Ob das Haussteuerungssystem eines Kunden zu Fernsteuerungs-, Überwachungs- oder Wartungszwecken auf das Internet zugreift, Simon Buddle erklärt, wie man ein VPN zum Schutz der Verbindung einsetzt.
Ich bin gerade von einer fantastischen Woche Skiurlaub zurückgekehrt. Dieser Urlaub ist seit mehr als zwei Jahren in Planung und wurde immer wieder wegen Covid-19 abgesagt. Wir dachten, die Schließung der französischen Grenzen für die Briten hätte uns wieder einmal einen Strich durch die Rechnung gemacht, aber wir fanden einen Hafen, der noch offen war, und fuhren durch ihn hindurch. Die Schweizer ließen uns rein.
Im Zusammenhang mit Smart-Home-Systemen und Cyberangriffen ist schon viel gesagt worden. Wenn man an die Computerwelt von heute denkt, sind sie alle in irgendeiner Form miteinander verbunden. Wir sind über Router mit dem Internet verbunden, unsere Büro-PCs sind alle mit dem lokalen Netzwerk verbunden und Länder sind über riesige Glasfaserbündel verbunden, die oft auf dem Meeresgrund liegen. Es ist eine vollständig vernetzte Welt, wirklich global, Maschine zu Maschine, verbunden durch Tausende von Kilometern an Kabeln.
Ob es sich um eine Grenze oder einen Router handelt, Menschen werden immer versuchen, eine Schwachstelle auszunutzen, und mit dem richtigen Wissen - über das viele Menschen verfügen - ist es ein Leichtes, sich in eine Maschine oder ein System auf der anderen Seite der Welt einzuhacken.
Das Öffnen des TCP Ports 3671 wurde in der Vergangenheit verwendet, um einen Fernzugriff auf ein KNX System zu ermöglichen. Es öffnet auch eine Verbindung in das lokale Netzwerk des Kunden und kann für bösartige Zwecke verwendet werden. Es ist in der Tat ein Fenster in ein Haus, das weit offen gelassen wurde, und wenn man weiß, wo man suchen muss und wie man darauf zugreifen kann, kann man ohne jegliche Sicherheitsüberprüfung eintreten.
Dennoch haben wir jetzt ein ganzes Arsenal an großartigen KNX-Geräten, die sichere Tunnel zum System bereitstellen können. Der Jung KNX IP Router und der Gira S1 sind zwei offensichtliche Beispiele. Sie stellen eine Verbindung aus der Immobilie heraus her, ohne unsichere Zugangswege in das Heim-PC-Netzwerk des Kunden zu schaffen. Aber auch andere Hersteller wie Basalte, Weinzierl, Siemens, Schneider und ABB bieten Produkte an, die dieses Rätsel lösen können.
Das virtuelle private Netzwerk
Es ist sehr wahrscheinlich, dass das KNX-System oder der KNX-Bus nicht das einzige Gerät ist, mit dem wir uns aus der Ferne verbinden müssen, und das stellt eine etwas andere Herausforderung dar. Wie verbinde ich mich mit der Siemens SPS, die den Maschinenraum steuert? Oder an die Intesis AC-, Modbus- oder BACnet-Schnittstellen?
Die naheliegendste und sicherste Lösung ist hier die Verwendung eines VPN (Virtual Private Network). Aber wie richtet man das ein, und ist es sicher? Lassen Sie uns zuerst den zweiten Teil beantworten. Es ist sehr sicher (vorausgesetzt, Ihre Kennwörter usw. sind es auch). Es wird ein sicherer virtueller Punkt-zu-Punkt-Tunnel über das Internet zwischen Ihrem Computer und dem LAN des Kunden aufgebaut. Sobald die Verbindung hergestellt ist, erscheint Ihr Computer im Netz des Kunden.
Um ein VPN ohne den Einsatz von Software wie OpenVPN oder NordVPN aufzubauen, gibt es zwei Grundvoraussetzungen:
1) eine feste Internet-IP-Adresse oder ein Router, der DNS unterstützt.
2) einen Router, der VPN-Verbindungen unterstützt.
