Netzwerksicherheit - Ist es hoch riskant einen Router mittels DynDNS, VPN, Portweiterleitung, Nextcloud, ... aus dem Internet erreichbar zu machen?
Kennt ihr eine Internetseite auf der das gut erklärt wird mit einer Schritt für Schritt Anleitung, wie man das "sicher" gestaltet? Oder bei der auch Fortgeschrittenes ausführlich erklärt wird?
Oder ist davon generell abzuraten, da viel zu unsicher?
2 Antworten
Der Router ist sowieso aus dem Internet erreichbar, schließlich ist er direkt am Internet angeschlossen. Wenn Du jetzt per Portweiterleitung einen hinter dem Router stehenden Rechner aus dem Internet heraus erreichbar machst, solltest Du schon wissen, was Du tust. Dass Du das jetzt lernen möchtest, ist eine gute Sache :-)
Wenn Du Nextcloud nutzen möchtest, solltest Du Deinen Webserver mit SSL konfigurieren und lediglich den Port TCP 443 im Router freischalten. Dann sollte der Webserver entsprechend gut konfiguriert sein. Als Einstieg:
https://www.dikant.de/2007/08/13/apache-php-and-mysql-setup/
https://blog.samuel.domains/blog/security/hardening-apache-all-in-one-place
https://wiki.debian.org/Apache/Hardening#File_permissions
Natürlich ist es wichtig, sicherheitsrelevante Updates für Nextcloud, Webserver und Betriebssystem zeitnah einzuspielen.
Ich habe bei mir einen VPN-Server, Webserver (u.a. mit Nextcloud), SSH im Internet erreichbar. Die Nextcloud hat Logins mit ausreichend starken Passwörtern, außerdem habe ich fail2ban installiert, um Brute-Force-Angriffe zu verhindern. Andere Bereiche sind über Zertifikatsauthentisierung nach außen hin ausreichend abgesichert. SSH funktioniert ausschließlich mit Public-Key-Authentisierung.
Den VPN-Server habe ich mit Wireguard gebaut, hier erfolgt die Authentisierung ebenfalls über asymmetrische Schlüssel.
Ich sehe regelmäßig Zugriffe potenzieller Angreifer auf meinen Server per HTTP, per HTTPS klopft nur sehr selten jemand meinen Server ab. Per SSH habe ich sehr häufig Besuch. Häufig scheitern die Zugriffe aber allein schon deshalb, weil ich die Crypto-Algorithmen sehr restriktiv eingestellt habe, sodass manche Angreifer keine passenden Algorithmen anbieten können. Der Rest scheitert daran, dass sie keine Public-Key-Authentisierung machen (können).
Zusätzlich habe ich iptables so konfiguriert, dass nur noch die nötigen Dienste ein- und auskommunizieren können. Alle IP-Adressen, die nicht vom RIPE vergeben wurden, werden direkt von der Firewall geblockt. Damit sind die Amerikaner und Asiaten schon mal raus. Auf diese Einschränkung habe ich bisher bei IPv6 verzichtet, Angriffsversuche bekomme ich sowieso nur per IPv4.
Die Konfiguration des Webservers bezüglich starker Crypto-Algorithmen kannst Du unter https://www.ssllabs.com/ssltest/ testen.
Ja und nein. Wenn Du nicht weisst was du tust, öffnest Du um Mitternacht deine Haustür und wunderst Dich (nur kurz), wenn Du von langzähnigen Monstern gefressen wirst;-)
Im Ernst, DYNDNS ist ein hilfreiches Werkzeug und an sich nicht gefährlich. Beim öffnen von Ports am Router solltest du schon vorsichtiger sein. Bei einem Test mit einem FTP server habe ich nach zwei Stunden um die 1200 angriffe verzeichnet.
Ich betreibe eine Firewall mit IPSEC/SSL VPN als zweite stufe hinter dem Router. Der leitet die entsprechenden Ports weiter. Damit ist ein standardisierter Schutz gegeben.
Grundlegend empfehle ich, Webpräsenzen bei einem Serviceprovider zu hosten. Zuhause liegen die Daten die du eh nicht in der cloud sehen möchtest.
DP
Mein Providerrouter ist potentiell unsicher, der kümmert sich lediglich um die Portweiterleitung zur FW. Diese agiert ebenfalls als router und verbindet server, business,familien und IoT Netz miteinander.
Einlesen? Ich hab bei ebay eine zyxel USG50 geschossen und damit angefangen. Da gibts jede menge doku, teilw sogar auf deutsch. schau mal bei studerus.ch
DP
Hast du dann eine Hardware-Firewall oder einen zweiten Router mit einer Firewall?
Kann ich mich irgendwo einlesen ?
----
So grob hab ich gedacht, dass ich zwei Router hab. Der Eine vom Provider mit dem nextcloud etc. erreicht werden können und dann noch Router, für alle Sachen die nicht erreicht werden sollen. VPN würde dann mit dem Providerrouter gemacht werden oder doch lieber mit bspw. einem Raspberry?