IP Filter Sicherheit?

Guten Abend,
Ich habe eine Anlage (EMA), welche unvermeidlich zur Kommunikation eine Portfreigabe benötigt, d.h. kein Reverse-Proxy etc. Ich weiß dass ein VPN in diesem Fall das Maß der Dinge ist, dennoch interessiert mich ob eine Portfreigabe mit IP Filter (Unifi) eine zusätzliche Sicherheit zur normalen PF bringt? Auf welcher Ebene schützt mich der IP Filter und gibt es diesbezüglich bekannte Schwachstellen?

MFG
CrunkFX

Content-Key: 667521

Url: https://administrator.de/contentid/667521

Ausgedruckt am: 27.07.2021 um 12:07 Uhr

Mitglied: Vision2015
Vision2015 12.06.2021 um 07:01:28 Uhr
Goto Top
moin...
Zitat von @CrunkFX:

Guten Abend,
Ich habe eine Anlage (EMA), welche unvermeidlich zur Kommunikation eine Portfreigabe benötigt, d.h. kein Reverse-Proxy etc. I
du hast eine "Was genau" beschreib und doch mal deine "Anlage" und mit wem oder was kummuniziert das teil?
ich weiß dass ein VPN in diesem Fall das Maß der Dinge ist, dennoch interessiert mich ob eine Portfreigabe mit IP Filter (Unifi) eine zusätzliche Sicherheit zur normalen PF bringt? Auf welcher Ebene schützt mich der IP Filter und gibt es diesbezüglich bekannte Schwachstellen?
von welchem OS reden wir eigentlich?
aber gut, egal ob IP Filter oder PF (was verstehst du unter PF?)grundsätzlich ist der Packetfilter nicht das Problem, sondern die Applikation, für die du ein loch in die Firewall gebohrt hast, wie sicher ist dein uns unbekannter dienst hinter dem port der offen ist?

MFG
CrunkFX
Frank
Mitglied: MysticFoxDE
MysticFoxDE 12.06.2021 um 08:05:36 Uhr
Goto Top
Moin CrunkFX,

die sauberste Möglichkeit hast du ja schon selbst genannt, VPN und gut ist.
Und auch bei einem VPN bitte darauf achten, dass nur die notwendigen Hosts und auch nur mit den notwendigen Ports miteinander kommunizieren können und nicht einfach Subnetz gegen Subnetz mit any freigeben.

Wenn VPN nicht möglich ist, dann solltest du die direkte Portfreigabe nur dann machen, wenn du diese exakt auf bestimmte Quellen
einschränken kannst, z.B. die festen externen IP's des Überwachungsdienstleisters.

Ohne eine zuverlässige Einschränkung der Quellzugriffe, würde ich dringendst davon abraten, eine EMA einfach so im Internet zu veröffentlichen.

Beste Grüsse aus BaWü

Alex
Mitglied: brammer
brammer 12.06.2021 um 09:08:35 Uhr
Goto Top
Hallo,

EMA = Einbruchmeldeanlage?
landläufig Alarmanlage?

meinst du das?

Wenn du einen VPN Tunnel verwendest hast du doch eine Authentizität schon verifiziert.

Eine 2. Authentifizierung macht eher wenig Sinn.

brammer
Mitglied: CrunkFX
CrunkFX 12.06.2021 um 11:04:25 Uhr
Goto Top
Hallo,
Sorry wenn ich etwas undeutlich war ;).

Nun eine EMA ist eine Einbruchmeldeanlage. In diesem Fall speziell eine Telenot.

Nun zum Problem:
Die Anlage soll direkt mit einer Alarm-Empfangszentrale kommunizieren. Da der Wachdienst kein VPN bereitstellen kann und sich auch nicht mit unserem verbinden kann/will muss ich über eine Portfreigabe gehen. Mich würde nur interessieren ob die IP Filterung bei der Portfreigabe im Unifi Controller mir zusätzliche Sicherheit bringt oder nicht.
Die Anlage selbst bietet eine DOS protection die bei mehr als 50 Zugriffen gleichzeitig den LAN Port abschaltet und auf GSM umsteigt. Ich möchte gerne den Übertragungsweg so sicher wie möglich einrichten und diese Herangehensweise dann auch entsprechend unter den Mitarbeitern kommunizieren.

