Server absichern vom Heimnetz?

Hi,

Betreibe einen Ubuntu 22.04 Server immer mit aktuellen Updates, sowie Sicherheitsprogrammen wie:

Fail2ban, SSH Keys, sicheren langen Passwörtern, Backups...

Der Server betreibt hauptsächlich zwei Minetest Server, eine Open Source Lösung gegenüber Minecraft.

Nun hängt der Server aber so wie alle anderen Geräte hier, ganz normal an der Fritzbox.

Der Server hat natürlich entsprechende Ports geöffnet, sodass die Minetest server von außen erreichbar ist. Aber nur die nötigsten. Und ssh auch, da ich nicht immer daheim bin.

Es ist mir aber jetzt bisschen heikel, weil er mit allen anderen Geräten ja zusammenhängt am gleichen Router.

Wie kann ich den Server, sicher von den anderen Geräten im Heimnetz trennen, sodass im Falle eines Angriffs auf den Server, keine Vollkatastrophe im Heimnetz mit den anderen Geräten passiert?

Oder seht ihr das unbedenklich ?

(Im Heimnetz laufen weitere private Server, dann, die aber keine Ports oder Dienste die Zugriff von außen erfordern haben, nas Server, active directory Server, usw.)

Ansonsten sind im normalen Heimnetz diverse Windows, Mac und Linux Clients, und smart home zeugs, wie smarte lautsprecher, Fernseher, Netzwerk Sound Anlagen etc.

4 Antworten

Thomasg

Nutzer, der sehr aktiv auf gutefrage ist

im Thema WLAN

23.10.2024, 13:22

Du hast da ja schon mehr gemacht zur Absicherung als 90% der Menschen, die zu Hause einen solchen Server betreiben. Wenn du dann noch regelmäßig Updates machst und auch die minetest server regelmäßig aktualisierst, bist du schon gut dabei.

SSH macht man nicht nach außen auf, dafür gibt es vpn!

Du könntest dir eine Firewallösung mit z.b. opnsense bauen und den Server dahinter verbannen und dann nur Zugriffe ins Internet, aber nicht ins eigentliche Heimnetz von deinem Server in der FW erlauben. Lässt sich eventuell auch mit manchen heimroutern realisieren, ich glaube, zyxel Router lassen sich da ziemlich detailliert konfigurieren.

Wenn du da kein Nat machst, musst du in der FB eine Route für das neue Subnetz definieren, die dann auf die FW zeigt. Wenn du Nat machst, musst du auf der fw dann entsprechend auch Portforwardings einrichten

Woher ich das weiß:Berufserfahrung – Seit langer Zeit als Systemadministrator tätig

clownfish803

Beitragsersteller

23.10.2024, 13:35

Ah das mit VPN wollte ich mir schonmal ansehen. Das mit opensense gucke ich mir auch an. Ich muss halt gucken das es kostengünstig wird.

clownfish803

Beitragsersteller

23.10.2024, 13:36

@clownfish803

Wo müsste ich Opensense denn installieren, auch auf dem gleichen Server? Oder soll ich einen Pi o ä zwischenschalten?

Thomasg

23.10.2024, 14:04

@clownfish803

na die Firewall sollte schon auf einem extra gerät laufen. Je nach Anzahl der Verbindungen kann ein pi da ausreichen.

VPN hat die FB inkludiert, das kostet nichts extra.

Sparrow75

23.10.2024, 17:09

Würde ne Art DMZ bauen, sprich zweiter Router mit zwei Ethernetports und dahinter den Server hinstellen.

clownfish803

Beitragsersteller

23.10.2024, 17:10

Also zweiter Router hinter die FB mit Heimnetz?

Sparrow75

23.10.2024, 17:15

@clownfish803

Ja, anders geht das nicht über die FB zu lösen, da sie keinen DMZ Port hat. Dann ne route auf die FB einrichten, über die das "DMZ Netz" dann über den zweiten Router geroutet wird.

clownfish803

Beitragsersteller

23.10.2024, 18:06

@Sparrow75

Und auf dem Weg zwischen Router 1 und Router 2 könnte der Angreifer nicht ausbrechen, und Zugriff auf alle Geräte erlangen ?

