Ankündigung

Einklappen
Keine Ankündigung bisher.

Fernwartung

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Fernwartung

    Hoi Zusammen
    ja, das Thema wurde schon einige Male angesprochen.
    Trotzdem frage ich noch einmal nach.

    Gesucht wird eine "günstige" Lösung um an einem Objekt eine Fernwartung durch zu führen. Die Verbindung muss nur auf Wunsch des Kunden zur temporären Umprogrammierung aktiv sein.

    Variante: IP Router im Objekt mit dem LAN verbinden. Auf dem "Internet" Router müsste dann die Port Weiterleitung schon eingerichtet sein.
    Die Verbindung sollte dann möglichst noch "sicher" sein

    Oder gibt es noch bessere,elegantere Lösungen.......?

    Gruss Aendu
    Gruss Aendu
    HS3/HS2/Pronto/.......

    #2
    Wiregate!Da kann der VPN Zugang über eine GA freigegeben und gesperrt werden. Zum Beispiel mittels Taster. Ein TPUART an das Wiregate und fertig ist das.

    Kommentar


      #3
      für die Nutzung des Fernzugriffes mit dem Wiregatemultifunktionsgateway muss auch eine Portforwarding eingerichtet werden? Und die öffentliche IP Adresse muss einem mitgeteilt werden...

      oder gibt es da eine "Serverweiterleitung" von Wiregate?

      Gruss Aendu
      Gruss Aendu
      HS3/HS2/Pronto/.......

      Kommentar


        #4
        Du brauchst nur den Port 1194 UDP für den openvpn auf das Wiregate forwarden. Wenn Du mit dem VPN verbunden bist, kannst Du das Wiregate in der ETS als Schnittstelle einstellen. Mit dem VPN ist es genau so, als ob Du dich direkt vor Ort im lokalen Netzwerk befindest. Die öffentliche IP kannstDu mit dyndns und co auf eine URL mappen. Dein Kunde ist dann z.B. unter fernwartung.com erreichbar.

        Kommentar


          #5
          Schau dir mal die ENA von Enertex an, ich denke das Gerät kann genau das was du alles brauchst.

          Kommentar


            #6
            DYNDNS ist eine Möglichkeit, wie auch eine Fixe IP.
            Jedoch würde ich bevorzugen wenn das "Fernwartungsmodul" via einem Server (wie z.B. Giraportal) erreichbar wäre.
            Ausfall DYNDNS oder plötzliche andere Fixe IP Adresse, wären dann kein Thema mehr.

            Enertex ENA, was ist das , ist das IP Interface gemeint?

            Gruss Aendu
            Gruss Aendu
            HS3/HS2/Pronto/.......

            Kommentar


              #7
              Nein, er meint das Enertex ENA ->> https://knx-user-forum.de/434118-post40.html

              Kommentar


                #8
                Danke...
                Gruss Aendu
                HS3/HS2/Pronto/.......

                Kommentar


                  #9
                  Alternativ zu ena

                  Preview: Der ise smart connect KNX Secure | ise GmbH

                  Kommentar


                    #10
                    Ich sehe das Gerät von ISE nicht wirklich als Alternative zur ENA - auch wenn das sicher relativ oft verkauft werden wird, alleine weil Gira das als OEM hat (demnächst).

                    Das ISE-Gerät hat aus meiner Sicht zwei Vorteile:
                    • Busklemme ist dran, ENA braucht zusätzlich ein IP-Gateway (Tunnel)
                    • Nur 2 TE breit