MFG
CrunkFX
Mitglied: Vision2015
Lösung Vision2015 12.06.2021 um 11:20:37 Uhr
Goto Top
moin...


Zitat von @CrunkFX:

Hallo,
Sorry wenn ich etwas undeutlich war ;).
:-) face-smile

Nun eine EMA ist eine Einbruchmeldeanlage. In diesem Fall speziell eine Telenot.
ah...

Nun zum Problem:
Die Anlage soll direkt mit einer Alarm-Empfangszentrale kommunizieren. Da der Wachdienst kein VPN bereitstellen kann und sich auch nicht mit unserem verbinden kann/will muss ich über eine Portfreigabe gehen. Mich würde nur interessieren ob die IP Filterung bei der Portfreigabe im Unifi Controller mir zusätzliche Sicherheit bringt oder nicht.
nö... bringt nicht mehr sicherheit!
was du aber machen kannst, das teil in ein Vlan / DMZ hängen.. so das auch keine anwender aus dem netz darauf zugriff haben.
Die Anlage selbst bietet eine DOS protection die bei mehr als 50 Zugriffen gleichzeitig den LAN Port abschaltet und auf GSM umsteigt.
Ich möchte gerne den Übertragungsweg so sicher wie möglich einrichten und diese Herangehensweise dann auch entsprechend unter den Mitarbeitern kommunizieren.

MFG
CrunkFX
Frank
Mitglied: it-fraggle
it-fraggle 12.06.2021 um 11:55:37 Uhr
Goto Top
was du aber machen kannst, das teil in ein Vlan / DMZ hängen.. so das auch keine anwender aus dem netz darauf zugriff haben.
Oder, im Falle, dass das Gerät "übernommen" wurde, der Angreifer in einem eigenen Netz eingesperrt ist und nichts machen kann.
Mitglied: aqui
aqui 12.06.2021 aktualisiert um 12:37:19 Uhr
Goto Top
Das Grundübel bei Port Forwarding ist immer das man damit ein Loch in die Firewall bohrt und so immer ungeschützten Internet Traffic ebenfalls ungeschützt ins interne Netzwerk lässt. Egal ob Filter oder nicht. Der Traffic ist im internen Netz und wenn Fremde das als Vehikel nutzen hast du ein Problem. Bei einer EMA eigentlich ein absolutes NoGo und an einem VPN führt da normal kein Weg vorbei. Sagt einem auch der gesunde Security Menschenverstand sofort.
Die Frage ist letztlich ob DU selber mit so einem unsicheren Setup leben kannst. Das kannst du dir nur selbst beantworten aber ein Forum logischerweise nicht.
Ein verantwortungsvoller Administrator würde sowas niemals machen. Deshalb auch die obigen entsprechenden Empfehlungen zu einem VPN !
Mitglied: maretz
Lösung maretz 12.06.2021 um 13:15:36 Uhr
Goto Top
Nun - und da stellst du dir nicht die Frage ob es der richtige ANBIETER für so eine Anlage ist?
Ich mein - die sollen ja nen System abliefern was deine Butze absichert, erstmal gut. Dafür sollst du aber ein Loch in deine bestehende Absicherung machen? Hört sich jetzt für mich irgendwie merkwürdig an. Wenn du von denen nen Sicherheitsdienst beauftragst der einmal am Tag in deiner Bude nach dem rechten sieht - musst du dann auch den Haustürschlüssel stecken lassen?

