19.09.2017

2432

Proxy Server Settings Cloud + EWS

Hiho,

ich habe eine kleine Frage an unsere Netzwerk Spezialisten und Security Fans

Also folgendes, wir haben ein IoT Device welches im Netzwerk platziert werden muss.
Das Device benötigt eine Connection zum Azure IoT Hub über (Port 443) und zu einem speziellen NTP Server Port (123).
Außerdem benötigt es Zugriff auf die EWS vom Exchange Server (Port 443).

Soweit so gut, wenn der Exchange Server ein Office 365 Server oder ähnliches ist, ist die Platzierung der IoT Devices nicht kritisch, da beides in der Regel vom Internet aus erreichbar ist.

Eine Schwierigkeit stellt sich heraus wenn der Exchange Server intern ist, da das Device sowohl Zugriff (auf spezielle Server) im Internet benötigt, als auch in das Interne Netz auf den Exchange (EWS).

Jetzt steht das große Theme Proxy im Raum, in der Regel setzen die Unternehmen einen Proxy Server ein, damit könnte man dann im Internen Netz ins Internet auf unsere Server kommunizieren.

Leider besitzt unser Device (noch) keine Proxy Authentifiezierung, was natürlich die Platzierung deutlich schwieriger macht.
Und leider kenne ich mich mit den verschiedenen Proxy Settings nicht so gut aus... (War bisher immer in kleineren Netzwerken und habe einfach einen transparenten Proxy eingerichtet)

Die Entwickler hatten das mit der Proxy Authentifizierung noch nicht hinbekommen, haben aber im letzten Realease eingebaut das man dem Device eine Statische IP konfigurieren kann und man damit auch den Proxy Server entsprechend konfigurieren könnte.

Allerdings ist, mangels meiner bisherigen Erfahrung, mir nicht ganz bewusst wie ich das jetzt am besten umsetzen soll.

Kann mir eventuell von euch jemand sagen wie er so ein Device platzieren würde oder ob das gegen jede Sicherheitsrichtlinie verstoßen würde und schlicht in der Konstellation nicht möglich ist.

Vielen Dank schonmal für eure Antwort

Beste Grüße
Somebody

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 349478

Url: https://administrator.de/contentid/349478

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

17 Kommentare

Neuester Kommentar

Hallo Somebody,

wäre schön, wenn du den Namen, die FW Version usw des IoT Devices nennst.

VG

Hi certifiedit.net,

es ist ein Connect Screen, die Firmware Version habe ich gerade nicht im Kopf, aber diese sollte auch nicht relevant sein?

PS:
Hier ist ein Link zu der Produkt Seite:
http://www.condecosoftware.com/de/produkte/connect-digitales-tuerschild ...

Sieht halbwegs modern aus, würde dem Hersteller nahe legen, dass er das nachentwickelt.

Ja, es steht auf der Agenda.

Kennst du dich mit Proxy Servern und ihren Einstellmöglichkeiten aus?

Kann man da nicht "einfach" konfigurieren das die IP 10.10.10.10 (Display1) auf die entsprechenden Server von intern zugreifen kann und das ohne Authentifizierung am Proxy? Ist das wirklich ein großer Einschnitt in die Sicherheitsrichtlinien?

Beste Grüße
Somebody

Hallo,

Zitat von @SomebodyToLove:
Kann man da nicht "einfach" konfigurieren das die IP 10.10.10.10 (Display1) auf die entsprechenden Server von intern zugreifen kann und das ohne Authentifizierung am Proxy? Ist das wirklich ein großer Einschnitt in die Sicherheitsrichtlinien?

Nun, das hängt davon ab was und welchen Proxy du verwendest. Der eine kann, der andere nicht. Wirst du bei deinen Proxy schauen müssen was der denn will. Ansonsten für deine Leuchttafel einen eigene Proxy aufsetzen und gut ist. Warum muss die Tablette den ins Internet um die Uhrzeit zu aktualisieren, habt ihr keine Domäne wo du deine Zeit mit abgleichen kannst? Nur das ins Internet lassen was wirklich nöctig ist sonst regeln deine Leuchttafeln irgandwann was du in dein Netz darfst. Solange das IoT für dich nur das schwarze kleine darstellt - lass di aus dein netz raus, mach dafür ein eigenes. VLAN und Co. ist ja heute nicht mehr das Problem oder dort ein eigenes LAN machen.

