Fernwartungsdienst
Der Brightlayer-Fernwartungsdienst ermöglicht es Benutzern, Fernwartungsgruppen einzurichten und sicher zu verwalten. Der Dienst ermöglicht den Aufbau und die Steuerung von VPN-Verbindungen zwischen Gateway-Geräten und Benutzern.
Übersicht
Gateway (GW)-Gerät: Ein GW-Gerät stellt die physikalische Schnittstelle zwischen der Anwendung und dem Internet dar. Über das GW-Gerät kann mittels des Ferwartungsdienstes auf die Anwendung zugegriffen werden.
Benutzergerät: Beim Benutzergerät handelt es sich um den Computer eines Benutzers, auf dem die OpenVPN Client Software installiert ist.
Verbindung: Die Verbindung zeigt den Status der Kommunikation zwischen GW-Gerät und Benutzergerät.
Hinweis: Ein Gateway-Gerät kann gleichzeitig nur mit einem Benutzergerät verbunden sein.
Ein Fernwartungsdienst (FWD) besteht aus einer Gruppe von Gateway-Geräten (GW devices), Benutzergeräten und Verbindungen. Alle Benutzergeräte innerhalb eines FWD können auf alle Gateway-Geräte zugreifen.
Benutzer könnten Zugriff auf mehrere FWD haben. So kann der Benutzer die Gateway-Geräte, Benutzergeräte und Verbindungen sehen, die einem FWD zugeordnet sind, indem er sie im Dropdown-Menü auswählt.
Die folgenden Abschnitte führen Sie durch alle Funktionalitäten des Fernwartungsdienstes. Die folgende Tabelle gibt einen Überblick über den Inhalt dieses Kapitels.
| Abschnitt | Inhalt |
|---|---|
| Anmelden am Fernwartungsdienst | Erstanmeldung, um das automatische Einloggen für die Funktion zu aktivieren |
| Gateway Geräte verwalten | GW-Geräte zum FWD hinzufügen, spezielle Einstellungen für GW-Geräte |
| Benutzer Geräte verwalten | Benutzergerät hinzufügen, OpenVPN-Client für die Fernwartung und Verbindung zu einem GW-Gerät installieren, Konfigurationsdateien für den OpenVPN-Client hinzufügen, Benutzergerät löschen |
| Verbindungen verwalten | Connection status of Gateway device, User Device and Connections |
Anmelden am Fernwartungsdienst
Wenn einem Abonnement ein Fernwartungsdienst hinzugefügt wurde und Benutzern Zugriffsrechte dafür erteilt wurden, muss jeder Benutzer die Single-Sign-On-Funktion für diesen Dienst aktivieren: Beim ersten Klick auf „Fernwartung (Remote Maintenance)“ im Hauptmenu sehen Benutzer im Hauptfenster nur das „Aktivierungs“-Symbol.
Durch Klicken auf dieses Symbol gelangt der Benutzer zu einer OpenVPN-Registrierungsseite, wo er einfach auf die Schaltfläche „Single Sign On (SSO)“ klicken muss.
Nach erfolgreicher Autorisierung wird der Benutzer beim RM-Dienst registriert und erhält nach der Aktualisierung der Hauptfensterseite des Portals Zugriff auf die Fernwartungsseite (Remote Maintenance).
Wenn der Fernwartungsdienst (FWD) erstellt wird, enthält er standardmäßig mindestens eine Verbindung.
Eine Verbindung im Brightlayer FWD ist eine Ende-zu-Ende-Verbindung zwischen einem GW-Gerät und einem Benutzergerät. Der Abonnementadministrator kann dem FWD zusätzliche Verbindungen hinzufügen (derzeit auf drei (3) Verbindungen beschränkt).
Gateway Geräte (devices) verwalten
Gateway devices zu einem Fernwartungsdienst (FWD) hinzufügen
Es gibt zwei (2) verschiedene Möglichkeiten, ein GW-Gerät zu einem Fernwartungsdienst hinzuzufügen:
Der Abonnent hat einen Dashboard-Dienst gebucht
In diesem Fall empfiehlt es sich, das GW-Gerät aus einem vorhandenen Gerät im Dashboard-Dienst zu erstellen.
Wenn das Gerät noch nicht im Dashboard-Dienst erstellt wurde, wird empfohlen, das Gerät über die Gerätekonfiguration zu erstellen.
Anschließend kann das Dashboard-Gerät aus einer Liste vorhandener Geräte im Fernwartungsdienst ausgewählt werden.
Der Abonnent hat keinen Dashboard-Dienst gebucht
In diesem Fall muss ein neues Gerät erstellt werden.
Wichtig: Normalerweise können Geräte zwischen den Dashboard-Diensten und den Fernwartungsdiensten (FWD) synchronisiert werden. Wenn Geräte nur innerhalb des FWD erstellt werden (z. B. weil das Abonnement noch keinen Dashboard-Dienst gebucht hat), müssen Einschränkungen berücksichtigt werden:
Wenn nachträglich ein Dashboard-Gruppen-(Start-)Dienst gebucht wird, können die Geräte von einem Eaton-Administrator in diesen Dashboard-Gruppen-Dienst verschoben werden.
Wenn ein Dashboard-Mandantendienst (Flex oder Flexplus) gebucht wird, ist eine Synchronisierung der Geräte mit einem vorhandenen FWD nicht möglich! Sollen Geräte synchronisiert werden, müssen alle Geräte des FWD gelöscht und die Gateway-Hardware neu konfiguriert werden.
Spezielle Einstellungen für Gateway-Geräte
Klick Box: Eingebettete IP zulassen (Allow embedded IP):
Wenn „Embedded IP zulassen“ für ein Gateway aktiv ist, kann der Benutzer über die Fernwartungsverbindung auf Geräte im lokalen Netzwerk des Gateways zugreifen. Um auf ein solches Gerät zuzugreifen, muss die IP-Adresse des Geräts bekannt sein. Die URL, die in den Browser eingegeben werden muss, um auf das Gerät zuzugreifen, ist die folgende:
IP Addresse des Gerätes im lokalen Netzwerk (z.B. 192.168.20.2)
GW Gerätename (z.B. mygateway)
Domain Name: “rm.machinery-monitoring.com”
Die URL, um auf das Gerät zuzugreifen setzt sich somit folgendermaßen zusammen:
Beispiel: “192-168-20-2.mygateway.rm.machinery-monitoring.com”
Klick Box: Gateway-Gerät erlauben, eine TCP/UDP-Verbindung zum Benutzergerät herzustellen (Allow Gateway Device to establish TCP/UDP connection to User Device)
Die Option Gateway-Gerät zulassen, um eine TCP/UDP-Verbindung zum Benutzergerät herzustellen steuert, ob ein Gerät im lokalen Netzwerk des Gateways eine Nutzdatenverbindung zu einem Benutzergerät herstellen kann. Mit Nutzlastverbindung ist hier jede TCP/UDP-Verbindung innerhalb des bereits eingerichteten VPN-Tunnels gemeint. d.h. diese Option hat keinen Einfluss auf die Richtung des VPN-Tunnels und/oder darauf, wer den Tunnel aufbauen kann.
Wenn die Option Gateway-Gerät darf eine TCP/UDP-Verbindung zum Benutzergerät herstellen nicht aktiviert ist, kann eine Verbindung hergestellt werden:
vom Benutzergerät zum Gateway-Gerät und zum Gerät im lokalen Netzwerk des Gateway-Geräts
aber nicht von einem Gerät innerhalb des lokalen Netzwerks des Gateway-Geräts
Die Firewall auf dem VPN-Server erkennt, dass eine Verbindung initialisiert wird und blockiert sie.
Wenn die Option Gateway-Gerät den Aufbau einer TCP/UDP-Verbindung zum Benutzergerät zulassen aktiviert ist, kann eine Verbindung hergestellt werden
vom Benutzergerät zu einem Gateway-Gerät
vom Gateway-Gerät und vom Gerät im lokalen Netzwerk des Gateway-Geräts zum Benutzergerät
Sicherheitshinweis
Es ist zu beachten, dass aus Sicherheitsgründen die Option Gateway-Gerät den Aufbau einer TCP/UDP-Verbindung zum Benutzergerät zulassen nur dann hinzugefügt werden sollte, wenn dies für die beabsichtigte Kommunikation wirklich erforderlich ist.
FTP-Verbindung
Aktive FTP-Kommunikation erfordert für eine erfolgreiche Kommunikation die Einstellung Gateway-Gerät den Aufbau einer TCP/UDP-Verbindung zum Benutzergerät zulassen. Die Passive FTP-Kommunikation funktioniert unabhängig davon, ob diese Option verwendet wird, aufgrund der Art und Weise, wie das Passive FTP-Protokoll die Datenverbindung herstellt, nicht.
Einschränkung der möglichen Aktivitäten über das Gateway (Gateway service restriction)
Für alle neu hinzugefügten Gateway-Geräte ist es möglich, den Zugriff auf bestimmte Eaton-Tools, die ggf. in der Anwendung installiert sind, zu beschränken.
Die Option Alle Dienste zulassen (Allow all services) ist standardmäßig ausgewählt
Auf die spezifischen Benutzerdefinierten-Einstellungen kann nur zugegriffen werden, wenn Benutzerdefiniert (Custom) ausgewählt ist.
Beim Klicken auf das Info Symbol wird folgende Information angezeigt:
Wenn Alle Dienste zulassen (Allow all services) ausgewählt ist, werden keine Dienste verhindert. Aus Sicherheitsgründen wird dringend empfohlen, nur die für den beabsichtigten Betrieb erforderlichen Protokolle und Ports auszuwählen.
Wenn Sie eine aktive FTP-Kommunikation verwenden, um ein Galileo-Projekt auf Geräte herunterzuladen, muss auch die Option Gateway-Gerät darf TCP/UDP-Verbindungen zum Benutzergerät herstellen (Allow Gateway Device to establish TCP/UDP connections to User Device) aktiviert sein, andernfalls ist keine Kommunikation möglich.
Wenn Galileo ausgewählt ist, hat das Benutzergerät Zugriff auf das Galileo Design-Tool:
um über aktive FTP-Kommunikation eine Verbindung zu einem Panel im lokalen Netzwerk des Gateways herzustellen
um die Ausführung des Galileo Runtime Systems zu starten oder stoppen.
Wenn XSOFT-CODESYS-3 ausgewählt ist, kann das User device:
sich mit der lokalen CODESYS-Laufzeit auf einem Panel im lokalen Netzwerk des Gateways verbinden
ein neues Projekt hochladen
ein Projekt debuggen
Wenn easySoft ausgewählt ist kann das User device:
eine Verbindung zu einem easyE4 Gerät im lokalen Netzwerk des Gateways herstellen
ein neues Projekt hochladen
den Gerätestatus einsehen
Gatewaykonfiguration
Netzwerktopology 
Die Gatewaykonfiguration kann auf zwei Wegen erfolgen:
1. Die Konfiguration in das Gateway importieren
Das folgende File herunterladen: nubisnet_config.cup
Das .cup File im Nubisnet Web-Konfigurationstool hochladen:
Das Password für das .cup file lautet: Nubisnet12!@
Die MQTT Nachricht aktualisieren:
a. Öffnen Sie das NubisNet Web-Konfigurationstool und geben Sie Ihre Anmeldeinformationen ein b. Navigieren Sie zum Abschnitt Einstellungen (Settings), wählen Sie die Registerkarte Einstellungen (Settings) → SPS (PLC) → Nachrichten (Messages) c. Klicken Sie im Abschnitt Nachrichten empfangen (Receive messages) auf die Schaltfläche Bearbeiten (Edit) und füllen Sie das Formular mit den folgenden Werten aus, um die Nachricht MQTT (Un)Connect zu erstellen.
Name Wert Kommentar Active <TRUE> Wert beibehalten. Channel - Topic s/ds Wert beibehalten. Channel - Text 511,<DEVICE_NAME>,"{"id":"<DEVICE_ID>","etn_openvpn":{"connect":{"value":%vpn_connect%}}}" Unter <DEVICE_NAME> den Namen des Geräts (Device) von der “Device configuration” Seite des Porals eingeben.
