Proxy (Web-Zugriff auf Anlagengeräte)
Der Proxy der Mirox-Plattform erlaubt den direkten Zugriff auf Web-Oberflächen von Geräten im Anlagennetz – ohne VPN-Client, ohne lokale Installation, allein über den Browser. Wechselrichter-Konfigurationsoberflächen, Datenlogger-Dashboards, Kamera-UIs, Schaltschrank-Webseiten oder selbst gehostete Service-Tools werden über eine eindeutige Mirox-URL erreichbar – authentifiziert durch das Mirox-Konto des Nutzers und vollständig auditiert.
Konzept
Der Proxy schließt eine Lücke zwischen dem VPN und einem klassischen Cloud-Dashboard:
- VPN-frei: Es muss kein VPN-Profil installiert sein. Jeder Nutzer mit der erforderlichen Rolle und einem regulären Browser kann die Geräte-Oberflächen aufrufen.
- Echte Geräte-Oberfläche: Der Nutzer sieht und bedient die unveränderte Original-Oberfläche des jeweiligen Geräts, nicht eine vereinfachte Mirox-Darstellung.
- Eindeutige URL pro Gerät: Jedes erreichbare Ziel besitzt eine eigene URL der Form
<id>.proxy.mirox.io. Diese URL kann gespeichert oder geteilt werden (der Empfänger muss seinerseits berechtigt sein). - Voll auditiert: Jeder Aufruf, jeder HTTP-Vorgang und jede WebSocket-Verbindung wird einer KRITIS-/NIS2-konformen Auditspur zugeordnet.
Was der Proxy leistet
Direkter Zugriff auf Geräte-Web-Oberflächen
Wenn ein Anlagenbetreiber für ein Netzwerkgerät ein Web-Ziel konfiguriert, ist dieses Ziel über eine eindeutige Mirox-Subdomain erreichbar. Der Browser sieht dabei:
- Eine reguläre HTTPS-Verbindung zur Mirox-Domain mit gültigem Wildcard-Zertifikat
- Den unveränderten Inhalt des Geräts (HTML, CSS, JavaScript, Bilder, Streams, Datei-Uploads, …)
- Volle interaktive Funktionalität inklusive Formulare, Datei-Downloads und WebSocket-Streams (z. B. Live-Konsolen, Video-Streams, Echtzeit-Charts)
Der Nutzer authentifiziert sich einmalig bei Mirox; die Sitzung bleibt für alle freigegebenen Geräte-Oberflächen aller Anlagen gültig.
Zwei Authentifizierungsebenen
Wichtig: Der Proxy übernimmt nur den Transport und die Mirox-seitige Zugriffskontrolle auf das Gerät – das eigentliche Gerät kann darüber hinaus seine eigene Anmeldung verlangen (typischerweise Benutzername/Passwort, manchmal API-Schlüssel oder Geräte-spezifische Token). Es gibt also zwei voneinander unabhängige Authentifizierungsebenen:
- Mirox-Authentifizierung (vom Proxy erzwungen): Wer darf das Gerät überhaupt aufrufen? Geprüft anhand des Mirox-Logins und der Anlagen-Berechtigungen.
- Geräte-Authentifizierung (vom Gerät selbst erzwungen): Wer darf am Gerät welche Aktion ausführen? Die Anmeldemaske des Geräts erscheint regulär im Browser; der Nutzer authentifiziert sich dort mit den vom Hersteller bzw. Anlagenbetreiber vorgesehenen Anmeldedaten.
Mirox protokolliert (siehe Audit-Logging), wer wann welches Gerät und welche Seiten aufgerufen hat – die Hoheit über die geräteinternen Berechtigungen (z. B. „Wartungsmodus", „Konfigurationsänderung") bleibt aber bei der Anmeldung des Geräts.
Sichere Aufbewahrung der Geräte-Anmeldedaten
Damit nicht jeder berechtigte Mitarbeiter die Anmeldedaten jedes Geräts kennen muss (und damit sich nicht jeder das Passwort persönlich merken oder in einem unsicheren Tool ablegen muss), bietet Mirox eine zentrale, verschlüsselte Anmeldedaten-Ablage an. Anlagenbetreiber können die Zugangsdaten ihrer Geräte einmal hinterlegen, anschließend stehen sie autorisierten Nutzern beim Aufruf des Web-Ziels in komfortabler Form zur Verfügung – ohne dass die Klartext-Passwörter weiterverteilt werden müssen.
Vorteile:
- Kein Verteilen von Klartext-Passwörtern per E-Mail, Chat oder Notizzettel.
- Audit-fähige Verwendung: Wer wann mit hinterlegten Anmeldedaten zugegriffen hat, fließt in die KRITIS-/NIS2-Audit-Spur ein.
- Zentrale Rotation: Wechselt das Geräte-Passwort, wird es einmal in Mirox aktualisiert und gilt sofort für alle berechtigten Mitarbeiter.
- Berechtigungsgebunden: Der Zugriff auf hinterlegte Anmeldedaten folgt denselben Anlagen- und Job-Rollen wie der Geräte-Zugriff selbst.
Standard-Zugriff und zusätzliche Web-Ziele
Für jedes vom System erkannte Netzwerkgerät wird der Standard-Webport automatisch erkannt und ohne weitere Konfiguration zugänglich gemacht. Neu entdeckte Geräte lassen sich also sofort über den Browser untersuchen, ohne dass der Anlagenbetreiber vorher etwas einrichten muss.
Hat ein Gerät mehrere relevante Web-Oberflächen (z. B. eine Service-UI, ein separates Diagnose-Dashboard und eine Konfigurationsseite), kann der Anlagenbetreiber dafür zusätzliche Web-Ziele definieren. Jedes Web-Ziel bekommt einen sprechenden Namen und eine eigene Mirox-URL, sodass alle Oberflächen sauber nebeneinander erreichbar sind.
Jedes Web-Ziel – auch der Standard-Zugriff – kann vom Anlagenbetreiber einzeln aktiviert oder deaktiviert werden. Wird ein Web-Ziel deaktiviert, ist es über den Proxy nicht mehr erreichbar, während alle anderen Ziele des Geräts und der Anlage weiterhin funktionieren. So lässt sich der Proxy-Zugriff feingranular steuern, ohne gleich die ganze Anlage zu sperren.
Unterstützte Protokolle
- HTTP (alle Methoden inklusive Datei-Uploads beliebiger Größe)
- HTTPS-Endgeräte (TLS-Terminierung am Anlagen-Agent)
- WebSockets in voller Bidirektionalität
- Server-Sent Events (SSE) und andere langlebige Streams (keine Zeitbeschränkung der gesamten Sitzung)
- Datei-Downloads (Streaming, keine Größenbegrenzung)
Resiliente Fehlermeldungen
Wenn etwas nicht funktioniert, gibt der Proxy eine eindeutige Fehlermeldung mit Diagnoseinformationen zurück, statt einer anonymen 502-Seite. So sieht der Nutzer beispielsweise, ob
- das Zielgerät nicht erreichbar ist,
- der Agent der Anlage noch nicht bereitsteht,
- die Anlage keinen Data-Scraper-Agent installiert hat,
- oder eine Antwort tatsächlich vom Gerät selbst kommt.
Diese Information ist nützlich für die Fehlerbehebung, ohne dass der Nutzer Logdateien einsehen muss.
Sicherheit und Kontrolle
Authentifizierung über das Mirox-Konto
Der Proxy verlangt das gültige Mirox-Cookie. Nicht angemeldete Browser werden auf die reguläre Mirox-Login-Seite umgeleitet und nach erfolgreichem Login automatisch zum gewünschten Gerät zurückgeführt.
Berechtigungsprüfung pro Anlage
Bei jedem Aufruf wird geprüft, ob der angemeldete Nutzer die nötige Berechtigung für diese konkrete Anlage besitzt. Diese Prüfung berücksichtigt das vollständige Berechtigungssystem, einschließlich Organisationsmitgliedschaft, Kooperationen und Job-Rollen. Ohne entsprechende Berechtigung sieht der Nutzer eine 403-Antwort.
Sichere Weiterleitung von Antworten
Wenn das Endgerät selbst Umleitungen produziert (z. B. nach einem Login auf eine andere interne URL), normalisiert der Proxy diese, sodass der Browser niemals interne Mirox-Adressen oder Anlagen-IPs zu sehen bekommt. Die URL bleibt durchgängig in der Form <id>.proxy.mirox.io.
Diagnose-Endpunkt für Funktionsprüfungen
Es existiert ein reservierter Diagnose-Endpunkt, mit dem ein Operator prüfen kann, ob die Plattform-seitige Authentifizierung und das Routing korrekt arbeiten – ohne ein konkretes Gerät zu kontaktieren. So lassen sich Plattform-Probleme von Anlagen-Problemen unterscheiden.
Audit und Compliance
Jeder Aufruf über den Proxy wird einer KRITIS-/NIS2-konformen Auditspur auf Layer 7 (HTTP) zugeführt. Die Auditspur enthält:
- Wer die Sitzung durchgeführt hat (Konto und E-Mail-Schnappschuss zum Zeitpunkt der Sitzung)
- Welches Gerät und welches Web-Ziel berührt wurden
- Wann die Sitzung begonnen hat und wann sie endete
- Anzahl und HTTP-Methoden der durchgeführten Anfragen
- Übertragenes Datenvolumen (eingehend/ausgehend)
- Die tatsächlich aufgerufenen URLs (Query-Strings werden bereinigt)
- Öffentliche IP-Adresse, Standort und Browser-Information des Nutzers
- Eine KI-generierte Kurzbeschreibung der Aktivität („Konfigurationsänderung am Wechselrichter", „Lesezugriff auf Diagnoseseite"…). Falls die KI zum Sitzungsabschluss nicht verfügbar ist, wird die Beschreibung nachträglich ergänzt – sie ist fester Bestandteil jeder Sitzung.
Eine Sitzung wird automatisch geschlossen, wenn 10 Minuten keine Aktivität mehr stattfindet. Eine neue Aktivität danach beginnt eine neue Sitzung.
Die Auditspur des Proxy wird gemeinsam mit der VPN-Auditspur in einer einheitlichen Zugriffsübersicht für den Anlagenbetreiber dargestellt und mindestens 730 Tage aufbewahrt. Details siehe Audit-Logging.
Abgrenzung zu verwandten Funktionen
| Funktion | Wann sinnvoll | Voraussetzungen beim Nutzer |
|---|---|---|
| Proxy (diese Seite) | „Ich möchte schnell eine Geräte-Oberfläche im Browser öffnen, evtl. von einem fremden Rechner aus." | Nur Browser, Mirox-Login. Keine Installation. |
| VPN | „Ich möchte SSH, Modbus, eigene Skripte oder beliebige Tools gegen Geräte mehrerer Anlagen verwenden." | Installation eines VPN-Profils einmalig pro Endgerät. |
| Direkter Park-VPN | Klassischer Anlagenzugriff (ein Profil pro Park) | Pro Anlage eine eigene Konfiguration. |
Verwandte Funktionen
- VPN – persönlicher Tunnel für Werkzeuge jenseits des Browsers
- Zugriffs-Audit-Logging – einheitliche Zugriffsübersicht aller VPN- und Proxy-Sitzungen
- Berechtigungssystem – Rollen, Job-Berechtigungen und Kooperationen
- Lokaler Netzwerk-Inspektor – automatische Erkennung neuer Netzwerkgeräte