17
IP Filter Sicherheit?
Guten Abend,
Ich habe eine Anlage (EMA), welche unvermeidlich zur Kommunikation eine Portfreigabe benötigt, d.h. kein Reverse-Proxy etc. Ich weiß dass ein VPN in diesem Fall das Maß der Dinge ist, dennoch interessiert mich ob eine Portfreigabe mit IP Filter (Unifi) eine zusätzliche Sicherheit zur normalen PF bringt? Auf welcher Ebene schützt mich der IP Filter und gibt es diesbezüglich bekannte Schwachstellen?
MFG
CrunkFX
Ich habe eine Anlage (EMA), welche unvermeidlich zur Kommunikation eine Portfreigabe benötigt, d.h. kein Reverse-Proxy etc. Ich weiß dass ein VPN in diesem Fall das Maß der Dinge ist, dennoch interessiert mich ob eine Portfreigabe mit IP Filter (Unifi) eine zusätzliche Sicherheit zur normalen PF bringt? Auf welcher Ebene schützt mich der IP Filter und gibt es diesbezüglich bekannte Schwachstellen?
MFG
CrunkFX
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 667521
Url: https://administrator.de/contentid/667521
Printed on: May 1, 2024 at 21:05 o'clock
17 Comments
Latest comment
moin...
aber gut, egal ob IP Filter oder PF (was verstehst du unter PF?)grundsätzlich ist der Packetfilter nicht das Problem, sondern die Applikation, für die du ein loch in die Firewall gebohrt hast, wie sicher ist dein uns unbekannter dienst hinter dem port der offen ist?
MFG
CrunkFX
Frank
Zitat von @CrunkFX:
Guten Abend,
Ich habe eine Anlage (EMA), welche unvermeidlich zur Kommunikation eine Portfreigabe benötigt, d.h. kein Reverse-Proxy etc. I
du hast eine "Was genau" beschreib und doch mal deine "Anlage" und mit wem oder was kummuniziert das teil?Guten Abend,
Ich habe eine Anlage (EMA), welche unvermeidlich zur Kommunikation eine Portfreigabe benötigt, d.h. kein Reverse-Proxy etc. I
ich weiß dass ein VPN in diesem Fall das Maß der Dinge ist, dennoch interessiert mich ob eine Portfreigabe mit IP Filter (Unifi) eine zusätzliche Sicherheit zur normalen PF bringt? Auf welcher Ebene schützt mich der IP Filter und gibt es diesbezüglich bekannte Schwachstellen?
von welchem OS reden wir eigentlich?aber gut, egal ob IP Filter oder PF (was verstehst du unter PF?)grundsätzlich ist der Packetfilter nicht das Problem, sondern die Applikation, für die du ein loch in die Firewall gebohrt hast, wie sicher ist dein uns unbekannter dienst hinter dem port der offen ist?
MFG
CrunkFX
Moin CrunkFX,
die sauberste Möglichkeit hast du ja schon selbst genannt, VPN und gut ist.
Und auch bei einem VPN bitte darauf achten, dass nur die notwendigen Hosts und auch nur mit den notwendigen Ports miteinander kommunizieren können und nicht einfach Subnetz gegen Subnetz mit any freigeben.
Wenn VPN nicht möglich ist, dann solltest du die direkte Portfreigabe nur dann machen, wenn du diese exakt auf bestimmte Quellen
einschränken kannst, z.B. die festen externen IP's des Überwachungsdienstleisters.
Ohne eine zuverlässige Einschränkung der Quellzugriffe, würde ich dringendst davon abraten, eine EMA einfach so im Internet zu veröffentlichen.
Beste Grüsse aus BaWü
Alex
die sauberste Möglichkeit hast du ja schon selbst genannt, VPN und gut ist.
Und auch bei einem VPN bitte darauf achten, dass nur die notwendigen Hosts und auch nur mit den notwendigen Ports miteinander kommunizieren können und nicht einfach Subnetz gegen Subnetz mit any freigeben.
Wenn VPN nicht möglich ist, dann solltest du die direkte Portfreigabe nur dann machen, wenn du diese exakt auf bestimmte Quellen
einschränken kannst, z.B. die festen externen IP's des Überwachungsdienstleisters.
Ohne eine zuverlässige Einschränkung der Quellzugriffe, würde ich dringendst davon abraten, eine EMA einfach so im Internet zu veröffentlichen.
Beste Grüsse aus BaWü
Alex
Hallo,
EMA = Einbruchmeldeanlage?
landläufig Alarmanlage?
meinst du das?