1) Die feste IP-Adresse oder ein Router, der DNS unterstützt
Stellen Sie sich vor, Sie wären ein Postbeamter, der tagein, tagaus Post zustellt. Nur dass sich die Hausnummern jeden Tag ändern, so dass Nummer 32 jetzt zwanzig Häuser weiter ist. Dies ist vergleichbar mit Ihrer Internet-IP-Adresse. Jedes Mal, wenn Ihr Router neu gestartet wird, erhält er eine neue IP-Adresse von Ihrem Internetdienstanbieter (ISP). Das bedeutet, dass wir sozusagen nicht mehr wissen, wo Sie wohnen. Die feste IP-Adresse löst also dieses Problem. Die andere Möglichkeit ist die Bereitstellung eines DNS (Dynamic Name System). DNS bietet im Wesentlichen einen Nachschlagedienst für Internetadressen. Jedes Mal, wenn sich die Internet-IP-Adresse Ihres Routers ändert, sendet der Router die neue Adresse an den DNS-Server, damit Ihr Eintrag aktualisiert werden kann. Sie können dann den DNS-Namen verwenden (der sich nicht ändert), zum Beispiel myhouse@dyndns.org.
Damit ist der erste Teil der VPN-Konfiguration erledigt. Sie können nun den Router des Kunden im Internet über einen DNS-Dienst immer finden.
2) Der Router, der VPN-Verbindungen unterstützt
Die Einrichtung eines VPN erfolgt in zwei Schritten. Zunächst müssen Sie einen "Benutzer" anlegen. Der Benutzername und das Passwort werden benötigt, wenn Sie sich über VPN verbinden. Der zweite Schritt ist die Einrichtung des VPN-Verbindungsprotokolls. Gängige Protokolle sind PPTP, IPSec, L2TP und SSL-Tunnel. PPTP hat eine schwache Sicherheit und wird von Apple-Geräten nicht mehr unterstützt. Das am häufigsten verwendete Protokoll ist L2TP mit einem 'preshared' Schlüssel. Die meisten DrayTek-Router unterstützen DNS und VPN-Setup und ermöglichen einen einfachen Zugang zum LAN des Kunden.
Nun geht es nur noch darum, das VPN-Profil auf dem Laptop oder Desktop-PC mit den gleichen Anmeldekriterien einzurichten. Hier gibt es Hilfe, denn DrayTek bietet auch ein kleines VPN-Client-Softwarepaket an, das dies einfach macht. Natürlich bieten Cisco, Unifi und Hunderte anderer Routerhersteller die gleiche Funktionalität. Diejenigen, die das nicht tun, sind BT, Sky und Virgin, d.h. alle, die von ISPs verschenkt werden. Wenn Sie also über VPN auf das Netzwerk des Kunden zugreifen wollen, müssen Sie auf jeden Fall einen Router bereitstellen, der diese Aufgabe erfüllt.
Abschluss
Stellen Sie sich vor, Sie bekommen einen Anruf von einem Kunden, der sagt: "Das und das funktioniert nicht mehr", und Sie können antworten: "Ich melde mich gleich an und sehe nach, was los ist". Das muss ein lohnender Service sein, der für Ihre Kunden wirklich von unschätzbarem Wert ist. Mit dem richtigen Router und einer Stunde Ihrer Zeit ist es einfach zu lernen, wie man eine VPN-Verbindung einrichtet. Diese Stunde erspart unzählige Stunden des Hin- und Herreisens zum Standort.
Wenn es jedoch eine Möglichkeit gibt, von außen in das System Ihres Kunden einzudringen, muss unbedingt sichergestellt werden, dass diese nicht von Personen mit böswilligen Absichten ausgenutzt werden kann.
Für mich ist die Einrichtung eines VPN eine der wertvollsten Fähigkeiten, die ich gelernt habe. Man kann am Schreibtisch sitzen und alle Daten in Echtzeit sehen, während sie anfallen, man kann mehrere PCs mit demselben Haus verbinden und jedes Systemsignal überwachen, ohne aus dem Pyjama aufzustehen. Und was noch besser ist, Sie können diese Fähigkeit in ein Fernüberwachungs- und Wartungsangebot einbringen und damit Geld verdienen.
Simon Buddle CEng MIET, ist Berater für Future Ready Homes, einem Spezialisten für BMS- und ELV Dienstleistungen.
