Secure Remote Access

Funktionsbeschreibung

Das HOOC-Gateway (HOOC Connect) in einer Anlage (entfernte Netzwerkinfrastruktur) baut automatisch eine verschlüsselte Verbindung zur HOOC-Cloud auf. In der HOOC-Cloud entsteht für jede Anlage ein eigenes, virtuelles und vollständig isoliertes Netzwerk. Die HOOC-App baut wiederum auf die gleiche Art und Weise eine verschlüsselte Verbindung in die HOOC-Cloud sowie zum entsprechenden virtuellen Netzwerk auf. Nach Aufbau der Verbindungen entsteht ein “virtuelles Netzwerkkabel” (Ethernet, Layer-2) zwischen der Anlage und der HOOC-App. Alle Protokolle, die im lokalen Netzwerk der Anlage bereitgestellt werden, können bei Verwendung der HOOC-Lösung genutzt werden.

HOOC-Gateway

Linken

Das HOOC-Gateway kann nach dem Erstellen der Anlagen unter HOOC-Gateway mittels eingabe der 20 stelligen Seriennummer gelinkt werden.

services-serc-serviceip

Logs

Die Verbindungslogs des HOOC-Gateways und der Secure Remote Access Benutzer sind unter HOOC Connect -> Logs ersichtlich.

services-sera-connect-logs

Secure Remote Access

Clients

Ist das HOOC-Gateway erstmal mit der Anlage gelinkt und im entfernten Netzwerk angeschlossen, kann mittels HOOC-App (Windows, iOS, Android) eine Verbindung in dieses Netzwerk aufgebaut werden. Unter Dienste -> Remote Access -> Client sind Anleitungen und Downloads der HOOC-App zu finden.

Virtueller DHCP-Server

Die im Secure Remote Access integrierte Funktion virtueller DHCP-Server ermöglicht es, auch ohne DHCP-Server im Anlagenetzwerk, der HOOC-App IP-Adressen zu verteilen. Somit fällt die mühsame Konfiguration von statischen IP-Adressen einfach weg.

Unter Dienste -> Remote Access -> Virtueller DHCP-Server kann die Funktionalität des virtuellen DHCP-Servers konfiguriert werden. Mittels Klick auf das Symbol eingeschaltet und konfiguriert werden.

Nach der Konfiguration können die Einstellungen mittels Klick auf Einstellungen speichern angewendet werden.

Allgemeine Einstellungen

Eingenschaft Beschreibung
DHCP Filter Anlage Mit aktiviertem Filter verteilt der virtuelle DHCP-Server keine Netzwerkkonfigurationen an Endgeräte der Anlage (empfohlen). Ohne Filter verteilt der virtueller DHCP-Server Netzwerkkonfigurationen an Endgeräte der Anlage (HOOC-Gateway ausgeschlossen) und die Clients. Ein deaktivieren des Filters kann zu DHCP-Konflikten führen.

Netzwerkadapter virtueller Host

Eingenschaft Beschreibung
MAC Adresse MAC Adresse des virtuellen DHCP-Servers
IP-Adresse IP-Adresse des virtuellen DHCP-Servers
Subnetzmaske Netzmaske

DHCP-Server Einstellungen

Eingenschaft Beschreibung
Start IP-Adresse Start IP-Adresse des DHCP IP-Adressen Pool
End IP-Adresse Letzte IP-Adresse des DHCP IP-Adressen Pool
Leasedauer Diese Zeit (s) behält der Client die zugewiesene IP-Adresse
Standard Gateway Standardgateway (optional)
DNS Server Zu verwendende DNS Server
Domain Name Domain Name

Security Netzwerkfilter

Die im Secure Remote Access integrierte Funktion Netzwerkfilter ermöglicht eine punktgenaue Freigabe von Zugriffen auf den Ebenen IP-Adresse, Port oder Protokoll. Durch die Nutzung diese Features können dabei erhöhte Bedürfnisse abgedeckt werden. Es ist beispielsweise möglich den Zugriff nur auf einzelne entfernte Endgeräte zu gewähren und dadurch andere Endgeräte vor einem direkten Zugriff von aussen zu schützen.

Unter Dienste -> Remote Access -> Security kann die Funktionalität der Netzwerkfilter mittels Klick auf das Symbol eingeschaltet werden.

Nach dem Einschalten der Netzwerkfilter wird sämtlicher Netzwerkverkehr mit der Anlage geblockt.

Verwaltung allgemeiner Netzwerkfilterregeln

Durch einen Klick auf das Symbol kann eine neue Netzwerkfilterregel hinzugefügt werden. Folgend die Erläuterungen zu den Einstellungen:

services-sera-security-filter

Eingenschaft Beschreibung
Status Ein und Ausschalten einzelner Filterregeln bzw. zulassen oder blockieren
Name Interne Bezeichnung
Filtertyp Bidirektional, unidirektional von der Anlage, unidirektional zu der Anlage
IP-Adresse Adresse des entfernten Endgeräts
IP-Range Wird diese Option ausgewählt, können ganze Bereiche von Adressen freigegeben werden
Protokoll Typ Alle Protokolle, TCP/IP, UDP/IP, ICMP/PING
Port Einzelner Port oder dedizierte Bereiche

Verwaltung von speziellen Netzwerkfiltersätzen

Falls in der Anlage ein DHCP-Server vorhanden ist und dieser der HOOC-App eine IP-Adresse vergeben soll, müssen dedizierte Netzwerkfilter erstellt werden. Hierfür kann einfach die IP-Adresse des DHCP-Servers in das Feld eingetragen und mittels Einstellungen speichern angewendet werden.

services-sera-securty-dhcp

Weiterleitungen

Die im Secure Remote Access Dienst integrierte Funktion Weiterleitungen vereinfacht die Handhabung der HOOC-App für Endanwender. Die Weiterleitungen stehen nach der Einrichtung in der HOOC-App zur Verfügung. Nachdem eine VPN-Verbindung zu einer entfernten Anlage aufgebaut wurde, können Endanwender durch einen Klick auf den entsprechenden Link z.B. eine Webvisualisierung oder in eine zusätzliche App öffnen. Dieser Vorgang kann bei Bedarf auch automatisch stattfinden.

services-sera-shortlinks

Konfiguration

Unter Dienste -> Remote Access -> Weiterleitungen kann mittels Klick auf das Symbol eine neue Weiterleitung hinzugefügt werden. Mittels Klick auf kann eine bestehende Weiterleitung editiert werden.

Eingenschaft Beschreibung
Endgerät Ein- und Ausschalten einzelner Filterregeln bzw. zulassen oder blockieren
Typ cmd (Kommandozeilenbefehl ausführen), app (Applikation öffnen), url (eine Webseite öffnen)
Beschreibung Name zur Anzeige in der HOOC-App
Link / Kommando / AppId Kommandozeilenbefehl bei Typ “cmd”, AppId bei Typ app, Weblink bei Typ “url”
Argumente (Komma getrennt) Argumente bei Typ “cmd”, Argumente bei Typ “app”

Es können nicht alle Typen bei jedem Endgerät verwendet werden. Untenstehende Liste gibt eine übersicht:

Endgerät Typ url Typ app Typ cmd
android
iOs
windows

Verwendung Typ url

Dieser Typ wird typischerweise verwendet, um einen Link zu einer Webseite im Anlagennetzwerk zu definieren. Bei der Verwendung der Option windows/ios/android im Feld Endgerät steht die Webseitenweiterleitung für alle Geräte zur Verfügung.

Verwendung Typ cmd

Dieser Typ dient zum Ausführen eines Kommandozeilenbefehls beim Betriebssystem Windows. Somit kann beispielsweise ein lokales Programm geöffnet werden. Es können Startargumente übergeben werden.

Verwendung Typ «app»

Dieser Typ wird verwendet, um eine andere App zu starten.

Für das Öffnen von Applikation auf mobilen Geräten gibt es vorallem bei iOs Einschränkungen, da die Funktionalität (URL Schema bzw. X-Callback-URL) bei den entsprechenden iOS Apps implementiert sein muss. Für iOs wird empfohlen, mit dem Hersteller der App Kontakt aufzunehmen.

Zum öffnen einer App auf Android Geräten wird folgendes vorgehen empfohlen:

  1. Webseite https://www.appbrain.com/apps/popular öffnen
  2. Suche nach dem App, welches in den Weiterleitungen verwendet werden möchte (Bspw. vlc)
  3. Auswahl App aus Übersicht Liste (Bspw. VLC for Android)
  4. Kopiere App ID aus Navigationsleiste org.videolan.vlc

Das Kommando bzw. die App-ID für die android App „VLC for Andorid“ ist somit org.videolan.vlc Weiter besteht auch die Möglichkeit, die gewünschte App ID aus dem internen Speicher des Endgeräts ausfindig zu machen.

Verwendung in der HOOC-App

Die definierten Weiterleitungen stehen je nach Betriebssystem (Endgerät) in der HOOC-App unter Secure Remote Access zur Verfügung. Ein Klick auf den Link führt die definierte Aktion der Weiterleitung aus. Unter Einstellungen -> Weiterleitungsziele können weitere Einstellungen betreffend Weiterleitungen getätigt werden:

  • Automatisches Triggern der Weiterleitungsaktion nach Verbindungsaubau Secure Remote Access
  • Falls der Typ cmd verwendet wird, kann die VPN Verbindung nach dem Schliessen der Applikation hinter der Weiterleitung automatisch getrennt werden.

Beispiel:

  • Automatisches Weiterleitungszeil Codesys (typ cmd) konfigurieren
  • Option Verbindung automatisch trennen aktivieren
  • Verbindung Secure Remote Access starten
  • Codesys wird automatisch gestartet
  • Codesys schliessen
  • Verbindung Secure Remote Access wird automatisch beendet

Logs

Die Verbindungslogs der Secure Remote Access Benutzer sind unter Dienste -> Remote Access -> Logs ersichtlich.