Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 22 Nächste Version anzeigen »


Beschreibung:
Um einen Fernzugriff auf unsere Router zu realisieren empfiehlt LANCOM Systems eine VPN-Client-Einwahl zu verwenden, etwa über den LANCOM Advanced VPN Client. Sollte dies nicht möglich sein, muss ein Zugriff häufig über die WAN-Verbindung erfolgen.
In diesem Artikel wird beschrieben, wie der Fernzugriff auf LANCOM Router aus dem WAN abgesichert werden kann.


Voraussetzungen:
Abschnitt 1: Einschränken der Management-Protokolle für den WAN-Zugriff
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Management → Admin → Zugriffseinstellungen.
Bild einer technischen Benutzeroberfläche, die verschiedene Konfigurations- und Managementoptionen anzeigt, einschließlich IP-Router-Management, Software-Updates, und Administrator-Einstellungen.
2. Klicken Sie auf Zugriffs-Rechte und wählen die Option Von einer WAN-Schnittstelle aus.
Bildschirmansicht eines Konfigurationsmenüs zur Einstellung von Zugriffsrechten und Protokollen für unterschiedliche Netzwerke und Geräte, einschließlich Optionen zur Einschränkung des Zugriffs auf bestimmte Webserverdienste.
3. In diesem Menü können Sie den Zugriff auf die Management-Protokolle aus dem WAN erlauben bzw. einschränken.
  • Soll der Zugriff für ein bestimmtes Protokoll aus dem WAN erfolgen, muss im Dropdown-Menü erlaubt ausgewählt werden.
  • Soll ein Zugriff aus dem WAN nicht erlaubt sein, muss nicht erlaubt ausgewählt werden. 
  • Soll ein Zugriff nur per VPN auf den Router erfolgen, muss nur über VPN ausgewählt werden.
  • In der Standard-Einstellung stehen alle Management-Protokolle aus dem WAN auf nicht erlaubt.

LANCOM Systems empfiehlt den Zugriff auf Management-Protokolle aus dem WAN generell zu verbieten (Einstellung nicht erlaubt) oder nur per VPN zu erlauben (Einstellung nur über VPN).

Sollte der Zugriff aus dem WAN doch erforderlich sein, stellen Sie unbedingt sicher, dass nur verschlüsselte Protokolle freigegeben werden (HTTPS, SSH, Telnet über SSL, SNMPv3). Das Passwort kann ansonsten im Klartext mitgelesen werden! Zusätzlich sollte in diesem Fall der Zugriff auf bestimmte IP-Adressen und/oder Netzwerke eingeschränkt werden (siehe Möglichkeit 2).

Die Abbildung zeigt eine Konfigurationsseite für Zugriffsrechte einer WAN-Schnittstelle, auf der verschiedene Protokolle wie SSH erlaubt sind, während TELNET, TELNET über SSL und TFTP nicht erlaubt sind, zusammen mit Hinweisen auf Leserechte für bestimmte Operationen.


Abschnitt 2: Einschränken des Zugriffs auf den Router auf bestimmte IP-Adressen und/oder IP-Netzwerke
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Management → Admin → Zugriffseinstellungen.
Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen Management- und Konfigurationsoptionen, einschließlich Menüs für Gerätepasswörter, Softwareupdates, Schnittstellen, IP-Router Management und Monitoring-Meldungen.
2. Wechseln Sie in das Menü Zugriffs-Stationen.
Technische Benutzeroberfläche zur Konfiguration von Netzwerkzugriffsrechten, einschließlich Einstellungen für spezielle Netzwerkschnittstellen und Beschränkungen für Webserverdienste.
3. Tragen Sie die IP-Adressen und/oder Netzwerke ein, die Zugriff auf den Router erhalten sollen. Bei einem Netzwerk muss die zugehörige Subnetzmaske angegeben werden. Bei einer einzelnen IP-Adresse muss als Subnetzmaske 255.255.255.255 angegeben werden.

Da es sich bei der Tabelle  Zugriffs-Stationen um eine Whitelist handelt, müssen darin alle IP-Netzwerke bzw. IP-Adressen hinterlegt werden, von denen der Zugriff auf den Router möglich sein soll. Hier müssen also zwingend auch die internen Netzwerke hinterlegt werden. Ansonsten ist der Zugriff auf den Router aus dem internen Netzwerk nicht mehr möglich!

Screenshot einer technischen Benutzeroberfläche mit Optionen zur Bearbeitung von Netzwerkzugriffsstationen, einschließlich Feldern für Adresse, Netmaske und Kommentare sowie Tools wie Bearbeiten, Kopieren und Entfernen.


Abschnitt 3: Deaktivieren der Web-Server-Dienste auf der WAN-Schnittstelle
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Management → Admin → Zugriffseinstellungen.
Bildschirmansicht einer technischen Benutzeroberfläche für Gerätemanagement, einschließlich Abschnitte für Allgemeine Einstellungen, Konfigurationen, Software-Updates, Datum und Uhrzeit, Router Management und Benutzerrollen, dargestellt in einer komplexen, textbasierten Struktur.
2. Klicken Sie auf Zugriffs-Stationen und wählen die Option Von einer WAN-Schnittstelle aus.
Screenshot eines Konfigurationsmenüs für Netzwerkeinstellungen, wo Nutzer individuelle Zugriffsrechte für verschiedene Netzwerke und Protokolle einstellen können, einschließlich spezifischer Beschränkungen für den Zugriff auf Webserver-Dienste.
3. Wählen Sie bei HTTP-Port die Option Deaktiviert aus. Dadurch wird der Web-Server für alle Dienste deaktiviert. Dies ist also nur in Szenarien sinnvoll, in denen aus dem WAN kein Zugriff auf den Router per HTTP/HTTPS erfolgen (auch nicht per VPN) und auch keine Dienste im WAN zur Verfügung stehen sollen, welche den Web-Server verwenden (z.B. der OCSP-Server/-Responder).

Eine Ausnahme stellt IPSec-over-HTTPS dar. Ist die Option IPSec-over-HTTPS annehmen aktiviert, wird bei einem Zugriffs-Versuch auf den Router aus dem WAN per WEBconfig auch bei deaktiviertem Web-Server eine Web-Seite mit der Meldung "403 Access Forbidden" angezeigt.

Screenshot einer technischen Benutzeroberfläche, die Optionen zur Deaktivierung des HTTP-Zugangs von einer WAN-Schnittstelle zeigt.


Abschnitt 4: Konfigurations-Login-Sperre
Werden Management-Protokolle aus dem WAN freigegeben, passiert es häufig, dass Brute-Force Attacken aus dem Internet durchgeführt werden um Zugriff auf den Router zu erlangen. Hierzu gibt es einen Brute-Force Schutz.
Diese Einstellung finden Sie unter Management → Admin → Konfigurations-Login-Sperre. In der Standard-Einstellung wird das verwendete Management-Protokoll nach 5 Fehl-Logins für 5 Minuten global gesperrt.

Ist ein Management-Protokoll gesperrt, steht dieses für die Sperr-Dauer also auch aus dem internen Netzwerk nicht zur Verfügung.

Bildschirmanzeige einer technischen Benutzeroberfläche mit Optionen für Geräteverwaltung, Budgeteinstellungen, Software-Updates, Systemdokumentation und Administratorenzugriff.
Ob ein Management-Protokoll gesperrt ist, lässt sich über das Event-Log  nachvollziehen. Sie können dieses über den Konsolen-Befehl ls Status/Config/Event-Log auslesen. In der folgenden Abbildung ist zu sehen, dass zuviele Login-Versuche per SSH stattgefunden haben. Daher ist dieses Protokoll gesperrt ( LoginBlocked ).

Alternativ können Sie das Event-Log auch in WEBconfig unter (Extras →) LCOS-Menübaum → Status → Config → Event-Log auslesen.

Ein Bildschirmfoto eines technischen System-Event-Logs, das mehrere fehlgeschlagene Login-Versuche für den Benutzer 'root' über SSH dokumentiert, inklusive Zeitstempeln, IP- und MAC-Adressen.


Abschnitt 5: Ändern der Standard-Ports
Da bei Brute-Force Attacken in der Regel die Standard-Ports angegriffen werden, ist es empfehlenswert die Standard-Ports der Management-Protokolle, die aus dem WAN freigegeben werden, abzuändern.
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Management → Admin → Einstellungen.
Bildschirmansicht einer technischen Konfigurations-Oberfläche mit Optionen für Gerätepasswörter, Authentifizierungseinstellungen, Verwaltung von Administratoren, Protokolleinstellungen und Überwachungsfunktionen.
2. In diesem Menü können Sie die Standard-Ports anpassen (hier am Beispiel von HTTPS).

Die Port-Einstellungen gelten global. Die einzelnen Management-Protokolle sind also sowohl aus dem WAN als auch dem LAN nur noch über den geänderten Port ansprechbar.

Bild eines technischen Konfigurationsmenüs mit Optionen für Netzwerkprotokolle wie HTTPS, SFTP, TELNET und SSL.

 
  • Keine Stichwörter

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH