Ja über eine VPN Lösung direkt mit dem Server, musst dann aber wohl auch noch durch die Fritze kommen, was bei einigen Internetanschlüssen über Kabelanschluss schwierig wird.

Oder die anderen Wege die Stefan eben nannte.

Ich finde ein sehr umfangreiches Angebot. Ich muss da wirklich bald mal bei euch vorbei schauen und mich mal für ne Stunde über ne Lösung für ein IT-Netzwerk im EFH und dessen Anschluss ans Draussen informieren.

Wie ich oben schon beschrieben habe, arbeiten wir daran, VIER Wege anzubieten, um von außen auf den Timberwolf Server und gglfs. interne Systeme zu kommen:

• Direkt mit OpenVPN
• Direkt mit TLS
• Indirekt mit OpenVPN
• Indirekt mit TLS

TLS gibt es mit Self-Signed-Zertifikat oder mit Zertifikat von SwissSign.

Es kann jeder passend zu seiner Sicherheitsphilosophie das passende auswählen (dazu gehört auch die fünfte Möglichkeit, NICHTS zuzulassen).

lg

Stefan

Sind Verbindungen auch ohne Wolke möglich?

Macht nix. Man kann nicht alle Produkte kennen.

Das ISE Produkt baut ebenfalls eine Verbindung von Innen eine Verbindung in eine Cloud auf und der Client geht erst zur ISE Cloud und dann durch den offenen Tunnel zu Hause ins LAN.

Man hat also keinen DYNDNS (weil das eine der Nachfragen oben war) Service bei dem der INternetanschluss einen netten Namen bekommt sondern wird über die Cloud verbunden.
Mit allen Vor- und Nachteilen.

Hallo Volker,

ich kenne die ISE Lösung nicht. DYNDNS ist bei einer indirekten Verbindung eine andere Baustelle...

Womöglich verstehe ich Deine Nachfrage nicht richtig.

Stefan

Also ähnlich wie die ISE Lösung und kein DynDNS Dienst, oder?

Hallo Markus,

Ja, das wollen wir so realisieren.

• Der Timberwolf Server baut von innen eine OpenVPN-Verbindung zu unserer Cloud auf.
• Die Clients verbinden sich entweder per TLS mit der Cloud und werden über dortige Reverse-Proxies zu Webservices im internen Netz weitergeleitet
• Bzw. die Clients wählen sich selbst per OpenVPN in die Cloud ein und werden dann durchverbunden.

Fertig ist das jetzt noch nicht ganz, da müssen wir noch ein wenig daran arbeiten. Der Hauptaufwand liegt im Konfigurationsinterface und der sicheren Kommunikation mit unserer Cloud.

Wird im nächsten (oder übernächsten) Katalog-Update erklärt.

lg

Stefan

Verstehe ich es richtig, dass Ihr damit einen ähnlichen Service wie www.feste-ip.net anbietet?
Konkret: Ich habe zu Hause Unitymedia mit IPv6 und IPv4 über DS-lite, und möchte aus einem IPv4-Netz auf Wiregate, Smartvisu, ... zugreifen.

Gruß
Markus

Das wird auch noch integriert, genauen Zeitplan kann ich im Moment nicht nennen. Die Priorisierung wird auch davon abhängen, wieviele Kunden das benötigen. Nach meiner Beobachtung ist das eher eine der seltener benötigten Leistungsmerkmale. Auf der anderen Seite ist es keine große Sache. Ich werde das mal intern zur Diskussion geben.

lg

Stefan

Vielen Dank Stefan für deine ausführliche Erklärung.
Muss ich noch mal paar Nächte drüber schlafen, aber hab ja noch ein bisschen Zeit dafür .
Glaub du hast den Nagel auf den Kopf getroffen mit dem Bauchgefühl .

Ich glaub jetzt hab ich noch ein Fehler gefunden
Du schreibst:
Aber im Planungshandbuch auf Seite 70 trifft das nur für den Server 2500 und 2600 sowie 950 zu.
Bei der Prof. Variante des 2400 ist kein Punkt drin.

