Hallo, ich habe folgendes Problem. Zu Fernwartungszwecken soll ab und zu von einer Prozessleitsteuerung eine Verbindung zum Hersteller aufgebaut werden um den Serviceingenieur softwaretechnisch reinzulassen. Soweit kein Problem, das ganze basiert auf OpenVPN. Da ich selber nen kleinen OpenVPN-Server daheim betreibe (in form eines Raspberrys) Waren die Schlüssel auch recht flott unter Linux erstellt und auf die Endgeräte verteilt. Nun das Problem: Port 1194 scheint zu zu sein. TCP oder UDP, geht nix durch... Also habe ich etwas Probiert. Aus Sicherheitsgründen natürlich mit meinem eigenen OpenVPN-Server daheim, auf den ich per SSH noch drauf kann um auf der Konsole die Config zu ändern. Nach etwas Probiererei bekomme ich über Port 21 eine Verbindung. Nur für die Fernwartung der Steuerung ist das nix, der Port muss über Adresse 81 liegen sonst will die Soft das nicht. Wie bekomme ich heraus welche Ports im Netz für mich benutzbar sind? Es handelt sich um ein Netz mit mehr als 100 PCs, also was grosses. Den Admin habe ich natürlich per Mail schon um hilfe gebeten, doch ist die EDV-Abteilung nicht am gleichen Standort wie die eigentliche Firma. Kontakt per Mail geht da meistens durchaus mal 1-2 Wochen... :-( Outsourcing halt... Das Problem ist das die Steuerung grade in der Aufbauphase ist mit neuer Software und sobald die Serviceleute zum ein Update aufspielen herfahren müssen wirds sauteuer. Daher das VPN, welches von den Serviceleuten auch explizit gefordert wurde. Nur ist das wie üblich in unserer IT-Abteilung untergegangen. Gibt es eine Art "Scanner" mit dem ich testen kann ob und wie ich eine korrekte VPN-Verbindung bekomme? Wohlgemerkt, es handelt sich hier nicht um was illegales, mein Vorgesetzer ist informiert und will das auch zum laufen bekommen. Leider hat er von Netzwerken gar keine Ahnung und seine mail an die IT ist bis jetzt auch noch ohne Antwort... Hat jemand da etwas starthile für mich? Grüße Roland
An deiner Stelle würde ich trotzdem auf die IT warten. Die Strategie, an der IT vorbei nach Sicherheitslecks im Netz zu suchen um sie ausnutzen zu können, könnte nach hinten losgehen. Denn genau darum handelt es sich effektiv. Trotz schöner Worte drum herum.
Roland schrieb: > Nach etwas Probiererei bekomme ich über Port 21 eine Verbindung. Das ist ftp. Da gehört kein VPN hin.
Rufus Τ. Firefly schrieb: > Das ist ftp. Da gehört kein VPN hin. Da die IT hier offenbar outsourced ist hat das ganz niedliche mögliche Konsequenzen. Diese IT-Firma kann von nun an bei Sicherheitsproblemen ganz bequem auf den Kunden verweisen, der mit dem von ihm eröffneten Hintereingang den vermutlich vereinbarten Regeln zuwiderlaufend den bösen Jungs oder Mädels höchstselbst die Tür geöffnet habe. Obs so ist oder nicht, diese Argumentation schwebt von da an im Raum. Würde ich nur machen, wenn sich das Unternehmen auf die Fahnen geschrieben hat, nach allen Seiten offen zu sein. Denn dann kann man nicht ganz dicht sein.
:
Bearbeitet durch User
Oh so viel Antworten, Nein bin nicht aus Thüringen. @prx, nun ja so ganz toll finde ich das auch nicht. Aber ich habe Rückendeckung von meinen Vorgesetzten. Die wissen das und das wurde auch per Mail kommuniziert. Seit anfang 2014 die IT Ausgelagert wurde haben wir nur noch probleme, keiner ist zuständig, mails werden nicht beantwortet. Das bremst den Arbeitsfluss ungemein, ich will nicht wissen was das schon an Geld gekostet hat, aber es muss einiges sein. Das outsourcing ist ab Anfang August wieder passe, die Firma hat verstanden das eine eigene IT-Abteilung doch gewissen vorteile hat auch wenn das etwas Geld kostet. @rufus, ja ich weiss das das der FTP-Port ist, aber zum Probieren war mir das gut genug. Zumal der Raspberry bei mir daheim als Testsystem ja für solche Sachen sicher besser geeignet und ungefährlicher ist wie ein Rechner im Produktiveinsatz... @prx, das VPN wird nur auf exakt diese Steuerung geroutet, da habe ich vorgesorgt das da sonst keiner im Netz "mal guggt was es da sonst noch so gibt". Zugegeben ein Risiko ist es natürlich schon. Aber die Alternative hiesse meinen HSDPA-Gateway anzuschliessen. Dann bin ich vom Firmennetz weg. Aber eine Dauerlösung ist das auch nicht. Weiter Vorschläge? (nicht destruktiver Art :D) Roland
Wie wäre es mit der Anschaffung eine UMTS/LTE-Sticks? Das war auch unsere Lösung mit Prüfständen eines Deutsche Kozerns, dessen IT-ABteilung auch Probleme mit mehr als MS Office Unterstützung hatte.