Gruß,
Peter

Das kommt immer auf den Proxy und das Design an. Ggf. wäre auch ein eigener Netzabschnitt für das Device sinnvoll, dann brauchst du nur die entsprechenden Regeln für EX, NTP und in die Wolke setzen, der Rest Block. IoT reisst leider regelmäßig löcher in die Sicherheitsrichtlinie, offensichtlich machen sich die Entwickler darum auch kaum Gedanken...aber wen wundert es, wenn UTM Anbieter mittlerweile mit Cloudfirewalls werben (?!?)...auf der anderen Seite sind den vielen Ihre Daten anscheinend auch total egal...

Zitat von @SomebodyToLove:

Hi Peter,

die Leuchttafel holt teile seiner config aus der Wolke und natürlich überprüft es auch die Lizenzierung, es werden aber keine Benutzernamen oder Passwörter in der Wolke gespeichert. Es bekommt zum Beispiel die EWS URL aus der Wolke. Zusätzlich sendet es die Auslastung der Meeting Räume ins Portal und man erhält eine schicke Übersicht wie die Räume ausgelastet sind.

Es geht darum wie ich meine "Leuchttafel" (Schönes Wort

) im allgemeinen in Netzwerken platzieren kann. Also es sollte am besten eine Universallösung sein, aber so wie es klingt gibt es diese leider nicht. Zumindestens nicht so schön einfach wie ich mir das ausgemalt habe.

Wenn ich alles richtig verstanden habe würdest du, als eleganteste Lösung vorschlagen ein VLAN zu bilden, für die Leuchttafeln, welches auf den NTP Server zugreifen kann, auf den IoT Hub und auf den internen EWS.

Wie würdest du das aus der Sicherheitsbrille sehen? Klingt für mich erstmal nach nicht dem größten Einfallstor.

@certifiedit.net
Grundsätzlich werden sich große Gedanken um die Sicherheit gemacht, auch das Thema Proxy Authentifizierung ist groß. Allerdings gab es wohl bei der implementierung unvorhergesehene Probleme.
Aber wenn ich deinen Ansatz richtig verstehe bist du unterm Strich auch auf einer Wellenlänge mit Peter. Die Displays in ein eigenes VLAN hängen die entsprechenden Port´s und URL´s freigeben und Punkt

Alternativ auf Proxy Authentifizierung warten. Bzw. die entsprechenden Port´s und URL´s über eine IP-Adressen Regel freigeben (Wenn vom Proxy unterstützt)

Vielen Dank für eure Antworten und eurem Input zu meinen Überlegungen

.

Beste Grüße
Somebody

Prinzipiell ja, aber lass die ', ´ usw vor dem 's' weg

VLAN, entsprechendes Netz und aus dem darf wirklich nur auf den einen Server (je Dienst) Zugegriffen werden. Mehr sollte sowieso nicht, weniger kannst du offensichtlich nicht.

VG

PS: Was für ein Proxy habt ihr denn nun im Einsatz?

Zitat von @certifiedit.net:

Prinzipiell ja, aber lass die ', ´ usw vor dem 's' weg

Hehe, okay

PS: Was für ein Proxy habt ihr denn nun im Einsatz?

Ähm, ich muss mich im allgemeinen um implementierungen beim Kunden kümmern. Also sind alle möglichen Proxy Server.
Ich bin technisch Grundsätzlich auch bewandert, aber leider habe ich mich bisher noch nicht groß mit Proxy Servern auseinander gesetzt und das war eben immer das erste Agument welches ich zu hören bekommen habe.

Quasi:

Meine Aussage:
"Das Device benötigt Zugriff auf Azure und EWS"

Antwort:
"Okay, wo kann ich die Proxy Authentifizierung eintragen"

Meine Antwort:
"Proxy Authentifizierung funktioniert aktuell leider noch nicht"

Antwort:
"Okay, dann können wir das leider nicht implementieren"

Deshalb dachte ich, um meine Wissenslücke etwas auszufüllen, frage ich hier mal nach wie das andere sehen bzw. implementieren würden.

Jetzt kann ich zumindestens den Denkanstoß geben das man dies auch über ein VLAN implementieren kann.

Von dem her danke ich euch wirklich 1.000 mal für eure Hilfe

Sind das denn unterschiedliche Kunden oder wie ist das?

Ja, unterschiedliche Kunden in unterschiedlichen Netzwerkstrukturen...

Aber unterm Strich ist es ja alles ähnlich aufgebaut in größeren Netzwerken.

Hallo,

Zitat von @SomebodyToLove:
Aber unterm Strich ist es ja alles ähnlich aufgebaut in größeren Netzwerken.

Und da wunderst du dich das man dich in der Luft auseinander nimmt? Klar haben alle einen Router, einen Switch, Kabel und ein grossteil sogar Patchpanels, Netzwerkschränke, Klimaanlagen, Notstromgeräte, und und und... Wenn du also kommst und euren (Groß)Kunden so eine Flurbeleuchtung verpassen willst / aufbauen willst bekommst du schnell zu hören wo das IoT hingehört. Für mich hört sich das nicht an das ihr euch über das Thema Sicherheit und IoT überhaupt Gedanken gemacht habt. Spezifiziere doch mal eurer

Grundsätzlich werden sich große Gedanken um die Sicherheit gemacht, auch das Thema Proxy Authentifizierung ist groß.

und welche Gedanken da so kreisen und warum das Them Proxy Authentifizierung groß ist? Wenn ihr also Dienstleiter oder Wiederverkäufer dort seid oder gar der Hersteller und das Them Sicherheit und IoT euch schon schwitzen lässt.....

Eine Firma mit nur einer Fritte als Router/Switch / Patchpanel mag das ja so wie von euch gedacht hinnehmen und einsetzen, aber die kaufen das nicht weil deren Flurbeleuchtung schon vorhanden ist bzw. gar keine Meeting Rooms hat, ein (Groß)Kunde mt 2000 Mitarbeitern und zig Meeting Rooms welche eine Grafische aufbereitung brauchen um die Leuchttafeln im Flur zu Rechtfertigen, daort haben Verantwortliche IT leute die ein wenig mit den Wort Sicherheit was anfangen können bestimmte erwartungen an IoT und was diese können müssen.

Nur so meine Gedanken nach dem nmehrmaligen Lesen des Threads. Vom admin der ein IoT Gerät bereitstellen will nun zum Dienstleister / Vertrieb / Hersteller dieser IoT Geräte aufgestiegen ist.

Gruß,
Peter

Hi Peter,

du schlägst einen rauen Ton an, da bin ich beim lesen ja gleich zusammen gezückt.

Dadurch das das Unternehmen ISO 27001 Zertifiziert ist und die Server entsprechenden Sicherheitsrichtlinien unterworfen sind würde ich sagen das das Thema Sicherheit relevant ist.

Ich verstehe nicht warum du mich so anfauchst? Ich hatte eine Frage diese hattest du mit deiner ersten Antwort fachmänisch und freundlich beantwortest, das Thema war für mich gelöst.

Und jetzt trittst du nach?

Für mich hört sich das nicht an das ihr euch über das Thema Sicherheit und IoT überhaupt Gedanken gemacht habt.

Ich spreche nicht für ein "wir" sondern nur für mich selbst. Und ich selber habe es nicht verstanden. Deshalb wollte ich hier einen Thread erstellen, hätte ich gewusst das ich so zusammengefaltet werde hätte ich es gelassen.
Entschuldige das ich etwas lernen wollte und erfragen wollte wie ein Fachmann im Bereich Netzwerk ein solches Problem angehen würde.

Nur so meine Gedanken nach dem nmehrmaligen Lesen des Threads. Vom admin der ein IoT Gerät bereitstellen will nun zum Dienstleister / Vertrieb / Hersteller dieser IoT Geräte aufgestiegen ist.

Ich hatte doch in keinem Wort geschrieben das ich ein admin bin der ein IoT Gerät bereitstellen möchte?

Sorry, aber darf man hier, als Dienstleister keine solchene Fragen stellen?
Das Produkt hatte ich extra nicht erwähnt, da es doch eigentlich nicht relevant ist - es könnte auch ein anderes Gerät sein welches sowohl mit der "Cloud" als auch mit einem anderen internen Server z.B. Webserver sprechen müsste...

Mich hat es lediglich interessiert wie andere so ein Problem angehen würden und was für alternative wege gegangen werden können.

Entschuldige die lange Antwort.

Ich bedanke mich für deine vorrangegangen Hilfe.
Aber deine jetzige Antwort hat mich echt getroffen

Puh, ich dachte auch, du wärst ein interner Admin. Imho dreht sich das Bild nun von "sicherheitsbewusster Admin" zu einem Vertriebler von einem unausgereiften und unsicheren (andere Worte wären möglich) Produkt. Leider kommt mit deiner Antwort auch nur der "Verkäufer" durch...echt getroffen? na gut....

Peter, volle Zustimmung.

Hallo,

Zitat von @SomebodyToLove:
da bin ich beim lesen ja gleich zusammen gezückt.

Nicht doch

Dadurch das das Unternehmen ISO 27001 Zertifiziert ist und die Server entsprechenden Sicherheitsrichtlinien unterworfen sind würde ich sagen das das Thema Sicherheit relevant ist.

Sagt aber nichts über den Sachverstand der Mitarbeiter aus, oder?

das Thema war für mich gelöst.

Warum diskutierst du dann immer noch?

