zitat von Sven Rothenpieler Beitrag anzeigen
    Gut, dass die hardwareseitigen Voraussetzungen erfüllt sind, davon bin ich jetzt mal ausgegangen
    Er weiß aber vorab nicht welche Gerätschaften der Kunde zur Verfügung hat, denn die Portweiterleitung muss ja der Kunde einrichten. Wenn der Kunde eben einen Router hat mit dem das nicht möglich ist, steht er mit seiner Lösung blöd da.

  8. #8
    olivero Gast

    Standard

    Erstmal Danke für die Antworten ...

    Natürlich habe ich solch eine Konstruktion nicht im Einsatz, es ist nur eine Überlegung. Ich will mich halt vorab mit möglichst vielen Methoden auseinandersetzen um flexibel und sicher auf Kundenwünsche usw. reagieren zu können. Und interessant ist das Thema ja allemal, sodass man auch vielleicht kuriose sachen diskutieren kann.

    Die herumgeisternden Pakete sind natürlich unerwünscht. VLAN, VPN-Tunnel an zweiten Router durchreichen, ... klingt für mich spontan dann eher weniger praxistauglich wenn der Kunde nur ein Billigmodem hat (wovon ich ja hier auch ausgegangen bin) (wenn es denn dann mit diesem Modem überhaupt möglich wäre).

    Dann würde sich in dieser Situation wohl doch eher ein Router eignen, der bei Bedarf von sich aus über das Kunden-DSL-Modem eine VPN-Verbindung aufbauen kann.

  9. #9
    Registriert seit
    08.12.2008
    Beiträge
    159
    Danke
    1
    Erhielt 19 Danke für 18 Beiträge

    Standard

    Grundsätzlich würde ich in die gleiche Kerbe schlagen wie Thomas_V2.1.

    Eingehende VPN-Verbindungen beim Kunden sind mit das Schwierigste, was Du machen kannst.
    Denn...
    - bei jedem Kunden werden die Karten neu gemischt.
    - Du musst bei jedem Kunden die IT-Abteilung tief mit einbeziehen, das bedeutet nen riesen Aufwand auf Deiner Seite.
    - Du bekommst u.U. von jedem Kunden einen anderen VPN Client zugewiesen, d.h. Du hast auf Deinem PC mehrere VPN-Programme, die sich eventuell gegenseitig stören.
    - Des weiteren sind eingehende Verbindungen für jeden Kunden ein Sicherheitsrisiko. Ob VPN oder nicht. Jedesmal muss er seine Firewall vom Internet her öffnen.
    ...

    Ich würde Dir hier raten, auf ein standardisiertes System für Eure Firma einzugehen.
    Das bedeutet für Euch dass Ihr euch einmal in die Hardware eindenkt, und es dann sicher dem Kunden rüberbringt.
    Dazu würde ich Euch raten entweder
    - ein VPN-Server bei Euch im Haus aufzubauen, wohin alle Anlagen (bzw. deren VPN-Router) die Verbindung hin aufbauen oder
    - ein System mit einem Rendevouzserver zu nehmen, wohin Du mit einer VPN-Software von der einen Seite, und die Anlage von der anderen Seite die Verindung hin aufbaut.
    Großer Vorteil hierbei ist die ausgehende Verbindung beim Kunden.
    Dies lässt seine Sicherheit weiterhin bestehen, und er hat keinen bis sehr geringen Aufwand bei seiner IT.
    Egal was passiert: Nur nicht den Sand in den Kopf stecken!

  10. Folgender Benutzer sagt Danke zu o_prang für den nützlichen Beitrag:

    Sven Rothenpieler (09.05.2011)

  11. #10
    olivero Gast

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    OK, überzeugt, dann werde ich meine Überlegung wieder in die Welt der Theorie entlassen. Vielen Danke für eure Hilfe.

Ähnliche Themen

  1. Kommunikation per Port forwarding
    Von plc_typ im Forum Simatic
    Antworten: 4
    Letzter Beitrag: 28.09.2010, 08:10
  2. Fernwartung mit Port Forwarding
    Von Peter31 im Forum Simatic
    Antworten: 3
    Letzter Beitrag: 22.07.2008, 09:27
  3. Antworten: 9
    Letzter Beitrag: 24.06.2008, 20:34
  4. PRODAVE und Firewall
    Von Alexf2d im Forum Hochsprachen - OPC
    Antworten: 7
    Letzter Beitrag: 06.03.2008, 15:56
  5. Prüfung zum SPS-Programmierer zum zweiten
    Von Schibi im Forum Stammtisch
    Antworten: 3
    Letzter Beitrag: 13.12.2004, 13:22

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •