Wiesemann & Theis GmbH

Netzwerk-, Sensor- & Schnittstellentechnik für Industrie, Office & IT

Hintergrundwissen:

VPN: Sicherer Zugriff auf Netzwerkgeräte

Com-Server & Web-IO über das Internet erreichen


Ein Pfeil führt von einem Internet-Symbol zu drei W&T-Geräten Um den Zugriff auf Dienste von Com-Servern, USB-Servern oder Web-IOs auch aus dem Internet heraus zu ermöglichen, gibt es unterschiedliche Wege. Einige davon werden im Folgenden mit ihren jeweiligen Voraussetzungen, Vorteilen und Nachteilen etwas näher betrachtet.

Voraussetzungen


Intranets sind in der Regel über einen Perimeter-Router an das Internet angebunden und gleichzeitig auch von diesem getrennt. Bezogen auf IPv4 wird hierbei das gesamte Intranet mit allen Teilnehmern über eine offizielle bzw. öffentliche IPv4-Adresse des jeweiligen Internetproviders an das Internet angebunden. Das Standard-Setup vieler Perimeter-Router ist daher häufig nach dem Prinzip “raus alles - rein nix” eingerichtet. Intranet-Clients können also quasi ungebremst Verbindungen in Richtung Internet aufbauen, sind andersherum aber nicht erreichbar und erst recht nicht sichtbar.

Für die Einrichtung von Verbindungen aus dem Internet in das Intranet gibt es zwei Grundvoraussetzungen:

Zugriff auf die Router-Konfiguration

Der Zugriff auf die Router-Konfiguration stellt in kleineren Netzwerken sicher kein Problem dar. Bei einer extern gemanagten bzw. verwalteten Infrastruktur oder für den Fall einer eigenen IT-Abteilung wird an dieser Stelle die Hilfe der Admins benötigt.

Kenntnis der öffentlichen IP-Adresse des Perimeter-Routers

Öffentliche IP-Adresse: Statisch oder dynammisch?

Eine statische IP-Adresse bedeutet, dass mit dem jeweiligen Internetprovider eine feste IPv4-Adresse für den jeweiligen Internetanschluss vereinbart ist. Das Intranet wird also in Richtung Internet immer über die gleiche öffentliche IP-Adresse angebunden. Möchte man von außen, also aus dem Internet, das Intranet erreichen, muss zunächst nur diese öffentliche IP-Adresse bekannt sein. Statische IPv4-Adressen sind allerdings knapp und daher teuer, sodass die meisten WAN-Anschlüsse mit einer dynamischen IP-Adresse des Providers arbeiten. Diese wechselt mit jeder Einwahl des Routers zum Provider und unterliegt in aller Regel auch noch einem zyklischen Zwangswechsel.

In diesen Fällen müssen die Dienste eines DynDNS-Anbieters in Anspruch genommen werden. Das Prinzip hierbei ist, dass Sie dort einen Hostnamen (z.B. webio.hallo.biz) für Ihren WAN-Anschluss reservieren. Über eine spezielle API des DynDNS-Anbieters teilt der Internetrouter jeden Wechsel der öffentlichen IP-Adresse dem DynDNS-Anbieter mit, der daraufhin seine DNS-Einträge aktualisiert. Neben kostenpflichtigen DynDNS-Angeboten existieren nach wie vor auch kostenfreie Möglichkeiten (z. B. no-ip.com, duckdns.org). Hier lohnt sich aber im Vorfeld auch ein Blick in den jeweiligen Router, welche DynDns-Anbieter dort unterstützt werden. In einer FritzBox versteckt sich der DynDNS-Client z. B. im Menüzweig Internet -> Freigaben auf einer eigenen Registerkarte.


Fernzugriff per Portforwarding (NAT/NAPT)


Der klassische, einfachste aber gleichzeitig auch unsicherste Weg Zugriffe aus dem Internet in das Intranet zu ermöglichen ist ein statisches Portforwarding. Hierbei wird im Perimeter-Router eine einfache Firewall-Regel hinterlegt, die WAN-seitig eingehende Verbindungen zu einer bestimmten Portnummer auf eine IP-Adresse im Intranet weiterleitet.

Pfeile stellen das Portforwarding dar, bei dem der Zugriff auf ein Intranet aus dem Internet über einen Router erfolgt unter Verwendung der entsprechenden IP-Adressen und Portnummern

Ein Vorteil des Portforwarding ist natürlich die meist einfache Einrichtung und die breite Unterstützung durch nahezu jeden Router bzw. jede Firewall.

Die Liste der Nachteile ist dagegen schon etwas länger und lässt bei Admins und Security-Verantwortlichen schnell den Blutdruck steigen:

  • Keine Client-Authentifizierung:
    JEDE Verbindung auf den internetseitigen Forward-Port wird an das Ziel im Intranet weitergeleitet. Letzter Schutz vor einem Zugriff auf z. B. auf die Ausgänge eines Web-IOs ist dann nur noch das (hoffentlich gesetzte) Passwort.
  • Eine WAN-seitige Portnummer kann immer nur einer Ziel-IP im LAN zugeordnet werden. Sollen beispielsweise mehrere im LAN befindliche Web-Server auf TCP/443 von außen zugänglich werden, müssen WAN-seitig mehrere TCP-Ports geöffnet werden.
  • Portforwarding bietet keine zusätzliche Security. Unverschlüsselt zwischen den Kommunikationspartnern ausgetauschte Daten bleiben auch auf ihrem Weg durch das Internet unverschlüsselt.

WireGuard-VPN zwischen Client und Perimeter-Router


Schon lange gilt die Einrichtung eines VPNs als sichere Alternative zum transparenten Portforwarding. Allerdings waren Einrichtung und Konfiguration der bisher etablierten IPsec- und OpenVPN-Lösungen - durchaus zurecht - als schwierig und fehleranfällig in Verruf. Genau an dieser Stelle setzt das immer größere Verbreitung findende WireGuard an. Einfache Konfiguration auf Server- wie auch Client-Seite, hoher Datendurchsatz und schneller Verbindungsaufbau bei gleichzeitig sicherer Verschlüsselung haben dazu geführt, dass immer mehr Router-Hersteller WireGuard als Fernzugriff-Alternative in ihre Firmware integriert haben.

Pfeile führen von einem VPN-Client durch einen VPN-Tunnel im Internet zu einem Router und von dort durch ein Intranet

Alle angeführten Nachteile und Risiken des reinen Portforwardings werden durch einen WireGuard-Tunnel aufgehoben. Die Endpunkte des Tunnels sind kryptografisch authentifiziert. D. h. der Server akzeptiert und beantwortet ausschließlich Netzwerk-Pakete, wenn diese mit ihm bekannten Schlüsseln verschlüsselt und signiert wurden.

Darüber hinaus ist die Verschlüsselung den innerhalb des Tunnels übertragenen Datenströmen quasi überlagert. Selbst ungeschützte Klartext-Protokolle wie http oder telnet können daher sicher durch den VPN-Tunnel übertragen werden.

Letztendlich bietet ein VPN-Tunnel auch einen deutlich transparenteren und einfacheren Zugriff in das entfernte Netz. Je Konfiguration wird der entfernte Client z. B. aus IP-Sicht komplett in das Intranet integriert. Auch Remoteverbindungen sehen also für Anwendungen wie lokale Verbindungen aus und es wird mit den Original-IP-Adressen gearbeitet.


WireGuard-VPNs in segmentierten Intranets


Auch in größere und tiefer segmentierte Intranets kann mit Hilfe von Klein-Firewalls ein sicherer Fernzugriff realisiert werden.

Physikalischer Aufbau

Grafiken und Pfeile zeigen den physikalischen Aufbau eines segmentierten Intranets

Im Unterschied zu dem vorherigen Beispiel befindet sich der WireGuard-Server-Endpunkt hier nicht mehr direkt im Perimeter-Router. Stattdessen existieren mehrere davon an im Intranet verteilten Kleinroutern, beispielsweise für Automatisierungs- oder Sensor-/Aktor-Inseln. Dieser Aufbau bietet alle schon beschriebenen Vorteile von VPN-Tunneln. Hinzu kommt hier aber noch die Eigenschaft, dass der Zugriff der VPN-Clients strikt auf die Netzwerkinseln hinter den Microwalls beschränkt ist - Querverbindungen in das vorgelagerte Intranet oder in andere Inseln sind ausgeschlossen.

Grafische Darstellung: Von einem VPN-Client führen zwei VPN-Tunnel, durch die jeweils ein Pfeil führt, direkt zu einer abgegrenzten Netzwerkinsel innerhalb eines Intranets

Natürlich bedingt diese Infrastruktur mit mehreren im Intranet verteilten VPN-Server-Endpunkten ein entsprechendes Portforwarding im Perimeter-Router. Aufgrund der strengen Kommunikations­beschränkung des WireGuard-Konzeptes auf bekannte, authentifizierte Clients ist das Risiko aber überschaubar.

Ein Tutorial für die Einrichtung von WireGuard-Endpunkten innerhalb eines Intranets finden Sie hier.



  • Probieren geht über Studieren!

    Gerne stellen wir Ihnen für den Zeitraum von vier Wochen eine Microwall kostenfrei zur Verfügung.

    Testgerät anfordern
  • Mitarbeiterfoto Clever
    Fragen?
    Hr. Clever hilft gerne weiter.
    Tel.: 0202/ 2680-110

Weiterlesen:

^