Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

server/vpnrouter/nå annat som skydd? Vad behöver jag?

1
Skriv svar
Permalänk
Medlem

server/vpnrouter/nå annat som skydd? Vad behöver jag?

Hej, nätverk är nytt för mig.

Jag skulle vilja ha lite tips och ideér vad jag behöver för prylar eller var jag ska vända mig hjälp.

Scenario:

4st automatikskåp, men varierande innehåll.
Cat6 kablage draget till central punkt, där även internetåtkomst finnes.

Önskemål:

  1. Alla automatikskåp skall kunna prata med varandra fritt, precis som om de satt ihop i en vanlig nätverksswitch.

  2. Vissa komponenter vill ibland prata ut på internet, exempelvis för att skicka ett mail, detta ska de kunna göra.

  3. När man surfar in utefrån möts man av en login sida, när man angett rätt användarnamn/lösen så kommer man till en simpel html ala årtal 1995 med länkar/ip adresser som är förkonfigurerade som tar en till varje automatikskåps/komponents webserver.

  4. Vid fel lösenord för många gånger blockeras inloggning en tid för att motverka bruteforce

  5. Konfigureringen av användarnamn, lösen, länkar, ipadresser etc skall kunna göras utan att gå en ingenjörsutbildning.

  6. Maxpris för en ej konfigurerad enhet 5000kr

  7. Inga abonnemangskostnader eller dyl som kostar mer pengar än inköpet

Det jag efterfrågar är alltså denna router/server/switch pryl.

Bifogar översiktbild.

Mvh Patrik

Visa signatur

Dator 1/2/3: 4970k, h97/z97, 8/16GB mem, Gtx970/980/980ti, SSD, 3x144hz.
Dator 4: Surface Laptop 3 15” AMD
Dator 5: 8750h 4.1ghz, 16GB mem, Gtx 1060, SSD, 144hz.
Övrigt skryt etc: Fiber 1000, 77" Oled, 78" Led, PS5, Switch, iPhone 12 + XR, Gopro 9, Canon70D, Sonos, PSVR.

Redigera
Citera flera Citera
Permalänk
Medlem

Några motfrågor:

1. Är det en engångslösning eller är det något som kommer återupprepas några hundra gånger för olika kunder? Om det är en engångslösning så spelar det väl inte jättemycket roll hur svårkonfigurerat det är?

2. Kommer internetuppkopplingen (alltid) ha en publik IPv4-adress, så att den verkligen är åtkomlig utifrån, inte CG-NAT:ad?

3. Har du tänkt på kryptering av lösenordet när det färdas över internet? Du tycks sakna ett krav på detta...

4. Hur fungerar autentiseringen mot skåpens webbserver? Okrypterad HTTP där?

5. Vem kommer underhålla lösningen och se till att den får säkerhetsuppdateringar? Ryktet säger att det är ett riktigt otäckt säkerhetsproblem på gång i OpenSSL - den typen av problem kommer uppstå även i framtiden och bör då uppdateras automatiskt.

6. Oavsett vilken typ av lösning du väljer så skulle jag nog rekommendera agressiva brandväggsinställningar, så att lösningen bara är tillgänglig från vissa utvalda IP-adresser.

För att svara på din fråga så tror jag att du vill titta på någon burk där du kan experimentera med olika lösningar:

- Köra din egen reverse proxy (till exempel Nginx) för att skicka vidare trafik till respektive skåp (som man antagligen inte vill port-öppna för ut på internet). Fail2Ban eller liknande skulle kunna hantera upprepade felaktiga inloggningar. Reverse-proxy-mjukvaran skulle i så fall också hantera Let's Encrypt (för att automatiskt förnya certifikat), presentera den enkla webbsidan och hantera lösenordet (till exempel med Basic Authentication).

eller

- Köra en VPN-server (troligen OpenVPN eller Wireguard)

Jag skulle nog personligen hålla mig borta från reverse proxy-lösningen, eftersom det i praktiken kräver en egen domän (annars ingen Let's Encrypt och då ingen kryptering som funkar enkelt för användaren). Dessutom är lösenord en pisslösning, jag skulle nog hellre köra VPN-lösningen. Att ansluta till en sådan är förstås klurigare än att surfa till en webbserver, men om allt är uppsatt korrekt kan man efter anslutningen till VPN:et surfa direkt till respektive skåp genom en säker tunnel. Man får ingen webbsida som hjälper användaren, men då får man väl i stället ha fyra länkar liggande i Word-dokumentet som förklarar hur man kopplar upp sig till VPN:et...

Jag är lite svag för Teklagers prylar. Teklager installerar det OS du vill ha, pfSense community edition OPNSense eller OpenWrt. De två första lär vara mer användarvänliga än OpenWrt (jag kör OpenWrt för WiFi-stöd, något du inte behöver). OpenWrt är dock gjort för att bygga sina egna "images", specialbyggen med all konfiguration i, så det är möjligt att det är ett bättre alternativ om det handlar om många installationer. Jag hade nog kört på pfSense, eftersom de tycks stödja automatiska uppgraderingar helhjärtat till skillnad från de två andra -- jag har som sagt dock ingen erfarenhet av pfSense. Kommersiell variant av OS och hårdvara för pfSense kan köpas från Netgate om det känns tryggare.

Teklagers maskiner med mer än 4 portar är dyra (du behöver ju fem), men en APU2E5 och en enkel Gigabit-kapabel dum-switch med fyra (helst fem eller fler) portar att sätta på en LAN-port kommer gå på klart under 5K. Ta gärna i med lite extra disk, så att den inte skrivs sönder för fort om du kör något av OS:en som loggar till disk.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av KAD:

Några motfrågor:

1. Är det en engångslösning eller är det något som kommer återupprepas några hundra gånger för olika kunder? Om det är en engångslösning så spelar det väl inte jättemycket roll hur svårkonfigurerat det är?

2. Kommer internetuppkopplingen (alltid) ha en publik IPv4-adress, så att den verkligen är åtkomlig utifrån, inte CG-NAT:ad?

3. Har du tänkt på kryptering av lösenordet när det färdas över internet? Du tycks sakna ett krav på detta...

4. Hur fungerar autentiseringen mot skåpens webbserver? Okrypterad HTTP där?

5. Vem kommer underhålla lösningen och se till att den får säkerhetsuppdateringar? Ryktet säger att det är ett riktigt otäckt säkerhetsproblem på gång i OpenSSL - den typen av problem kommer uppstå även i framtiden och bör då uppdateras automatiskt.

6. Oavsett vilken typ av lösning du väljer så skulle jag nog rekommendera agressiva brandväggsinställningar, så att lösningen bara är tillgänglig från vissa utvalda IP-adresser.

Gå till inlägget

Svar på motfrågor:

1. Anledningen till att jag inte vill att det är allt för svårkonfigurerat är för att detta troligen bara kommer utföras några gånger per år, därtill kanske man svänger förbi och gör någon förändring på plats, vilket oftast är obekväm arbetsplats, så lättjobbat är att föredra.

2. Det skiljer sig från projekt till projekt.

3. Givetvis vill jag inte att lösenordet skickas i klartext, någon form av krypterad variant är att föredra.

4. Dessa prylar har allt som oftast dålig säkerhet med http protokoll med standard adresser lösen etc, en del av detta är att slippa konfigurera om dessa på varje projekt.

5. Lösningen lämnas över till driftansvarig, dock är det ibland en ej teknisk kunnig, automatiska uppdateringar är givetvis att föredra om möjligt.

6. Detta är korrekt det du säger att det rent säkerhetsmässigt vore bättre, men motverkar också det "enkla".

Skrivet av KAD:

För att svara på din fråga så tror....

Gå till inlägget

Svar på övrigt:

Först vill jag tacka för svar!

VPN lösningar så som pfSense var det första jag kollade på, dessa kräver som du säger att man först ansluter till VPN'n för att tunnla sig till automatikskåpen.

Och det är just den detaljen som jag skulle vilja slippa, allt som oftast så har driftansvarig på plats behov av att kolla driftstatus på automatikskåpen från ipad, jobbdator, privat dator, telefon etc, och jag skulle vilja undvika att behöva installera programmvaror på alla dessa.

Därmot skulle man absolut kunna ha någon form av autentisering, förslagsvis även där utan programvara på den produkt som försöker ansluta (telefon/dator). En ideé som jag inte vet finns, är om man nu skrivit i rätt användarnamn och lösen så skickas det ut ett mail till mailadress kopplad till användarnamn, i mailet står en kod man behöver skriva in på inloggsidan, alternativt en länk som gör att inloggsidan uppdateras och man är nu inne, kanske med autoutloggning efter 1tim, så får man logga in igen.

Då kan man logga in från vilken ip/produkt som helst, så länge man har tillgång till sin mail, vilket alla nu för tiden har på sin telefon.

Jag skulle verkligen vilja slippa programvaror på användarens enheter.

Senast redigerat
Visa signatur

Dator 1/2/3: 4970k, h97/z97, 8/16GB mem, Gtx970/980/980ti, SSD, 3x144hz.
Dator 4: Surface Laptop 3 15” AMD
Dator 5: 8750h 4.1ghz, 16GB mem, Gtx 1060, SSD, 144hz.
Övrigt skryt etc: Fiber 1000, 77" Oled, 78" Led, PS5, Switch, iPhone 12 + XR, Gopro 9, Canon70D, Sonos, PSVR.

Redigera
Citera flera Citera
Permalänk
Medlem

Inget av detta är omöjligt. Men jag tvivlar på att du hittar en färdig produkt utan behöver fixa det själv, eller betala nån för det. Det behöver ändå underhållas och uppdateras om du ska ha det exponerat mot internet.

Så skulle du kunna sälja denna tjänst som abonnemang? Annars tror jag inte det finns ekonomi i det.

Pfsense är en bra början. Som kanske ansluter via wireguard till en aws/gcp/azure där du har en reverse proxy men inloggningen som du önskar. Ev kanske t.o.m. webauthn om nu alla har en mobiltelefon

Redigera
Citera flera Citera
Permalänk
Medlem

Med tanke på uppkopplingsformen skiljer sig så (och det ska gå över Internet) ser jag inget annat alternativ än en central VPN hub någonstans i molnet. Som flera nämt sa är en reverse proxy är god idé med för fronta själva det hela.

Prylar med ett direkt öppet gränsnitt mot Internet är *alltid* en dålig idé. Om ingen bryter sig in så går det alltid bara att DDoS:a ner uppkopplingen helt.

Hårdarumässigt så skulle jag rekommendera något från Mikrotik eller Teltronika. Där går det sätta upp en Wireguard till en central server.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara