Port Forwarding durch zweiten Router / Firewall absichern?

O

olivero

Guest
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo liebe Forumuser ....

ich habe bei mir in der Firma die Aufgabe Fernwartung abbekommen. Heißt konkret, dass ich mich über verschiedene Möglichkeiten schlau machen soll, wie wir unsere Maschinen warten können. Das Problem ist, wir wissen eben nicht wo die nächste Maschine stehen wird; ist dort also Internet, ISDN, analoges Telefon etc. vorhanden oder nicht.

ISDN und Modemverbindung (analoge) habe ich jetzt hinbekommen (auch danke eurer Beiträge). Jetzt würde mich die Nutzung via Breitband interessieren. Dazu habe ich nun folgende Frage:

Nehmen wir an, der Kunde hat einen DSL-Anschluss und würde Port Forwarding einrichten. Nun ist das ja ein erhebliches Sicherheitsloch .... Könnte ich diesen Zugang mit einem nachgelagerten Router / einer Firewall wieder absichern und trotzdem auf die SPS / das Panel zugreifen?
Der Nachgelagerte Router soll die IP des DSL-Routers mit DDNS bekannt geben und mir über VPN einen sicheren Zugang zur SPS usw. liefern. Der DSL-Router müsste dann für VPN zwar andere / weitere Ports freischalten, die er an den nachgelagerten Router durchreicht ... aber wäre dann der Zugang nicht sicher, trotz des Port Forwarding? Und funktioniert das dann noch alles?

Vielen Dank im vorraus.
 

Anhänge

  • Netz.JPG
    Netz.JPG
    42,4 KB · Aufrufe: 17
Das Problem ist, wir wissen eben nicht wo die nächste Maschine stehen wird; ist dort also Internet, ISDN, analoges Telefon etc. vorhanden oder nicht.

Dann nimm Mobilfunk...

Nehmen wir an, der Kunde hat einen DSL-Anschluss und würde Port Forwarding einrichten. Nun ist das ja ein erhebliches Sicherheitsloch ....

Wieso? Meines Erachtens nach hat Port Forwarding nichts mit Sicherheit zu tun, sondern mit technologischen Einschränkungen...

Könnte ich diesen Zugang mit einem nachgelagerten Router / einer Firewall wieder absichern und trotzdem auf die SPS / das Panel zugreifen?
Der Nachgelagerte Router soll die IP des DSL-Routers mit DDNS bekannt geben und mir über VPN einen sicheren Zugang zur SPS usw. liefern. Der DSL-Router müsste dann für VPN zwar andere / weitere Ports freischalten, die er an den nachgelagerten Router durchreicht ... aber wäre dann der Zugang nicht sicher, trotz des Port Forwarding? Und funktioniert das dann noch alles?

Hä? Ich glaube, du denkst viel zu kompliziert.

Nimm doch folgenden Aufbau:
PC --- Internet --- DSL-Modem+Router --- SPS/Panel

Gehst du über einen externen VPN-Server oder richtet der Kunde dir das ein?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Zum Port Forwardin:
Ich hatte beim lesen diverser Beiträge (in vielen Foren) den Eindrcuk gewonnen, dass ein festes Port Forwarding im Router / Firewall eine Sicherheitslücke ist.

Mobilfunk:
Ist natürlich auch eine Option. Allerdings würde mich der speziell von mir beschriebene Fall interessieren. Ist natürlich ein sehr spezielle Szenario....

Die Idee mit dem zweiten Router ist:

Der Kunde hat bereits einen DSL-Router und richtet einmalig nur ein Port Forwarding ein. Er richtet keinen VPN ein, nix ....
Damit aber eine sichere Verbindung besteht soll der zweite Router ins Spiel kommen.
Wenn ich die Variante nehme:
PC --- Internet --- DSL-Modem+Router --- SPS/Panel

komme ich ohne DDNS doch nicht auf das DSL-Modem+Router (bei Annahme keiner festen IP durch den ISP)? Und wenn der Kunde kein VPN hat, kommt doch, wenn jemand die IP kenn, jeder zur SPS. Oder nicht?
Also immer unter der Annahme der Kunde hat nur eine rudimentären Internetanschluss.
 
Er richtet keinen VPN ein, nix ....

DAS ist eine Sicherheitslücke... ich hoffe, dass das ein hypothetisches Szenario ist und du nicht allen ernstes vorhast über das unsichere Internet ohne VPN auf deine Anlage zuzugreifen.

Die Lösung, die du hier beschreibst ist vielleicht die kostengünstigste (weil es eben über DSL etc. geht), allerdings ist diese auch am schwierigsten zu Konfigurieren. Du musst nämlich in sämtlichen Routern, die zwischen Internet und Anlage hängen (in diesem Fall mind. 2) das Port Forwarding einstellen, den Port 102 für STEP7 freischalten und diese ins Firmennetzwerk mit einer IP-Adresse einbinden.

