kvothe
Goto Top

DNS Eintrag für Fremdfirma

Moin moin,

ich soll für einen Kunden etwas einrichten, dass ich noch nicht so recht verstehe.
Hoffe, ihr könnt mir etwas beim Verständnis behilflich sein.

Der Kunde bekommt eine Fräsmaschine, die über einen, von der Herstellerfirma bereitgestellten, PC übers Web erreichbar sein soll.
Die Anforderungen des Kunden lauten wie folgt:

"- DNS Namenseintrag mit der IP-Adresse des Linux Servers z.B. name.firma.de
- Öffentliches Zertifikat für den Webserver
-Bei einem internen DNS Namensraum, z.B. firma.local, können wir einen DNS Namen mit
Zertifikat bereitstellen (hier: firma.name.app)"

Ich habe hier einen Testserver mit installiertem DNS. So ganz steige ich bezüglich der Funktionsweise jedoch noch nicht durch. Gibt Youtubevideos zum aufsetzen eines DNS. Bezüglich dieses Namenseintrages habe ich aber nichts gefunden/verstehe nicht so recht, was damit gemeint ist.

Kann das jemand mal für Dumme erklären?

LG
Kvothe

Content-ID: 7392967781

Url: https://administrator.de/contentid/7392967781

Ausgedruckt am: 05.11.2024 um 02:11 Uhr

killtec
killtec 02.06.2023 um 07:21:20 Uhr
Goto Top
Hallo,
was will denn die Firma genau? Will die jederzeit von außen per DNS auf das System zugreifen?
Dann müsstest du im DNS für die Firmendomain (meißt beim Provider) den Eintrag setzen. Anschließend in der Firewall noch einen Eintrag setzen dass du den entsprechenden Port zur Fräse auf machst.
Ob das gewollt ist, ist was anderes...

Gruß
6376382705
6376382705 02.06.2023 aktualisiert um 07:32:28 Uhr
Goto Top
Hi.

"- DNS Namenseintrag mit der IP-Adresse des Linux Servers z.B. name.firma.de
klingt für mich nach einer öffentlichen Subdomain

- Öffentliches Zertifikat für den Webserver
(LE) Zertifikat würde auch für Subdomain im Public DNS sprechen

PC übers Web erreichbar
Alleine beim lesen bekomme ich Gänsehaut. Dichtet das vernünftig ab. Reversproxy, DMZ, Auth, ..

Gruß

Edita: Grundsätzlich würde ich auch fragen, warum die Anlage im Web verfügbar sein soll. Fernwartung? Gibts bestimmt sicherere Methoden. Updates? Mach die lieber händisch.
Was ich damit sagen will: nur weil der Anbieter sagt, mach das Ding öffentlich verfügbar, musst Du es nicht. Häufig sind die Hersteller nicht unbedingt DIE Netzwerksecuritymenschen ... daher: kläre ab, ob das wirklich unbedingt notwendig ist. Sehr häufig ist es das nämlich gar nicht und bohrt nur unnötige Löcher in die FW/in dein System.
maretz
maretz 02.06.2023 um 07:40:18 Uhr
Goto Top
Ich finde es lustig. Du verstehst die Anforderungen nicht - und statt den Kunden bzw. dessen Dienstleister zu fragen kommst du hier her wo NIEMAND deinen Kunden kennt und NIEMAND dessen Dienstleister kennt.

Wir können also hier nur raten. Ggf. will der von aussen auf die Maschine zugreifen - und dank dyn. IPs möchte der DL halt nen DNS-Eintrag. Schön. Ist in 5 Min eingerichtet - und in 15 Min bis 2 Tage rechne damit das die Maschine ggf. irgendwann ganz lustige Dinge macht weil irgendein Script-Kiddy da Zugriff hatte... Oder das du noch ganz andere Probleme im Netz hast. Wärst du MEIN Dienstleister für die Anbindung in dem Fall würde ich als Kunde ins Lager gehen und mir die grossen Stiefel mit der Stahlkappe holen (und ggf. noch nen Dorn dran befestigen) bevor ich dich besuche...

Ggf. will der aber ja auch ne VPN-Verbindung - was erstmal sehr viel sinnvoller wäre. Auch dann hast du als guter Dienstleister natürlich aufm Schirm wie du das einrichtest und wie du das Kundennetz eben auch dahingehend absicherst das der DL nicht permanent auf alle Systeme zugreifen kann, wie du Probleme löst wenn die Maschine nicht läuft (hat der DL jetzt hier zB. nen Update gemacht oder Einstellungen geändert - oder hat das dein Kunde selbst geschrottet? Ist ggf. doch das Script-Kiddy rangekommen? Oder hat ggf. einfach nur die Dorfeigene Hauskatze in die SPS gekotzt?)

Aber: DU bist der Anbieter. Es ist DEIN Kunde. DU bekommst Geld dafür das professionell umzusetzen. Also würde ich empfehlen: Kunden anrufen, Anforderungen klären, Umsetzen, Rechnung schreiben, fertig...
godlie
godlie 02.06.2023 um 07:54:34 Uhr
Goto Top
Hallo,

also wenn ein Hersteller seine Fräse in meiner Firma immer von ausen erreichen will, kauf ich das teil nicht.
Eine Fräse oder Drehmaschine brauch keine Kommunikation in die Ausenwelt, kläre deinen Kunden mal auf über die Unnotwendigkeit.

grüße
Vision2015
Vision2015 02.06.2023 aktualisiert um 07:56:53 Uhr
Goto Top
moin...

PC übers Web erreichbar
Alleine beim lesen bekomme ich Gänsehaut. Dichtet das vernünftig ab. Reversproxy, DMZ, Auth, ..
ich allerdings auch! unter einer DMZ würde ich das nicht machen wollen.

ich soll für einen Kunden etwas einrichten, dass ich noch nicht so recht verstehe.
das verstehe ich allerdings auch nicht, sag doch, wenn du etwas nicht kannst!
Gibt Youtubevideos zum aufsetzen eines DNS.
och bestimmt, aber ob das hilft?!?!?!