Sparrow75

23.10.2024, 18:50

@clownfish803

So einfach ist das nicht. Es gibt immer Mittel und wege und mit der Lösung ist dein Server von allem anderen getrennt. Am besten wäre natürlich an vorderster Front ne Firewall stehen zu haben, über die der Zugriff geregelt wird.

clownfish803

Beitragsersteller

23.10.2024, 18:54

@Sparrow75

Ok, wie würde das mit der Firewall funktionieren ?

Glasfaser / DSL / Kabel Anschluss in die Firewall rein, und dann ein LAN Kabel zum Server und das andere zum Heimrouter??

kevin1905

23.10.2024, 18:28

Und ssh auch, da ich nicht immer daheim bin.

Mach den SSH Port nach außen zu und benutze WireGuard um per VPN auf dein Heimnetz zu kommen.

Die Fritzbox hat eine Stateful Firewall erlaubt aber LAN to any per default inkl. VPN.

Wie kann ich den Server, sicher von den anderen Geräten im Heimnetz trennen, sodass im Falle eines Angriffs auf den Server, keine Vollkatastrophe im Heimnetz mit den anderen Geräten passiert?

VLAN.

Kann die Fritzbox aber nicht also brauchst du einen Switch dazwischen, der es kann.

Du kannst auch ufw/iptables und crowdsec nutzen um den Server selbst noch sicherer zu machen.

Der Server ist eine VM oder ein physisches Gerät?

Woher ich das weiß:Hobby

clownfish803

Beitragsersteller

23.10.2024, 18:40

Ein physisches Gerät, wie alle meine Server, ufw ist auch in Benutzung und streng auf die nötigsten Ports konfiguriert!

HardwareFreak3

23.10.2024, 12:21

In ein separates Subnetz packen und sicherstellen das sie lokal nicht kommunizieren können.

clownfish803

Beitragsersteller

23.10.2024, 12:27

Schön, das habe ich mir auch schon gedacht, das ist die Theorie. Und wie wird das durchgeführt ? Eine FB kann kein DMZ.

Ähnliche Beiträge

Fritz!Box absichern?

Hi!

Ich betreibe hinter meiner Fritz!Box einen Server. Auf dem Server,

laufen 1-2 gameserver, nen Webserver, und paar andere Kleinigkeiten.

Der Server hat auch eine SSH Verbindung eingerichtet (auf einem anderen port als 22) damit ich von außen darauf zugreifen kann, jedoch abgesichert mit ssh keys, fail2ban, und ich checke öfters den SSH log (Systemctl status ssh) sowie Virenscan mit ClamAV,… Der Server hat Debian 11.6, immer die neusten Updates, die Fritz!Box hat einige an ports zu ihm eingerichtet.

Die meisten sonstigen Rechner im Netzwerk sind Windows und MACOS.

Ist natürlich nicht Hochsicher.

Aber wie seht ihr das an ? Kann ich das so Weiterbetrieben oder begehe ich weiterhin ein riesiges Sicherheitsrisiko, falls das so sein sollte, habt ihr Tipps was ich noch verbessern kann ?

...zum Beitrag

IPv6 Adressen über IPv4 erreichbar machen?

Hi,

Ich bin aktuell bei der Deutschen Glasfaser. Die Deutsche Glasfaser stellt den Privatkunden eine öffentliche IPv6-Adresse, ein separates IPv6-Prefix (für das interne Netzwerk) und eine IPv4-Adresse aus dem Carrier Grade NAT Bereich (100.64.0.0 /10) zur Verfügung. Das ist daher kein DS-Lite (wie viele denken) sondern Dual Stack mit CGNAT. Jetzt habe ich lokal einen Server laufen. Die Ports sind alle freigegeben, UTP und TCP auf IPv4 und IPv6. Ich kann mich dann, wenn ich in ein anderes WLAN mit dem gleichen Anschluss gehe, ganz normal am Server anmelden. Ich denke mal, dass ich in diesem WLAN (Vertrag oben) IPv6 habe, so wie ich es verstehe, aber trotzdem kann ich mich auf die IPv4 des Geräts aus dem WLAN mit dem gleichen Vertrag verbinden, womöglich verbinde ich auch von CGNAT zu CGNAT, aber ob das geht weiß ich nicht. Jetzt haben andere aber nicht diesen Anschluss, sondern einen Anschluss NUR mit Public IPv4, die können sich nicht verbinden. Wie kann ich das fixen? Jemand ne Idee?

PS: Früher hatte ich als Vodafone Stammkunde einen exklusiven DualStack Vertrag, der mir solche Verbindungen ohne Probleme möglich gemacht hat

...zum Beitrag

Gefahren durch Port forwarding?

Welche Gefahren enstehen wenn man ein Debian Web und SSH Server im eigenen Netzwerk durch Port forwarding hostet?

...zum Beitrag

Hosting durch zwei Netzwerke?

Guten Abend,

ich habe eine kleine Frage an die Leute, die Erfahrung mit Hosting haben.
Unabhängig ob es ein Gameserver war oder Webspacehosting.
Wichtig dabei ist, dass ihr es am eignen Netzwerk durchgeführt habt und dazu kommen wir zu meiner Frage.

Folgendes:

Ich verwende einen Laptop als Server. Für ihm habe ich auch einige Ports freigegeben, damit er bei Minecraft einen Server hostet und FTP Zugang gewährt für mich und meinem Freund.

Genauso habe ich eine SRV und eine A Eintrag bei meiner TLD zur öffentliche IP-Adresse hinzugefügt und die Subdomain für Minecraft läuft bisher bestens.

Sogar Uptimerobot habe ich auf die IP und Ports gesetzt, dass er die anpingt und einen Uptimestatus Seite dafür bereit stellt.

Nun nach den paar Tagen das er läuft habe ich mir über die Sicherheit Gedanken gemacht.

Bisher habe ich alles einem Netzwerk gehabt und dies in einer Fritz!Box, wo alle Geräte verbunden sind und der auch ans V-DSL angebunden ist. Achtung, ich verwende nicht Exposed Host, weder noch an meinem Gaming PC (selbständige Port UPNP schon), wie auch beim Server Laptop (selbstständige Ports sind aus).

Nun habe ich mir gedacht, mein Netz zu Trennen zwischen dem Server Netzwerk und Hauptrouter und dies hat bisher auch geklappt, ich habe in der zweiten Fritz!Box in den Zugangsdaten die Verbindung vom Hauptrouter angegeben und es am Handy zu Urteilen, hat es Internet-Anbindung mit der gleichen öffentlichen IP-Adresse, aber Intern einen neuen Block statt xxx.xxx.178.xxx hat er nun xxx.xxx.188.xxx.

Um es sich Bildlich vorzustellen:

. Geräte vom Haushalt (178 Block)

V-DSL <===> Fritz!Box #1 ˫

. Fritz!Box #2 <===> Server Laptop (188 Block)

Würdet ihr dies als Sicherer so bezeichnen, oder würdet ihr eine andere Reihung der Verbindungen empfehlen oder gar eine ganz andere Methode. Ich bin offen und lerne gerne dafür dazu.

Vielleicht habt ihr auch sonstige Vorschläge, die zu meinem Schutz auch nützlich sein könnten :)

~ Die Falke in Gutefrage.

...zum Beitrag

Ssh Port Freigeben?

Hallo, ich wollte fragen wie man ein SSH Port freigeben kann. Denn ich möchte nicht nur von mir Zuhause auf dem Server zugreifen können. Wie muss ich da den Port freigeben? Muss ich einfach einen Port für 22 Freigeben oder wie geht das?

Danke im Voraus

...zum Beitrag

SSH server - nur von lokalem Netz erreichbar?

Guten Abend,

ich (Anfänger) hatte vor mein Notebook (mit openSuse) als kleinen SSH-Server zu nutzen um unterwegs auf meinem Tablet programmieren zu können.

Die anfänglichen Tests liefen gut, aber als ich dann wirklich weg war und mein Tablet mittels mobilem Hotspot betrieben habe, konnte ich leider keine Verbindung einrichten. Wie sich herausstellte funktioniert es nur innerhalb meines lokalen Netzwerks.

Ich hab es mittels meiner lokalen IPv4 Addresse versucht, sowie meiner öffentlichen IPv4 und IPv6 Addresse. Mit der lokalen IPv4 und der öffentlichen IPv6 konnte ich über mein lokales Netz verbinden, mit der öffentlichen IPv4 wiederum nicht. Über das Internet ging es mit keiner der genannten Addressen. (Anm.: habe immer den Standardport verwendet und dieser müsste [laut verfolgter Anleitung] auch in der Firewall freigeschalten sein)

Was kann ich tun um dieses Problem zu lösen? Wäre port forwarding an meinem Router eine Option und was müsste ich dafür einstellen?

Über Antworten würde ich mich sehr freuen!

...zum Beitrag

Mehrere Server auf einen Port?

Hallo!,

Ich bin gerade in der Planung eine serverfarm zu bauen. Nun zu meiner Frage: Meine Server müssen alle auf die Ports 31400-31409 zugreifen und das zwingend. Aber ist es doch so, dass in der Regel nur ein Gerät pro Netzwerk auf einen Port zugreifen kann. Gibt es einen Ausweg, das man mehrere Server auf einen Port setzt?

...zum Beitrag

DynDNS Port?

Hallo, ich habe vor einen Nextcloud Server in meinem Heimnetz einzurichten. Ich habe einen Anschluss mit DS-Lite, aber mein Anbieter stellt mir ein paar IPv4 Ports zur Verfügung. Was muss ich machen, dass ich, wenn ich meine Domain (von einem DDNS Anbieter), direkt auf den Server verbunden werde. Danke

...zum Beitrag

Warum reichen ipv4 Adressen nicht?

Moin,

ich wollte mich mal privat bisschen mit dem Thema IP Adressen auseinandersetzen, aber verstehe da eine Sache nicht so ganz. So wie ich es verstanden habe will man irgendwann auf ipv6 umsteigen da die knapp 4 Mrd Möglichen Adressen von ipv4 irgendwann nicht mehr ausreichen werden. Ich zitiere was ich gelesen habe: „Da das Internet ein riesiges Netzwerk ist und inzwischen deutlich mehr als 4 Milliarden Geräte angeschlossen sind.“ (heise.de)

Ich habe mir auch mehrere YouTube Videos dazu angeschaut und dort wurden auch Sachen gesagt wie, dass jedes Gerät eine ip Adresse hat, also handy, smartwatches oder Smart-TVs usw..

Nur so wie ich das verstanden habe gibt es private also auch öffentliche ips, öffentliche z.B. bei Servern oder Routern, jedoch habe ich es so verstanden das Geräte für Endverbraucher also Handys usw. nur variable ip Adressen haben da die öffentliche durch den Router entsteht und die private auch in jedem Netzwerk variieren kann.

Also meine Frage ist warum gesagt wird das jedes Gerät eine eindeutige ip zugeordnet bekommt wodurch die 4 Mrd Adressmöglichkeiten knapp werden, wenn des doch eigendlich nur Private ip Adressen sind die auch doppelt existieren können. Meine Frage bezieht sich also darauf: Hat jetzt jedes Gerät eine eindeutige ip oder kann diese immer variieren? Und lieget es dem zufolge wirklich an allen Endverbraucher-Geräten das die Adressen der ipv4 knapp werden?

Habe trotzdem mal ein bisschen meinen Gedanken Gang geteilt damit ihr mich auf Denkfehler oder falsches Verständnis hinweisen könnt.

Danke schonmal im Voraus fürs durchlesen von diesem langen Text und auf mein Halbwissen zu Antworten.

Lg :)

...zum Beitrag

Geräte verbinden sich nicht mehr mit der Fritzbox?