Wenn ich die Variante nehme:
PC --- Internet --- DSL-Modem+Router --- SPS/Panel

komme ich ohne DDNS doch nicht auf das DSL-Modem+Router (bei Annahme keiner festen IP durch den ISP)?
Der Router hat doch eine öffentliche IP-Adresse mit der er im Internet ist. Über diese IP-Adresse ist die SPS, das Panel etc. erreichbar. Ergo könntest du diese IP-Adresse in der STEP7 eintragen, PG/PC-Schnittstelle TCP/IP und auf den Router mittels Port Forwarding zugreifen.
ACHTUNG: Hierbei bekommt die SPS die IP-Adresse des Routers und das ist wirklich keinem zu empfehlen, da die SPS dann nicht mehr von außen erreichbar ist und somit jemand vor Ort muss.

Eine Möglichkeit dieses Problem zu umgehen bietet unser ACCON-TeleService IE. Dabei wird ein zusätzlicher Treiber in der PG/PC Schnittstelle installiert, der einen transparenten Austausch der IP-Adressen möglich macht ohne am Programm oder der Hardware-Konfig Änderungen durchzuführen. Somit ist die Fernwartung über Port Forwarding um EINIGES einfacher und angenehmer.

Nochmal zu der Sicherheitslücke. Ich empfehle dir dringendst über VPN zu gehen und nicht nur über Internet. Damit würdest du dir und vor allem deinem Kunden keinen Gefallen tun.
 
Wenn ihr auf eurem eigenen Router VPN verwenden wollt, müsste der Kunden-Router die entsprechenden Ports für das VPN weiterleiten.
Das könnte aber mehrere Probleme geben, z.B.:

- Damit der Kunde mehrere VPNs verwalten kann, müsste er den Port nach außen hin für jeden Kunden ändern. Nicht bei jeder VPN-Software kann man aber den zu verwendenden VPN-Port ein-/umstellen.

- Der Kunde müsste das interne Netz zu eurem VPN-Router vom anderen Anlagennetz trennen (physikalisch oder per VLAN). Anonsten hätte er durch die Portweiterleitung "unkontrollierte" Pakete von außen in seinem Netz - ich würde sowas nicht haben wollen.

- Die Portweiterleitung für die VPN-Ports ist meiner Meinung nach immer etwas schwierig. Nicht jeder Router unterstützt dieses.
 
Erstmal Danke für die Antworten ...

Natürlich habe ich solch eine Konstruktion nicht im Einsatz, es ist nur eine Überlegung. Ich will mich halt vorab mit möglichst vielen Methoden auseinandersetzen um flexibel und sicher auf Kundenwünsche usw. reagieren zu können. Und interessant ist das Thema ja allemal, sodass man auch vielleicht kuriose sachen diskutieren kann. :)

Die herumgeisternden Pakete sind natürlich unerwünscht. VLAN, VPN-Tunnel an zweiten Router durchreichen, ... klingt für mich spontan dann eher weniger praxistauglich wenn der Kunde nur ein Billigmodem hat (wovon ich ja hier auch ausgegangen bin) (wenn es denn dann mit diesem Modem überhaupt möglich wäre).

Dann würde sich in dieser Situation wohl doch eher ein Router eignen, der bei Bedarf von sich aus über das Kunden-DSL-Modem eine VPN-Verbindung aufbauen kann.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Grundsätzlich würde ich in die gleiche Kerbe schlagen wie Thomas_V2.1.

Eingehende VPN-Verbindungen beim Kunden sind mit das Schwierigste, was Du machen kannst.
Denn...
- bei jedem Kunden werden die Karten neu gemischt.
- Du musst bei jedem Kunden die IT-Abteilung tief mit einbeziehen, das bedeutet nen riesen Aufwand auf Deiner Seite.
- Du bekommst u.U. von jedem Kunden einen anderen VPN Client zugewiesen, d.h. Du hast auf Deinem PC mehrere VPN-Programme, die sich eventuell gegenseitig stören.
- Des weiteren sind eingehende Verbindungen für jeden Kunden ein Sicherheitsrisiko. Ob VPN oder nicht. Jedesmal muss er seine Firewall vom Internet her öffnen.
...

Ich würde Dir hier raten, auf ein standardisiertes System für Eure Firma einzugehen.
Das bedeutet für Euch dass Ihr euch einmal in die Hardware eindenkt, und es dann sicher dem Kunden rüberbringt.
Dazu würde ich Euch raten entweder
- ein VPN-Server bei Euch im Haus aufzubauen, wohin alle Anlagen (bzw. deren VPN-Router) die Verbindung hin aufbauen oder
- ein System mit einem Rendevouzserver zu nehmen, wohin Du mit einer VPN-Software von der einen Seite, und die Anlage von der anderen Seite die Verindung hin aufbaut.
Großer Vorteil hierbei ist die ausgehende Verbindung beim Kunden.
Dies lässt seine Sicherheit weiterhin bestehen, und er hat keinen bis sehr geringen Aufwand bei seiner IT.
 
OK, überzeugt, dann werde ich meine Überlegung wieder in die Welt der Theorie entlassen. Vielen Danke für eure Hilfe.
 
Zurück
Oben