Und jetzt trittst du nach?

Nö, ich habe mich nur in der laufenden Diskussion bemerkbar gemacht, nix nachtreten.

Ich spreche nicht für ein "wir" sondern nur für mich selbst

Ja, das ist schon klar und das du es nicht für den Lebensalltag benötigst ist auch klar. Aber bitte verstehe uns hier, Es ist ein Forum welches sich "Administrator" nennt, wir kennen dich und deine bedürfnisse und Fachkentnisse nicht und du stellst Fragen zur Sicherheit mit IoT Geräten, was sollen wir uns dann denken?

Entschuldige das ich etwas lernen wollte und erfragen wollte wie ein Fachmann im Bereich Netzwerk ein solches Problem angehen würde.

Ich finde dazu ist das Forum nicht die richtige Wahl um Ausbildung zu betreiben.

Ich hatte doch in keinem Wort geschrieben das ich ein admin bin der ein IoT Gerät bereitstellen möchte?

Lies doch einfach den Thread mit etwas Abstand genau durch. Welche eindruck gewinnst du über deine Fragen und deiner Person? Vom einfachen fragen eines benutzers nach Grundlagen die auch für IoT Geräte gelten sollten welche in Grossunternehmen eingestezt werden sollen (kleine Unternehmen haben kaum/keine Bedarf an zusätzlciher Flurbeleuchtung

) bis zum

ich muss mich im allgemeinen um implementierungen beim Kunden kümmern

und

unterschiedliche Kunden in unterschiedlichen Netzwerkstrukturen.

Und dein Fazit daraus

Aber unterm Strich ist es ja alles ähnlich aufgebaut in größeren Netzwerken.

Was sollen wir uns also denken was sich wirklich dahinter verbirgt? Wir hier im Forum liefern dir die Lösungen damit Ihr die dicke Kohle eintütet?

Sorry, aber darf man hier, als Dienstleister keine solchene Fragen stellen?

Doch, aber Grundlagen sollte schon beherrscht werden.

Das Produkt hatte ich extra nicht erwähnt, da es doch eigentlich nicht relevant ist - es könnte auch ein anderes Gerät sein welches sowohl mit der "Cloud" als auch mit einem anderen internen Server z.B. Webserver sprechen müsste...

Dein

zu einem speziellen NTP Server Port (123).

sagt doch eine ganze Menge aus, gerade wenn es um Kunde geht die eigentlich fast alles in einer Domäne betreiben. Da gehört dann euer IoT definitiv dann nicht ins Firmennetzwerk - komplett eigenes oder zumindest per VLAN abtrennen...

Mich hat es lediglich interessiert wie andere so ein Problem angehen würden und was für alternative wege gegangen werden können.

Was nützen Alternativen wenn das IoT es nicht kann oder die Möglichkeiten dieses einen bestimmten Proxy nicht bekannt sind? Un d nein, es ist kein Problem so ein IoT einzusetzen. Das kann genauso gut ein Kühlschrank oder Bügeleisen sein der per IoT einen ganz bestimmten NTP Server nutzen muss

Aber deine jetzige Antwort hat mich echt getroffen

Bitte nicht, es ist ja nur meine Sichtweise

Ein IoT gerät ist genauso zu betrachten wie andere netzwerkgeräte auch. Und die muss ich dann immer auch im Kontext meines Sicherheitskonzepts betrachten und wenn etwas nicht geeignet ist, muss es eben zum Edelschrott gebracht werden. Jedes Unterhmen ist da auch anders gestrickt, auch wenn jedes irgendwie ein Switch, Router und Patchpanels hat

Bedenke bitte, wir sind hier Blind und Taub, wir Lesen nur was du uns Schreibst.

Gruß,
Peter

Alles gut

Sorry ist wohl etwas aus der Bahn gelaufen.

Ich habe es irgendwie vor der Mittagspause in den falschen Hals bekommen :/

Und ich habe eure Antworten hier schon öfter gelesen und diese waren immer sehr hilfreich.
Ich möchte hier auf jeden Fall keinen Krieg anzetteln.

Ich verdiene nur indirekt damit Geld, es geht mir nicht darum das Ding am besten an den Mann zu bringen. Sondern die beste Strategie wie man es ins Netzwerk platzieren kann.

Ich werde keinerlei derartigen Fragen mehr stellen. Wahrscheinlich war mein Eingangspost zu undeutlich.

Letzten Endes wäre ich selber lieber wieder Sysadmin.

Und bitte nehmt meine Entschuldigung an.

Ich kann euch versichern das ich kein Profitgeier bin!

Nochmal tausend Dank für eure Antwort!