Du weisst ja vermutlich nichts über die Anlage... du kannst die jetzt höchstens in ein eigenes VLAN packen was schon mal auf nix internes nen Zugriff hat. Dann musst du trotzdem hoffen das es keine "Lücken" in der applikation deiner Anlage gibt - weil sonst nen Einbrecher ja ggf. diese ebenfalls ausnutzen kann und die Anlage einfach abschaltet wenn er reingehen will... Wenn ich überlege das es heute problemlos machbar ist sich Kreditkarten, (Mail-)Adressen usw. zu kaufen - wer sagt mir denn das man nicht auch morgen ne schöne Adressliste mit solchen Anlagen, Explits und den zugehörigen Heim-Adressen bekommt? Und viel Spass dann der Versicherung zu erklären wieso die Alarmanlage zufällig genau zum Zeitpunkt des Einbruchs aus was ...
Mitglied: Vision2015
Vision2015 12.06.2021 um 13:18:50 Uhr
Goto Top
moin...
Zitat von @aqui:

Das Grundübel bei Port Forwarding ist immer das man damit ein Loch in die Firewall bohrt und so immer ungeschützten Internet Traffic ebenfalls ungeschützt ins interne Netzwerk lässt. Egal ob Filter oder nicht. Der Traffic ist im internen Netz und wenn Fremde das als Vehikel nutzen hast du ein Problem. Bei einer EMA eigentlich ein absolutes NoGo und an einem VPN führt da normal kein Weg vorbei. Sagt einem auch der gesunde Security Menschenverstand sofort.
Die Frage ist letztlich ob DU selber mit so einem unsicheren Setup leben kannst. Das kannst du dir nur selbst beantworten aber ein Forum logischerweise nicht.
Ein verantwortungsvoller Administrator würde sowas niemals machen. Deshalb auch die obigen entsprechenden Empfehlungen zu einem VPN !
das ist richtig, allerdings Telenot kann mit VPN nicht arbeiten, ich habe einige kunden, die den mist haben...

Frank
Mitglied: CrunkFX
CrunkFX 12.06.2021 um 14:19:29 Uhr
Goto Top
Erst einmal vielen Dank für eure ehrlichen Meinungen. Ich habe selbst einige Jahre als Facherrichter dieser Anlagen gearbeitet und dabei etliche grausame Installationen gesehen. Honeywell z.b. konnte bis Anfang dieses Jahres bei deren EMA's und Wählgeräten nur http .

Die Errichter kümmert das nicht( vermutlich auch durch fehlendes Fachwissen) allerdings ist es aus der Admin Perspektive betrachtet ein ziemlich schwieriges Thema. Ich kann ja dem Wachdienst nicht vorschreiben wie er die Meldungen annehmen soll und auch der Errichter Firma in diesem Fall nicht sagen baut den Rummel ab und hängt da was anderes hin.

Wie auch immer. VLAN ist in diesem Moment wahrscheinlich tatsächlich die beste Lösung. Telenot will noch dieses Jahr einen Cloud Service starten, hauptsächlich um das DSLite Problem anzugehen. Ich hoffe das man sich hierbei etwas mehr Mühe geben wird, ich werde berichten.

Die Anlage verwendet als Protokoll SIA-DC09 daher ist die Verbindung zwar read-only (sprich ich kann via Protokoll die Anlage nicht bedienen, allerdings empfängt die Anlage Rückmeldungen von der Leitstelle, daher meine bedenken bezüglich IP Sicherheit (MiTM Attack o.ä. würdwn sowohl Anlage als auch Leitstelle nicht mitbekommen, da kein Schlüsselaustausch stattfinden, einfach plain: " bist du noch da?" --> "Jo"
Mitglied: maretz
maretz 12.06.2021 um 17:46:22 Uhr
Goto Top
Speziell der letzte Teil ist ja das fragwürdige. Es ist im _regelfall_ ein readonly-protokoll. Das Problem ist aber doch: bei einem Angriff ist es eben kein Regelfall. Vgl. es einfach mal mit nem (heute zum glück recht selten erfolgreichen) Angriff auf die IIS-Server: Da war auch gedacht: Naja, kann nich viel passieren bis jemand mal plötzlich ne CMD geöffnet hatte. Und ab dem moment ist das Problem dann da ;). Damit konntest du über den WEBSERVER zwar immer noch nichts machen, aber über die geöffnete CMD natürlich schon :D. Oder siehe ein einfaches Login-Formular was über die alten JavaScripte ging -> wo das Passwort dann schön im Klartext im Script stand. Das Formular an sich war ja auch im regelbetrieb völlig ok... nur wenn jemand nich den regelbetrieb genutzt hat und sich das JS angesehen hat war halt blöd...

Von daher würde ich halt immer erst davon ausgehen das alles was nich gesichert ist auch kaputtgemacht werden kann. Und das oft auf einem Weg an den der Hersteller eben einfach nich gedacht hat...
Mitglied: aqui
aqui 12.06.2021 aktualisiert um 17:55:29 Uhr
Goto Top
als Facherrichter
Wie geht denn facherrichten ?? Nie gehört... Ist das was Unanständiges ?
will noch dieses Jahr einen Cloud Service starten
Ha ha ha.... da macht man den Bock zum Gärtner wenn die nach Hause telefonieren. Ganz sicher dann in eine Chinesen oder US Cloud wo man dann weiss wo die Anlage steht, welchen Status sie hat und ob scharf oder nicht sprich wann der Panzerknacker freie Bahn hat ?! Das Polling der "Nach Hause Telefonier" Funktion hält dann so oder so schön einen Port in der Firewall offen. Ein Schelm wer Böses dabei denkt... !!
Mitglied: brammer
brammer 12.06.2021 um 18:30:09 Uhr
Goto Top
Hallo,

Ganz ehrlich: eine Einbruchmeldeanlage die kein VPN kann ist den Schrottpreis in Kilo nicht Wert.

wieso kann die dämliche Kiste das nicht?

brammer
Mitglied: Vision2015
Vision2015 12.06.2021 um 18:44:57 Uhr
Goto Top
moin...
Zitat von @brammer:

Hallo,

Ganz ehrlich: eine Einbruchmeldeanlage die kein VPN kann ist den Schrottpreis in Kilo nicht Wert.

wieso kann die dämliche Kiste das nicht?

brammer
das ist doch klar wie kloßbrühe, jahrzehnte lang haben die teile mit einem analog anschluss, teilweise auch mit isdn(moderne Version) gearbeitet...bis die dusselige Telekom auf Voice over IP umgestiegen ist- und die hersteller den umstieg und mindestens 20 jahre Internet verschlafen haben!
da wird dann mal eben etwas gebastelt und improvisiert... dann kommt da sowas bei raus.

Frank
Mitglied: brammer
brammer 12.06.2021 um 20:29:34 Uhr
Goto Top
Hallo,

@Vision2015

Ich habe solche System mit X.25 / X.31 Jahre lang aus der Leitstelle her betreut... aber das war in '90ern.

brammer
Mitglied: Vision2015
Vision2015 12.06.2021 um 20:55:50 Uhr
Goto Top
moin...
Zitat von @brammer:

Hallo,

@Vision2015

Ich habe solche System mit X.25 / X.31 Jahre lang aus der Leitstelle her betreut... aber das war in '90ern.
hach die 90er.... waren das zeiten, 3000,- DM für einen 386er... rauchen war noch schön, zum kiffen nach NL,
CeBit Partys mit wein weib und gesang, margen bis zu 70% ohne sich zu schämen, und kaum möchtegern admins...
und wolfenstein 3D :-) face-smile



brammer
Frank
Mitglied: it-fraggle
it-fraggle 12.06.2021 um 21:52:25 Uhr
Goto Top
und wolfenstein 3D :-) face-smile
und Doom und Duke Nukem :-D face-big-smile
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 16 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 16 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 9 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...