Als Dienstleister (für einen Kunden) sollte dir alleine bei der Fragestellung schon ein Licht aufgehen!
was fehlen für Infos:
fangen wir vorne an:
was für ein Router / Firewall gerödel hat dein Kunde?
Feste IP v4?
wie ist das Netzwerk aufgebaut... VLANS / DMZ etc...?
alles dinge, die du am besten weißt, ist ja dein Kunde!

wenn dein Webserver extern erreichbar sein soll, stell die Kiste in eine DMZ und gut ist!
entsprechende Ports auf die IP des Server freigeben, und gut ist. wenn möglich natürlich ein
R-Proxy nutzen....
Ich habe hier einen Testserver mit installiertem DNS.
wozu?
nutze doch den DNS von deinem Kunden, also beim Hoster des Kunden.
erstelle dort ein A Record mit dem gewünschten namen, also webgerödel.deinkunde.de
und trage die feste ip von deinem Kunden dort ein! Alternativ nutze DynDNS oder dergleichen....
und sogleich hast du ein hostnamen, für ein SAN in deinem Zertifikat!
ach ja... VPN gibbet ja auch nach.... ist dir ja sicher auch geläufig.


Frank
6376382705
6376382705 02.06.2023 um 07:58:49 Uhr
Goto Top
erstelle dort ein A Record mit dem gewünschten namen, also webgerödel.deinkunde.de
dass man das einem IT-Dienstleister erklären muss (dazu noch in einem Forum) der mit Sicherheit um die 100€ die 45 Minuten abrechnet, .. ist schon nicht ganz ohne "Geschmäckle".

Es ist DEIN Kunde
w0rd

Denkanstöße oder Richtungsweisungen gehen ja echt klar aber das ganze Thema "erklären" lassen ist schon hart.

Gruß
Vision2015
Vision2015 02.06.2023 um 08:05:23 Uhr
Goto Top
Moin...
Zitat von @6376382705:

erstelle dort ein A Record mit dem gewünschten namen, also webgerödel.deinkunde.de
dass man das einem IT-Dienstleister erklären muss (dazu noch in einem Forum) der mit Sicherheit um die 100€ die 45 Minuten abrechnet, .. ist schon nicht ganz ohne "Geschmäckle".

Es ist DEIN Kunde
w0rd

Denkanstöße oder Richtungsweisungen gehen ja echt klar aber das ganze Thema "erklären" lassen ist schon hart.
ach... ist doch Freitag face-smile

Gruß
Frank
Looser27
Looser27 02.06.2023 um 08:14:52 Uhr
Goto Top
ach... ist doch Freitag

aber ein verdammt früher.....
aqui
aqui 02.06.2023 aktualisiert um 08:46:25 Uhr
Goto Top
Doppelmoin sagen ja nur Touristen... 🤣
z.B. firma.local,
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Weil ja Freitag ist. 🐟
Lochkartenstanzer
Lochkartenstanzer 02.06.2023 aktualisiert um 10:04:59 Uhr
Goto Top
Moin,

das ist wieder ein schönes Freitagsthema:

Vorneweg: Ich bin auch Dienstleister und ich kann zwar vieles, aber nicht alles. Und wenn ein Kunde etwas von mir will und ich das nicht kann sage ich das dem Kunden und fahre bisher damit immer noch am Besten. Oft kann ich den Kunden dabei unterstützen, den Richtigen zu finden, manchmal sucht er auch selbst.

Bei mir ist das beispielsweise bei ERP/CRMs der Fall. Den technischen Unterbau (DB warten & Co.) zu warten habe ich keine Probleme, aber die Interna des Systems zu kennen und ggf Anpassungen vorzunehmen ist eher Aufgabe des Anbieters oder Herstellerpartners des ERP/CRM.

Zu der aktuellen Problematik des TO:

Dein Problem wäre eigentlich trivial zu lösen, wenn man von der Sicherheit absieht, d.h. einfach einen passenden A-Record anlegen). Aber ich befürchte, daß, wenn Du weder das Problem verstehst noch weißt, was Du Dir da für Eier in Dein eigenes Nest legst. Im Extremfall muß Deine Haftpflicht (oder Du wegen grober Faghrlässigeit) heftig blechen (sechsstellig ist da kein Ausnahmefall).

Ich kenne die Konstellation nicht, aber wenn Hersteller von außen auf die Maschine zugreifen wollen, muß man genau abklären wie und unter welchen Umständen das passieren soll. Außerdem muß man darauf achten, daß nicht Hinz und Kunz aus dem Internet die Maschine auch nutzen können.


Zitat von @godlie:

also wenn ein Hersteller seine Fräse in meiner Firma immer von ausen erreichen will, kauf ich das teil nicht.
Eine Fräse oder Drehmaschine brauch keine Kommunikation in die Ausenwelt, kläre deinen Kunden mal auf über die Unnotwendigkeit.

Das ist als Dienstleister meist nicht ganz so einfach: i.d.R. ist die Maschine schon gekauft und aufgestellt, bevor man, zumindest als Dienstleister, erfährt, daß sie einen "Internetanschluß benötigt. ich hatte auch schon solche Fälle, wo der Kunde anruft und meint, sie hätten gerade eine neue Maschine bekommen und der Techniker, der sie aufgebaut hat, bräuchte "Internet für die Maschine". Da ist dann nichts mehr mit "nicht kaufen", sondern man muß Schadensbegrenzung betreiben. In dem Fall war das relativ einfach zu lösen, weil die Maschine einen OpenVPN-Router drin hatte der über eine öffentliche IP-Adresse erreichbar sein sollte. Also flugs ein eigenes Segment für die Maschine abgestellt, per Firewall eine IP-Adresse aus einem vorhandenen /28 per NAT auf den openVPN-Router geleitet und einen switch vornedrangeklemmt, der über einen großen roten Schalter ein und ausgeschaltet wird und den der Kunde nur dann einschaltet, wenn wirklich Techniker auf die Maschine zugreifen müssen. Der Zugriff war für die Fernwartung in Störungsfällen vorgesehen, weil das i.d.R. billiger ist, als den Techniker des Herstellers mehrere hundert Kilometer durch die Gegend zu schicken, ganz abgesehen vom Produktionsausfall während dieser Zeit.


