Några motfrågor:
1. Är det en engångslösning eller är det något som kommer återupprepas några hundra gånger för olika kunder? Om det är en engångslösning så spelar det väl inte jättemycket roll hur svårkonfigurerat det är?
2. Kommer internetuppkopplingen (alltid) ha en publik IPv4-adress, så att den verkligen är åtkomlig utifrån, inte CG-NAT:ad?
3. Har du tänkt på kryptering av lösenordet när det färdas över internet? Du tycks sakna ett krav på detta...
4. Hur fungerar autentiseringen mot skåpens webbserver? Okrypterad HTTP där?
5. Vem kommer underhålla lösningen och se till att den får säkerhetsuppdateringar? Ryktet säger att det är ett riktigt otäckt säkerhetsproblem på gång i OpenSSL - den typen av problem kommer uppstå även i framtiden och bör då uppdateras automatiskt.
6. Oavsett vilken typ av lösning du väljer så skulle jag nog rekommendera agressiva brandväggsinställningar, så att lösningen bara är tillgänglig från vissa utvalda IP-adresser.
Svar på motfrågor:
1. Anledningen till att jag inte vill att det är allt för svårkonfigurerat är för att detta troligen bara kommer utföras några gånger per år, därtill kanske man svänger förbi och gör någon förändring på plats, vilket oftast är obekväm arbetsplats, så lättjobbat är att föredra.
2. Det skiljer sig från projekt till projekt.
3. Givetvis vill jag inte att lösenordet skickas i klartext, någon form av krypterad variant är att föredra.
4. Dessa prylar har allt som oftast dålig säkerhet med http protokoll med standard adresser lösen etc, en del av detta är att slippa konfigurera om dessa på varje projekt.
5. Lösningen lämnas över till driftansvarig, dock är det ibland en ej teknisk kunnig, automatiska uppdateringar är givetvis att föredra om möjligt.
6. Detta är korrekt det du säger att det rent säkerhetsmässigt vore bättre, men motverkar också det "enkla".
För att svara på din fråga så tror....
Svar på övrigt:
Först vill jag tacka för svar!
VPN lösningar så som pfSense var det första jag kollade på, dessa kräver som du säger att man först ansluter till VPN'n för att tunnla sig till automatikskåpen.
Och det är just den detaljen som jag skulle vilja slippa, allt som oftast så har driftansvarig på plats behov av att kolla driftstatus på automatikskåpen från ipad, jobbdator, privat dator, telefon etc, och jag skulle vilja undvika att behöva installera programmvaror på alla dessa.
Därmot skulle man absolut kunna ha någon form av autentisering, förslagsvis även där utan programvara på den produkt som försöker ansluta (telefon/dator). En ideé som jag inte vet finns, är om man nu skrivit i rätt användarnamn och lösen så skickas det ut ett mail till mailadress kopplad till användarnamn, i mailet står en kod man behöver skriva in på inloggsidan, alternativt en länk som gör att inloggsidan uppdateras och man är nu inne, kanske med autoutloggning efter 1tim, så får man logga in igen.
Då kan man logga in från vilken ip/produkt som helst, så länge man har tillgång till sin mail, vilket alla nu för tiden har på sin telefon.
Jag skulle verkligen vilja slippa programvaror på användarens enheter.