Unter <DEVICE_ID> die ID des Geräts (Device) von der “Device configuration” Seite des Porals eingeben.Informationen zum Aktualisieren der MQTT-Verbindungseinstellung finden Sie unter MQTT Message Client konfigurieren.
To update OpenVpn connection settings see OpenVPN Client konfigurieren.
2. Das Gateway manuell konfigurieren
Konfigurieren Sie die (Un)Connect-Signalverarbeitung des OpenVPN-Clients
Erstellen Sie eine OpenVPN-Connection State Variable
In diesem Abschnitt werden boolesche SPS-Variablen erstellt. In der folgenden Tabelle werden die Variablen beschrieben
| Name | Beschreibung |
|---|---|
| vpn_connect | Diese Variable speichert den aktuellen Verbindungsstatus, den der OpenVPN-Client haben sollte. Ein Wert von 1 bedeutet, dass der OpenVPN-Client eine Verbindung zum Server herstellen sollte, ein Wert von 0 bedeutet, dass der OpenVPN-Client die Verbindung zum Server trennen sollte. |
| vpn_running | Diese Variable ist 1, wenn der OpenVPN-Client ausgeführt wird, andernfalls 0. |
| vpn_connected | Diese Variable ist 1, wenn der OpenVPN-Client mit dem Server verbunden ist, andernfalls 0. |
Erstellen Sie die Variblen in folgenden Schritten:
Öffnen Sie das NubisNet Web-Konfigurationstool und geben Sie Ihre Anmeldeinformationen ein
Navigieren Sie zum Abschnitt Einstellungen (Settings) → wählen Sie die Registerkarte Einstellungen (Settings) → SPS (PLC) → Variablen (Variables)
Klicken Sie auf die Schaltfläche Hinzufügen (Add) und geben Sie den Wert in die folgende Tabelle ein
Name Wert Kommentar Name vpn_connect Data type Boolean Maximum string length <empty> Portal path Voreingestellten Wert übernehmen Retentive <FALSE> Wiederholen Sie den letzten Schritt auch für die Variablen vpn_running und vpn_connected
Klicken Sie auf OK um die Variablen zu erstellen.
Klicken Sie auf OK, um die aktualisierten Variableneinstellungen zu speichern.
Erstellen der Receive MQTT Messages
Öffnen Sie das NubisNet Web-Konfigurationstool und geben Sie Ihre Anmeldeinformationen ein
Navigieren Sie zum Abschnitt Einstellungen (Settings), wählen Sie die Registerkarte Einstellungen (Settings) → SPS (PLC) → Nachrichten (Messages)
Klicken Sie im Abschnitt Nachrichten senden (Send messages) auf die Schaltfläche Hinzufügen (Add) und füllen Sie das Formular mit den folgenden Werten aus, um die Nachricht Befehl empfangen bestätigen (Confirm Command Received) zu erstellen
Name Wert Active <TRUE> Channel - Topic s/us Channel - Text 501,c8y_Command Klicken Sie im Abschnitt Nachrichten senden (Send message) auf die Schaltfläche Hinzufügen (Add) und füllen Sie das Formular mit den folgenden Werten aus, um die Nachricht Befehl erfolgreich bestätigen (Confirm Command Successful) zu erstellen
Name Wert Active <TRUE> Channel - Topic s/us Channel - Text 503,c8y_Command Klicken Sie im Abschnitt Nachrichten empfangen (Receive messages) auf die Schaltfläche Hinzufügen (Add) und füllen Sie das Formular mit den folgenden Werten aus, um die Nachricht MQTT (Un)Connect zu erstellen
Name Wert Kommentar Active <TRUE> Channel - Topic s/ds Channel - Text 511,<DEVICE_NAME>,"{"id":"<DEVICE_ID>","etn_openvpn":{"connect":{"value":%vpn_connect%}}}" Unter <DEVICE_NAME> den Namen des Geräts (Device) von der “Device configuration” Seite des Porals eingeben.
Unter <DEVICE_ID> die ID des Geräts (Device) von der “Device configuration” Seite des Porals eingeben.Verwenden Sie die Informationen vom Einrichten des Dashboard-Mandanten, um den Broker mit den richtigen Endpunkt- und Geräteanmeldeinformationen zu konfigurieren.
Klicken Sie auf OK
Das SPS Programm des Gateways einrichten
Öffnen Sie das NubisNet Web-Konfigurationstool und geben Sie Ihre Anmeldeinformationen ein
Rufen Sie den PLC Editor auf
Erstellen Sie das folgende Logic Diagramm
Im obigen Diagramm ist Recv Msg 9 die MQTT (Un)Connect-Nachricht. Send Msg 2 und Send Msg 3 sind die Nachrichten Confirm Command Received bzw. Confirm Command Successful. Der Index aller drei Nachrichten muss an den korrekten Nachrichtenindex angepasst werden, wie er in der MQTT-Nachrichtenliste definiert ist. Der obere Teil des Diagramms dient dazu, die erfolgreiche Verarbeitung des Empfangs der MQTT (Un)Connect-Nachricht vom Dashboard-Mandanten zu bestätigen und zurückzugeben.
IP forwarding konfigurieren:
- Öffnen Sie das NubisNet Web-Konfigurationstool und geben Sie Ihre Anmeldeinformationen ein
- Navigieren Sie zum Abschnitt Einstellungen (Settings) → wählen Sie die Registerkarte Einstellungen (Settings) → Netzwerk → Netzwerk
| Name | Wert | Kommentar |
|---|---|---|
| Enable IP forwarding: | True | Um auf das Netzwerk unterhalb des GW zuzugreifen. Die IP-Weiterleitung sollte aktiviert sein. |
OpenVPN Client konfigurieren
Öffnen Sie das NubisNet Web-Konfigurationstool und geben Sie Ihre Anmeldeinformationen ein.
Navigieren Sie zum Abschnitt Einstellungen (Settings) → wählen Sie die Registerkarte Einstellungen (Settings) → Netzwerk → OpenVPN
Ergänzen Sie die Daten in den Feldern entsprechend der folgenden Tabelle:
Name Wert Kommentar Connect at start-up <FALSE> Allow connection to be controlled via com.tom PORTAL <FALSE> OpenVPN configuration file Kopieren Sie den verbleibenden Inhalt der OVPN-Konfigurationsdatei aus dem vorherigen Abschnitt in dieses Feld. D.h. Kopieren Sie die OVPN-Konfiguration ohne darin enthaltene Zertifikate und Schlüssel. Authority’s certificate file (ca.crt) Laden sie das ca.crt file hoch, dass im letzten Abschnitt generiert wurde. Certificate file (cert.crt) Laden sie das cert.crt file hoch, dass im letzten Abschnitt generiert wurde. Private key file (cert.key) Laden sie das cert.key file hoch, dass im letzten Abschnitt generiert wurde. User and password file (userpass.txt) <NOT USED> Diffie-Hellman file (dh.pem) <NOT USED> TLS pre-shared key file (tlsauth.key) Laden sie das tlsauth.key file hoch, dass im letzten Abschnitt generiert wurde. Klicken Sie auf OK
MQTT Message Client konfigurieren
Öffnen Sie das NubisNet Web-Konfigurationstool und geben Sie Ihre Anmeldeinformationen ein.
Navigieren Sie zum Abschnitt Einstellungen (Settings) → wählen Sie die Registerkarte Einstellungen (Settings) → Netzwerk → OpenVPN
Ergänzen Sie die Daten in den Feldern entsprechend der folgenden Tabelle:
Name Wert Kommentar Enabled TRUE MQTT version: 3.1.1 or 3.1 UseTLS: TRUE Host Kopieren Sie den MQTT Broker Host von der Device configuration Seite im Brightlayer Portal. Port 8883 Client ID Copy Device Name von der Device configuration Seite im Brightlayer Portal. User name: Copy User Name von der Device configuration Seite im Brightlayer Portal. Password: Copy Password von der Device configuration Seite im Brightlayer Portal. Achtung: Das Password kann nur ausgelesen werden, nachdem das Device neu erstellt wurde. Klicken Sie auf OK
Benutzergeräte verwalten
Alle Abonnenten haben die Möglichkeit, ein Benutzergerät innerhalb des Fernwartungsdienstes (FWD) zu erstellen. Für jeden Benutzer kann jedoch in jedem der FWD, auf die er Zugriff hat, nur ein Benutzergerät erstellt werden. Darüber hinaus kann ein einzelnes Benutzergerät im FWD eine Verbindung zu nur einem GW-Gerät (Gateway) innerhalb desselben FWD herstellen. Im Reiter Benutzergerät wird die Liste der vorhandenen Benutzergeräte im jeweiligen FWD angezeigt. Auf dieser Registerkarte sind vier Aktivitäten möglich:
Schaltfläche „Benutzergerät hinzufügen (Add User device)“. Wenn Sie auf diese Schaltfläche klicken, wird die Seite „Benutzergerät hinzufügen (Add User device)“ geöffnet.
Auf dieser Seite muss dem Benutzergerät ein Name zugewiesen werden. Anschließend kann aus dem Dropdown-Menü Benutzername ein Benutzer ausgewählt werden. In diesem Dropdown-Menü werden die E-Mail-Adressen aller Benutzer angezeigt, die Zugriff auf den Dienst haben.
Nachdem diese Felder ausgefüllt wurden, kann das Benutzergerät durch Klicken auf die Schaltfläche „Hinzufügen (Add)“ hinzugefügt werden.
Klicken Sie auf die Schaltfläche „OpenVPN-Client herunterladen (Download OpenVPN Client)“. Durch Klicken auf diese Schaltfläche wird ein Download der OpenVPN-Client-Anwendung in den Download-Ordner des Computers gestartet. Um die Fernwartungsfunktion zu nutzen und eine Fernverbindung zu einem GW-Gerät herzustellen, müssen Sie die Client-Anwendung installieren.
Im Kontextmenü (3 Punkte) jedes Benutzergeräts können die Konfigurationsdateien für den OpenVPN-Client heruntergeladen werden. Nach dem Download müssen die Konfigurationsdateien auf den OpenVPN-Client hochgeladen werden, der auf dem Computer des Benutzergeräts installiert ist.
Im Kontextmenü (3 Punkte) gibt es auch die Möglichkeit, das Benutzergerät zu löschen.
Verbindungen verwalten
In allen 3 Registerkarten (Gateway-Gerät, Benutzergerät, Verbindungen) wird hinter jedem Gerät bzw. jeder Verbindung der Verbindungsstatus angezeigt:
Symbol durchgestrichene Wolke: Nicht verbunden. Das Gerät ist derzeit nicht verbunden und möglicherweise nicht verfügbar.
Symbol grüne Wolke: End-to-End-Verbindung ist hergestellt. Beide Geräte sind mit dem Server verbunden.
Empfehlungen für die Verwaltung von VPN Netzen
Verwaltung von VPN Netzen
Zugriffskontrolle: Kotrollieren Sie streng den Zugriff auf den VPN Netz, um den Zugriff auf autorisierte Benutzer oder Geräte zu beschränken. Nutzen Sie robuste Authentifizierungsmethoden wie Benutzername-Passwort-Paare, digitale Zertifikate oder Zwei-Faktor-Authentifizierung (2FA), um sicherzustellen, dass nur legitime Benutzer VPN-Verbindungen herstellen können. Dies trägt dazu bei, unbefugten Zugriff auf Ihr Netzwerk zu verhindern.
Kontrollieren Sie regelmäßig, ob alle Nutzer weiterhin ein begründetes Interesse für die Nutzung des VPN Netzes haben oder ob, z.B. durch Änderung der Aufgaben des Benutzers, ein Zugriffsrecht ggf. nicht mehr notwendig ist oder ausgeschlossen werden sollte. Löschen Sie Benutzer mit abgelaufenen Zugriffsrechten konsequent.
Die Zugriffskontrolle ist die erste Verteidigungslinie gegen unbefugten Zugriff auf Ihr Netzwerk. Durch starke Authentifizierungsmethoden können Sie sicherstellen, dass nur vertrauenswürdige Personen oder Geräte über das VPN eine Verbindung zu Ihrem Netzwerk herstellen können.
