Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
7dust
Beiträge: 5
Registriert: Sa 28.12.2019, 20:36

Lupusec Alarmanlage Portweiterleitung einstellen!!!!

Beitrag von 7dust »

Hallo,

versuche hier meine Alarmanalge Typ Lupusec XT2Plus ins Netzwerk einzubinden, so dass ich diese auch von ausserhalb über das Internet erreichen kann. Hierzu muss ich nun in der UTM
den Port 443 (SSL Verschlüsselt) freigeben. Kann mir einer mitteilen wie das geht bzw. was ich falsch mache, oder hat jemand Erfahrung mit den Einstellung bzw. der Einrichtung der Lupusec XT2 Anlage in Verbindung mit der UTM?

Danke

Gruß

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo 7dust,

Vorweg die Frage: Warum willst du eine Alarmanlage für das Internet verfügbar machen? Wäre VPN nicht die bessere Variante? Sonst freuen sich bestimmt einige Menschen im Internet, deine Alarmanlage auch nutzen zu können ;-)

Portweiterleitung:
Quelle: Internet (bitte nicht....) -> Ziel: Alarmanlage -> Dienst: TCP 443 -> NAT-Type DestNAT -> NAT Objekt: external Interface -> NAT Dienst: TCP 443

Per Default läuft das Userinterface auf TCP 443, das müsstest du vorher unter Netzwerk -> Servereinstellungen ändern.

Wie schon zu Anfang gesagt: Portweiterleitungen sind gefährlich, da sie die Firewall und sämtliche Sicherheitsmechanismen auf der UTM umgehen. Die Entscheidung obliegt natürlich dir, aber bitte überlege wenigstens einmal, ob man das nicht auch über VPN organisieren könnte.

Der Reverse Proxy kann natürlich auch genutzt werden, das ist dann schon mal mehr Sicherheit, als die Portweiterleitung.

Grüße
Svenja

7dust
Beiträge: 5
Registriert: Sa 28.12.2019, 20:36

Beitrag von 7dust »

Hallo Svenja,

Danke für Deine schnelle Antwort. Es handelt sich bei der Alage um keine reine Alarmanlage, sondern diese in Verbindung mit Smarthomesteuerung. Es wird demnach vom Hersteller ein
Anleitung wie man einen Fernzugriff auf die Anlage herstellen kann beschrieben und der geht über die Portfreigabe also demnach über den SSL443 zudem muss man auch zus. DDNS Adresse anlegen und einen damit verundenen Hostnamen auf einem DYDNS Server des Herstellers der Anlege, über den dann die Verbindung hergestellt wird. Kenne das Prinzip jetzt leider auch nicht genau. Das dies sicher nicht die sicherste Lösung ist, ist mir auch klar, aber eine Alternative wird nicht angeboten und unsere Starface arbeitet ja auch mit Portweiterleitungen.

Der genauen Wortlaut des Herstellers für die Einstellung des Ports "Geben Sie hier Ihre DDNS Adresse ein sowie Ihren externen Port. Der externe Port wurde im Router konfiguriert und muss auf den internen Port 443 der Alarmanlage weitergeleitet sein."

Gruß

sobek
Beiträge: 4
Registriert: Di 28.01.2020, 13:09

Beitrag von sobek »

Hallo, habe den Beitrag hier zufällig entdeckt.
Meine Lupussec Anlagen sind alle nicht über den Standarport 443 sondern über einen beliebigen Port z.b. 8091 TCP von aussen erreichbar. Die Firewall oder Router macht dann eine Umleitung von z.B. 8091 auf 443 ins lokale Netz auf die XT2. Dies erhöht etwas die Sicherheit. In der Lupus-App muss man dan den Port 8091 eintragen, alles andere bleibt unverändert.
Hier noch der Wiki wie man in der UTM eine Portumleitung konfiguriert:
https://wiki.securepoint.de/UTM/RULE/Portumleitung

Gruß Andreas

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,
sobek hat geschrieben:Die Firewall oder Router macht dann eine Umleitung von z.B. 8091 auf 443 ins lokale Netz auf die XT2.  Dies erhöht etwas die Sicherheit.
Wer hat Ihnen denn diesen Mumpitz erzählt?
Wirklich "sicher" wäre es, wenn man die Portweiterleitung weglässt und sich über einen VPN Tunnel zu der Alarmanlage verbindet.
Gruß
Kenneth

sobek
Beiträge: 4
Registriert: Di 28.01.2020, 13:09

Beitrag von sobek »

Ich habe nicht behauptet das es sicher ist. Lediglich das es die Sicherheit etwas erhöht im Gegensatz zur normalen Portweiterleitung. Natürlich gebe ich ihnen recht, das solche Konstallationen immer eine schlechte Wahl sind und ein VPN die beste Lösung. Leider muss man aber dann mit einschränkungen der App rechnen, da Push-Nachrichten bei Alarmauslösung oder sonstigen Scenarien hier nicht zuverlässig funktionieren.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Es erhoeht die Sicherheit ueberhaupt nicht. Der Dienst steht fuer jeden offen. Die Firewall wird mit Sicherheit mehrmals taeglich von mehreren Bots auf offene Dienste abgetastet. Es macht daher keinen Unterschied, ob die Alarmanlage an Port 80/ 443 oder 8091 extern lauscht.

Ich habe im Schnitt ca 10 verschiedene, teilweise jedoch zusammen arbeitende IP-Adressen, die den gesamten Portbereich der Firewall, in 30 Sekunden Abstaenden und mit versetzten Ziel-Ports abtasten. Provozieren kann man das noch wesentlich besser, wenn man ein "echo request" auf das externe Interface zulaesst. Dann werden es noch mehr.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

sobek
Beiträge: 4
Registriert: Di 28.01.2020, 13:09

Beitrag von sobek »

OK habs kapiert. Bevor ich mich hier noch mehr zum Horst mache... :'(
Also Portweiterleitung und auch Umleitungen sind nicht sicher!
Wenn eine Anwendung oder Gerät im internen Netz das benötigt, muss das jeder für sich selber Abwägen ob es für ihn vertretbar ist.
Machmal hift da nur beten und die Cyber Defence Cloud  ;)

Antworten