Wenn du einen VPN Tunnel verwendest hast du doch eine Authentizität schon verifiziert.
Eine 2. Authentifizierung macht eher wenig Sinn.
brammer
EMA = Einbruchmeldeanlage?
landläufig Alarmanlage?
meinst du das?
Wenn du einen VPN Tunnel verwendest hast du doch eine Authentizität schon verifiziert.
Eine 2. Authentifizierung macht eher wenig Sinn.
brammer
Hallo,
Sorry wenn ich etwas undeutlich war ;).
Nun eine EMA ist eine Einbruchmeldeanlage. In diesem Fall speziell eine Telenot.
Nun zum Problem:
Die Anlage soll direkt mit einer Alarm-Empfangszentrale kommunizieren. Da der Wachdienst kein VPN bereitstellen kann und sich auch nicht mit unserem verbinden kann/will muss ich über eine Portfreigabe gehen. Mich würde nur interessieren ob die IP Filterung bei der Portfreigabe im Unifi Controller mir zusätzliche Sicherheit bringt oder nicht.
Die Anlage selbst bietet eine DOS protection die bei mehr als 50 Zugriffen gleichzeitig den LAN Port abschaltet und auf GSM umsteigt. Ich möchte gerne den Übertragungsweg so sicher wie möglich einrichten und diese Herangehensweise dann auch entsprechend unter den Mitarbeitern kommunizieren.
MFG
CrunkFX
Sorry wenn ich etwas undeutlich war ;).
Nun eine EMA ist eine Einbruchmeldeanlage. In diesem Fall speziell eine Telenot.
Nun zum Problem:
Die Anlage soll direkt mit einer Alarm-Empfangszentrale kommunizieren. Da der Wachdienst kein VPN bereitstellen kann und sich auch nicht mit unserem verbinden kann/will muss ich über eine Portfreigabe gehen. Mich würde nur interessieren ob die IP Filterung bei der Portfreigabe im Unifi Controller mir zusätzliche Sicherheit bringt oder nicht.
Die Anlage selbst bietet eine DOS protection die bei mehr als 50 Zugriffen gleichzeitig den LAN Port abschaltet und auf GSM umsteigt. Ich möchte gerne den Übertragungsweg so sicher wie möglich einrichten und diese Herangehensweise dann auch entsprechend unter den Mitarbeitern kommunizieren.
MFG
CrunkFX
moin...
Nun eine EMA ist eine Einbruchmeldeanlage. In diesem Fall speziell eine Telenot.
ah...
Nun zum Problem:
Die Anlage soll direkt mit einer Alarm-Empfangszentrale kommunizieren. Da der Wachdienst kein VPN bereitstellen kann und sich auch nicht mit unserem verbinden kann/will muss ich über eine Portfreigabe gehen. Mich würde nur interessieren ob die IP Filterung bei der Portfreigabe im Unifi Controller mir zusätzliche Sicherheit bringt oder nicht.
nö... bringt nicht mehr sicherheit!
was du aber machen kannst, das teil in ein Vlan / DMZ hängen.. so das auch keine anwender aus dem netz darauf zugriff haben.
Nun eine EMA ist eine Einbruchmeldeanlage. In diesem Fall speziell eine Telenot.
Nun zum Problem:
Die Anlage soll direkt mit einer Alarm-Empfangszentrale kommunizieren. Da der Wachdienst kein VPN bereitstellen kann und sich auch nicht mit unserem verbinden kann/will muss ich über eine Portfreigabe gehen. Mich würde nur interessieren ob die IP Filterung bei der Portfreigabe im Unifi Controller mir zusätzliche Sicherheit bringt oder nicht.
was du aber machen kannst, das teil in ein Vlan / DMZ hängen.. so das auch keine anwender aus dem netz darauf zugriff haben.
Die Anlage selbst bietet eine DOS protection die bei mehr als 50 Zugriffen gleichzeitig den LAN Port abschaltet und auf GSM umsteigt.
Ich möchte gerne den Übertragungsweg so sicher wie möglich einrichten und diese Herangehensweise dann auch entsprechend unter den Mitarbeitern kommunizieren.
MFG
CrunkFX
FrankIch möchte gerne den Übertragungsweg so sicher wie möglich einrichten und diese Herangehensweise dann auch entsprechend unter den Mitarbeitern kommunizieren.
MFG
CrunkFX
was du aber machen kannst, das teil in ein Vlan / DMZ hängen.. so das auch keine anwender aus dem netz darauf zugriff haben.
