In diesem Abschnitt wird die sichere Remote-Verbindung für Inbetriebnahme, Wartung und Betrieb erklärt.

Im Internet nicht sichtbar

Wie vorher erwähnt muss kein GA-Gerät im Internet sichtbar sein. Das heisst, dass diese Geräte nicht in der DMZ, sondern im gesicherten Intranet des Kunden installiert sein müssen. Daher ist eine andere Lösung für Remote-Zugriff notwendig.

Virtual Private Network

Die bevorzugte Methode für sicheren Remote-Zugriff auf Server und andere Infrastruktur ist das Virtual-Private-Network (VPN), mit dem ein sicherer, d.h. verschlüsselter, Tunnel im Internet erstellt wird.

Siehe http://en.wikipedia.org/wiki/Virtual_private_network.

Die Zuständige IT-Abteilung des Kunden ist für das VPN verantwortlich und Konfigurationsanweisungen für VPN können nicht in diesem Dokument behandelt werden.

Das Aufsetzen eines solchen VPN-Tunnels erfordert eine Authentifizierung wie Anmeldung und Passwort. Der Zugriff auf die GA-Domäne ist abgesichert und der verschlüsselte Tunnel schützt gegen „Man-in-the-middle“-Angriffe in einem drahtlosen oder Mobilfunk-Netzwerk oder dem Internet. Der Markt bietet verschiedenste VPN-Lösungen (typischerweise auf Geräten wie Routern). VPNs in einem GA-System können auf verschiedene Arten genutzt werden. Im folgenden Bild werden mögliche Fälle mit VPN-Clients und Endpunkten mit den Buchstaben a bis g bezeichnet, wobei jede farbige Linie für die jeweilige VPN-Tunnelrichtung von Client zum Internet oder Internet zu einem VPN-Endpunkt steht.

In einem von einer lokalen Siemens-Organisation implementierten Projekt kann das entfernte Ende der VPN-Verbindung an einem Siemens-weiten Zugriffspunkt namens cRSP terminiert sein.

Terminierung von VPN-Tunnels bei verschiedenen Services

Der bevorzugte Ort für die Terminierung eines VPN-Tunnels ist der Router, der den Standort mit dem Internet verbindet (Geräte a, b). Die meisten Router bringen die benötigte VPN-Funktionalität mit und können für GA-Applikationen verwendet werden. Das Einrichten eines VPN-Tunnels muss in enger Zusammenarbeit mit der IT-Abteilung des Kunden erfolgen, um die Benutzerprofile für den Fernzugriff auf die GA-Domäne festzulegen.

Kann der mit dem Internet verbundene Router des Kunden nicht für die Terminierung des VPN-Tunnels verwendet werden, kann ein zusätzlicher Router (selbst billige Geräte unterstützen oft VPN) für diesen Zweck verwendet werden (Gerät c).

Müssen nur wenige Geräte per Remote erreichbar sein, kann eine VPN-Software (z.B. Freeware OpenVPN) auf dem Computer installiert werden (Geräte d, e). Der Nachteil dabei ist, dass ein Computer, welcher für mehrere Zwecke und Aufgaben eingesetzt wird, schneller kompromittiert ist. Aus diesem Grund wird diese Methode nicht empfohlen.

Mobile Geräte können sich mit dem GA-System-Webserver über ein mobiles (Gerät f) oder drahtloses (Gerät g) Netzwerk verbinden. Typischerweise bieten mobile Geräte VPN-Funktionalität für gebräuchliche VPN-Standards an oder eine entsprechende Software/App kann installiert werden.

Einige öffentliche oder private WLAN-Hotspots, mobile Datentarife oder manche Länder blockieren VPN-Datenverkehr.

Allgemeine Informationen zu VPN

Es gibt verschiedene VPN-Verfahren: IPSEC (AES) und TLS/SSL sind weit verbreitet und empfohlen. Andere Mechanismen mit tiefer oder unbekannter Sicherheit und Interoperabilitätsstatus sind zu vermeiden.

Das verwendete VPN-Verfahren muss von allen betroffenen Geräten unterstützt werden. Dies ist speziell bei einer 1:m Verbindung ein Thema, bei welcher z.B. ein zentrales Büro mehr als eine VPN-Verbindung mit mehreren Remote-Sites unterhalten muss.

Die Verwendung von illegal abgeschöpften Zugangsdaten kann erschwert werden, wenn der Zugang neben den Zugangsdaten (Login-Name und Passwort) einen vorab ausgetauschten geheimen Schlüssel („shared secret“) voraussetzt. Mit dieser Methode kann der Zugriff auf bestimmte Benutzer mit vorab konfigurierten Computern eingeschränkt werden. Typischerweise wird ein solches Verfahren von der IT-Abteilung des Kunden aufgesetzt.

In allen Fällen ausser a und b muss die Firewall des Internet-Routers neu konfiguriert werden.

• Das Ziel-VLAN oder Subnetzwerk muss auf dem VPN-End-Router definiert werden. In einem einfachen Szenario ohne DMZ, in dem das GA-Subnetzwerk/VLAN mit dem Router zum Internet verbunden ist, stellen Sie eine Remote-Verbindung zum GA-Subnetzwerk/VLAN per VPN her. Der Remote-Client erhält seine IP-Adresse dann von unserer Domäne. In einem komplexeren Szenario (z.B. wenn unsere Domäne einen Router ohne Internetverbindung verwendet) muss der Kunde oder ein IT-Experte ein geeignetes Konzept und Setup für die Router definieren.

Die Subnetzwerke auf beiden Seiten des Tunnels müssen unterschiedliche IP-Adressbereiche aufweisen, was eine sorgfältige Planung der zu verwendenden IP-Subnetzwerke (speziell im 1:m Fall) notwendig macht.

Hat der Kunden-Standort keine öffentliche, statische IP-Adresse, kann ein Dynamic-DNS-(DDNS)-Dienst von einem der vielen Anbieter für den Zugriff über URL anstelle einer sich ändernden IP-Adresse verwendet werden.

Die Benutzerkonten müssen eingerichtet werden.

Ein Client-Gerät kann eine Brücke zum VPN und damit zum Kundennetzwerk und zum Internet bilden mit dem Ergebnis, dass sämtliche IT-Sicherheitsmechanismen auf Kundenseite umgangen werden. VPNs sind aus diesem Grunde so konzipiert, dass der gesamte Datenverkehr über den Tunnel erfolgt und kein Datenfluss ausserhalb des Tunnels möglich ist. Die Benutzer werden demzufolge informiert, dass der gesamte restliche IP-Verkehr in diesem Fall über das Intranet des Kunden läuft. Es ist dabei wichtig, die IT-Sicherheitsrichtlinie des Kunden bezüglich Internet-Datenverkehr beim Einsatz eines Tunnels zu befolgen.

Eine ausreichende Anzahl paralleler Tunnels kann auf einem Router eingerichtet werden.

Hat einer der Standorte (z. B. eine Firmenzentrale) mehr als einen Tunnel gleichzeitig offen, muss Client-Trennung auf diesem VPN-Router konfiguriert werden. Typischerweise in der VPN-Konfiguration oder den Firewall-Filtertabellen. Bei zwei gleichzeitig offenen Tunnels (einer für Firma A und einer für B) und fehlender Client-Trennung kann eine ungewollte Kommunikation zwischen Firma A und B über das zentrale Netzwerk stattfinden. So könnte A z.B. auf die Server von B zugreifen

Sind bestimmte Tunneling-Protokolle nicht bekannt, ist es empfehlenswert, eine umfassende Lösung für alle Geräte mit VPN-Zugriff im Projekt zu verwenden.

IP-Ports und Port-Forwarding

Der IP-Portbereich umfasst jeweils 65536 Ports für TCP und UDP. Nur ein kleiner Teil dieser Ports ist für spezifische Dienste wie HTTP-Datenverkehr reserviert. Der Aufwand, den ein Eindringling aufwenden muss, um in ein System zu gelangen, kann durch Verschieben der genutzten Ports beträchtlich erhöht werden. So kann z. B. der Standard-Internet-Zugriffs-Port 80 in den privaten Port-Bereich zwischen 49152 und 65535 verschoben werden. Die Port-Scan-Software erhält nun keine Antwort mehr auf Port 80. Normale Angreifer scannen die bekannten Standard-Ports über eine grosse Anzahl IP-Adressen. Aus diesem Grund kann die IT-Sicherheit durch Verwendung eines Nichtstandard-Ports ohne hohen Zusatzaufwand erhöht werden. Dieses Verfahren schützt nicht gegen dedizierte Angriffe auf eine Firma, da in einem solchen Fall alle Ports gescannt werden. Wichtig ist, dass der Zugriff aus dem Internet über diese spezifische Port-Nummer stattfinden muss. Das folgende Bild zeigt die prinzipielle Einrichtung eines Port-Forwardings für einen Standardzugriff auf eine Webseite und erläutert den Unterschied zwischen Zugriff aus dem Internet und dem Intranet.

Es ist zu beachten, dass Port-Forwarding niemals für den Zugriff auf die Desigo/Apogee-Webserver und ähnliche Geräte aus dem Internet verwendet werden darf. Stattdessen muss Port-Forwarding für das Einrichten eines sicheren VPNs verwendet werden. Für VPN ist ein Port aus dem privaten Port-Bereich zu verwenden.

Port-Forwarding-Einstellungen und Remote-Zugriff auf einen Webserver

Port-Forwarding Task-Liste

Gehen Sie wie folgt vor:

  • Prüfen Sie, ob alle Geräte VPN auf einem anderen Port als dem Standard-Port unterstützen; ansonsten ist ein Standard-Port zu verwenden.
  • Definieren Sie die erforderlichen Ports und definieren Sie nach Möglichkeit proprietäre Ports für Remote-Zugriff wie z.B. für Remote browserbasierten Zugriff auf Desigo CC, damit keine BACnet-Ports geöffnet werden müssen.