Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
7dust
Themen-Autor
Beiträge: 5
Registriert: Sa 28.12.2019, 20:36

Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Mi 22.01.2020, 09:32

Hallo,

versuche hier meine Alarmanalge Typ Lupusec XT2Plus ins Netzwerk einzubinden, so dass ich diese auch von ausserhalb über das Internet erreichen kann. Hierzu muss ich nun in der UTM
den Port 443 (SSL Verschlüsselt) freigeben. Kann mir einer mitteilen wie das geht bzw. was ich falsch mache, oder hat jemand Erfahrung mit den Einstellung bzw. der Einrichtung der Lupusec XT2 Anlage in Verbindung mit der UTM?

Danke

Gruß
 
Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Re: Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Mi 22.01.2020, 09:45

Hallo 7dust,

Vorweg die Frage: Warum willst du eine Alarmanlage für das Internet verfügbar machen? Wäre VPN nicht die bessere Variante? Sonst freuen sich bestimmt einige Menschen im Internet, deine Alarmanlage auch nutzen zu können ;-)

Portweiterleitung:
Quelle: Internet (bitte nicht....) -> Ziel: Alarmanlage -> Dienst: TCP 443 -> NAT-Type DestNAT -> NAT Objekt: external Interface -> NAT Dienst: TCP 443

Per Default läuft das Userinterface auf TCP 443, das müsstest du vorher unter Netzwerk -> Servereinstellungen ändern.

Wie schon zu Anfang gesagt: Portweiterleitungen sind gefährlich, da sie die Firewall und sämtliche Sicherheitsmechanismen auf der UTM umgehen. Die Entscheidung obliegt natürlich dir, aber bitte überlege wenigstens einmal, ob man das nicht auch über VPN organisieren könnte.

Der Reverse Proxy kann natürlich auch genutzt werden, das ist dann schon mal mehr Sicherheit, als die Portweiterleitung.

Grüße
Svenja
 
7dust
Themen-Autor
Beiträge: 5
Registriert: Sa 28.12.2019, 20:36

Re: Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Mi 22.01.2020, 12:54

Hallo Svenja,

Danke für Deine schnelle Antwort. Es handelt sich bei der Alage um keine reine Alarmanlage, sondern diese in Verbindung mit Smarthomesteuerung. Es wird demnach vom Hersteller ein
Anleitung wie man einen Fernzugriff auf die Anlage herstellen kann beschrieben und der geht über die Portfreigabe also demnach über den SSL443 zudem muss man auch zus. DDNS Adresse anlegen und einen damit verundenen Hostnamen auf einem DYDNS Server des Herstellers der Anlege, über den dann die Verbindung hergestellt wird. Kenne das Prinzip jetzt leider auch nicht genau. Das dies sicher nicht die sicherste Lösung ist, ist mir auch klar, aber eine Alternative wird nicht angeboten und unsere Starface arbeitet ja auch mit Portweiterleitungen.

Der genauen Wortlaut des Herstellers für die Einstellung des Ports "Geben Sie hier Ihre DDNS Adresse ein sowie Ihren externen Port. Der externe Port wurde im Router konfiguriert und muss auf den internen Port 443 der Alarmanlage weitergeleitet sein."

Gruß
 
sobek
Beiträge: 3
Registriert: Di 28.01.2020, 13:09

Re: Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Di 28.01.2020, 13:57

Hallo, habe den Beitrag hier zufällig entdeckt.
Meine Lupussec Anlagen sind alle nicht über den Standarport 443 sondern über einen beliebigen Port z.b. 8091 TCP von aussen erreichbar. Die Firewall oder Router macht dann eine Umleitung von z.B. 8091 auf 443 ins lokale Netz auf die XT2. Dies erhöht etwas die Sicherheit. In der Lupus-App muss man dan den Port 8091 eintragen, alles andere bleibt unverändert.
Hier noch der Wiki wie man in der UTM eine Portumleitung konfiguriert:
https://wiki.securepoint.de/UTM/RULE/Portumleitung

Gruß Andreas
 
kennethj
Beiträge: 297
Registriert: Di 25.04.2017, 10:17

Re: Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Di 28.01.2020, 14:24

Hallo,

sobek hat geschrieben:
Die Firewall oder Router macht dann eine Umleitung von z.B. 8091 auf 443 ins lokale Netz auf die XT2.  Dies erhöht etwas die Sicherheit.

Wer hat Ihnen denn diesen Mumpitz erzählt?
Wirklich "sicher" wäre es, wenn man die Portweiterleitung weglässt und sich über einen VPN Tunnel zu der Alarmanlage verbindet.
Gruß
Kenneth
 
sobek
Beiträge: 3
Registriert: Di 28.01.2020, 13:09

Re: Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Di 28.01.2020, 14:44

Ich habe nicht behauptet das es sicher ist. Lediglich das es die Sicherheit etwas erhöht im Gegensatz zur normalen Portweiterleitung. Natürlich gebe ich ihnen recht, das solche Konstallationen immer eine schlechte Wahl sind und ein VPN die beste Lösung. Leider muss man aber dann mit einschränkungen der App rechnen, da Push-Nachrichten bei Alarmauslösung oder sonstigen Scenarien hier nicht zuverlässig funktionieren.
 
Benutzeravatar
Mario
Securepoint
Beiträge: 192
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Re: Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Di 28.01.2020, 18:16

Es erhoeht die Sicherheit ueberhaupt nicht. Der Dienst steht fuer jeden offen. Die Firewall wird mit Sicherheit mehrmals taeglich von mehreren Bots auf offene Dienste abgetastet. Es macht daher keinen Unterschied, ob die Alarmanlage an Port 80/ 443 oder 8091 extern lauscht.

Ich habe im Schnitt ca 10 verschiedene, teilweise jedoch zusammen arbeitende IP-Adressen, die den gesamten Portbereich der Firewall, in 30 Sekunden Abstaenden und mit versetzten Ziel-Ports abtasten. Provozieren kann man das noch wesentlich besser, wenn man ein "echo request" auf das externe Interface zulaesst. Dann werden es noch mehr.
Rise from your grave!
 
sobek
Beiträge: 3
Registriert: Di 28.01.2020, 13:09

Re: Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Di 28.01.2020, 20:37

OK habs kapiert. Bevor ich mich hier noch mehr zum Horst mache... :'(
Also Portweiterleitung und auch Umleitungen sind nicht sicher!
Wenn eine Anwendung oder Gerät im internen Netz das benötigt, muss das jeder für sich selber Abwägen ob es für ihn vertretbar ist.
Machmal hift da nur beten und die Cyber Defence Cloud  ;)

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 6 Gäste