2
Nat Tunnel zum Fernzugriff
Hallo zusammen,
ich würde gerne eine Server Infrastruktur nachbauen die ich in letzter Zeit öfter gesehen habe. Leider fehlen mir dazu die richtigen Stichworte.
Wir bieten Haustechnik Regelungen an. Diese basieren auf Linux und stellen die Bedienung über ein Webinterface zur Verfügung.
Im eigenen Gebäube (Einfamilienhaus, typischerweiser FritzBox oder ähnliches) funktioniert das problemlos. Ein Fernzugriff setzt aber immer ein VPN oder Portweiterleitung voraus. Das ist aber vielen zu Umständlich.
Mitbewerber die ähnliche Systeme anbieten haben folgenden Aufbau.
- Regelung von Hersteller ABC wird an den Kunden verkauft
- Kunde steckt die Regelung an seine FritzBox
- Regelung verbindet sich mit Server von Hersteller ABC (abc.com) komplett ohne Konfiguration
- Über my.abc.org wird die MAC Adresse des Reglers abgefragt und bietet den Webserver auf dem Regler beim Kunden an
Zugegeben das ist Security by obscurity. Möchte ich schöner lösen.
Was mich aber erst mal interessieren würde: Was brauch ich auf Server- und auf Reglerseite um so etwas zu realisieren.
Bei Recherchen bin ich bisher auf 2 Dinge gestoßen:
- Reverse Proxy: Aber hier müsste der Server im LAN des Kunden sitzen. => Schwierig bzw wieder mit Konfiguration verbunden
- SSH Reverse Tunnel: Damit müsste man jedem ssh Zugang zum Server geben. Kann man das so absichern, dass einem nicht in kurzer Zeit der Server ausgespannt wird.. ?
Gibt es da nicht eine besser Lösung, die der Tunnel nur für den Port 80 bzw 443 bohrt?
Ich wäre für alle Tips bzw die entsprechenden Schlagworte sehr dankbar.
Grüße
trolo
ich würde gerne eine Server Infrastruktur nachbauen die ich in letzter Zeit öfter gesehen habe. Leider fehlen mir dazu die richtigen Stichworte.
Wir bieten Haustechnik Regelungen an. Diese basieren auf Linux und stellen die Bedienung über ein Webinterface zur Verfügung.
Im eigenen Gebäube (Einfamilienhaus, typischerweiser FritzBox oder ähnliches) funktioniert das problemlos. Ein Fernzugriff setzt aber immer ein VPN oder Portweiterleitung voraus. Das ist aber vielen zu Umständlich.
Mitbewerber die ähnliche Systeme anbieten haben folgenden Aufbau.
- Regelung von Hersteller ABC wird an den Kunden verkauft
- Kunde steckt die Regelung an seine FritzBox
- Regelung verbindet sich mit Server von Hersteller ABC (abc.com) komplett ohne Konfiguration
- Über my.abc.org wird die MAC Adresse des Reglers abgefragt und bietet den Webserver auf dem Regler beim Kunden an
Zugegeben das ist Security by obscurity. Möchte ich schöner lösen.
Was mich aber erst mal interessieren würde: Was brauch ich auf Server- und auf Reglerseite um so etwas zu realisieren.
Bei Recherchen bin ich bisher auf 2 Dinge gestoßen:
- Reverse Proxy: Aber hier müsste der Server im LAN des Kunden sitzen. => Schwierig bzw wieder mit Konfiguration verbunden
- SSH Reverse Tunnel: Damit müsste man jedem ssh Zugang zum Server geben. Kann man das so absichern, dass einem nicht in kurzer Zeit der Server ausgespannt wird.. ?
Gibt es da nicht eine besser Lösung, die der Tunnel nur für den Port 80 bzw 443 bohrt?
Ich wäre für alle Tips bzw die entsprechenden Schlagworte sehr dankbar.
Grüße
trolo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 314163
Url: https://administrator.de/contentid/314163
Printed on: April 20, 2024 at 04:04 o'clock
2 Comments
Latest comment
Zugegeben das ist Security by obscurity. Möchte ich schöner lösen.
Das ist auch sehr sinnvoll und absolut richtig !Die andere Lösung hat zwar den Vorteil das sie für Otto Dummuser vermeintlich einfach ist aber 2 gravierende Nachteile:
- Der Hersteller abc.org hat auf seinem Server alle relevanten Daten der Haustechnik und damit ein vollständiges Nutzerprofil wer wann nachts wie oft das Licht ein und ausschaltet, zur Toilette geht und mehr wollen wir besser gar nicht wissen....
- Alle diese Daten gehen so ungeschützt über das Internet.
Du brauchst dir ja nur das Drama bei Alarmanlagen ansehen dann weiss man was in dem Sektor los ist:
http://www.heise.de/ct/ausgabe/2016-14-Sicherheitsleck-in-vernetzten-Al ...