Hallo, seit paar Tagen habe ich das Problem, dass sich manche Geräte nicht mehr mit dem Heimnetz der Fritzbox verbinden lassen. Sie verbinden sich nur mit dem Gastzugang. Auch meine Smart Home Geräte funktinieren nicht mehr, da sie keine Verbindung mit der Fritzbox herstellen können. Was kann ich tun?

...zum Beitrag

Meine IP ist gesperrt! um diese zu entsperren soll ich ein paar Einstellungen umändern. Kann mir jemand das hier in einfacher Sprache übersetzen?

Anmerkung: Meinen Router habe ich von Vodafone. An den Voreinstellungen habe ich nichts geändert. Mein PC Betriebssystem ist Windows 11.

Wie mache ich das ? Was muss ich genau tun? Bitte in einfacher Sprache erklären

Vielen Dank, dass Sie Spamhaus CSS Removals kontaktiert haben.

xx.xxx.x.xxx wurde als Teil eines Proxy-Netzwerks klassifiziert. Es gibt eine Art Malware, die diese IP verwendet und einen Drittanbieter-Proxy installiert, der für fast alles verwendet werden kann, einschließlich des Versendens von Spam oder des Stehlens von Kundendaten. Dies sollte besorgniserregender sein als ein Spamhaus-Eintrag, der ein Symptom und nicht das Problem darstellt.

Wichtig: Wenn diese IP als Mailserver fungiert, sollte sie wie ein Mailserver aussehen und sich wie ein Mailserver verhalten. So wie es aussieht, scheint das verwendete HELO dynamisch zu sein. Dieses Verhalten wird häufig in Malware-/Proxy-Netzwerken beobachtet.

(IP, UTC-Zeitstempel, HELO-Wert)

ip-xx.xxx.x.xxx um26.pools.vodafone-ip.de

xx.xxx.x.xxx.um26.pools.vodafone-ip.de

xx.xxx.x.xxx.dynamic.adsl.gvt.net.br

Der Proxy ist auf einem Gerät installiert – normalerweise einem Android-Handy, Firestick, einer intelligenten Türklingel usw., aber auch iPads und Windows-Computern – das Ihre IP verwendet, um Spam DIREKT über Port 25 ins Internet zu senden: Dies ist sehr oft das Ergebnis von „kostenlosen“ Apps von Drittanbietern wie VPNs, Kanal-Freischaltungen, Streaming usw., die auf dem persönlichen Gerät einer Person, normalerweise einem Telefon, installiert werden.

Dies ist eine einfache Erklärung, wie das funktioniert:

Überprüfen Sie zunächst alle Geräte, auf denen „kostenlose“ VPNs, TV-Streaming, Kanalfreischaltung oder Apps von Drittanbietern installiert sind.

Wie dieses Problem gelöst werden kann, hängt davon ab, ob diese IP statisch ist und für die geschäftliche Nutzung mit einem internen Mailserver zugewiesen wird oder ob sie dynamisch für die private Nutzung ist. Wenn Sie sich nicht sicher sind, rufen Sie Ihren ISP an und fragen Sie ihn.

HEIMBENUTZER: Dynamische Einzel-IP für nichtkommerzielle Nutzung. Es gibt eine Reihe von Möglichkeiten:

* Möglicherweise haben Sie ein Problem vom vorherigen Benutzer der IP geerbt. Bitte überprüfen Sie die oben angegebenen Zeitstempel. War diese IP zuletzt Ihre?

* Dynamische IPs sind nicht für den Betrieb von Mailservern gedacht. Wenn Sie dies tun, suchen Sie bitte bei Ihrem Anbieter nach einer Lösung. Eine wirksame NAT-/Firewall-Konfiguration ist erforderlich.

* Für den Fall, dass Sie keinen eigenen Mailserver betreiben – was für die meisten Menschen der Fall sein dürfte – konfigurieren Sie bitte Ihren Router so, dass er jeglichen Zugriff auf Port 25 blockiert, und verwenden Sie SMTP AUTH beim Anbieter Ihrer Wahl. Ihr ISP kann Ihnen dabei helfen und die meisten Router-Benutzerhandbücher sind online verfügbar.

