puerto
Goto Top

Alarmanlage mit offenem Port im Internet?

Moin allerseits,

habe eine Alarmanlage bei einem Neukunden übernommen.
In der Fritzbox (ja, die ändert sich noch) ist eine Portweiterleitung an diese Anlage eingerichtet, Port 30xxx.
Laut Sicherheitsfirma, die die Anlage geliefert hat und mit dieser permanent verbunden ist, findet über diesen Port die verschlüsselte Kommunikation mit ihnen statt.
Das alles ohne VPN etc...

Kennt jemand so ein Szenario? Ist das üblich? Erscheint mir sehr unsicher zu sein.
Die Sicherheitsfirma behautet, das sei so VDS-zertifiziert.

Meinungen oder Erfahrungen von euch dazu?

Vielen Dank und liebe Grüße
puerto

Content-ID: 339671

Url: https://administrator.de/contentid/339671

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

brammer
brammer 02.06.2017 um 13:20:03 Uhr
Goto Top
Hallo,

das kann durchaus funktionieren....
Evtl ist dieser Port 30xxx einfach nur ein Port der für SSL verwendet wird, das heißt die Anlage baut einen SSL Tunnel über diesen Port auf.
Das ist bei Herstellern nicht unüblich das dort über High Ports Protokolle laufen und dahinter einfach proprietäre Anwendungen laufen.
Sicherheitstechnisch kritisch weil es oft closed source ist....

wenn es VDS zertifiziert ist ....
Welcher Hersteller?

brammer
St-Andreas
St-Andreas 02.06.2017 um 13:26:16 Uhr
Goto Top
Moin,

per se ist es ja nicht schlimm wenn ein Dienst im Internet verfügbar ist, die Frage ist immer nur wie sicher dieser Dienst ist.

Grundsätzlich halte ich solche Konstrukte (gerade über eine Fritz.Box) für problematisch, vor allem wenn es um permanente Verbindungen oder sogar Alarmmeldungen geht. Warum die Verbindung von aussen nach innen gehen muss und nicht umgekehrt erschliesst sich mir auch nicht, aber viel Info zu Deiner Anlage habe ich ja nicht.

Ein wenig Stoff zum grübeln findest Du hier:
https://www.heise.de/ct/ausgabe/2016-14-Sicherheitsleck-in-vernetzten-Al ...

Ansonsten würde ich mir die Zertifizierung mal anschauen und durchlesen und mit der Versicherung des Kunden sprechen.

Lieben Gruß,
Andreas
chiefteddy
chiefteddy 02.06.2017 um 13:40:50 Uhr
Goto Top
Hallo,

üblicher Weise kommuniziert die Alarmanlage mit der Wachschutz-Zentrale über Modem (Standard ist ISDN). Mit dem Übergang auf VoIP und dem Abschalten von ISDN im Netz gibt es da natürlich Probleme. In der Regel funktioniert die Anbindung der Alarmanlage über VoIP nicht bzw. ist nicht zulässig. Als Alternative wird dann auf eine Mobil-Tefelon-Anbindung mit GSM-Modem ausgewichen. Diese Lösungen sind auch vom VDS abgesegnet.

Allerdings kommt es hier sehr stark auf die Art der Überwachung/ Alarmanlage an: Im privatem Umfeld kein Problem. Bei Brandmeldeanlagen und anderen gesetzlich vorgeschriebenen Überwachungen (öffentliche Einrichtungen, Veranstaltungshallen usw.) reicht die einfache Anbindung über GSM alleine nicht. Hier muß ein 2., alternativer Kommunikationskanal vorhanden sein. Das kann zB. eine Verbindung über das Internet sein. Allerdings wird hier nicht zwingend ein VPN-Tunnel gefordert.

https://www.tas.de/fileadmin/user_upload/_temp_/DVPT_SIP151111r.pdf

https://www.vds.de/fileadmin/vds_publikationen/vds_2471_web.pdf


Jürgen

PS: Ich gehe davon aus, das die Verbindung zur Alarmaufschaltung und nicht primär zur Fernwartung dient.
Kraemer
Kraemer 02.06.2017 um 13:50:43 Uhr
Goto Top
Moin,

per se ist das Szenario nicht sonderlich kritisch. Es empfiehlt sich aber sehr wohl, die Alarmanlage in ein eigenes VLAN zu packen.

Gruß
aqui
aqui 02.06.2017 um 21:05:09 Uhr
Goto Top
Kostenlosen Wireshark anschliessen und den Management Traffic der Anlage einfach mal mitschneiden.
Kannst du da Passwörter usw. im Klartext mitlesen ist es natürlich sehr sicher.
Aber du solltest den Netzwerk Experten dort ganz sicher vertrauen das das zertifziert ist. Mit Netzwerken und Kommunikation kennen sich Wachleute in der Regel bestens aus.
Dazu ist das lesenswert:
https://www.heise.de/ct/ausgabe/2016-14-Sicherheitsleck-in-vernetzten-Al ...
Dann weisst du was in dem Bereich wirklich los ist.

Auf den Wireshark kommt nun jeder Dummie und das hätte den Thread hier vermutlich obsolet gemacht...
tikayevent
tikayevent 02.06.2017 um 22:54:09 Uhr
Goto Top
Ich sag mal so, dass es nicht zwingend nötig für den Betrieb ist, aber auch nicht unüblich. Auch VdS-anerkannte Anlagen dürfen aus dem Internet erreichbar sein, solange gewährleistet ist, dass die Kommunikation verschlüsselt ist. Häufig wird es für die Unterstützung des Kunden bei Problemen genutzt, so dass der Errichter Statusinformationen abrufen kann.

Für die Aufschaltung zum Wachdienst ist es nicht nötig. Die Verbindung wird von der Übertragungseinheit aufgebaut, ist somit ausgehend.

Das es der Netzwerksicherheit nicht unbedingt zuträglich ist, insbesondere bei einer Fritzbox, die keine Segmentierung beherrscht, ist eine andere Sache.

Auf meine Befehle hören ~80 Einbruchmeldeanlagen, die befinden sich aber alle in einem geschlossenen Netzwerk und dürfen nur mit zwei IPs kommunizieren. Von außen geht da nix.