IPS Steuerung über Internet

Hallo,

ich würde gerne Mal wissen, wie ihr den Zugang auf die IPS-Oberflächen (sei es jetzt Web,Dashboard, …) aus dem Internet realisiert, ob ihr das überhaupt verwendet.

Ich für meinen Teil würde das gerne über das iphone machen. Aber einen Forwarder am Router auf das Web-Interface ist mir einfach zu unsicher. Ich habe prinzipiell SSL-VPN mit Zertifikaten (openvpn) am router verfügbar und von einem PC im INET funktioniert das auch prima. Leider kann mein iphone kein SSL-VPN ;-(

… und ich will da jetzt ehrlich gesagt nicht noch ein Device aufstellen, welches mir normales IPsec-VPN liefert.

Hat da wer eine brauchbare und gleichzeitig sichere Idee?

THX
Philipp

WebFront ist doch Kennwortgeschützt. Dazu deine URL geheim. Langt dir das nicht ?

wenn ich ehrlich bin - nein!

Ein HTTP-Web-Interface, wo ich mein ganzes Haus damit steuern kann, will ich nicht direkt aus dem Internet erreichbar haben! - Ich will ja da jetzt keinen was unterstellen, aber man weiß ja nie, welche Exploits o.ä. da möglich sind, das kann nun Mal keiner ausschließen.

Was meinst du eigentlich genau mit „die URL ist ja geheim“?

Philipp

Dann sind die Möglichkeiten wohl begrenzt, wenns keine andere Firwall Appliance sein soll.

Evtl. einen „Krummen“ Port extern verwenden und den intern auf den SSL Port NATen, dann bekommt man zumindest keine „Standartportabfragen“ ab.

Aus dem Grund habe ich bisher mein Blackberry auch noch nicht mit IPS von Extern verbunden.

Gruß Philipp

Also ich halte das auch für hinreichend sicher … ich habe IPS unter HTTPS auf einem „krummen“ Port laufen, das ganze mit Username Passwort abgesichert und über eine „geheime“ dyndns URL erreichbar gemacht. Da sich ja alle 24 die IP ändert ist das, aus meiner Sicht, ausreichend abgesichert. Wer soll da bitte noch drauf kommen und auch noch Spaß daran haben dein Haus fernzusteuern?

d.h. wenn nur die IP im Browser verwendet werden sollte (mit dem richtigen Port) blockst du das auf deinem Web-Server?

Nein, wie soll das denn gehen? (DNS ??) Aber niemand kennt die IP Adresse und diese ändert sich ja automatisch (bei mir) alle 24 Stunden. Ich lasse mir auch automatisch eine e-amil zusenden, mit der neuen IP Adresse, so würdest du nicht einmal einen Dyndns Dienst benötigen.

naja, du brauchst ja kein DNS für HTTP/HTTPS-Verbindungen … ist ja nur ein „Umweg“ mit DNS.
kannst ja auch direkt die IP im Browser eingeben …
und Portscanner laufen ja dauernd auf DSL u.ä. IP-Ranges, brauchst ja nur mal am externen Interface deines Routers mittracen, was da für anfragen daher kommen, die eigentlich so nicht passieren sollten.

Daher auch die Empfehlung wenn man schon die Haustüre öffnet, dann nur auf einem „krummen“ Port, da viele Scanner nur über die üblichen Ports rasseln.

Wobei mir selbst auch nicht wirklich wohl ist, einen Port ins LAN auf zu machen gerade wenn man an der Firewall sieht, was da pro Minute an Anfragen gedropped wird.

Gruß Philipp

Jch denke die IPS Entwickler haben das auf dem Zettel und in Zukunft wird sich (muß sich :)) da was tun.

Hallo Philipp,

ich bin inzwischen wieder weg von kleinen Handybildschirmen als Zugang zu IPS von unterwegs. Dabei spielte die Praktikabilität eine größere Rolle als Sicherheitsüberlegungen vor „Hackern“:

Von unterwegs will ich meist irgendwas schalten, was ich vergessen habe oder was unerwartet war (Heizung hochfahren bei früherer Rückkehr, oder Anwesenheitssimulation vergessen einzuschalten) oder mich interessiert gerade, ob es regnet oder die Temperatur. Das Duchhangeln auf kleinen Bildschirmen fand ich ätzend, beim Fahren im Auto ohnehin nicht denkbar: Ich habe seit einem Jahr eine der ISDN-Telefonnummern reserviert, um in IPS nur auf mein und auf das Handy meiner Frau reagierend zu einem Sprachmenue zu schalten: Das geht super, mit Freisprecheinrichtung auch beim Autofahren und der WAF Faktor ist super.

Wenn mehr erfolgen muss, geht es über VPN (+DNS) vom Laptop aus direkt auf die selbstgestrickten HTTP-Seiten. Zusätzlich VPN dient zum warten einschliesslich Neustarts oder Scriptänderungen bei evtl. Fehlern. Die Sachen sind an einem kleinen Bildschrim in Visitenkartengrösse aber ohnehin nicht denkbar.

Gruß
Rolf

das hört sich nach einer sauberen Lösung an, d.h. du erlaubst nur incoming calls am isdn von euren beiden nummern. - das halte ich schon für ausreichend sicher - und vorallem kann ich mir denken, dass da der WAF ganz okay ist.

Danke
Philipp

Ja, ein EDV-Einbruch geht damit eben prinzipiell nicht. Denkbar ist ein Handy-Diebstahl im eingeschalteten Zusatand und das dann wer Unsinn macht -> da stehts frei, eine Code-Zahl vorher eingeben zu müsssen. Wichtig ist eine Ansage der Funktionen in einem richtigen Voice Menue, also „Eins für Heizung auf Abwesenheit“ oder was auch immer, sonst vergisst man/frau , welche Ziffer für was war.

„Zusätzlich VPN zum warten“ vorhin sollte natürlich heissen „VNC“ und nicht VPN (Bin mit dem VNC-Viewer und Server sehr zufieden, um von auswärts tiefer was an IPS oder dem Rechner zu machen(oder zum Glück selten, mal machen zu müssen).

Gruß Rolf

Nee, nee, mit VPN liegst du da nicht verkehrt… das ist die momentan paranoid einzigst sichere Methode auf IPS übers Internet zuzugreifen. VNC allein ist so sicher wie ein „sicheres“ Passwort :wink: Nur VPN schafft einen sicheren „Tunnel“ zwischen allen Lauschern.

Die Lösung über’s Handy finde aus heutiger Sicht, jetzigem Sicherheitsvorkehrungen in IPS und meines Erdenkens minimalistischste Lösung sicher mit IPS extern zu verkehren, wenn man nur ausgewählte/bestimmte Handynummern zulässt. Die abgefragt, ist wie wie eine Signatur, die nicht ohne Weiteres zu fälschen ist.

Rein übers Internet, ohne VPN, wäre wie wenn du ein Plakat ans Haus hängst… „Heute Hauptgewinn… alles was sie brauchen… nur müssen sie die richtige Nummer heraus finden“… mit Bruteforce kein Problem.

nancilla -> sensationelle Analogie - gefällt mir und werd ich sicherlich wieder verwenden, wenn ich darf :wink:

und auch das mit dem VPN ist vollkommen richtig - ich habe wie schon weiter oben geschrieben ein SSL-VPN mit verschlüsselten Zertifikaten zum Router - von dort gehts dann weiter zum Server.

Wo ich gleich noch ne Frage habe - was hält ihr von TeamViewer, bzw. im Speziellen die Sicherheit vom Teamviewer (wenn wir hier schon bei einem Sicherheits-Thread sind).
Was mich dabei stört, dass normalerweise die Verbindung immer über die Zentrale läuft und ich keine direkte Verbindung benötige. - hat wer schon die VPN-Funktion vom Teamwiever probiert? - wie ist die netzwerktechnisch genau zu verstehen?

Philipp

Na dann verstehen wir uns ja… du darfst :wink:

nachdem ich im IT-Sicherheitsbereich arbeite, suche ich immer nach brauchbaren Analogien, um es den leuten klar zu machen … das erklärt auch, warum ich vielleicht etwas paranoid bin.:smiley:

Jetzt weiss ich, warum wir die gleiche Linie vertreten…
Ich war 5 Jahre in diesem Bereich intensiv tätig:)

Hallo,

hier noch einer der mit IT-Security beruflich zu tun hat … ich hab das bei mir wie folgt gelöst :slight_smile:

  • DynDns auf meine öffentlich IP (die ändert sich aber höchsten alle 6 Monate mal)

[ul]
[li]DynDns auf meine öffentliche IP (die änder sich eh nicht)
[/li][li]auf Port 443 lautscht eine „Clientless/Browserbasierte“-SSL-VPN-Appliance
[/li][/ul]

darüber habe ich sicheren Zugriff auf mein IPS von jedem „vertrauenswürdigen“ PC mit Browser und Java.

Grüße

Andreas

Wenn ich das hier so lese muss ich doch schmunzeln. Es gibt sicherlich mehr ausgebildete „Türknacker“ als Hacker die „physikalischen Einbruch“ über ein Webinterface begehen.

Laut lachen müsste ich jetzt noch wenn du ein standard Schließzylinder an der Haustüre hast wie er in 98% aller Haustüren verbaut ist. Ggf sogar aus dem Baumarkt? Den mach sogar ich dir auf… :smiley:

Investiere dein Geld und deine Zeit lieber in nen Panzerriegel, Gitter für die Kellerfenster oder einen Aufhebelschutz für die Terassentür. :wink:

Toni