Firewall-Regeln: Konfigurieren Sie Firewall-Regeln auf dem VPN-Server, um den ein- und ausgehenden Datenverkehr zu kontrollieren. Definieren Sie explizit, welcher Datenverkehr erlaubt ist und welcher blockiert werden soll. Befolgen Sie das Prinzip der geringsten Rechte und gewähren Sie nur den minimal erforderlichen Zugriff auf Ressourcen.
Firewall-Regeln fungieren als Gatekeeper für Ihr Netzwerk, verhindern das Eindringen unerwünschten Datenverkehrs und schützen vertrauliche Daten Ressourcen. Richtig konfigurierte Firewall-Regeln sind für die Sicherheit Ihres Netzwerks und VPN unerlässlich.
Netzwerksegmentierung: Isolieren Sie das VPN-Netzwerk so weit wie möglich von anderen Netzwerken. Vermeiden Sie es, das Netzwerk des Gateway-Computers ohne geeignete Netzwerkgeräte wie Firewalls, Router oder Switches mit anderen Netzwerken zu verbinden, um eine ordnungsgemäße Isolierung und Sicherheit zu gewährleisten.
Die Netzwerksegmentierung trägt dazu bei, potenzielle Bedrohungen innerhalb bestimmter Segmente Ihres Netzwerks einzudämmen und das Risiko seitlicher Bewegungen durch Angreifer zu verringern. Das Verbinden von Netzwerken ohne ordnungsgemäße Isolierung kann Ihr gesamtes Netzwerk anfällig machen.
Verschlüsselung: Implementieren Sie eine starke Verschlüsselung für Daten, die über die VPN-Verbindung übertragen werden. OpenVPN verwendet normalerweise SSL/TLS zur Verschlüsselung. Konfigurieren Sie die Verschlüsselungseinstellungen so, dass starke Verschlüsselungs- und Schlüsselaustauschmethoden verwendet werden, um den Datenschutz zu schützen und Abhören zu verhindern.
Durch die Verschlüsselung wird sichergestellt, dass die über den VPN-Tunnel übertragenen Daten vertraulich und sicher bleiben. Es schützt sensible Informationen vor Abfangen und unbefugtem Zugriff.
Protokollierung und Überwachung: Richten Sie Protokollierungs- und Überwachungstools ein, um VPN-Verkehr und Serveraktivitäten zu verfolgen. Überprüfen Sie die Protokolle regelmäßig, um verdächtiges oder anormales Verhalten zu erkennen und darauf zu reagieren. Monitoring hilft dabei, Sicherheitsvorfälle zeitnah zu erkennen.
Protokollierung und Überwachung sind entscheidend für die Identifizierung von Sicherheitsverstößen, die Fehlerbehebung und die Aufrechterhaltung der allgemeinen Sicherheit Ihrer VPN-Infrastruktur. Sie bieten Einblick in Netzwerkaktivitäten.
Benutzerschulung: Informieren Sie Benutzer über sichere VPN-Nutzungspraktiken. Weisen Sie sie an, sichere Passwörter zu wählen, Phishing-Versuche zu erkennen und Unternehmensrichtlinien für den Fernzugriff zu befolgen. Das Bewusstsein der Benutzer ist ein wesentlicher Bestandteil der Netzwerksicherheit.
Benutzer können unbeabsichtigt Sicherheitsrisiken herbeiführen, wenn sie Verhaltensrichtlinien nicht kennen. Durch Schulungen werden Benutzer sicherheitsbewusster und verringern die Wahrscheinlichkeit von Sicherheitsvorfällen, die durch menschliches Versagen verursacht werden.
Aktionsplan für den Fall eines entdeckten Sicherheitsvorfalles: Erstellen Sie einen Aktionsplan, der die Schritte beschreibt, die im Falle eines Sicherheitsvorfalls oder einer Sicherheitsverletzung im Zusammenhang mit dem VPN zu ergreifen sind. Definieren Sie Rollen und Verantwortlichkeiten für das Vorfallmanagement.
Mit einem klar definierten Aktionsplan stellen Sie sicher, dass Ihr Unternehmen effektiv auf Sicherheitsvorfälle reagieren und potenzielle Schäden und Ausfallzeiten minimieren kann.