Fazit:

  • Solcher "Internetzugang" für Produktionsmaschinen ist durchaus sinnvoll. Problemetisch ist meistens die Handhabung durch manche Hersteller, die erwarten, "freien Zugang" per Internet auf die Maschine zu haben.

  • Wenn man von einer Materie keine Ahnung hat, hilft auch eine "Anleitung" (A-Record anlegen) aus diesem Forum nichts, weil dDch das u.U. ganz tief in die Gülle reinreitet.

Schönen Freitag noch,

lks

Edit: Typos


PS: Soll der Webserver der Maschine sowieso nur im lokalen Netz und nicht aus dem Internet erreichbar sein, reicht es i.d.R einen A-record beim provider oder auf dem DNS des lokalen Netzes (z.-B. DNS-sServer auf dem DC) anzulegen. Ich würde dann aber den Internetzugang für die Maschine an der Firewall auf jeden Fall blockieren.
maretz
maretz 02.06.2023 um 10:19:25 Uhr
Goto Top
Naja - so wie du es beschrieben hast macht es ja auch sinn - alternativ kann man ja auch ne VPN-Einwahl dynamisch freischalten (so kenne ich das bei einigen). Das habe ich damals als Angestellter eines Dienstleisters sogar als sehr positiv empfunden. Denn wenn mal was kaputt war u. nen Kunde meinte "habt ihr kaputt gemacht" war die Diskussion einfach: Waren wir per VPN freigeschaltet? Nein? Gut, dann hatten wir keinen Zugang und somit thema durch. Das dient also durchaus für BEIDE Seiten als Schutz...

Aber wenn ich mir die Fragestellung so durchlese gehe ich irgendwie davon aus der TO plant da einfach mal nen Forwarding und go... geht auch - und viel Spass dabei. Die FOLGEN davon muss der TO ja selbst tragen. Und das beste ist: Er weiss nicht mal ob hier ggf. nur irgendwas völlig sinnloses vorgeschlagen wird oder nicht - und ich denke kein Richter / Anwalt / Schlichtungsstelle wird als Begründung "hab ich in nem Forum so gelesen" akzeptieren....
Spirit-of-Eli
Spirit-of-Eli 02.06.2023 um 10:50:07 Uhr
Goto Top
Moin,

mich regt das Thema genau so auf wie die anderen Kollegen.
Ich bekomme mindestens einmal die Woche so eine Anfrage auf den Tisch und lehne diese perse so ab, da ich das nicht umsetzen werde.

Ich verstehe auch nicht was daran so schwer, konkret nachzufragen wer mit wem und wie kommunizieren soll.
Wenn das oft genug bei dem Hersteller auf dem Tisch kommt, sollten das Thema auch nicht mehr so miserabel beschrieben sein.

Ein IT Dienstleister sollte aber auch erkennen, dass der Zugriff von außen auf eine Maschine Risiken birgt und den Endkunden entsprechend informieren. Das KnowHow sollte nach einer Ausbildung schon vorhanden. Zumindest diese setze ich da schon voraus.
Wäre diese Maschine nun von extern erreichbar, so sind auch erstmal alle anderen umliegenden Maschinen oder Geräte gefährdet.

Gruß
Spirit
Bingo61
Bingo61 02.06.2023 um 16:30:01 Uhr
Goto Top
Verstehe nun nicht ganz, warum man die Erreichbarkeit der Maschine aus dem Netz in Frage stellt?
Ich kann doch nicht zum Kunden sagen, kauf dir eine Maschine, die das nicht macht.
Der ist dann verm. exKunde.
Ich kenne das zB von Solaranlagen oder einen Blockheizkraftwerk, auch da sind nach aussen Ports für deren Support da.
In dem Fall ist es eine Fräse, die was immer auch herstellt.
Wir haben auch Kunde, der stellt Opto Dioden her, auch dort gibts Maschinen, die vom Hersteller überwacht werden.
Zum DNS denke auch das die den externen DNS--> dazu DynDNS nehmen, dazu SSL Zertifikat.

Kann das ganze ja mit V Lan in eine DMZ packen, und nur deren Ports explizit mit deren IP freigeben.
Dass macht jede Telefonanlage so.
Wir haben 2023 mit CNC, nicht 1923 wo die Dreher noch mit Zeichnung an der Fräse gestanden haben. face-smile
maretz
maretz 02.06.2023 um 16:44:45 Uhr
Goto Top
Moin, wenn dir das nicht klar ist dann solltest du dir einfach überlegen ob IT wirklich dein Job ist - es gibt genug andere, und es ist auch nicht schlimm wenn man was anderes macht.

Es ist auch was anderes ob eine Maschine Daten an den Hersteller liefert - solang zB. der Wartungsvertrag das vorsieht ok. Dann ist das erstmal nix schlimmes weil ja der Weg erstmal nur RAUS geht.

Aber: Wenn der Weg REIN geht und nen einfaches Portforwarding ist - nun, wer sagt das morgen nicht nen gelangweiltes Script-Kiddy mal erfolg hat? Wie beweist du im Fehlerfall wer die Verantwortung trägt? Was machst du wenn der Anbieter zB. per SSH dann auf der Büchse drauf ist und von dort dann dümmstenfalls auch noch durch das Netzwerk surft (wenn das auch so gut gesichert ist ...).

