Raggiungere il Web navigator da internet

[acquaman]

Ciao, un mio cliente mi chiede di supervisionare un impianto dove c'è installato WINCC7.5 da internet, ho già impostato il Webnavigator, e nella rete interna, tramite browser visualizzo le pagine che mi interessano, ma li mi fermo, come faccio a renderle raggiungibili via internet.

Grazie 

[anydream]

Ciao, se il cliente avesse un accesso ad internet con ip statico, potresti pensare di creare una vpn.

L'utente remoto che vuole accedere al webserver dovrebbe prima attivare la vpn (autenticandosi tramite utente/password + altro in base al livello di sicurezza richiesto); a quel punto lavora come fosse nella rete interna.

[acquaman]

Niente vpn per policy aziendale.

 

[batta]

Il 15/5/2020 alle 20:00 , acquaman ha scritto:

Niente vpn per policy aziendale.

A questo punto (ma io non sono assolutamente esperto di reti), credo non ti rimanga che installare uno dei soliti Ewon, Secomea o simili.
Vogliono che tu acceda dall'esterno, ma non vogliono permettere accessi dall'esterno. Forse qualcosa non quadra.

[acquaman]

Parlando con un collega si può pubblicare un webserver, anche quello di un plc, rendendolo come un normale sito internet, anche quello di un plc, acquistando un DNS, ma devo ancora approfondire, e comunque devo sempre interfacciarmi con l'IT per le varie configurazioni del router.

7 ore fa, batta ha scritto:

Ewon, Secomea

Alcune aziende anche multinazionali non sempre accettano quei dispositivi.

 

[anydream]

17 ore fa, acquaman ha scritto:

Parlando con un collega si può pubblicare un webserver, anche quello di un plc, rendendolo come un normale sito internet, anche quello di un plc, acquistando un DNS, ma devo ancora approfondire, e comunque devo sempre interfacciarmi con l'IT per le varie configurazioni del router.

Forse non colgo la soluzione che avete in mente, ma un DNS serve solo a tradurre un indirizzo alfanumerico utile agli umani (es. www.mysite.it) in un indirizzo IP. Nulla cambia in termini di sicurezza.

Se l'idea è esporre direttamente il server web su internet (immagino tramite NAT e magari DMZ) secondo me è molto molto meno sicuro rispetto ad un vpn server. Con una vpn puoi definire in modo granulare chi fa cosa (es. utente x può accedere solo al server y sulla porta p) e soprattutto può consentire di avere autenticazione a più fattori (es. password + conferma via telefono o app).

 

Perché alla fine ci sono 2 possibilità per consentire uno scambio di dati tra una macchina interna ed una esterna:

1) consentire che il collegamento inizi dall'esterno (es. web server esposto su internet, vpn server presso il cliente)

2) consentire che il collegamento inizi dalla rete interna (soluzioni tipo ewon, team viewer e in generale tutte le soluzioni che hanno un server esterno alla rete cliente)

Da quel che hai scritto mi sembra che entrambe le opzioni non siano accettate dal cliente quindi non vedo come la cosa sia fattibile.

O magari semplicemente mi sto perdendo qualcosa io :-)

[acquaman]

Scusa volevo dire un Dynamic DNS, esempio crei un account sul sito dynDNS.it registri un dominio e lo reindirizzi al tuo IP statico, nel routter poi imposti il Dynamic DNS per reindirizzarlo al Webnavigator di Wincc, cosi come si fa con delle telecamere.
Prendete il tutto con le molle, per adesso per me è tutta teoria, e devo ancora sentire cosa dice l'IT del cliente.

Sul discorso sicurezza non sono a casa mia, io posso solo dare soluzioni, poi lasciare al cliente la decisione.

 

Modificato: 19 maggio 2020 da acquaman

[batta]

8 ore fa, acquaman ha scritto:

nel routter poi imposti il Dynamic DNS per reindirizzarlo al Webnavigator di Wincc, cosi come si fa con delle telecamere.

Appunto, devi permettere un accesso in qualche modo.
È questo che non capisco: vogliono che tu possa accedere al webnavigator, ma senza permetterti di accedere. Come voler fare il bagno senza bagnarsi.

[acquaman]

Il responsabile dell'impianto vorrebbe farlo, ma si scontra con IT e policy aziendali, e noi restiamo a guardare.
Purtroppo succede spesso, alle volte chiedono la teleassistanza, poi per policy non ci aprono i canali, sono sempre lotte interne.