Guten Tag,
wir stellen bei uns die Beschallung in unseren Verkaufsräumen um, und unser Dienstleister braucht für seine Geräte einen Internetzugang sowie ein Port Forwarding für den Fernzugriff. Da ist mir etwas mulmig zumute, so ein unbekanntes Gerät mit Außenzugriff in unserem produktiv Netz stehen zu haben. Um eine gewisse Sicherheit zu gewährleisten habe ich mir deshalb überlegt, für das POS Radio ein eigenes VLAN mit Schnittstellentag anzulegen, in dem dann halt nur dieses eine Gerät ist. Dann per Firewall eine Internet-Freigabe und das Port Forwarding einstellen. Ist das eine sichere Lösung oder habe ich was übersehen?
Grüße
blackeagle2002de
POS Radio & Firewalleinstellungen
Moderator: Lancom-Systems Moderatoren
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Re: POS Radio & Firewalleinstellungen
Drittanbietersysteme sollten immer in getrennten Netzen sein. Ich sag nur Target und die Kreditkartendaten.
Eventuell würde ich nochmal über das Portforwarding handeln, dass die Fernwartung, wenn möglich, über einen zentralen VPN-Zugang abgewickelt wird. Portforwarding stellt immer eine Gefahr dar.
Wenn der Player direkt am Router steht oder eine direkte Leitung möglich ist und du noch keine VLANs im Einsatz hast, kannst du es auch über die einfache Trennung der Schnittstellen und den Schnittstellentags machen. Mit der Firewall brauchst du dann nicht machen, wenn du nicht irgendwelche besonderen Sachen brauchst.
Wir haben das ganze vor etwa zwei Jahren in mittlerweile rund 75 Shops umgesetzt (16 mögliche VLANs, davon neun produktiv im Einsatz). War damals einiges an Arbeit, heute ist es aber eine enorme Ersparnis.
Eventuell würde ich nochmal über das Portforwarding handeln, dass die Fernwartung, wenn möglich, über einen zentralen VPN-Zugang abgewickelt wird. Portforwarding stellt immer eine Gefahr dar.
Wenn der Player direkt am Router steht oder eine direkte Leitung möglich ist und du noch keine VLANs im Einsatz hast, kannst du es auch über die einfache Trennung der Schnittstellen und den Schnittstellentags machen. Mit der Firewall brauchst du dann nicht machen, wenn du nicht irgendwelche besonderen Sachen brauchst.
Wir haben das ganze vor etwa zwei Jahren in mittlerweile rund 75 Shops umgesetzt (16 mögliche VLANs, davon neun produktiv im Einsatz). War damals einiges an Arbeit, heute ist es aber eine enorme Ersparnis.
LCS NC/WLAN
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Re: POS Radio & Firewalleinstellungen
Vielen Dank für Deine Antwort. Der Player steht leider nicht immer direkt am Router, aber wir haben eigentlich überall VLAN fähige Switche. Insofern wäre die Erstkonfiguration auch nicht sonderlich anspruchsvoll. Einfach das entsprechende VLAN auf dem Router (mit Schnittstellen-Tag) und dem Switch einrichten, und den Player mit dem entsprechenden Port am Switch verbinden. Diese Mühe werde ich mir dann gerne machen.
Ich wollte nur sicher gehen, dass ich bei dieser Konstellation nichts vergessen habe bzw. ein Sicherheitsrisiko übersehen habe!?
Ich denke um das Port Forwarding werden wir wahrscheinlich nicht herumkommen. Welches Sicherheitsrisiko stellt es denn noch dar, wenn es auf ein separates Netz zeigt?
Grüße
blackeagle2002de
Ich wollte nur sicher gehen, dass ich bei dieser Konstellation nichts vergessen habe bzw. ein Sicherheitsrisiko übersehen habe!?
Ich denke um das Port Forwarding werden wir wahrscheinlich nicht herumkommen. Welches Sicherheitsrisiko stellt es denn noch dar, wenn es auf ein separates Netz zeigt?
Grüße
blackeagle2002de
Re: POS Radio & Firewalleinstellungen
Du hast ein Gerät in deinem Netz, was nicht deiner Verwaltung unterliegt, bist aber als Anschlussinhaber dafür Verantwortlich, wenn über dieses Gerät Unsinn gemacht wird. Dass das Gerät von außerhalb erfolgreich angegriffen wird, ist beim Port Forwarding um ein vielfaches wahrscheinlicher, da es ja offen im Internet steht.Ich denke um das Port Forwarding werden wir wahrscheinlich nicht herumkommen. Welches Sicherheitsrisiko stellt es denn noch dar, wenn es auf ein separates Netz zeigt?