Natürlich gibt es Anbieter die den Zugriff brauchen. Alleine schon weil die Reisekosten natürlich dadurch oft gespart werden und/oder die Diagnose schon sagt welches Ersatzteil man braucht. Ja himmel, dann kauf im zweifelsfall ne verka**te Fritzbox für 3,50 Euro irgendwo gebraucht - und bau darüber nen VPN auf. Schon muss das Script-Kiddy erstmal die VPN-Einwahl hinbekommen UND dann noch genau wissen wohin es geht... Es ist ja jetzt nicht so das VPN heute der letzte "heisse Sch..." wäre und es noch experten braucht um das einzurichten...
Bingo61
Bingo61 02.06.2023 um 17:07:00 Uhr
Goto Top
Zitat von @maretz:

Moin, wenn dir das nicht klar ist dann solltest du dir einfach überlegen ob IT wirklich dein Job ist - es gibt genug andere, und es ist auch nicht schlimm wenn man was anderes macht.

Werd mal nicht frech hier, ich war schon in der IT, da bist du noch mit der Trommel um den Weihnachtsbaum gelaufen.
Wenn du nicht Fach und Sachlich Diskutieren kannst, lasse deine Finger von den Tasten.

Es ist auch was anderes ob eine Maschine Daten an den Hersteller liefert - solang zB. der Wartungsvertrag das vorsieht ok. Dann ist das erstmal nix schlimmes weil ja der Weg erstmal nur RAUS geht.

Aja? Weist du schon was schreibst?
Aja , aber ich habe keine Ahnung?? warst schon mal bei Kunden?
Aber: Wenn der Weg REIN geht und nen einfaches Portforwarding ist - nun, wer sagt das morgen nicht nen gelangweiltes Script-Kiddy mal erfolg hat? Wie beweist du im Fehlerfall wer die Verantwortung trägt? Was machst du wenn der Anbieter zB. per SSH dann auf der Büchse drauf ist und von dort dann dümmstenfalls auch noch durch das Netzwerk surft (wenn das auch so gut gesichert ist ...).

Schon mal was von V-lan gehört Schlauberger ? aber ich habe ja keine Ahnung..

Natürlich gibt es Anbieter die den Zugriff brauchen. Alleine schon weil die Reisekosten natürlich dadurch oft gespart werden und/oder die Diagnose schon sagt welches Ersatzteil man braucht. Ja himmel, dann kauf im zweifelsfall ne verka**te Fritzbox für 3,50 Euro irgendwo gebraucht - und bau darüber nen VPN auf. Schon muss das Script-Kiddy erstmal die VPN-Einwahl hinbekommen UND dann noch genau wissen wohin es geht... Es ist ja jetzt nicht so das VPN heute der letzte "heisse Sch..." wäre und es noch experten braucht um das einzurichten...
Fritzbox oh yes das ist komplett Fachmännisch. Maschinen Steuerung lässt eine Liss oder Uniper aussen vor und macht sich eigenes VPN über Fritzbox.
Cool, wow dein Fachwissen ist schon beachtlich, da ziehe ich schon mla den Hut.
Thema für mich beendet.
maretz
maretz 02.06.2023 um 18:00:31 Uhr
Goto Top
Och nu is der kleine Eingeschnappt. Zum einen weisst du nicht wie alt ich bin und was ich so gemacht habe - aber davon ab...

Ja, ich war schon öfters bei Kunden - und überraschung, ich arbeite auch aktuell noch, wenn auch nicht mehr zum Kunden fahren sondern direkt. Aber das ändert nix daran: Wenn eine Maschine die Daten erstmal nur RAUS sendet ist das ganze jetzt nicht ungewöhnlich. Wenn derjenige von aussen REIN soll ist das ne ganz andere Nummer...

Und ja - ich habe schon mal vom VLAN gehört. Und wo genau ändert das jetzt was nennenswertes? Solang du ein Forwarding von aussen nach innen machst ist DAS einfach nicht ansatzweise sicher. Egal ob du nun in nem eigenen VLAN bist oder nicht - wenn nen Script-Kiddy da dran kommt is die Maschine durch. Und wenn du auch nur mal ansatzweise schaust dann wirst du sehen das damit das Netz prinzipiell als geknackt gesehen wird. DAFÜR ja das VPN davor um eben nicht jedem Kiddy dieses Tor zu öffnen.

Die FRITZBOX war - wenn du mal das ganze lesen magst und aus deiner Schmoll-Ecke raus bist - einfach ein Zeichen dafür das es heute eben nicht zig Tausend Euro kostet. Du kannst das ganze auch mit Cisco, Linux,... machen - das ist am Ende nur ne Detailfrage, ALLES (inklusive der Fritzbox) ist besser als nen direktes Portforwarding.

Also - lass dir von mutti den Tröst-Teddy geben oder nicht, mir relativ egal... Es mag auch sein das du Baujahr 61 bist - ja, dann bist du älter als ich. Das ändert aber nix daran das die Technik mitm Port-Forward unsinn ist. Das MAG ja mal "normal" gewesen sein. Es mag auch sein das du mit deinem Alter und der Weisheit heute noch Akkustikkoppler einsetzt. Das steht dir frei - macht es aber nicht richtig.
Vision2015
Vision2015 02.06.2023 um 19:21:33 Uhr
Goto Top
moin...
Zitat von @Bingo61:

Zitat von @maretz:

Moin, wenn dir das nicht klar ist dann solltest du dir einfach überlegen ob IT wirklich dein Job ist - es gibt genug andere, und es ist auch nicht schlimm wenn man was anderes macht.

Werd mal nicht frech hier, ich war schon in der IT, da bist du noch mit der Trommel um den Weihnachtsbaum gelaufen.
nun... ich mach schon IT, da gab es noch keine Trommeln.... was sachste nun face-smile
Wenn du nicht Fach und Sachlich Diskutieren kannst, lasse deine Finger von den Tasten.
nun, Fachlich hat er alles gesagt, und nix was falsch ist!

Es ist auch was anderes ob eine Maschine Daten an den Hersteller liefert - solang zB. der Wartungsvertrag das vorsieht ok. Dann ist das erstmal nix schlimmes weil ja der Weg erstmal nur RAUS geht.

Aja? Weist du schon was schreibst?
ich hoffe dir ist klar, was du schreibst!
du stellst nicht nur die Freitagsfrage, sondern als als Dienstleister, der schon in der EDV tätig war, als andere Dienstleister noch mit der Trommel um den Baum gelaufen sind, hast du dich nicht mit Ruhm bekleckert!
mit deiner frage hast du dich selber als Dinstleister disqualifiziert!
mit etwas grundwissen, hättest du die frage nicht stellen müssen.....

Aja , aber ich habe keine Ahnung?? warst schon mal bei Kunden?
das kann ich bestätigen, das du keine Ahnung hast!
Aber: Wenn der Weg REIN geht und nen einfaches Portforwarding ist - nun, wer sagt das morgen nicht nen gelangweiltes Script-Kiddy mal erfolg hat? Wie beweist du im Fehlerfall wer die Verantwortung trägt? Was machst du wenn der Anbieter zB. per SSH dann auf der Büchse drauf ist und von dort dann dümmstenfalls auch noch durch das Netzwerk surft (wenn das auch so gut gesichert ist ...).

Schon mal was von V-lan gehört Schlauberger ? aber ich habe ja keine Ahnung..
jetzt schon, wir haben dir ja geschrieben, wie es geht face-smile
da stelle ich dir gleich mal eine Fachfrage, wie schützt dich ein VLAN, was macht eine DMZ, und wie sinvoll ist es, DMZ und VLAN zu kombinieren?

Natürlich gibt es Anbieter die den Zugriff brauchen. Alleine schon weil die Reisekosten natürlich dadurch oft gespart werden und/oder die Diagnose schon sagt welches Ersatzteil man braucht. Ja himmel, dann kauf im zweifelsfall ne verka**te Fritzbox für 3,50 Euro irgendwo gebraucht - und bau darüber nen VPN auf. Schon muss das Script-Kiddy erstmal die VPN-Einwahl hinbekommen UND dann noch genau wissen wohin es geht... Es ist ja jetzt nicht so das VPN heute der letzte "heisse Sch..." wäre und es noch experten braucht um das einzurichten...
Fritzbox oh yes das ist komplett Fachmännisch. Maschinen Steuerung lässt eine Liss oder Uniper aussen vor und macht sich eigenes VPN über Fritzbox.
erkläre uns doch Bitte warum
Cool, wow dein Fachwissen ist schon beachtlich, da ziehe ich schon mla den Hut.
soviel Überheblichkeit ohne Fachwissen finde ich auch beachtlich! face-smile
Thema für mich beendet.
für mich auch...

Frank
silent-daniel
silent-daniel 02.06.2023 um 21:44:47 Uhr
Goto Top
Ich finde das erstellen eine ARecords und weiterleiten eines Portes jetzt nicht so schlimm, wenn du es in der Firewall auf die IP des DL / Support beschränkt.

Grundsätzlich würde ich aber eine VpN Lösung bevorzugen.

Gruß sd
HansFenner
HansFenner 02.06.2023 um 21:57:50 Uhr
Goto Top
Komische Diskussion hier face-smile

Gemäss Hersteller hat er es ja offen gelassen, ob es eine öffentliche oder ein lokale Domain ist. Für beide Varianten sind offenbar Zertifikate nötig, was darauf schliessen lässt, dass die Bedienung der Maschine über https zu erreichen ist. Von Fernwartung war da nie die Rede.

Für mich ist es völlig normal, dass solche Maschinen auch von extern bedient/programmiert werden.

Also in etwa so: Du kaufst dir für 5 Mio. einen CNC-Fräsautomaten, lässt die Werkstücke dann aber vom Computer-Inder in GanzWeitWeg programmieren.

Die Maschine bzw. der PC dazu hat ne IP, die braucht einen Domainnamen. Thema durch, oder?
Drohnald
Drohnald 02.06.2023 um 21:59:58 Uhr
Goto Top
Von der Diskussion über Sicherheit abgesehen:

Der Kunde bekommt eine Fräsmaschine, die über einen, von der Herstellerfirma bereitgestellten, PC übers Web erreichbar sein soll.
OK, also gibt es eine Fräsmaschine und einen PC vom Hersteller.
Dieser genannte PC greift auf die Fräsmaschine zu? Um dort z.B. einzustellen was zu Fräsen ist?
Oder soll "PC übers Web erreichbar sein soll." bedeuten, dass der Hersteller von sich aus über das Internet auf diesen PC zugreifen will? (Das ist das, was hier bisher angenommen wird)

"- DNS Namenseintrag mit der IP-Adresse des Linux Servers z.B. name.firma.de
Was denn für ein Linux Server?

Öffentliches Zertifikat für den Webserver
Welcher Webserver? Von der Fräsmaschine?

Je öfter ich das lese desto eher kriege ich folgenden Eindruck:
Die Fräsmaschine kann per Webinterface erreicht werden. Damit das sauber klappt empfiehlt der Hersteller:
- DNS-Eintrag
- Passendes Zertifikat

Dann brauchst du eben genau nur das (und die Sicherheitsdiskussion ist obsolet): Einen A-Record im lokalen DNS und ein passendes Zertifikat. Das sollte ja wohl kein Problem sein.

Gruß
Drohnald
maretz
maretz 02.06.2023 um 22:01:41 Uhr
Goto Top
Naja - was heisst "schlimm"? Du erzeugst eben unnötige Probleme. Du hast eben immer noch keine Möglichkeit einen Nachweis zu haben wann / wer da was gemacht hat. Wenn also morgen die Drehbank ka. nen Werkstück für 5 Mio Euro zerlegt weil irgendwelche Parameter geändert wurden - wie willst du nachweisen ob es nen Bedienfehler oder der Dienstleister war?

Dazu kommt das dann jeder aus dem Office des Dienstleisters natürlich prinzipiell zugang hätte - ganz blöd wenns da interne Streitereien gibt und Kollege Meyer dem Müller nur was auswischen will...

