Select language:
  • en
  • us
  • de
  • zh-hans

Die Secomea Lösung vs. traditioneller VPN

Wie überwindet man die Begrenzungen von traditionellem VPN?

Secomeas “Relay VPN” und traditionellen VPN dienen grundsätzlich dem gleichen Zweck. Beide ermöglichen zwei IP-fähige Geräte sicher per Fernzugriff über das Internet miteinander zu kommunizieren, genau als wären die Geräte im gleichen physischen Netzwerk miteinander verbunden. Obwohl traditionellen VPN weit verbreitet ist und den allgemeinen Zweck der Verbindung von entfernten Netzwerken ganz gut erfüllt, hat es einige gravierende Nachteile für die Geräteüberwachung und das Gerätemanagement aus der ferne. Secomeas erste Generation basierte auf traditionellem VPN aber mit deutlicher Optimierung auf die Schaffung von Tunneln. Die aktuelle Lösung der 3. Generation wurde jedoch zu einer Internet-basierten Technologie entwickelt, die speziell auf die Sicherheit und Anforderungen an die Benutzerfreundlichkeit bei der Verknüpfung von Service-Ingenieuren mit Industrieanlagen abzielt.

1.   Subnetz-Konflikte:
– Netzwerke, die über traditionelle VPN verbunden sind, dürfen nicht das gleiche lokale Subnetz benutzen. Aber ein Maschinenbauer/Systemintegrator, der eine Vielzahl von Kundeninstallationen verwaltet, ist gebunden, sich an vielen Standorten mit der gleichen Subnetzadresse anzumelden. Anfragen beim Kunden, seine Adress-Schemata zu ändern, ist selten eine Option und jonglieren mit NAT-Regeln, um vorhandene Adress-Schemata zu umgehen, kann einfach zum Alptraum werden.
– Mit den Secomea Relay VPN könnten alle Standorte das gleiche Subnetz haben und alle Anlagen die gleiche IP-Adresse. Der Ingenieur und das Gerät sind einfach mit Ihrer IP-Adresse miteinander verlinkt.

2.   Vorkonfigurierte Verbindungen sind erforderlich:
– Verbindungen zwischen traditionellen VPN-Peers können nicht dynamisch auf Anfrage hergestellt werden, sondern müssen vorher konfiguriert werden. Dies erfordert die Hilfe von IT-Personal und verbraucht Zeit – jedes Mal.
– Sobald der Ingenieur mit dem LinkManager-Client über ein, durch sein persönliches x.509-Zertifikat, verifizierten Account auf dem GateManager verfügt, kann der GateManager-Administrator durch Point-and-Click-Assoziierung, das Konto mit genau dem Standort oder einer Gruppe von Geräten verbinden, zu denen der Techniker Zugang haben sollte. Dies wird sofort in die Liste der Standorte im LinkManager-Client eingetragen und die Liste aktualisiert.

3.   Erweiterte Routing Herausforderungen:
– Anschließen von zwei Netzwerken mit traditionellen VPN über einen zentralen VPN-Konzentrator erfordert Konfiguration und Verwaltung der erweiterten Routing-Regeln für die Weiterleitung. Zusätzliches Routing-Equipment muss in der Regel in der Lage sein, NAT-T- und UDP-Kapselung zu unterstützen.
–  Relay VPN verwendet kein Routing und daher sind keine NAT-Regeln erforderlich. IP-Adressen werden einfach über einen zentralen Proxy-Server verbunden. Traditionalle VPN ist für Eins-zu-Eins oder Viele-zu-Eins-Verbindungen geeignet, aber nicht für Eins-zu-Viele (ein Ingenieur zu vielen Standorten) oder Viele-zu-Viele (viele Ingenieure zu vielen Standorten). Die Fernzugangslösung von Secomea verwaltet leicht Tausende von Ingenieuren, die Zugriff auf Tausende von Standorten brauchen, einschließlich der Verwaltung von individuellen Zugriffsrechten und begrenzt dabei sogar den Zugriff auf bestimmte Arten von Geräten oder bestimmte Protokolle/Dienste der Anlage.

4.   Herausforderungen bei der Firewallöffnung:
– IPSec basiertes VPN benötigt spezielle offene Ports und offene Protokoll in Firewalls, um durch sie zu kommunizieren.
– Alle Verbindungen des SiteManagers und LinkManagers werden von innen heraus gestartet, dabei werden nur Standard-Web-Ports verwendet (z. B. 443). Alle diese verschlüsselten Verbindungen enden am zentralen, Internet-basierten GateManager-Server und durch diese verschlüsselten Verbindungen, werden die Verknüpfungen zwischen Ingenieuren und Geräten dynamisch aufgebaut.

5.   Herausforderungen bei der Firewallblockierung:
– VPN routet alles und nicht nur die Protokolle, die Sie benötigen, ausser, wenn die Bemühungen zur Erstellung und Verwaltung einer Reihe von Firewall-Regeln auch wirklich umgesetzt werden.
– Die Geräte-Agenten, die auf dem SiteManager definiert werden, sind automatisch begrenzt auf den Zugang zu Ports oder Dienstleistungen, die für den Agententyp definiert sind, zum Beispiel bei der Definition eines Beckhoff PLC-Agenten auf dem SiteManager, sind die Ports, die geöffnet werden, TCP-Port 987, 5120, 48897 -48899 und UDP 48898-48899. Nur diese Ports werden aktiviert, wenn ein LinkManager sich mit dem Agenten verbindet, der Beckhoff PLC repräsentiert.

6.   Zertifikatmanagement:
– Gute VPN basiert in der Regel auf x.509-Zertifikaten, die von einer Certificate Authority (CA) ausgetauscht oder signiert werden. Dies erfordert Verwaltungsaufwand und erschwert das Einrichten einzelner Verbindungen.
– Der GateManager fungiert als CA-Authority für den SiteManager sowie die LinkManager-Clients. Der Client-Zugriff wird durch ein Zwei-Faktor-System (Zertifikat und Passwort), das von Internet-Banking-Lösungen bekannt ist, gesichert. Aber das x.509-Zertifikat der Secomea-Lösung ist nicht nur eine Sicherheitsmaßnahme. Mit der Einführung von LinkManager haben wir dem Zertifikat alle Konfigurationsdaten-Details beigefügt und dadurch die Notwendigkeit der Konfiguration für den Anwender eliminiert. Installieren Sie den LinkManager sowie das Zertifikat und der LinkManager erkennt, wohin er verbinden muss. Es wird keine weitere Konfiguration des LinkManagers benötigt.

7.   Aktivitäts-Protokollierung:
– Das Prinzip der traditionellen VPN ist es, zwei Netzwerke miteinander zu verbinden, damit alles zwischen den beiden Peers zugänglich wird. Daher wird die Protokollierung allenfalls beim Verbindungsaufbau durchgeführt, aber sobald die Verbindung steht wird nichts mehr protokolliert.
– Der GateManager-Server wird nicht nur zentral protokollieren, wer die Verbindung hergestellt hat und wohin, sondern auch wann die Verbindung hergestellt wurde, und welche Leistungen abgerufen wurden. Das Protokoll wird zentral auf dem GateManager gehalten, kann nicht von Administratoren gelöscht werden und kann daher als Beweismittel im Fall von Rechtsstreitigkeiten dienen.

8.   Verwalten des „Konzentrators”
– Typische IPSec-basierte VPN-Lösungen erfordern einen IT-verwalteten Konzentrator, da Netzwerkkenntnisse erforderlich sind. Außerdem müssen individuelle Konzentratoren typischerweise bei jedem Dienstanbieter installiert werden, um sehr komplexe triangulare Routing- und Firewall-Einstellungen zu vermeiden. SSL VPN-basierte Lösungen, räumen einige der Fragen von IPSec basierten VPNs aus, aber erweiterte Routing- und Firewall-Konfigurationsregeln sind keine Services, die dem Kunden bei gehostete Lösungen offengelegt werden.
– Der „Konzentrator” für die Fernzugriffslösung von Secomea ist ein zentraler Dienst in Form des GateManager-Servers, auf dem jeder Dienstleistungserbringer ein isoliertes Konto bekommt. Hier werden vom Administrator Account-Zertifikate zugeteilt, seine Anlagen und Benutzer in Domain-Strukturen organisiert und dynamisch gesteuert, zu welchen Anlagen und welchen Standorten jeder Serviceingenieur Zugang haben sollte. Es sind keine Netzwerk- oder andere IT-Fähigkeiten erforderlich.

Referenzen
Lesen Sie alle
Vor allem kann weil technology mit der Secomea Fernzugriffslösung seinen Kunden einen erstklassigen Hotline-Support gewährleisten.
Allianzpartner
Sehen Sie alle Partner
Call us
Internationale Vertriebspartner:
Unsere Website benutzt Cookies, wie es fast alle Websites tun, um dem Benutzer einen möglichst guten Service zu bieten. Cookies sind kleine Textdateien, die beim Blättern in Websites auf Ihrem Computer oder Mobiltelefon gespeichert werden.
- Read more here -