Roland schrieb: > Zugegeben ein Risiko ist es natürlich schon. Aber die Alternative hiesse > meinen HSDPA-Gateway anzuschliessen. Dann bin ich vom Firmennetz weg. > Aber eine Dauerlösung ist das auch nicht. Braucht es ja wohl auch nicht, weil ab August wird ja wieder alles besser;-) Im Ernst, willst Du Dir wirklich diese Frage stellen lassen: "Herr Roland, wie kommen Sie auf die absurde Idee, die Sicherheit unseres IT-Systems zu unterlaufen?" Ich hatte schon mit einem Fall zu tun, da hatte die Fa. die IT virtuell nach China outgesourced. Da wird es dann richtig lustig. Einzige wirksame Methode: Geld, also entweder Maschine stehenlassen, bis jemand hinreisen kann oder Rechnung fuer die Mehrkosten schreiben. wendelsberg
Das mit Port 81 verstehe ich nicht. Wieso muss es >80 sein? Ansonsten wie hier schon geschrieben: Port 443 wäre möglich, aber nur wenn die Firewall kein (transparenter) Proxy ist - wenn doch, guckt sie nämlich in die Datenpakete rein und wird ggf. OpenVPN erkennen und auch blocken. Selbst wenn Du ein "Connect" bekommst, weisst Du noch nicht ob die Firewall die Verbindung weitergeleitet hat oder erstmal darauf wartet das noch was kommt (z.B. Anmeldung an der Firewall - auch recht beliebt). Du kannst diverse Ports probieren in der Hoffnung das einer davon geöffnet ist und die Firewall nicht die Applikation analysiert - was allerdings heutzutage eher unwahrscheinlich ist: Ports: 443 (https) 110 (pop3) 143 (imap) Du kannst natürlich aus dem internen Kundennetz mit einem Portscanner wie z.B. "nmap" alle Ports auf Deiner Zieladresse durchprobieren lassen und schauen welche nicht als geblockt angegeben werden und dann probieren ob einer von diesen wirklich offen ist (im Sinne von keiner Applikationsprüfung). Ich bezweifle aber dass das zielführend ist, Du solltest mit der IT zusammenarbeiten. Nur so ist halbwegs sicher, dass sie Dir eine entsprechende Regel in der Firewall machen die dauerhaft die Verbindung zulässt. Wahrscheinlich wird gerade dann wenn ein wichtiges Update aufzuspielen ist oder die Anlage still steht und Remotesupport notwendig ist, jemand etwas an der Firewall geändert haben (nichtwissend dass Du den offenen Port benutzt) und die Verbindung verhindern. Das gibt dann auch Ärger. Markus (selbst böser Netzwerker :-)
Ist den das Finden eines vorhandenen offenen Ports schon ein "Unterlaufen" von Sicherheitsmaßnahmen? Finde ich eine ziemlich abenteuerliche Definition ...
:
Bearbeitet durch User
Frank Esselbach schrieb: > Ist den das Finden eines vorhandenen offenen Ports schon ein > "Unterlaufen" von Sicherheitsmaßnahmen? Finde ich eine ziemlich > abenteuerliche Definition ... Den Port zu finden ist nicht das Problem. Jedenfalls nicht, wenn die Suche vom Unternehmen selbst ausgeht. Zum Problem wird die Nutzung. Das Ziel hier ist, eine VPN Verbindung nach aussen aufzubauen, um dann Leute von aussen auf Geräte intern im Netz zugreifen zu lassen. Im Prinzip ist dann bei nicht zu primitiven Geräten eine unkontrollierbare Verbindung aus dem Netz des Servicepartners zu allen vom Gerät als Zwischenstation erreichbaren Stationen im Netz möglich. Ausgehend von einem Netz, dessen Zuverlässigkeit völlig unbekannt ist. In mit der IT vereinbarter Weise ist das nicht ungewöhnlich. Aber das an der IT vorbei zu machen ist unklug. Allein schon, weil bei solchen Methoden bald niemand mehr einen Überblick über die absichtlichen externen Verbindungen hat. Noch ärger wird es, wenn man es auf dafür nicht vorgesehene Ports draufschnallt, aufgrund der Ähnlichkeit mit kriminellen Methoden. Wie kritisch das ist hängt vom Unternehmen ab, also wie sicherheitsrelevant das damit geöffnete Netz ist.
:
Bearbeitet durch User
Sag mal, kannst du nicht einfach bei der IT ANRUFEN? Das geht meistens schneller. Verbindung zu Fremdnetzen aufbauen würd ich unterlassen. Trotzdem Info an Vorgesetzten kann sowas mächtig Ärger geben. Besonders dann, wenn was passiert.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.