Wir haben einen TL-ER6020, den wir im „Nicht-NAT“-Modus einrichten (die WAN-Seite befindet sich in einem /30-Netzwerk und routet ein /29-Netzwerk).
Ich möchte den Router per Fernzugriff verwalten können, möchte jedoch verhindern, dass er von der WAN-Seite aus über HTTP zugänglich ist.
Auf einem Cisco RV042 hatte ich die Dinge so konfiguriert, dass ich mich per PPTP mit dem Router verbinden und dann über seine interne IP auf den Router zugreifen konnte. Dieser Router hatte jedoch NAT konfiguriert.
Wie geht man dieses Problem richtig an?
Antwort1
Wenn Sie Zugriff auf die Firewall im Router haben, würde ich HTTP-Pakete ablehnen, die von der WAN-Schnittstelle kommen.
Wenn das HTTP von innen akzeptiert wird, ist es beim VPN lediglich eine Frage der Verbindung mit dem VPN und dann des Remote-Zugriffs.
Antwort2
Ihren Aussagen entnehme ich, dass sowohl interne als auch WAN-Netzwerke öffentliche IP-Adressierungen verwenden (da kein NAT vom internen zum WAN besteht).
Da Sie nun vom internen Netzwerk als einem sicheren Netzwerk sprechen, gehe ich davon aus, dass TL-ER6020 den gesamten Datenverkehr vom WAN ins interne Netzwerk verweigert/blockiert und vielleicht Verbindungen über das WAN zulässt, wenn diese im internen Netzwerk initiiert werden.
Nachfolgend sind einige allgemein verwendete Ansätze aufgeführt:
Aktivieren Sie die direkte Fernverwaltung auf sichere Weise. Um dies effektiv zu tun, sollten Sie:
- Verwenden Sie nur sichere Protokolle (HTTPS, SSH usw.)
- Blockieren Sie alle Verbindungen vom WAN zum TL-ER6020, mit Ausnahme des sicheren Verwaltungsprotokolls
- Beschränken Sie die Anzahl der Quell-IPs, die eine Verbindung herstellen dürfen
- Verwenden Sie einen sehr starken Authentifizierungsmechanismus (bei SSH sollten Sie beispielsweise den RSA-Authentifizierungsschlüssel anstelle eines Passworts/einer Passphrase verwenden)
Wenn Sie sich über ein Netzwerk mit statischer IP/s mit dem Remote-Gerät verbinden und Ihr Gerät diese Funktionen unterstützt, ist dies eine praktikable Lösung. Leider scheint TL-ER6020 dazu nicht in der Lage zu sein.
Reduzierung der Angriffsfläche durch Beschränkung der Remote-Konnektivität auf den VPN-Dienst. Es ist zu beachten, dass selbst die Sperrung des Geräts mit Ausnahme von SSH beispielsweise die Angriffsfläche reduziert. Die Hauptvorteile des VPN-Ansatzes sind:
- VPN-Server/Daemons/Dienste gelten als sicherer und robuster als die meisten anderen Fernzugriffsdienste (Telnet ist ein klares Beispiel). Eine gute Implementierung von SSH oder SSL wäre jedoch ebenfalls stark.
- Sie können die Angriffsfläche tatsächlich verringern, wenn Sie mehrere Dienste zulassen: Wenn Sie beispielsweise FTP, HTTP und SSH über das VPN zulassen, setzen Sie nur den VPN-Dienst dem Internet aus und reduzieren so effektiv die Anzahl der Komponenten, die aufwändig gewartet werden müssen.
Zurück zu Ihrer realen Situation: Da Option 1 für Ihr Gerät nicht geeignet zu sein scheint, könnten Sie sich für ein VPN entscheiden.
Bezogen auf „Auf einem Cisco RV042 hatte ich die Dinge so konfiguriert, dass ich PPTP in den Router einbinden und dann über seine interne IP auf den Router zugreifen konnte. Dieser Router hatte jedoch NAT konfiguriert“, wenn die Annahme über Ihr Design richtig ist, müssen Sie nur die VPN-Verbindung starten und dann auf die interne öffentliche IP des Routers selbst zugreifen. Mit anderen Worten, das Fehlen von NAT würde nur bedeuten, dass Sie mit den echten (wahrscheinlich öffentlichen) IPs umgehen müssen, die Sie Ihrem internen Netzwerk zugewiesen haben.