Fritz!Box absichern?
Hi!
Ich betreibe hinter meiner Fritz!Box einen Server. Auf dem Server,
laufen 1-2 gameserver, nen Webserver, und paar andere Kleinigkeiten.
Der Server hat auch eine SSH Verbindung eingerichtet (auf einem anderen port als 22) damit ich von außen darauf zugreifen kann, jedoch abgesichert mit ssh keys, fail2ban, und ich checke öfters den SSH log (Systemctl status ssh) sowie Virenscan mit ClamAV,… Der Server hat Debian 11.6, immer die neusten Updates, die Fritz!Box hat einige an ports zu ihm eingerichtet.
Die meisten sonstigen Rechner im Netzwerk sind Windows und MACOS.
Ist natürlich nicht Hochsicher.
Aber wie seht ihr das an ? Kann ich das so Weiterbetrieben oder begehe ich weiterhin ein riesiges Sicherheitsrisiko, falls das so sein sollte, habt ihr Tipps was ich noch verbessern kann ?
Heimnetz und Gameserver - hast die getrennt?
Nein.
5 Antworten
Ich würde - anstatt zu versuchen, die Fritz!Box abzusichern - das Konzept an sich überdenken und mir für sowas Server bei einem Hoster mieten. Damit hast du neben dem Mehr an Sicherheit auch ein Mehr an Verfügbarkeit, Bandbreite und Werkzeugen.
Für einen Server für sich selbst oder mal als Testlauf kann man das Heimnetz benutzen. Aber für mehr lohnt sich das nicht.
Mit einem Windows-Gerät im Netzwerk ist streng genommen das Netzwerk bereits kompromittiert. Zumindest sollte man das bei der schlechten Sicherheits-Politik, die Microsoft da fährt, so ansehen. Macht viele Überlegungen einfacher oder obsolet.
Hm. Ansichtssache. Du kannst auch auf einen Webserver persönliche Daten hochladen. Nextcloud hat ja auch ein Web-Frontend. Und auch bei einem Gameserver kannst du ja persönliche Dinge in den Chat schreiben oder so.
Ich habe auch andere Dinge wie persönliche Sachen darauf laufen die nicht jeder haben muss.
Ich hoffe einfach mal, die sind sauber von den anderen getrennt über Container, VMs oder tatsächliche Hardware :D
Daneben sehe ich öffentliche Services besser bei einem Hoster untergebracht als bei mir daheim.
Es sind aber auch private drauf. Außerdem ist es ja mein Hobby das ist der Hauptgrund.
Beschäftige Dich mal mit dem Konzept der DMZ – demilitarized zone. Etwa:
Alles, was von außen erreichbar ist, sollte in der DMZ stehen (extra LAN-Port an der Fritz!Box). Aus der DMZ dürfen keine Verbindungen eigenständig aufgebaut werden, im Besonderen nicht ins Heimnetzwerk. Aus dem Heimnetzwerk darf in die DMZ und auf die Fritz!Box zugegriffen werden. Auf die Fritz!Box darf von sonst nirgendwo zugegriffen werden, auch nicht von Remote.
Das dürfte ein einfaches und sinnvolles Sicherheitskonzept sein.
Hallo clownfish803,
jeder offene Port für einen Dienst in einem Netzwerk ist erstmal ein Sicherheitsrisiko.
Am besten ist eine DMZ einzurichten und den Server in die DMZ zu verschieben welche dann keinen Zugriff auf das restliche Heimnetz hat!
Ben
Genau. Musst du weitere Teile kaufen um eine DMZ einzurichten. Ansonsten musst du mit den Sicherheitslücken leben
Von 0-10 wie schwer würdest du denn diese Sicherheitslücke bewerten bzw. Die Gefahr die von dieser ausgeht. wenn ich keine DMZ nutze und nur die Sicherheitsvorkehrungen, in der Frage gemacht habe.
10 weil du dir damit offene Türen ins dein Heimnetz holst. Je nach ausgeführten Programmen und Diensten gibt es entsprechende Hintertüren die genutzt werden könnten. Und selbst ein anderer Port für den SSH Dienst ist keine Sicherheit. Das kann in wenigen Minuten rausgefunden werden. Bitte sei dann aber so schlau, dass du keinen der reservierten (Well Known) Ports dafür genommen hast...
Nein, habe einen speziellen Port genommen, und mit ssh keys abgesichert
Immerhin etwas. Was ist mit den unzähligen anderen Diensten denen du eine Portfreigabe gegeben hast? Die haben auch Sicherheitslücken.
Solche Dienste gehören in eigene Netzbereiche und basta. Alles andere ist grob fahrlässig, vorallem wenn man schon darauf hingewiesen wurde (was ich hiermit tue) und jede Versicherung würde im Schadensfall sämtliche Kosten nicht bezahlen. Wenn etwas passiert und dein Netzwerk und dein Computer ausfällt weil gehackt, dann selber schuld.
Wer ein öffentliches Netzwerk betreibt hat auch für die Sicherheit zu sorgen. Bei mir gibts genau einen offenen Port welcher zu einem VPN Server führt. Bin in meinem Netzwerk und kann beruhigt auf meine Daten zugreifen.
Es laufen ein paar "Minetest Server" (nachmachung von minecraft) mehr nicht.
16 Personen die das Programm entwickeln. Nebenher. Ohne Bezahlung soweit ich herausfinden kann. Da wird vermutlich kaum Wert auf Sicherheit gelegt...
Ich bin mitten in der Community (zwar nicht als Entwickler) aber es ist halt ihr Hobby, und sie versuchen das beste, was sie können um das Spiel selber zu machen, dort gibt es viele die auf ähnliche Weise Server Hosten.
Wie Ben Sellin bereits beschrieben hat, wäre eine DMZ das Mittel der Wahl.
Allerdings stösst Du mit einer FritzBox da bald an die Grenzen des Systems. Mit einem Kniff geht es aber doch: Gib dem Server zwei Netzwerkkarten und betreibe die sonstigen Rechner im Gastnetz (LAN4).
Das funktioniert zumindest so lange, bis Du auch auf den anderen Geräten Portfreigaben brauchen solltest.
Dann hilft Dir eine DMZ bzw. die ganzen Sicherheitsüberlegungen betreffend des einen Servers aber auch nicht weiter.
Natürlich, ich habe bei allen Geräten gleiche Sicherheitsvorkehrungen getroffen wie in der Frage beschrieben! Selbstverständlich ist es sicherer SSH-Keys als Passwörter zu nutzen.
auf einem anderen port als 22
Völlig egal
sonstigen Rechner im Netzwerk sind Windows
Ganz schlecht. Windows ist generell ein Sicherheitsrisiko. Das sollte nicht im selben Netzwerk sein.
Ist natürlich nicht Hochsicher.
Korrekt.
Kann ich das so Weiterbetrieben
Gehen tut vieles. Ich würde es nicht machen.
oder begehe ich weiterhin ein riesiges Sicherheitsrisiko
Ja.
DMZ ist bei der FritzBox aber nicht möglich.
Installiere dir OpenWRT auf der FritzBox. Und dann halt die DMZ.
Von 0-10 wie schwer würdest du denn diese Sicherheitslücke bewerten
8
habe einen speziellen Port genommen, und mit ssh keys abgesichert
Spezieller Port ist völlig egal. Und wie sichert man einen Port mit ssh ab?
Ja, das stimmt. Aber es gibt halt mehr als genug andere Angriffswege.
Dafür hast du bei einem selber gehosteten Server mehr Datenschutz. Finde das ist auch etwas, was man bedenken sollte.
Also meine persönlichen Daten würde ich nicht irgendwo "in der Cloud" ablegen.