Dein Problem hier ist das du den Spagat zwischen Sicherheit und Datenintegrität gehen musst auf der einen Seite und Benutzerfreundlichkeit auf der anderen Seite.
Ums gleich vorweg zu nehmen kommst du wenn du es richtig machst um ein VPN nicht drum rum. Hier holen dich dann aber IP Adressierungsprobleme ein denn das Gros der User sind technikferne Menschen und davon nutzt jeder das dümmliche 192.168.1.0 oder bei FB Nutzern 192.168.178.0 Default Netz zuhause.
Gut dan kann man mit einem NAT Prozess im Tunnel lösen. Erfordert aber etwas Planung bei den Endgeräten, denn die sollten immer den Tunnel initiieren.
Zusätzlich solltest du in jedem Falle ein SSL basiertes VPN nutzen um Problemen mit Port Forwarding aus dem Wege zu gehen die bei VPN Protokollen mit multiplen Protokollstack nicht unproblematisch sind.
Denkbar ist auch mit UPnP zu arbeiten was dann heimlich Löcher in die Firewalls der User von innen bohrt. Ob das aber dann rechtlichen Prüfungen standhält ist fraglich und scheitert bei denen die kein UPnP supporten oder es sinnvollerweise deaktiviert haben.
Port 80 zu öffnen ist eh ein absolutes NoGo, denn da gehen wieder Daten ungeschützt über die Leitung sofern ohne VPN gearbeitet wird.
Es ist keine leichte Entscheidung aber du solltest Pros und Cons genau abwägen. Es ist sicher nicht falsch sich mit erhöhter Sicherheit vom Mitbewerb abzugrenzen. In so fern bist du auf dem richtigen Weg...hoffentlich... ?!
Hi aqui,
vielen Dank für die umfangreiche Antwort.
Das Problem ist in diesem Bereich recht gängig. Sicherheit steht relativ weit hinten an.
In diesem Fall glaube ich aber, dass das schon auch ordentlich ausgeführt werden kann. Hersteller muss also nicht zwingend an die Daten kommen:
- Regler beim Kunden stellt eine Webdienst zur Verfügung. SSL Only mit selbst erstelltem Zertifikat. Für die Authentifizierung kann er sich selbst ein PW vergeben
- Der Regler stellt einen Tunnel zum abc.org Server her. Jetzt ist von dort zwar der Webdienst des Reglers zu erreichen. Das PW aber nicht bekannt
- my.abc.org stellt nach login den richtig Tunnel Endpoint zur Verfügung. Leitet also http Requests an den Regler
- Beide Enden gehören dem Kunden und er kann per SSL doch eine vollständig Verschlüsselte Verbindung nach Hause aufbauen.
Der Gewinn wäre aber, dass nichts konfiguriert werden muss.
VPN ist meines Erachtens dafür doch recht kompliziert zu konfigurieren. Ich muss ja auf beiden Seiten des Tunnels sicherstellen, dass nicht der ganze Server zur Verfügung steht sonder nur der eine Port.
Ich stelle mir das technisch gar nicht so kompliziert vor. Der Regler muss nur eine TCP Verbindung offen halten. Alles was von dort rein kommt wird an den Webserver gereicht. Gibt es da wirklich nichts einfacheres?
Gruß
trolo
vielen Dank für die umfangreiche Antwort.
Das Problem ist in diesem Bereich recht gängig. Sicherheit steht relativ weit hinten an.
In diesem Fall glaube ich aber, dass das schon auch ordentlich ausgeführt werden kann. Hersteller muss also nicht zwingend an die Daten kommen:
- Regler beim Kunden stellt eine Webdienst zur Verfügung. SSL Only mit selbst erstelltem Zertifikat. Für die Authentifizierung kann er sich selbst ein PW vergeben
- Der Regler stellt einen Tunnel zum abc.org Server her. Jetzt ist von dort zwar der Webdienst des Reglers zu erreichen. Das PW aber nicht bekannt
- my.abc.org stellt nach login den richtig Tunnel Endpoint zur Verfügung. Leitet also http Requests an den Regler
- Beide Enden gehören dem Kunden und er kann per SSL doch eine vollständig Verschlüsselte Verbindung nach Hause aufbauen.
Der Gewinn wäre aber, dass nichts konfiguriert werden muss.
VPN ist meines Erachtens dafür doch recht kompliziert zu konfigurieren. Ich muss ja auf beiden Seiten des Tunnels sicherstellen, dass nicht der ganze Server zur Verfügung steht sonder nur der eine Port.
Ich stelle mir das technisch gar nicht so kompliziert vor. Der Regler muss nur eine TCP Verbindung offen halten. Alles was von dort rein kommt wird an den Webserver gereicht. Gibt es da wirklich nichts einfacheres?
Gruß
trolo
