Systemsicherheit: So richten Sie ein VPN ein

Unabhängig davon, ob das Heimsteuerungssystem eines Kunden zur Fernsteuerung, Überwachung oder für Wartungsaufgaben Zugang zum Internet hat, erklärt Simon Buddle, wie man zum Schutz der Verbindung ein VPN nutzen kann.

Ich bin gerade von einem fantastischen einwöchigen Skiurlaub zurückgekehrt. Seit mehr als zwei Jahren war der Urlaub geplant und musste wegen Corona wiederholt gestrichen werden. Wir dachten wieder einmal, dass die Schließung der französischen Grenzen für Briten unseren Urlaub vereitelt hätte, aber wir fanden einen Hafen, der noch offen war, und schlüpften durch. Die Schweizer ließen uns rein.

Es wurde viel über Smart-Home-Systeme und Cyber-Angriffe gesprochen. Wenn man heutzutage an die Welt der Computer denkt, sind sie alle in irgendeiner Form miteinander verbunden. Wir sind über Router mit dem Internet verbunden, unsere Büro-PCs sind alle über das lokale Netzwerk verbunden und Länder sind über riesige Glasfaserbündel verbunden, die oft auf dem Meeresboden liegen. Die Welt ist vollständig vernetzt, wirklich global, Maschine-zu-Maschine, verbunden durch Tausende Kilometer an Kabeln.

Ob es sich um eine Grenze oder einen Router handelt, die Menschen werden immer versuchen, eine Schwachstelle auszunutzen, und mit dem richtigen Wissen - das viele Menschen haben - ist es einfach, sich in eine Maschine oder ein System auf der anderen Seite der Welt einzuhacken.

In der Vergangenheit wurde der TCP-Port 3671 geöffnet, um den Fernzugriff auf ein KNX-System zu ermöglichen. Er öffnet auch eine Verbindung ins lokale Netzwerk des Kunden und kann für böswillige Zwecke verwendet werden. Er ist in der Tat ein Fenster in ein Haus, das weit offen gelassen wurde, und wenn Sie wissen, wo Sie suchen müssen und wie Sie darauf zugreifen können, können Sie ohne Sicherheitskontrollen hineinspazieren.

Allerdings haben wir jetzt ein ganzes Arsenal großartiger KNX-Geräte, die sichere Tunnel zum System bieten können. Der KNX-IP-Router von Jung und der Gira S1 sind zwei offensichtliche Beispiele. Diese stellen eine Verbindung aus dem Anwesen nach draußen her, ohne unsichere Zugangswege ins heimische PC-Netzwerk des Kunden zu schaffen. Aber Sie können aus einer beliebigen Anzahl von Herstellern wählen, darunter Basalte, Weinzierl, Siemens, Schneider und ABB - alle bieten Produkte an, um dieses Rätsel zu lösen.

Das virtuelle private Netz

Es ist sehr wahrscheinlich, dass das KNX-System oder der Bus nicht das einzige Gerät ist, mit dem wir eine Fernverbindung herstellen müssen, und das stellt eine weitere Herausforderung dar. Wie verbinde ich mich mit der Siemens-SPS, die den Technikraum steuert? Oder den Schnittstellen von Intesis AC, Modbus oder BACnet?

Die naheliegendste und sicherste Lösung ist hier die Nutzung eines VPN (Virtual Private Network). Aber wie richten wir das ein, und ist es sicher? Lassen Sie uns zuerst den zweiten Teil beantworten. Es ist sehr sicher (vorausgesetzt, Ihre Passwörter usw. sind es auch). Es erstellt einen sicheren virtuellen Punkt-zu-Punkt-Tunnel über das Internet zwischen Ihrem Computer und dem LAN des Clients. Sobald die Verbindung hergestellt ist, wird Ihr Computer im Netz des Clients angezeigt.

Um ohne den Einsatz von Software wie OpenVPN oder NordVPN ein VPN zu erstellen, gibt es zwei grundlegende Voraussetzungen:

1) eine feste Internet-IP-Adresse oder ein Router, der DNS unterstützt. 2) ein Router, der VPN-Verbindungen unterstützt.

Die feste Internet-IP-Adresse oder Router, der DNS unterstützt

Stellen Sie sich vor, Sie wären ein Postangestellter, der Tag für Tag Briefe zustellt. Nur dass sich jeden Tag die Hausnummern ändern, sodass die Hausnummer 32 nun zwanzig Häuser weiter entfernt ist. Dies ist analog zu Ihrer Internet-IP-Adresse. Bei jedem Neustart des Routers erhält er eine neue IP-Adresse von Ihrem Internet Service Provider (ISP). Das bedeutet, dass wir sozusagen nicht mehr wissen, wo Sie wohnen. Die feste IP-Adresse löst also dieses Problem. Die andere Möglichkeit besteht darin, ein DNS (Dynamic Name System) bereitzustellen. Das DNS bietet im Wesentlichen einen Suchdienst für Internetadressen. Jedes Mal, wenn sich die Internet-IP-Adresse Ihres Routers ändert, sendet der Router die neue Adresse an den DNS-Server, damit Ihr Eintrag aktualisiert werden kann. Sie können dann den DNS-Namen verwenden (der sich nicht ändert), zum Beispiel myhouse@dyndns.org.

Damit ist der erste Teil der VPN-Konfiguration erledigt. Über einen DNS-Dienst können Sie den Router des Kunden jetzt immer im Internet finden.

Der Router, der VPN-Verbindungen unterstützt

Beim Erstellen eines VPN gibt es zwei Schritte. Zunächst muss man einen „Benutzer" erstellen. Der Benutzername und das Passwort werden benötigt, wenn Sie eine VPN-Verbindung herstellen. Das zweite Element besteht darin, das VPN-Verbindungsprotokoll einzurichten. Gängige Protokolle sind PPTP, IPSec, L2TP und SSL-Tunnel. PPTP ist bei der Sicherheit schwach und wird von Apple-Geräten nicht mehr unterstützt. Am häufigsten wird L2TP mit einem zuvor angegebenen Schlüssel verwendet. Die meisten DrayTek-Router unterstützen die DNS- und VPN-Einrichtung und ermöglichen einen einfachen Zugriff auf das LAN des Clients.

Jetzt geht es nur noch darum, das VPN-Profil auf Ihrem Laptop- oder Desktop-PC mit den gleichen Anmeldekriterien einzurichten. Hier steht Hilfe zur Verfügung, da DrayTek auch ein kleines, hilfreiches VPN-Client-Softwarepaket anbietet. Natürlich bieten Cisco, Unifi und Hunderte anderer Router-Hersteller die gleiche Funktionalität. BT, Sky und Virgin tun dies allerdings nicht, d.h. alle, die von ISPs verschenkt werden. Wenn Sie also über VPN auf das Netz des Kunden zugreifen möchten, müssen Sie für diese Aufgabe sicherlich einen Router bereitstellen.

Fazit

Stellen Sie sich vor, dass Sie von einem Kunden einen Anruf erhalten, der sagt: „Dies und das funktioniert nicht mehr" und antworten können: „Ich melde mich sofort an und überprüfe, was los ist." Das muss ein lohnender Service sein, der für Ihre Kunden wirklich von unschätzbarem Wert ist. Mit dem richtigen Router und einer Stunde Ihrer Zeit können Sie leicht lernen, wie man eine VPN-Verbindung einrichtet. Diese Stunde erspart Ihnen unzählige Stunden, die Sie sonst für die Fahrt zum Kunden einplanen müssten.

Wenn es aber einen Weg von außen ins System Ihres Kunden gibt, müssen Sie unbedingt sicherstellen, dass dieser nicht von Personen mit böswilligen Absichten ausgenutzt werden kann.

Für mich ist die Einrichtung eines VPN eine der wertvollsten Fähigkeiten, die ich je erlernt habe. Sie können an Ihrem Schreibtisch sitzen und alle Daten in Echtzeit anzeigen, mehrere PCs im gleichen Haus verbinden und alle Systemsignale überwachen, ohne Ihren Schlafanzug ausziehen zu müssen. Und noch besser, Sie können diese Fähigkeit in ein Fernüberwachungs- und Wartungsangebot einfließen lassen und damit etwas Geld verdienen.

Simon Buddle, Dipl.-Ing. MIET ist Berater bei Future Ready Homes, einem Spezialisten für die Planung von BMS- und ELV-Servicesystemen.

http://www.futurereadyhomes.com