                    Aber:
                    • Zumindest unter Windows benötigt das einen proprietären Client (SDA Client) - dass das auf / mit anderen Plattformen läuft habe ich bislang nirgends gelesen. In deren Download gibt es auch nur den Windows-Client.
                    • Als "man in the middle" ist da nach meinem Verständnis immer ein Server von ISE dazwischen - das ist der Preis der einfachen Konfiguration - oder eine Massnahme zur Kundenbindung, zur Topologie empfehle ich einen Blick ins Datenblatt, da ist eine Skizze drin mit dem Proxy http://www.ise.de/system/images/53/o...ure-LOWRES.pdf
                    • Diesem Proxy kann man trauen, muss es aber nicht. Schlussendlich steht und fällt die Sicherheit (und die Verfügbarkeit) damit dass dieser eine Server sauber konfiguriert und gewartet wird. Wissen wir nicht. Wer hat seitens ISE oder sonstiger involvierter Dienstleister welchen Zugriff auf den Server? Wissen wir nicht. Was ist wenn der Praktikant seinen lustigen Tag hat? Wissen wir nicht.
                    • Wenn der Server der die Webseite hostet auch der Server ist der als Proxy in der Kommunikation zum Endkundennetz drin hängt dann haben die sich zumindest bei mir erstmal disqualifiziert, weil jemand der auf einem solchen Server ein Wordpress installiert (welches als bugverseuchte Softwarewüste bekannt ist) weiss in meinen Augen nicht was er tut. Nix gegen Wordpress, aber auf einem solchen System hat es nichts zu suchen. Falls das Wordpress auf einem anderen Server läuft ok.
                    • Für die Webpräsens hats nur zum quasi einfachsten (und billigsten) Zertifikat von Globalsign gereicht (Domain validated mit 12 Monaten Laufzeit). Für ein solches System hätte ich da doch etwas mehr erwartet, zumindest dass es inhabervalidiert ist.
                    • Dass die in ihrem Downloadbereich das Rootzertifikat ihrer selbstgebauten CA zur Verfügung stellen lässt mich ein paar Sachen vermuten, das müsste ich allerdings tiefer untersuchen, da fehlt mir aber momentan die Zeit dazu.
                    • Bei einem System derartiger Kritikalität würde ich wegen der Verfügbarkeit einen Servercluster mit mindestens drei Knoten erwarten - für mich sieht das nach einem gemieteten Server bei Hosteurope aus.
                    • Kann ISE in den Datenstrom reinschauen und den auch im Klartext sehen (inkl. z.B. enthaltener Zugangsdaten)? Wissen wir nicht - ich gehe davon aus dass die das können - und wenn sie es nicht können ist es wahrscheinlich ziemlich einfach, das einzubauen. Kontrollieren kann man das von extern nicht.
                    • Kann ISE gar selbst auf die Kundennetze zugreifen, sprich von sich aus eine Verbindung zu einem beliebigen Endkundennetz aufbauen? Wissen wir nicht. Ich gehe davon aus dass die entweder können oder das "bei Bedarf" kurzfristig einbauen können.
                    • Bei einem System derartiger Kritikalität würde ich erwarten dass das System z.B. nach BSI oder ITIL auditiert wurde (von einem externen Auditor der weiss was er tut). Gibts keine Infos dazu.
                    • ISE hat sich da bestimmt angestrengt, ein ordentliches System abzuliefern und deren Partner der da im Impressum (https://securedeviceaccess.net/cms/en/en-impressum/) genannt wird ist bestimmt ein honoriger, zuverlässiger und kompotenter Mann. Leider hat der bis auf ein paar Kleinigkeiten auf seiner Homepage nichts zu Security publiziert (zumindest findet Google da nichts einschlägiges unter dem Namen), zumindest seine Diplomarbeit hat vom Titel her nichts mit Security zu tun gehabt und das Patent an dem er beteiligt ist so wie ich das verstanden habe wohl auch nicht.
                    • Aus meiner Sicht haben wir bei ISE ein (unter dem Security-Aspekt) für Aussenstehende komplett undurchschaubares System vor uns welches auch noch auf einem Proxy beruht der dem der da administrativen Zugriff hat möglicherweise Zugriff auf alle Daten und alle angeschlossenen Kundennetze gibt - und solchen Systemen traue ich aus Prinzip nicht.


                    Dann stellen sich weitere Fragen:
                    • Für welchen Zeitraum garantiert ISE den Betrieb des Proxies?
                    • Was passiert falls es ISE irgendwann nicht mehr gibt?
                    • Wie sieht das Service Level Agreement aus? Welche Verfügbarkeit wird in welchem Zeitraum garantiert? Konventionalstrafe bei Nichteinhaltung?
                    • Wer haftet wie wenn der Proxy kompromittiert wird und dadurch Daten abgegriffen werden oder es in durch den Proxy erreichbaren Kundennetzen zu Schäden kommt?

                    Enertex ENA:
                    • setzt auf gut abgehangene Technologien (OpenVPN, DynDNS, Zertifikate, Reverse Proxy) die millionenfach bewährt sind, wo der Sourcecode offengelegt ist und ein paar tausend Leute drüber geschaut haben.
                    • braucht keinen eigenen (proprietären) Client.
                    • ist komplett endgeräteunabhängig, funktioniert mit Smartphones, Windows, Linux, whatever.
                    • kommt komplett ohne eigenen Server (man in the middle) aus, es gibt niemanden der permanent auf dem Datenstrom sitzt und damit was auch immer machen kann.
                    • Wenn die auch noch die VLANs nach Helmuts Kochbuch einbauen wird das noch sehr viel nützlicher

                    Kommentar


                      #11
                      Hallo zusammen,

                      zu dem Secure von ISE habe ich ein Video gedreht. Wer Zeit & Lust hat, findet es hier: http://youtu.be/RwTpqV7qOYw

                      Gruß
                      Basti

                      Kommentar

                      Lädt...
                      X