Tipps zu IP-Tunnel-Konfigurationsanleitungen
Sicherheitsvorkehrungen Teltonika RUT950 / RUT955

Artikel 32159

Stand 24.02.2022, 12:51:26

Version 6217713e

Zielgruppe:
Besitzer von Teltonika RUT950 / RUT955 Geräten mit eingerichtetem IP-Tunnel zur Bereitstellung einer festen, öffentlichen IPv4-Adresse

Alle Arbeiten geschehen auf eigene Gefahr. Für Schäden an Soft- und Hardware sowie für Ausfälle Ihrer Infrastruktur sind Sie selbst verantwortlich. Wir können keine Unterstützung für nicht von uns getestete Szenarien, Hardware, Software und Betriebssysteme anbieten. Alle Anleitungen setzen ein Blanko- bzw. minimal konfiguriertes System voraus und sind als eine mögliche Konfigurationsvariante zu verstehen, die ggf. an Ihr lokales Umfeld und Ihre Anforderungen angepasst werden muss. Bitte beachten Sie immer die Sicherheitshinweise in der Bedienungsanleitung des Herstellers, besonders zum Betrieb von Hardware, dem Aufstellungsort und Betriebstemperaturen. Führen Sie Tests nicht in Produktivumgebungen durch. Testen Sie die Lösung ausgiebig, bevor Sie sie produktiv einsetzen. IT-Systeme sollten nur von qualifiziertem Personal konfiguriert werden. Als Administrator müssen Sie selbst abwägen, ob unsere Produkte und Dienstleistungen für Ihren Anwendungszweck und die gewünschte Verfügbarkeit geeignet sind, oder nicht. Führen Sie Änderungen nicht über eine entfernte Verbindung (Remote-Verbindung) durch. Verwenden Sie stets sichere Passwörter, ändern Sie Standard-Passwörter umgehend ab.

Sicheres Geräte-Passwort

Vergeben Sie ein sicheres Geräte-Passwort. Nachdem Ihr RUT950 / RUT955 über einen IP-Tunnel mit einer festen, öffentlichen IP-Adresse versehen wurde, ist das Gerät aus dem weltweiten Internet erreichbar. Ein unsicheres Passwort kann binnen Minuten zu einem durch einen automatischen Angriff übernommenes Gerät führen.

WLAN deaktivieren

Falls Sie WLAN nicht benötigen, deaktivieren Sie diese Funktion:

  1. Navigieren Sie zu Network > Wireless
  2. Klicken Sie in der betreffenden Zeile der Tabelle Wireless Access Points auf Disable.

SSH-Zugriff deaktivieren

Falls Sie keinen Zugriff auf die Kommandozeile des Routers benötigen, deaktivieren Sie den SSH-Zugriff:

  1. Navigieren Sie zu System > Administration
  2. Wählen Sie den Reiter Access Control
  3. Enable SSH access: Deaktiviert
  4. Klicken Sie unten auf Save

Hinweis: Bei den Kontrollkästchen Remote SSH access, Enable remote HTTP access, Enable remote HTTPS access und Enable remote CLI bezieht sich das “Remote” auf die MWAN-Schnittstelle, d.h. das LTE-Modem. In unserer Anwendung erfolgen die Zugriffe aber über eine IP-Tunnel bzw. VPN-Verbindung. Diese Kontrollkästchen haben daher keinen Einfluss auf die tatsächliche Erreichbarkeit des jeweiligen Dienstes aus dem Internet.

Console-Zugriff deaktivieren

Falls Sie die Web-CLI nicht benötigen, deaktivieren Sie die Funktion:

  1. Navigieren Sie zu System > Administration
  2. Wählen Sie den Reiter Access Control
  3. Enable CLI: Deaktiviert
  4. Klicken Sie unten auf Save

Hinweis: Bei den Kontrollkästchen Remote SSH access, Enable remote HTTP access, Enable remote HTTPS access und Enable remote CLI bezieht sich das “Remote” auf die MWAN-Schnittstelle, d.h. das LTE-Modem. In unserer Anwendung erfolgen die Zugriffe aber über eine IP-Tunnel bzw. VPN-Verbindung. Diese Kontrollkästchen haben daher keinen Einfluss auf die tatsächliche Erreichbarkeit des jeweiligen Dienstes aus dem Internet.

Standard-Port von Web-Interface / SSH ändern

Falls Sie Fernzugriff auf das Web-Interface / SSH benötigen, kann der Port auf einen nicht-Standard-Port geändert werden. Damit können automatisierte Angriffsversuche unwirksam werden, da diese i.d.R. nur auf den Standard-Ports nach Web-Interfaces / SSH-Zugängen suchen.

  1. Navigieren Sie zu System > Administration
  2. Wählen Sie den Reiter Access Control
  3. Im Bereich SSH können Sie im Feld Port den SSH-Port ändern, z.B. auf 75022
  4. Im Bereich WebUI können Sie im Feld Port den Web-Interface-Port ändern, z.B. auf 75080
  5. Klicken Sie unten auf Save

Hinweis: Bei den Kontrollkästchen Remote SSH access, Enable remote HTTP access, Enable remote HTTPS access und Enable remote CLI bezieht sich das “Remote” auf die MWAN-Schnittstelle, d.h. das LTE-Modem. In unserer Anwendung erfolgen die Zugriffe aber über eine IP-Tunnel bzw. VPN-Verbindung. Diese Kontrollkästchen haben daher keinen Einfluss auf die tatsächliche Erreichbarkeit des jeweiligen Dienstes aus dem Internet.

Tipp: SMS-Befehle

Viele Funktionen des RUT950 / RUT955 lassen sich über SMS-Befehle steuern. SMS-Befehle sind standardmäßig aktiviert.

Mithilfe von SMS-Befehlen kann z.B. das Web-Interface aktiviert und deaktiviert, der Router neu gestartet oder der Status ausgelesen werden.

Weitere Informationen: https://wiki.teltonika-networks.com/view/SMS_Utilities

Weitere Sicherheitsvorkehrungen

Nehmen Sie weitere Sicherheitsvorkehrungen nach Ihrem eigenen Ermessen unter Berücksichtigung der Art des über den IP-Tunnel-Zugang betriebenen Dienstes vor.

Optional: Serverseitige Firewall-Regeln

Wir können Zugriffe auf bestimmte Ports serverseitig verbieten oder nur den Zugriff auf von Ihnen definierte Ports erlauben. Dies schont nicht nur das Datenvolumen Ihrer SIM-Karte sondern kann auch die Sicherheit erhöhen. Fragen Sie dazu bitte an: vertrieb@internet-xs.de

Erstellt
15.04.2020, 12:07:54
Zuletzt geändert
24.02.2022, 12:51:26
Version
6217713e
topf@internet-xs.de topf-white@internet-xs.de topf@internet-xs.com topf-white@internet-xs.com topf2022@internet-xs.de topf-white2022@internet-xs.de topf2022@internet-xs.com topf-white2022@internet-xs.com