Ich drehe mal die Frage um: Was spricht denn heute noch GEGEN nen VPN? Div. Router können das heute von haus aus, NAS-Systeme, Server-OS,... haben das alle schon integriert. Ich würde mich nich mal wundern wenn morgen mein Drucker nen VPN-Server machen kann.

Ich würde generell NIE einen Zugang von aussen nach innen erlauben wenn es da nicht ganz gute Gründe für gibt. Und grade für Fernwartung wo ja ein Dienstleister idR. immer Zugang zu recht sensiblen Bereichen bekommt (wenn das Systeme wären die ja völlig egal sind bräuchte man das nicht - das kann der Techniker dann beim nächsten Besuch einfach mit erledigen...) nicht. Und im normalfalle würde ich nicht mal "generelle" Zugänge sondern nur namensbasiert machen - max. würde ich noch sagen "FirmaXTechniker1" und der Firma per Vereinbarung sagen das die natürlich soviele Tech-Zugänge bekommen wie die wollen, die aber dafür verantwortlich sind das eben jeder Techniker nur seinen hat und wenn der eben mal kündigt (soll ja auch passieren) eben bescheid sagt, dann wird der eben entfernt und gut. Das ist nicht wirklich viel Aufwand für die Verwaltung und erhöht die Sicherheit eben gegen das Portforwarding um ein vielfaches... (umgekehrt - wie oben schon erwähnt - schützt es auch die Techniker natürlich vor Kundenbehauptungen).

Muss aber am Ende auch jeder selbst wissen... Es gibt ja hier scheinbar erfahrenere Leute die mit ihren 100 Jahren Erfahrung das anders sehen... Das gute daran ist ja: Solang es nicht um MEIN Geld und um MEINEN Betrieb geht darf es mir auch egal sein face-smile
Dani
Dani 02.06.2023 um 22:18:00 Uhr
Goto Top
Moin,
wer noch nicht an der frischen Luft war, holt dies nun nach. Ich werde alle weiteren Kommentare, die nicht mit der Frage des Beitrags zu tun haben, ohne Hinweis löschen.

Gruß,
Dani (Mod)
Kvothe
Kvothe 03.06.2023 um 19:02:11 Uhr
Goto Top
Hallo und danke für die zahlreichen hilfreichen Antworten. Auch ein Hallo an die, die offensichtlich als formvollendete Meister ihres Fachs geboren worden.

Ist mein erstes Jahr nach Abschluss der Ausbildung, also bitte etwas Nachsicht. Ich bin hier um zu lernen/ lernen zu verstehen. Es gibt einfach so unglaublich viel, was während der Ausbildung nicht mal Ansatzweise angerissen wurde. Bin natürlich motiviert alles nötige zu lernen, aber von heute auf morgen ist das nicht getan.
Hätte ich Menschen gesucht, die mich ohne Näheres zu kennen als absolut unfähig bezeichnen, hätte ich mich an reddit gewandt :P zudem ist noch kein Profi vom Himmel gefallen. Das mal vorweg.

Da man grundsätzlich am besten lernt, indem man etwas selbst erledigt, möchte ich mir das Ganze nicht vorkauen lassen. Auch wenn die Erledigung dieses Auftrags so deutlich länger dauert, bleibt dann wenigstens etwas kleben.
Natürlich möchte ich mir auch beweisen, dass ich fähig genug bin, diesen Auftrag selbst zu erledigen.

Zum Thema:
Die Maschinen sollen von außen gesteuert werden können bzw. mitteilen, wenn ein Prozess abgebrochen ist, und warum. Wurde so von der Geschäftsleitung entschieden.
Die Rahmen sind meiner laienhaften Einschätzung soweit ok. Ich lasse mich jedoch gerne eines Besseren belehren.
Kommuniziert wird ausschließlich über HTTPS und einer passwortgeschützten Benutzerauthentifizierung.
Der Server auf den von außen zugegriffen wird ist auf Linuxbasis. Innerhalb des Netzwerks dann via SSH. Wieder alles nur mit Passwort.

Die Denkanstöße bezüglich Sicherheit sind bereits einiges wert, schon mal danke dafür.

LG
Kvothe
Dani
Dani 03.06.2023 aktualisiert um 19:36:54 Uhr
Goto Top
Moin,
Kommuniziert wird ausschließlich über HTTPS und einer passwortgeschützten Benutzerauthentifizierung.
das schließt leider nicht aus, dass es einen Bug, XSS, etc. nicht aus. Du kannst den Hersteller der Maschine bzw. Web-Interface mal fragen, wann der letzte PenTest erfolgt ist. face-wink

Du wirst erstaunt sein, wie oft am Tag ein Bot/Skript Internetanschlüsse scannt, evtl. Informationen gegenprüft und als vermeidliches Ziel an die Angreifer weiterleitet. Wie groß ist der Schaden, wenn die Maschine von unberechtigten Personen gesteuert wird oder im Worst Case sogar das ganze Netzwerk neu aufgesetzt werden muss?

Die Hersteller solcher Maschinen machen es sich oftmals einfach. Ist bei uns immer interessant zu sehen, wenn es um Haftungsthemen, IT Sicherheit, VPN Anbindung, etc. geht, wie auf einmal die Hersteller schwitzen anfangen.

Der Server auf den von außen zugegriffen wird ist auf Linuxbasis. Innerhalb des Netzwerks dann via SSH. Wieder alles nur mit Passwort.
Passwörter? Inzwischen sollte es eigentlich nur noch Authentifizierung mit SSH Keys + PW + 2FA erfolgen. Alles andere wird früher oder später Probleme machen. Weil du kannst nicht beurteilen, welche Standardpasswörter der Hersteller nutzt.


Grüße,
Dani
HansFenner
HansFenner 03.06.2023 um 20:28:51 Uhr
Goto Top
Um die Eingangsfrage zu beantworten:

- Der Server braucht IPs, die öffentlich zugänglich sind, also IPv4 (wohl über NAT) und ev. auch IPv6.
Das ist in der Firmenfirewall/Router zu konfigurieren.
- Diese IPs sind im DNS als A und ev. auch als AAAA Record für den gewünschten Namen (z.B. maschine.firma.de) einzutragen. Das macht man bei demjenigen, der das DNS für die Firmendomain verwaltet. Oft ist das der Webhoster o.ä.

Spannender ist jetzt noch die Frage, woher die Zertifikate für das https kommen sollen. Da es ein Linux PC ist, wäre die Installation von let's encrypt naheliegend. Damit ist es kostenlos. Bedingt aber, dass der Maschinenhersteller sowas vorsieht.

Die andere Variante ist dann ja nur noch die Kaufvariante des Zertifikates.

Ein selbstgezeichnetes Zertifikat für eine öffentliche Domain geht zwar auch, ist aber total bäähh.
silent-daniel
silent-daniel 03.06.2023 aktualisiert um 20:55:29 Uhr
Goto Top
Wenn Port Forwarding, dann beschränke den HTTPS Zugriff auf eine (die) IP des Herstellers/Supports, dann kann schon mal nicht die ganze Welt zugreifen.

Besser wäre ein Zugriff per VPN (den du aktivieren kannst), dann wäre der Zugriff nicht immer gegeben, sondern nur bei Bedarf. Aber das kann natürlich sein, dass die Maschine ihre Protokolle/Fehler nicht an den Hersteller schickt, sondern der kontinuierlich abruft und damit dauerhaften Zugriff braucht.

Lass aber die GF wissen, dass ein Externer Zugriff immer Risiken birgt und du oder auch der Hersteller keine 100% Sicherheit garantieren kann.

gruß SD
leisefuxX
leisefuxX 03.06.2023, aktualisiert am 04.06.2023 um 07:32:26 Uhr
Goto Top
Hallo Kvothe,

wenn du die Möglichkeiten und die Expertise dazu hast, machst du bitte ein eigenes VLAN für die Kiste auf. Du erstellst also ein getrenntes Netzwerk für den PC der Maschine.
/30 dürfte ja reichen. Sollte es in Zukunft mehr Maschinen geben, nimmste/29 oder /28.

An deiner Firewall machst du jetzt den entsprechenden Port nach außen auf und leitest auf den PC im VLAN weiter. Wo du gerade in der Firewall bist, verbietest du jede Kommunikation von dem neuen VLAN in jedes andere Netz.
Soll man aus dem normalen Netzwerk (VLAN 1) auf das neue Netz zugreifen können, erlaube es explizit. Es gibt bei manchen Firewalls die Möglichkeit die Rückkanäle dann auch für eine gewisse Zeit zu öffnen.
Wenn keine Kommunikation aus VLAN 1 zur Linuxkiste gewünscht ist: jede Kommunikation in der Firewall sperren (sollte eh Default sein. Best practice ist explizit bestimmten Verkehr zu erlauben, alles andere sollte und müsste per Default verboten sein ...)

Als nächstes geht es zum Hoster, wo die Domains der Firma liegen. Zum Beispiel Hosteurope, Strato, Hetzner, netcup, etc.
Dort wird ein A-record erzeugt. Ich gehe einfach mal davon aus, dass die Firma einen Geschäftskundenanschluss hat und eine statische IP. Der A-Record lautet zum Beispiel maschine.firma.de und zeigt auf die statische IP der Firma.

Fertig.


Wie kann man es besser/schöner/sicherer machen:

- VPN: dem externen Dienstleister für die Maschine einen VPN Zugang zu dem neuen VLAN geben. Ist denen durchaus zuzumuten.

- DMZ: du stellst die verkackte Linuxkiste in die DMZ. 2 Firewallregeln: 1. nur die IP des externen Dienstleisters auf die Linux Kiste erlauben für den benötigten Port. 2. in der zweiten firewall nur die Linuxkiste auf die Maschine erlauben. Als Protokoll dann ssh. Mehr nicht.

- 2FA: ein Reverse Proxy steht in der DMZ und macht 2FA. Zum Beispiel authelia. Das ist dem externen Dienstleister für die Maschine durchaus zuzumuten.

- Gateway+Gatekeeper: ich bin ja ein großer Fan von Teleport in der Community Edition. Lassen sich explizit Ressourcen freigeben und rechte entziehen. Alles wird aufgezeichnet. Gerade für solche Szenarien gut geeignet.

- "Zerotrust" - Google das mal. Keine offene Firewall mehr. Gehe ich hier nicht drauf ein. Muss der externe Dienstleister *können* und _wollen_ ...

- udp-punching: geiler ###. Damit kommt man durch viele 0815 Firewalls durch. Muss der externe Dienstleister aber *können* und _wollen_ ...

Aber mein allerwichtigster Ratschlag: Kommunikation. Rede mit dem Hersteller der Maschine. Beispiel aus der Praxis: Firma bekommt eine Gebäudeleittechnik. Der Hersteller möchte gerne, dass ein extra PC bereitgestellt wird. Auf dem PC wollen sie dann VMware ESXi installieren und 2 VMs. Wir haben bei dem Kunden aber schon eine nicht unerhebliche Menge an ESXi Hypervisoren im Einsatz. Wir brauchen dort keinen extra PC rumstehen (wozu gibt es nochmal diese 19" Dinger da?) noch muss der Kunde eine ESXi Lizenz KAUFEN (ESXi ohne Anbindung an das vCenter ist kostenlos...). Ende vom Lied: nach Rücksprache mit der IT und den Technikern des Herstellers konnten wir auf alles verzichten. Wir mussten lediglich eine einzelne VM bereitstellen, die anderen waren nur für das Zerotrust gedönse der Firma auf veralteten (!!!) und gepinnten Suse-Images, PC und Lizenz musste nicht gekauft werden.
Wir haben unseren Remote-Zugang für die Mitarbeiter der Firma ein bisschen erweitert um einen Zugang für den Hersteller der Gebäudeleittechnik, so dass die via RDP+2FA auf ihre VM drauf kommen im Störfall. Der Zugang wird nur bei Bedarf geöffnet, diese Info ist bei uns, beim Kunden und beim Hersteller der Gebäudeleittechnik hinterlegt. So hat der Hersteller die Sicherheit, dass es der Kunde vermurkst hat. Der Kunde hat die Verantwortung, keinen ### auf der GLT zu bauen und wir als Systemhaus haben die Sicherheit, dass das Netz "zu" ist und die Zugänge überwacht/kontrolliert.
Die Gebäudeleittechnik steht natürlich in einem getrennten /22er VLAN, genau so wie alle appliances und Sensoren dazu (: aber das dachtest du dir ja sicher jetzt schon...
Vision2015
Vision2015 04.06.2023 um 07:02:52 Uhr
Goto Top
Guten Morgen,
Zitat von @Kvothe:

Hallo und danke für die zahlreichen hilfreichen Antworten. Auch ein Hallo an die, die offensichtlich als formvollendete Meister ihres Fachs geboren worden.
face-smile

Ist mein erstes Jahr nach Abschluss der Ausbildung, also bitte etwas Nachsicht. Ich bin hier um zu lernen/ lernen zu verstehen. Es gibt einfach so unglaublich viel, was während der Ausbildung nicht mal Ansatzweise angerissen wurde. Bin natürlich motiviert alles nötige zu lernen, aber von heute auf morgen ist das nicht getan.
darf ich mal fragen, was genau deine Ausbildung war?
und wo und als was arbeitest du jetzt?

Hätte ich Menschen gesucht, die mich ohne Näheres zu kennen als absolut unfähig bezeichnen, hätte ich mich an reddit gewandt :P zudem ist noch kein Profi vom Himmel gefallen. Das mal vorweg.
du hast doch von mir die lösung weiter oben bekommen... was hättest du meht gebraucht?

Da man grundsätzlich am besten lernt, indem man etwas selbst erledigt, möchte ich mir das Ganze nicht vorkauen lassen. Auch wenn die Erledigung dieses Auftrags so deutlich länger dauert, bleibt dann wenigstens etwas kleben.
da hast du teilweise recht, allerdings geht das auf kosten des Kunden, und auf kosten der Sicherheit.
warum hast du keinen Kollegen gefragt, oder deinen chef? dein arbeitgeber hätte dir das auch sagen können, bzw...müssen... es geht ja auch um die sicherheit des Kunden!

denke doch mal über die reaktion der kollegen im forum nach, ja viele haben lange berufserfahrung, keiner würde einen job machen, von dem er keine ahnung hat- sich helfen zu lassen, und zu lernen ist keine schande.
deine frage wäre bei deinem arbeitgeber angebrachter gewesen.... er muss ja auch wissen, was du kannst, und wie du eingesetzt werden kannst, und vor allem, wo du noch nachholbedarf hast!
ich hätte dich so nicht alleine zu unseren Kunden losgelassen!
Natürlich möchte ich mir auch beweisen, dass ich fähig genug bin, diesen Auftrag selbst zu erledigen.
sollst du ja auch... allerdings ist es nich falsch beim vorgesetzten zu fragen,sag mal wie geht das.
wichtig in deinem lernstadium ist es, die richtigen und lösungen zu bekommen, lernen warum das so sein soll ist, kannst du später auch.

Zum Thema:
Die Maschinen sollen von außen gesteuert werden können bzw. mitteilen, wenn ein Prozess abgebrochen ist, und warum. Wurde so von der Geschäftsleitung entschieden.
ok... das verstehe ich. das haben einige unserer kunden auch.
Die Rahmen sind meiner laienhaften Einschätzung soweit ok. Ich lasse mich jedoch gerne eines Besseren belehren.
Kommuniziert wird ausschließlich über HTTPS und einer passwortgeschützten Benutzerauthentifizierung.
Der Server auf den von außen zugegriffen wird ist auf Linuxbasis. Innerhalb des Netzwerks dann via SSH. Wieder alles nur mit Passwort.

Die Denkanstöße bezüglich Sicherheit sind bereits einiges wert, schon mal danke dafür.
in der regel werden die maschienen in eine DMZ / VLAN gesetzt, und mit einem kleinen Raspi / etc..
wird ein VPN zum Hersteller aufgebaut.
wie ich schon weiter oben geschrieben habe, wäre es auch wichtig zu wissen, was hat der Kunde den alles vor ort an Hardware, also was für eine Firewall / Router etc ist dort verbaut.



LG
Kvothe

Frank
clSchak
clSchak 22.07.2023 um 12:59:05 Uhr
Goto Top
Hi

wir haben so etwas ähnliches, am Ende wurde der Zugriff ermöglicht aber auf die öffentliche IP Adresse des Herstellers limitiert. Das klärt sich im Regelfall ganz von alleine, wenn man die Haftungsfrage stellt, denn die will am Ende keiner Übernehmen.

Noch lustiger wird es, wenn man die Lösungen selbst prüft, z.B. mit Greenbone, Tenable oder ähnliches und den Bericht dann zu allen Parteien sendet und darum bittet, erst einmal alle gefundenen Schwachstellen zu beseitigen. Gerade CNC Hersteller sind "not amused" über solche Berichte (deutsche Unternehmen sind oft sogar richtig angepisst), da, oft, deren Lösungen schon gravierende Probleme aufweisen (uralte SSL Versionen, uralte Apache Versionen usw.).

Habe aber auch schon die Erfahrung gemacht, selten, dass die sich bedankt haben und die Probleme ziemlich schnell behoben wurden.

Schwachstellenmanagement / Software sollte man Grundsätzlich haben, alleine schon um solche Szenarien vorab prüfen zu können, dass ist zwar kein Garant dafür, dass nichts passiert, aber eliminiert Probleme vorab.

Gruß
@clSchak