Oder, im Falle, dass das Gerät "übernommen" wurde, der Angreifer in einem eigenen Netz eingesperrt ist und nichts machen kann.
Das Grundübel bei Port Forwarding ist immer das man damit ein Loch in die Firewall bohrt und so immer ungeschützten Internet Traffic ebenfalls ungeschützt ins interne Netzwerk lässt. Egal ob Filter oder nicht. Der Traffic ist im internen Netz und wenn Fremde das als Vehikel nutzen hast du ein Problem. Bei einer EMA eigentlich ein absolutes NoGo und an einem VPN führt da normal kein Weg vorbei. Sagt einem auch der gesunde Security Menschenverstand sofort.
Die Frage ist letztlich ob DU selber mit so einem unsicheren Setup leben kannst. Das kannst du dir nur selbst beantworten aber ein Forum logischerweise nicht.
Ein verantwortungsvoller Administrator würde sowas niemals machen. Deshalb auch die obigen entsprechenden Empfehlungen zu einem VPN !
Die Frage ist letztlich ob DU selber mit so einem unsicheren Setup leben kannst. Das kannst du dir nur selbst beantworten aber ein Forum logischerweise nicht.
Ein verantwortungsvoller Administrator würde sowas niemals machen. Deshalb auch die obigen entsprechenden Empfehlungen zu einem VPN !
Nun - und da stellst du dir nicht die Frage ob es der richtige ANBIETER für so eine Anlage ist?
Ich mein - die sollen ja nen System abliefern was deine Butze absichert, erstmal gut. Dafür sollst du aber ein Loch in deine bestehende Absicherung machen? Hört sich jetzt für mich irgendwie merkwürdig an. Wenn du von denen nen Sicherheitsdienst beauftragst der einmal am Tag in deiner Bude nach dem rechten sieht - musst du dann auch den Haustürschlüssel stecken lassen?
Du weisst ja vermutlich nichts über die Anlage... du kannst die jetzt höchstens in ein eigenes VLAN packen was schon mal auf nix internes nen Zugriff hat. Dann musst du trotzdem hoffen das es keine "Lücken" in der applikation deiner Anlage gibt - weil sonst nen Einbrecher ja ggf. diese ebenfalls ausnutzen kann und die Anlage einfach abschaltet wenn er reingehen will... Wenn ich überlege das es heute problemlos machbar ist sich Kreditkarten, (Mail-)Adressen usw. zu kaufen - wer sagt mir denn das man nicht auch morgen ne schöne Adressliste mit solchen Anlagen, Explits und den zugehörigen Heim-Adressen bekommt? Und viel Spass dann der Versicherung zu erklären wieso die Alarmanlage zufällig genau zum Zeitpunkt des Einbruchs aus was ...
Ich mein - die sollen ja nen System abliefern was deine Butze absichert, erstmal gut. Dafür sollst du aber ein Loch in deine bestehende Absicherung machen? Hört sich jetzt für mich irgendwie merkwürdig an. Wenn du von denen nen Sicherheitsdienst beauftragst der einmal am Tag in deiner Bude nach dem rechten sieht - musst du dann auch den Haustürschlüssel stecken lassen?
Du weisst ja vermutlich nichts über die Anlage... du kannst die jetzt höchstens in ein eigenes VLAN packen was schon mal auf nix internes nen Zugriff hat. Dann musst du trotzdem hoffen das es keine "Lücken" in der applikation deiner Anlage gibt - weil sonst nen Einbrecher ja ggf. diese ebenfalls ausnutzen kann und die Anlage einfach abschaltet wenn er reingehen will... Wenn ich überlege das es heute problemlos machbar ist sich Kreditkarten, (Mail-)Adressen usw. zu kaufen - wer sagt mir denn das man nicht auch morgen ne schöne Adressliste mit solchen Anlagen, Explits und den zugehörigen Heim-Adressen bekommt? Und viel Spass dann der Versicherung zu erklären wieso die Alarmanlage zufällig genau zum Zeitpunkt des Einbruchs aus was ...
moin...
Frank
Zitat von @aqui:
Das Grundübel bei Port Forwarding ist immer das man damit ein Loch in die Firewall bohrt und so immer ungeschützten Internet Traffic ebenfalls ungeschützt ins interne Netzwerk lässt. Egal ob Filter oder nicht. Der Traffic ist im internen Netz und wenn Fremde das als Vehikel nutzen hast du ein Problem. Bei einer EMA eigentlich ein absolutes NoGo und an einem VPN führt da normal kein Weg vorbei. Sagt einem auch der gesunde Security Menschenverstand sofort.
Die Frage ist letztlich ob DU selber mit so einem unsicheren Setup leben kannst. Das kannst du dir nur selbst beantworten aber ein Forum logischerweise nicht.
Ein verantwortungsvoller Administrator würde sowas niemals machen. Deshalb auch die obigen entsprechenden Empfehlungen zu einem VPN !
das ist richtig, allerdings Telenot kann mit VPN nicht arbeiten, ich habe einige kunden, die den mist haben...Das Grundübel bei Port Forwarding ist immer das man damit ein Loch in die Firewall bohrt und so immer ungeschützten Internet Traffic ebenfalls ungeschützt ins interne Netzwerk lässt. Egal ob Filter oder nicht. Der Traffic ist im internen Netz und wenn Fremde das als Vehikel nutzen hast du ein Problem. Bei einer EMA eigentlich ein absolutes NoGo und an einem VPN führt da normal kein Weg vorbei. Sagt einem auch der gesunde Security Menschenverstand sofort.
Die Frage ist letztlich ob DU selber mit so einem unsicheren Setup leben kannst. Das kannst du dir nur selbst beantworten aber ein Forum logischerweise nicht.
Ein verantwortungsvoller Administrator würde sowas niemals machen. Deshalb auch die obigen entsprechenden Empfehlungen zu einem VPN !
Frank
Erst einmal vielen Dank für eure ehrlichen Meinungen. Ich habe selbst einige Jahre als Facherrichter dieser Anlagen gearbeitet und dabei etliche grausame Installationen gesehen. Honeywell z.b. konnte bis Anfang dieses Jahres bei deren EMA's und Wählgeräten nur http .
Die Errichter kümmert das nicht( vermutlich auch durch fehlendes Fachwissen) allerdings ist es aus der Admin Perspektive betrachtet ein ziemlich schwieriges Thema. Ich kann ja dem Wachdienst nicht vorschreiben wie er die Meldungen annehmen soll und auch der Errichter Firma in diesem Fall nicht sagen baut den Rummel ab und hängt da was anderes hin.
Wie auch immer. VLAN ist in diesem Moment wahrscheinlich tatsächlich die beste Lösung. Telenot will noch dieses Jahr einen Cloud Service starten, hauptsächlich um das DSLite Problem anzugehen. Ich hoffe das man sich hierbei etwas mehr Mühe geben wird, ich werde berichten.
Die Anlage verwendet als Protokoll SIA-DC09 daher ist die Verbindung zwar read-only (sprich ich kann via Protokoll die Anlage nicht bedienen, allerdings empfängt die Anlage Rückmeldungen von der Leitstelle, daher meine bedenken bezüglich IP Sicherheit (MiTM Attack o.ä. würdwn sowohl Anlage als auch Leitstelle nicht mitbekommen, da kein Schlüsselaustausch stattfinden, einfach plain: " bist du noch da?" --> "Jo"
Die Errichter kümmert das nicht( vermutlich auch durch fehlendes Fachwissen) allerdings ist es aus der Admin Perspektive betrachtet ein ziemlich schwieriges Thema. Ich kann ja dem Wachdienst nicht vorschreiben wie er die Meldungen annehmen soll und auch der Errichter Firma in diesem Fall nicht sagen baut den Rummel ab und hängt da was anderes hin.
Wie auch immer. VLAN ist in diesem Moment wahrscheinlich tatsächlich die beste Lösung. Telenot will noch dieses Jahr einen Cloud Service starten, hauptsächlich um das DSLite Problem anzugehen. Ich hoffe das man sich hierbei etwas mehr Mühe geben wird, ich werde berichten.
Die Anlage verwendet als Protokoll SIA-DC09 daher ist die Verbindung zwar read-only (sprich ich kann via Protokoll die Anlage nicht bedienen, allerdings empfängt die Anlage Rückmeldungen von der Leitstelle, daher meine bedenken bezüglich IP Sicherheit (MiTM Attack o.ä. würdwn sowohl Anlage als auch Leitstelle nicht mitbekommen, da kein Schlüsselaustausch stattfinden, einfach plain: " bist du noch da?" --> "Jo"
Speziell der letzte Teil ist ja das fragwürdige. Es ist im _regelfall_ ein readonly-protokoll. Das Problem ist aber doch: bei einem Angriff ist es eben kein Regelfall. Vgl. es einfach mal mit nem (heute zum glück recht selten erfolgreichen) Angriff auf die IIS-Server: Da war auch gedacht: Naja, kann nich viel passieren bis jemand mal plötzlich ne CMD geöffnet hatte. Und ab dem moment ist das Problem dann da ;). Damit konntest du über den WEBSERVER zwar immer noch nichts machen, aber über die geöffnete CMD natürlich schon :D. Oder siehe ein einfaches Login-Formular was über die alten JavaScripte ging -> wo das Passwort dann schön im Klartext im Script stand. Das Formular an sich war ja auch im regelbetrieb völlig ok... nur wenn jemand nich den regelbetrieb genutzt hat und sich das JS angesehen hat war halt blöd...
Von daher würde ich halt immer erst davon ausgehen das alles was nich gesichert ist auch kaputtgemacht werden kann. Und das oft auf einem Weg an den der Hersteller eben einfach nich gedacht hat...
Von daher würde ich halt immer erst davon ausgehen das alles was nich gesichert ist auch kaputtgemacht werden kann. Und das oft auf einem Weg an den der Hersteller eben einfach nich gedacht hat...
1als Facherrichter
Wie geht denn facherrichten ?? Nie gehört... Ist das was Unanständiges ?will noch dieses Jahr einen Cloud Service starten
Ha ha ha.... da macht man den Bock zum Gärtner wenn die nach Hause telefonieren. Ganz sicher dann in eine Chinesen oder US Cloud wo man dann weiss wo die Anlage steht, welchen Status sie hat und ob scharf oder nicht sprich wann der Panzerknacker freie Bahn hat ?! Das Polling der "Nach Hause Telefonier" Funktion hält dann so oder so schön einen Port in der Firewall offen. Ein Schelm wer Böses dabei denkt... !!
Hallo,
Ganz ehrlich: eine Einbruchmeldeanlage die kein VPN kann ist den Schrottpreis in Kilo nicht Wert.
wieso kann die dämliche Kiste das nicht?
brammer
Ganz ehrlich: eine Einbruchmeldeanlage die kein VPN kann ist den Schrottpreis in Kilo nicht Wert.
wieso kann die dämliche Kiste das nicht?
brammer
moin...
da wird dann mal eben etwas gebastelt und improvisiert... dann kommt da sowas bei raus.
Frank
Zitat von @brammer:
Hallo,
Ganz ehrlich: eine Einbruchmeldeanlage die kein VPN kann ist den Schrottpreis in Kilo nicht Wert.
wieso kann die dämliche Kiste das nicht?
brammer
das ist doch klar wie kloßbrühe, jahrzehnte lang haben die teile mit einem analog anschluss, teilweise auch mit isdn(moderne Version) gearbeitet...bis die dusselige Telekom auf Voice over IP umgestiegen ist- und die hersteller den umstieg und mindestens 20 jahre Internet verschlafen haben!Hallo,
Ganz ehrlich: eine Einbruchmeldeanlage die kein VPN kann ist den Schrottpreis in Kilo nicht Wert.
wieso kann die dämliche Kiste das nicht?
brammer
da wird dann mal eben etwas gebastelt und improvisiert... dann kommt da sowas bei raus.
Frank
2
Hallo,
@Vision2015
Ich habe solche System mit X.25 / X.31 Jahre lang aus der Leitstelle her betreut... aber das war in '90ern.
brammer
@Vision2015
Ich habe solche System mit X.25 / X.31 Jahre lang aus der Leitstelle her betreut... aber das war in '90ern.
brammer
moin...
CeBit Partys mit wein weib und gesang, margen bis zu 70% ohne sich zu schämen, und kaum möchtegern admins...
und wolfenstein 3D
brammer
Frank
Zitat von @brammer:
Hallo,
@Vision2015
Ich habe solche System mit X.25 / X.31 Jahre lang aus der Leitstelle her betreut... aber das war in '90ern.
hach die 90er.... waren das zeiten, 3000,- DM für einen 386er... rauchen war noch schön, zum kiffen nach NL,Hallo,
@Vision2015
Ich habe solche System mit X.25 / X.31 Jahre lang aus der Leitstelle her betreut... aber das war in '90ern.
CeBit Partys mit wein weib und gesang, margen bis zu 70% ohne sich zu schämen, und kaum möchtegern admins...
und wolfenstein 3D
brammer
4und wolfenstein 3D
und Doom und Duke Nukem 