Bitte wenden Sie sich an Ihren ISP oder Ihre IT-Abteilung, um Hilfe bei der korrekten Konfiguration Ihres Routers oder Ihrer Firewall zu erhalten. Sie können die meisten Router-Konfigurationshandbücher auch online finden.

Wenn die IP statisch ist, liegt im Netzwerk ein Malware-Problem vor. Es ist sehr unwahrscheinlich, dass es sich um den eigentlichen Mailserver handelt, aber es handelt sich um etwas, das dieselbe öffentliche IP-Adresse verwenden kann.

Bedenken Sie die Auswirkungen, wenn ein Proxy, der unter der Kontrolle einer anderen Person steht, in Ihrem Netzwerk aktiv ist: Böswillige Betreiber kontrollieren ein Gerät in Ihrem Netzwerk. Für sie ist Spam ein Extra. Ihr Geschäft ist ihr Geschäft.

Wir empfehlen dringend, Ihre Firewall so zu sichern, dass keine ausgehenden Pakete über Port 25 zugelassen werden, außer solchen, die von einem oder mehreren E-Mail-Servern in Ihrem lokalen Netzwerk stammen. Das Remote-Versenden von E-Mails an Server über das Internet sollte weiterhin funktionieren, wenn webbasiert oder ordnungsgemäß für die Verwendung von Port 587 mit SMTP-AUTH konfiguriert. Wir empfehlen auch, alle Gastnetzwerke auf die gleiche Weise zu sichern. WICHTIG: Durch die Begrenzung von Port 25 wird verhindert, dass Verbindungen Ihr Netzwerk verlassen, der Proxy wird jedoch nicht neutralisiert. Es muss gefunden und entfernt werden.

Da wir weder NAT noch die Firewall durchschauen können, liegt die Fehlersuche ausschließlich in der Verantwortung des IT-Managers. Die Protokollierung am Router oder an der Firewall, um zu sehen, was versucht, Port 25 zu verwenden, sollte zu den kompromittierten Geräten führen.

Die einfachere Vorgehensweise wäre, den ausgehenden Port 25 auf Mailserver zu beschränken und so Ihr Netzwerk zu sichern und die Einträge zu stoppen. Anschließend können Sie nach den Geräten suchen.

HINWEIS: Es kann mehr als ein betroffenes Gerät geben. Es kann auch mehr als ein Problem geben. Bitte überprüfen Sie alle Ihre technischen Einstellungen, einschließlich DNS (Forward und Reverse) und HELO-Werte. Auch Gastnetzwerke müssen gesichert werden.

Unsere FAQ :

https://www.spamhaus.org/faq/section/Hacked...%20Here's%20help

...zum Beitrag

Remmina SSH mit anderem Port?

Hallo,

wie kann ich bei Remmina (v1.4.11) per SSH mit anderem Port als Default (22) verbinden? Also quasi

ssh user@server -p2222

Ich habe keine Option in Remmina gefunden, die das anbietet. Falls jemand einen alternativen SSH Connection Manager kennt, der das kann, würde ich mich über Empfehlungen freuen.

Danke für alle Antworten im Voraus

...zum Beitrag

Wie Home Assistant mit Geräten im Gastnetz verbinden?

Ich möchte alle meine Smart Devices (Saug Roboter, Smarte Lampe usw.) in das Gastnetz packen.

Gleichzeitig möchte ich diese Geräte in Zukunft über Home Assistant verwalten. Dieses läuft auf meinem Server in meinem Heim-Netz.

Was ist der beste Weg um die Geräte im Gast Netz für Home Assistant erreichbar zu machen (Fritzbox als Router)?

...zum Beitrag

Port 25565 auf Ubuntu 22.04 nicht freigegeben?

Moin,

egal was ich mache, der Port scheint immer zu zu bleiben. Habt ihr evtl einen Beispiel Command für mich? Habe den Server auf Linux Ubuntu 22.04 aufgesetzt

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen