VPN zwingend nötig? Und erkennen die Tür/Fensterkontakte bereits Aufhebelungsversuch?

[smith007]

Ja, da gebe ich dir recht.
Leider wird hier der Begriff Verschlüsselung, SSL, TLS oft missverstanden.
Nur weil das Wort TLS und Verschlüsslung enthalten denk man, man ist sicher.
Hier fehlt das Grundverständnis im Kontext.

@sicheistsicher
Mit einer sogenannten Portweiterleitung reißt du ein Sicherheitsloch in dein Netzwerk, wie bastelheini schon richtig erwähnte.

Das ist bildlich vergleichbar als wenn du in deiner Tür ein Loch machst und hinter dem Loch ist sofort deine Anlage.
Hier kann nun die ganze Welt schön rumprobieren und irgendwann hat er Zugriff auf deine Anlage.
Der kleine Asiate in seiner Kammer oder der sibirische Bär aus dem Gulag.
Denk dran das nur weil deine Anlage einen Benutzer Name und Passwort will nicht gleich alles sicher ist.
Gibt genug Bugs die u.U. noch da schlummern wovon man nichts weiß.

Die Verschlüsselung hat nur die Aufgabe das Daten von der Quelle zum Ziel gesichert werden.
Stichwort "Man in the middle". Da deine Daten zig Router und Gateways passieren um die ganze Welt
wird dadurch sichergestellt das da keiner mitlauschen kann. Das ist der Sinn dahinter.

Da du aber nun von außen einen Port öffnest und der direkt zu deiner Anlage führt, kann da jeder rumprobieren.
Dafür braucht es keine Verschlüsselung da die hier nicht greift.
Hier ist der Weg ungeschützt.

Mit einer VPN-Verbindung baust du aber einen gesicherten Kanal zu deiner Anlage auf.
Die ist geschützt und durch komplexe Maßnahmen. das o.g. Loch wird nun durch eine extra Tür mit Schloss gesichert.
Man kann nun nicht mehr direkt auf die Anlage zugreifen sondern muss erst die kleine Tür im Loch durch Benutzername und PWD öffnen.
Weiterhin ist in dem VPN-Tunnel auch die komplette Kommunikation gesichert so das keiner da mitlauschen kann.

Ich hoffe das ich dir damit verständlich machen konnte was VPN bedeutet und welche Gefahren hinter einer einfachen Portweiterleitung stecken.
Ich kann dir versichern das du wenn du es ohne VPN machst du bald in deinen Logs irgendwann lustige Einträge finden wirst wer da so alles rumgedockert hat
bzw. mal was versucht hat. Portscans ist nix neues und es gibt im Netz einige Dienste die schön auflisten was sie so alles im Netz gefunden haben.

Daher meine Empfehlung mach es mit VPN oder lass es ganz sein.
Ich finde es schon bedenklich, dass der Hersteller hier so sorglos solche Empfehlungen mit Portweiterleitung ausspricht.
Aber das ist nur meine persönliche Meinung.

Und ja du wirst dich sicher Fragen wo der Unterscheid ist ob du nun ein Benutzername/Pwd für VPN eingibst oder es direkt bei der Anlage machst.
VPN nutzt eine grundlegend andere Technik und ist restriktiver. Hier greifen noch andere Schutzmechanismen die die Anlage so nicht bietet.
Ich weis nicht was sie macht bei Brute force da kenne ich die Anlage so nicht.
Vorrausgesetzt man nutzt aber eine ausreichende starke Passwortlänge und ggf. noch das ganze zertifikatsbasierenden Zutrittsbeschränkung
ist man mehr als gut gewappnet das da keiner so leicht mehr reinkommt. Und dann kommt ja noch die zweite Zugangssperre der Anlage selber.

Gruß Christian