Hallo Ben,

Danke für den Hinweis, der Authentikator ist im Lieferumfang der 2xxx enthalten, wir haben gestern korrigiert bei uns.


Richtig. Man verbindet sich direkt (per Portweiterleitung) oder indirekt (über unsere Cloud) mit dem Timberwolf Server auf der Basis von TLS (früher als SSL / https bezeichnet). Durch einen Reverse-Proxy auf dem Timberwolf Server kann man sich mit weiteren Web-Ressourcen im Netz verbinden. Die Verschlüsselung und Zugangssicherung übernimmt der Timberwolf Server.


Ja, durchaus.

Es gibt bei IT-Security Fragestellungen (ähnlich wie bei Medizin oder Rechtsthemen) keine kurze oder einfache Antwort die alle Details erfassen würde und jeden Zufrieden stellt. Die Bandbreite der Meinungen ist sehr groß, da Sicherheit zumeist ein Bauchgefühl ist.

Zudem kenne ich weder Deinen Hintergrund noch den der Mitleser, für den einen schreibe ich zu wenig und für den anderen zu viel.

Die drei wichtigsten Dinge die man in Betracht ziehen muss (in aller Kürze):

• Jede Lücke wird gefunden und ausgenutzt. Ein Mitarbeiter hat mal einen Test gemacht und absichtlich ein offenes Mail-Relay mit dem Internet verbunden um zu sehen, wie lange es gedauert hat, bis es gefunden und genutzt wurde. Es hat keine 45 Sekunden gedauert, da war diese "Lücke" entdeckt und wurde von Spammern genutzt. Und damit kommen wir zu einem wesentlichen Punkt: Jede IP-Adresse - und damit jede Port-Weiterleitung - wird durchaus mehrmals pro Sekunde - also hunderttausende Mal am Tag - auf Schwachstellen geprüft. Wenn es eine gibt, wird diese auch ausgenutzt.
• Security is a process, not a product. Diese von Bruce Schneier formulierte Regel ist soetwas wie die "oberste Direktive" der IT-Sicherheit. Es gibt kein Produkt, dass automatisch oder auf ewig sicher ist. Man kann durch entsprechende Systempflege und das richtige Design die Wahrscheinlichkeiten erhöhen, sicher zu sein, mehr nicht. Treibt der Angreifer einen größeren Aufwand, wird er es auch schaffen. Die wirksamste Sicherheitsmaßname ist "keine Verbindung zum Internet".
• Authentifizierung ist wesentlich wichtiger als Verschlüsselung: Das wird oft übersehen, weil Werbung und Medien den Fokus auf "Verschlüsselung" legen. Die überwiegende Mehrzahl aller Angriffe dient dem Verbindungsaufbau (also dem Eindringen in ein System), nicht dem Abhören der Kommunikation). Dies führt leider dazu, dass sich viele Gedanken machen über Verschlüsselung, aber nicht über Passwörter und unsichere Passwörter wählen. Ich schätze, dass mehr als 99% aller Hacks auf unzureichender Authentifizierung bzw. dem Diebstahl der Passwörter basieren. Das ist der Grund, warum wir Hardware Authentikatoren bei den "Professional" Varianten mit ausliefern.

Zu Deiner Frage hinsichtlich Proxy in der DMZ: JA, das ist ansich eine gute Regel. Die DMZ basiert in der Theorie darauf, dass die sich darin befindlichen Hosts in beide Richtungen, sowohl nach außen zum Internet, als auch nach innen zum internen Netz jeweils durch eine Firewall gesichert sind. In der Theorie ist das auch richtig. In der Praxis scheitert das gute Prinzip oft an falsch gesetzten Firewall-Regeln, zu offenen Verbindungsmöglichkeiten nach innen und vor allem wegen schlechter Passworte und mangelnder Pflege aller beteiligten Systeme. Wenn man das alles richtig macht, ist es kein Fehler, den Proxy in einer DMZ zu haben.


Die sicherste Konfiguration wäre

• Der Timberwolf Server ist ausschließlich mit dem Haussteuerungsnetz" zb. mit der KNX Hauptlinie verbunden.
• Es gibt von diesem internen Haussteuerungsnetz KEINE Verbindung woanders hin.
• Die Konfiguration mit ETS und Browser aller Komponenten erfolgt per PC / Tablett das ausschließlich mit diesem Haussteuerungsnetz verbunden ist und im Besten Fall NIE mit mit einem anderen Netz

Leider schließen sich "sicher" und "praktisch" zumeist gegenseitig aus. Kaum jemand wird diese kompromislose harte Linie umsetzen, vor allem aus Bequemlichkeit und dem Komfort, etwas von "unterwegs" zu schalten oder zu ändern. Darum braucht es einen gangbaren Weg, der ausreichende Sicherheit bietet, wobei "ausreichend" im Geschmack des Betrachters liegt und die Diskussion darüber religiöse Züge annehmen kann. Wer also unbedingt mehr Komfort möchte, hier ein Ansatz:

Die zweitbeste Konfiguration (aus meiner Sicht):

• Der Timberwolf Server ist ausschließlich mit dem Haussteuerungsnetz" zb. mit der KNX Hauptlinie verbunden.
• Es gibt von diesem internen Haussteuerungsnetz eine per Firewall geschützte Verbindung zum Internet. Diese Firewall muss beständig gewartet werden. Mindestens sind immer alle Sicherheitspatches einzuspielen.
• Es sind ausschließlich nur ausgehende Verbindungen erlaubt, also kein Port-Forward. Diese ausgehenden Verbindungen sind begrenzt auf NTP, Update-Server (Debian) sowie Verbindungen zur Timberwolf Cloud für Update und Wartung.
• Für die Anmeldung am Server werden nur Authentikatoren benutzt.
• Die Konfiguration mit ETS und Browser aller Komponenten erfolgt per PC / Tablett das - zumindest während der Konfiguration - ausschließlich mit diesem Haussteuerungsnetz verbunden ist. Hierfür kann die WLAN-Option des Timberwolf Server genutzt werden

Verbindungen von außen auf den Server werden indirekt über die Timberwolf Cloud geführt. Hier baut der Server eine Open-VPN Verbindung zu einem unserer Server auf. Der Kunde kann sich nun per TLS oder per OpenVPN in unsere Cloud einwählen und wird von dort über die vom Timberwolf Server bestehende OpenVPN Verbindung mit der Cloud durchverbunden. Unsere Cloud stellt hierbei eine "externe DMZ" dar, die professionell von uns gemanaged wird. Auf diese Weise wird es auch Kunden mit dynamischen IPv6 Adressen ermöglicht, auf Server und interne Ressourcen zuzugreifen.

Bei den "Professional" Varianten ist dieser Service im Preis der Subskription enthalten, genauso wie ein TLS Zertifikat von SwissSign auf den Domänennamen des Kunden.

Selbstverständlich kann man auch eine Port-Weiterleitung auf den Timberwolf Server einrichten für TLS oder OpenVPN. Das muss jeder für sich entscheiden. Da muss man sich aber wirklich darum kümmern und Updates für Firewall und Server täglich prüfen und einspielen.


Viele Wege führen nach Rom

Es gibt noch zig Varianten, die denkbar sind.

Die Desktop-Modelle haben drei Ethernet-Interfaces. Wir haben das noch nicht so umgesetzt, aber es ist in Planung, dass man diese Interfaces zu einer Funktionsgruppe zuordnen kann, so dass die drei Anschlüsse für Internet / IntraNET / KNXnet/IP genutzt werden können.


Richtig. Wem die sicherste Konfiguration wie oben beschrieben zu wenig "konnektiv" ist, dem empfehlen wir die "zweitbeste" Variante. Weil da kümmern wir uns um die meisten Details und ein professionelles Management. Das gibt es nicht umsonst (Preise werden demnächst veröffentlicht).

Wer sich zutraut, sich selbst um seine Firewall zu kümmern und sich wirklich gut damit auskennt und bereit ist, ggfls. auch täglich Updates im Timberwolf Server zu installieren, der mag sich auch einen Port-Forward für TLS und / oder Open-VPN auf den Timberwolf Server einrichten (oder betreibt Reverse-Proxy und OpenVPN auf einem separaten Rechner in einer DMZ).


Nun, Dein Plan ist im Grundsatz gut, sofern Du es richtig machst. Da Du Dich als Laie bezeichnest, solltest Du eher keinen Server selbst aufsetzen, sondern etwas fertiges nehmen. Im Timberwolf Server sind diese Möglichkeiten eingebaut und werden von uns auch gewartet und mit Updates versorgt. Wenn Du uns vertraust, dann ist das sicher ein guter Weg. Für Puristen und Cracks wird das nicht ausreichen, die vertrauen nur Ihrem eigenen Werk, für die ist die Variante mit einem Linuxrechner in der DMZ und einer eigenen Firewall (z.B. IPFire) das einzig akzeptable.

Am Ende bleiben solche Entscheidungen eine Frage des eigenen Sicherheitsgefühles. Wir bieten verschiedene Möglichkeiten und Wege. Es bleibt jedem überlassen, was er wählen möchte.


lg

Stefan

Hallo StefanW,


hab heut mal wieder euren Katalog durchgestöbert. Zuerst mal hab ich glaub ich nen kleinen Fehler gefunden.
Beim Server 2400 und 2500 steht beim Lieferumfang kein „Security-Token“ obwohl abgebildet.
Beim Server 2600 stehts dabei.

Jetzt hätt ich noch ne Frage:
Beim Server 2400 steht: „Weiterleitung zu 10 internen Web-Services mit Reverse-Proxy“
Jetzt hab ich immer gedacht ein Reverse-Proxy sollte bestenfalls in einer DMZ stehen.
Jedoch wird der Timberwolf ja vermutlich ins Interne Netz bzw. im Vlan für den Bus kommen.

Ich bin ja auf dem Gebiet zugegebener Maßen ganz schöner Laie, deswegen fände es toll wenn du als Profi auf dem Gebiet das versuchen könntest zu erklären wie ihr das ganze umgesetzt habt, bzw. wie es geplant ist. So wie ich euch kenne habt ihr euch ja was dabei Gedacht .

Ich Frage deswegen weil ich momentan mit dem Gedanken spiele einen Raspberry-PI in die DMZ zu hängen und diesen als Reverse-Proxy nutze, um meine Visu und Nextcloud von außen zugänglich zu machen. jedoch wenn ihr diese Funktion von Haus aus anbieten werdet, könnt ich mir den PI und seinen Verbrauch sparen.

Super, das erleichtert mir einiges an Verkabelung

Sry mein Fehler, meinte Werte über UDP senden / empfangen (https://de.m.wikipedia.org/wiki/User_Datagram_Protocol)

Hallo,

Ja, das heißt es.

Vormals brauchte man verschiedene Busse um die Position der Kontaktierung eines iButtons bestiimmen zu können (eine Möglichkeit pro Bus = eine mögliche Position)

Mit dem Timberwolf Server unterstützen wir ein zusätzliches Modul, dass über seine Seriennummer die Position zuordnenbar macht. Damit kann man nun zig Kontaktstellen für iButtons an einem Bus realisieren und dabei die Position zuordnen.

Wäre fast sinnvoll, dieses Detail umfangreicher im Katalog zu beschreiben.


Sorry, verstehe nicht, was ist mit "UDB Schnittstelle" gemeint?


lg

Stefan

Hallo,

Habe in der Katalog gelesen das es einen 1-button locator gibt / geben wird
heißt das ich zukünftig die Position des 1-button erfassen kann wenn ich mehrere auf einer Linie habe? (Wäre genau das ich brauche)

noch was am Rande, wird es eine UDB Schnittstelle gehen?

Danke