Desweiteren verfolge ich die Linie, dass nichts sicher ist. Jedes System hat seine Macken, egal ob ein Windows, ein Linux, ein VxWorks oder ein LCOS. Ebenso kann es immer Konfigurationsfehler geben (ist mir selbst schon passiert). Aus dem Grund versuche ich meine Netze so dicht wie möglich zu halten. Es gibt strukturbedingt bei mir im Netz nur einen Punkt, an dem ich Traffic aus dem Internet in mein Netz lasse und dieser ist unter ständiger Beobachtung und Überprüfung.
Gut, ich weiß nicht, um welche Größenordnung es bei dir geht, aber bei mir gehts wie gesagt um ~75 Stores mit mittlerweile um die 600 Geräte insgesamt. Da kann ich keine Insellösungen schaffen.
LCS NC/WLAN
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Re: POS Radio & Firewalleinstellungen
Dass ich das nicht gerne möchte ist klar, aber leider sitzt man nicht immer am längeren Hebel. Wenn der Dienstleister nicht darauf verzichten will, haben wir wenig Einflussmöglichkeiten.
Wir werden nun also das Gerät per VLAN separieren. Des Weiteren benötigt der Dienstleister für die Kommunikation nur einen Port, ausgehend für den Download der aktuellen Titel, eingehend zur Fernwartung. Wir werden den Dienstleister zumindest dahingehend festnageln, dass die Kommunikation nur mit einer Quell- bzw. Ziel-IP-zugelassen ist. Dann können wir in der Firewall eine Regel erstellen, die die aus- und eingehende Kommunikation auf genau diese IP-Adresse einschränkt. Selbst wenn ein Dritter das Gerät übernehmen würde, wäre dann nur eine Kommunikation über einen Port zu der IP-Adresse des Dienstleisters möglich und es könnte kein Unsinn über unseren Anschluss laufen. Was das Port Forwarding angeht werden wir versuchen mit dem Dienstleister zu besprechen, dass es ggf. gezielt von uns geöffnet und wieder geschlossen wird. So häufig werden die ja nun auch nicht darauf arbeiten müssen.
Vielen Dank für Deine Hinweise!
Grüße
blackeagle2002de
Wir werden nun also das Gerät per VLAN separieren. Des Weiteren benötigt der Dienstleister für die Kommunikation nur einen Port, ausgehend für den Download der aktuellen Titel, eingehend zur Fernwartung. Wir werden den Dienstleister zumindest dahingehend festnageln, dass die Kommunikation nur mit einer Quell- bzw. Ziel-IP-zugelassen ist. Dann können wir in der Firewall eine Regel erstellen, die die aus- und eingehende Kommunikation auf genau diese IP-Adresse einschränkt. Selbst wenn ein Dritter das Gerät übernehmen würde, wäre dann nur eine Kommunikation über einen Port zu der IP-Adresse des Dienstleisters möglich und es könnte kein Unsinn über unseren Anschluss laufen. Was das Port Forwarding angeht werden wir versuchen mit dem Dienstleister zu besprechen, dass es ggf. gezielt von uns geöffnet und wieder geschlossen wird. So häufig werden die ja nun auch nicht darauf arbeiten müssen.
Vielen Dank für Deine Hinweise!
Grüße
blackeagle2002de
Re: POS Radio & Firewalleinstellungen
Ist nicht die schönste Lösung, aber besser als nichts.
Normal gibt aber der Kunde die Wünsche vor. Kann aber auch sein, dass ich zu verwöhnt bin, weil wir einfach Dienstleister ablehnen, die sich nicht anpassen wollen (Aus dem Grund haben wir auch noch kein InStoreRadio).
Solange du mit der Lösung leben kannst, ist das in Ordnung. Die von dir vorgeschlagene Separation ist aber in Ordnung und aktueller Standard.
Normal gibt aber der Kunde die Wünsche vor. Kann aber auch sein, dass ich zu verwöhnt bin, weil wir einfach Dienstleister ablehnen, die sich nicht anpassen wollen (Aus dem Grund haben wir auch noch kein InStoreRadio).
Solange du mit der Lösung leben kannst, ist das in Ordnung. Die von dir vorgeschlagene Separation ist aber in Ordnung und aktueller Standard.
LCS NC/WLAN