Få adgang til Com-Server & Web-IO via internettet

Der er forskellige måder at give adgang til tjenester fra COM-servere, USB-servere eller web-IO’er fra internettet. Nogle af disse diskuteres mere detaljeret nedenfor sammen med deres respektive krav, fordele og ulemper.

Kravene

Intranet er typisk forbundet til internettet via en perimeter-router, men er samtidig adskilt fra det. Med hensyn til IPv4 er hele intranettet, inklusive alle deltagere, forbundet til internettet via en officiel eller offentlig IPv4-adresse hos den respektive internetudbyder. Standardopsætningen af mange perimeter-routere er derfor ofte baseret på princippet “alt ud, intet ind”. Intranetklienter kan derfor etablere stort set uhindret forbindelse til internettet, men er ikke tilgængelige og slet ikke synlige fra den anden side.

Der er to grundlæggende krav til opsætning af forbindelser fra internettet til intranettet:

Få adgang til routerens konfiguration

At få adgang til routerkonfigurationen er bestemt ikke noget problem i mindre netværk. Men med en eksternt styret eller administreret infrastruktur eller i tilfælde af en intern IT-afdeling er der brug for hjælp fra administratorerne på dette tidspunkt.

Kendskab til den offentlige IP-adresse på perimeter-routeren

Offentlig IP-adresse: Statisk eller dynamisk?

En statisk IP-adresse betyder, at der er aftalt en fast IPv4-adresse med den respektive internetudbyder for hver internetforbindelse. Intranettet er derfor altid forbundet til internettet via den samme offentlige IP-adresse. Hvis man vil have adgang til intranettet udefra, dvs. fra internettet, behøver man kun at kende denne offentlige IP-adresse. Statiske IPv4-adresser er dog knappe og derfor dyre, så de fleste WAN-forbindelser bruger en dynamisk IP-adresse fra udbyderen. Denne adresse ændres, hver gang routeren opretter forbindelse til udbyderen, og er normalt genstand for cykliske tvungne ændringer.

I disse tilfælde skal man bruge en DynDNS-udbyder. Princippet er, at du reserverer et værtsnavn (f.eks. webio.hallo.biz) til din WAN-forbindelse. Ved hjælp af en særlig API fra DynDNS-udbyderen giver internetrouteren besked til DynDNS-udbyderen om enhver ændring i den offentlige IP-adresse, som derefter opdaterer sine DNS-poster. Ud over de betalte DynDNS-tilbud er der også gratis muligheder (f.eks. no-ip.com, duckdns.org). Det er dog værd at tjekke routeren på forhånd for at se, hvilke DynDNS-udbydere der understøttes. I en Fritz!Box er DynDNS-klienten f.eks. skjult på en særlig fane i menuen Internet -> Permissions.

Fjernadgang via portforwarding (NAT/NAPT)

Den klassiske, enkleste, men også mest usikre måde at give adgang fra internettet til intranettet på er statisk portforwarding. Det indebærer, at man opsætter en simpel firewall-regel i perimeter-routeren, som videresender indgående WAN-forbindelser til et specifikt portnummer til en IP-adresse på intranettet.

Remote access via port forwarding (NAT/NAPT)

En fordel ved port forwarding er selvfølgelig, at det er nemt at sætte op, og at næsten alle routere og firewalls understøtter det.

Listen over ulemper er dog ret lang og får hurtigt blodtrykket til at stige hos administratorer og sikkerhedschefer:

Ingen klientgodkendelse:
Hver forbindelse til forward-porten på internetsiden videresendes til destinationen på intranettet. Den eneste tilbageværende beskyttelse mod adgang til f.eks. udgangene på en web-IO er den (forhåbentlig indstillede) adgangskode.
Et portnummer på WAN-siden kan kun tildeles én destinations-IP-adresse i LAN’et. Hvis der f.eks. skal være adgang til flere webservere i LAN’et udefra ved hjælp af TCP/443, skal der åbnes flere TCP-porte på WAN-siden.
Portforwarding giver ingen ekstra sikkerhed. Data, der udveksles ukrypteret mellem kommunikationspartnere, forbliver ukrypteret, selv når de bevæger sig over internettet.

WireGuard VPN mellem klient og perimeter-router

Opsætning af en VPN har længe været anset for at være et sikkert alternativ til transparent port forwarding. Men opsætningen og konfigurationen af tidligere etablerede IPsec- og OpenVPN-løsninger blev – med rette – kritiseret for at være vanskelig og fejlbehæftet. Det er netop her, den stadig mere populære WireGuard kommer ind i billedet. Enkel konfiguration på både server- og klientsiden, høj datagennemstrømning og hurtig etablering af forbindelser kombineret med sikker kryptering har fået flere og flere routerproducenter til at integrere WireGuard i deres firmware som et alternativ til fjernadgang.

Alle de ulemper og risici ved ren portforwarding, der er nævnt ovenfor, elimineres med en WireGuard-tunnel. Tunnelens endepunkter er kryptografisk autentificerede. Det betyder, at serveren kun accepterer og svarer på netværkspakker, der er krypteret og signeret med nøgler, som den kender.

Desuden er krypteringen i det væsentlige overlejret på de datastrømme, der overføres i tunnelen. Derfor kan selv ubeskyttede klartekstprotokoller som HTTP eller Telnet overføres sikkert gennem VPN-tunnelen.

I sidste ende giver en VPN-tunnel også betydeligt mere gennemsigtig og lettere adgang til fjernnetværket. Afhængigt af konfigurationen er fjernklienten f.eks. fuldstændigt integreret i intranettet ud fra et IP-perspektiv. Det betyder, at fjernforbindelser ser ud som lokale forbindelser til applikationer, og at de oprindelige IP-adresser bruges.

WireGuard VPN’er i segmenterede intranet

Selv i større og mere dybt segmenterede intranet kan man opnå sikker fjernadgang ved hjælp af små firewalls.

I modsætning til det forrige eksempel er WireGuard-serverens slutpunkt ikke længere placeret direkte i perimeterrouteren. I stedet findes der flere af dem på små routere fordelt over hele intranettet, f.eks. til automatisering eller sensor/aktuator-øer. Denne opsætning giver alle de fordele ved VPN-tunneler, der allerede er beskrevet. Desuden er VPN-klienters adgang strengt begrænset til netværksøerne bag mikrovæggene – krydsforbindelser til upstream-intranettet eller andre øer er udelukket.

Naturligvis kræver denne infrastruktur med flere VPN-serverendepunkter fordelt over intranettet passende portforwarding i perimeterrouteren. Men på grund af WireGuard-konceptets strenge kommunikationsbegrænsninger til kendte, godkendte klienter er risikoen håndterbar.

Du kan finde en vejledning til opsætning af WireGuard-slutpunkter på et intranet her.

Det er bedre at prøve end at studere!

Vi stiller gerne en Microwall gratis til rådighed i en periode på fire uger.
Skriv i bestillingssedlen:“Ønskes som testenhed.”

Anmod om en testenhed >>

Hr. Klog

Har du spørgsmål?
Hr. Clever vil med glæde hjælpe.
Tlf: +49 202 2680-110

Læs mere om det:

Firewalls, segmentering og isolering

Fordele ved at segmentere og isolere individuelle netværkssegmenter for at beskytte virksomhedens interne data og enheder.

Sikker kommunikation mellem maskiner og systemer

Microwall muliggør sikker kommunikation med nære og fjerne kommunikationspartnere.

WireGuard VPN-tunnel mellem 2 netværk

Denne vejledning guider dig gennem den konfiguration, der er nødvendig for at forbinde to pc’er fra to forskellige netværksområder.