[Hinweis] Gefahren durch Port-Freischaltungen
-
@oliverio
Und auch deswegen sollte man schauen das seine Systeme durchgepatcht sind. Die wenigsten neuen Versionen kommen nur wegen einer schöneren Versionsnummer heraus. -
Das ist schon klar, das Problem ist aber, daß von vielen Leuten die Sicherheit zu kurz kommt.
Ich möchte nicht wissen, wann bei manchen Leuten z. B. der Router das letzte Mal aktualisiert wurde, nur um ein Beispiel zu nennen. -
@mathiasj sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Das ist schon klar, das Problem ist aber, daß von vielen Leuten die Sicherheit zu kurz kommt.
Ich möchte nicht wissen, wann bei manchen Leuten z. B. der Router das letzte Mal aktualisiert wurde, nur um ein Beispiel zu nennen.die meisten wissen darüber einfach nichts.
bspw die router müssen eine große bandbreite an funktionen bereitstellen. dann denkt ein normalanwender das alles auch safe zu bedienen ist. eigentlich (bspw bei port freigaben) müssten da große warnschilder stehen, aber viele werden sich da eh drüber weg setzen und hinter her dann zum heulen anfangen.
manche denken ja, das Internet ist so groß, da wird mein router schon nicht entdeckt.
wenn man einen port öffnet, braucht es manchmal nur sekunden bis ein scanner vorbeikommt und das entdeckt. manchmal ist es ganz interessant die logs der webserver zu lesen, was da alles für zugriffe erfolgen. oder wer mal was ganz nerdiges machen will, dann kann man sich mal einen ssh honeypot hinstellen. ist mit docker relativ einfach und sicher
https://github.com/cowrie/cowrieirgendwo kommt dann auch der Irrglaube her, dass wenn man sich ein Zertifikat holt und nur mit https zugreift dann ebenfalls sicher ist.
-
@oliverio
Ein gutes Beispiel:
Wenn man sich eine RaspberryMatic neu aufsetzt, kommt eine Warnmeldung, man soll keine Ports öffnen. Das kommt dabei raus:
https://homematic-forum.de/forum/viewtopic.php?f=26&t=60245 -
Hi,
ich würde gerne dieses Thema nutzen um zu Fragen wie Ihr eure DMZ umgesetzt habt bzw. falls vorhanden eure Clouds/Webserver/Mailserver oder was auch immer vom Internet aus zugänglich gemacht habt.
Ich betreibe zu Hause derzeit eine Nextcloud installation in einem Proxmox Container welche aktuell vom Internet nur per VPN erreichbar ist.
Jetzt ist der Schrei laut geworden (Familie) das man die Cloud gerne auch von Unterwegs erreichen möchte ohne jedesmal vorher einen VPN aufbauen zu müssen.
Als DSL Router arbeitet aktuell eine FB7590, WLAN über 4x Unifi AP, zweite FB7490 wäre noch vorhanden.
Router welche DMZ können oder andere HW müsste gekauft werden wenn der Aufwand und die Kosten sich halbwegs im Rahmen halten. (zwischen 200-300€ würde ich investieren)
Auf dem Proxmox System laufen natürlich noch andere Sachen welche aber nur Intern erreichbar sein sollen. Wie sollte man da am besten vorgehen? Die Nextcloud komplett auf eine extra HW umziehen oder reicht es dem Proxmox Server eine weitere Netzwerkkarte zu verpassen welche dann in der DMZ hängt und diese dem Container zuweisen?
Freue mich auf euer Feedback und euren Input
Gruß und schönen Sonntag
-
Ich habe das mit einem Nginx Proxy Manager in einem Proxmox LXC und Portainer realisiert.
Die Ports 80 und 443 werden auf diesen LXC geroutet. Weiterhin wurde im NPM eine zusätzliche PW-auth eingerichtet und die Nextcloud mit 2FA (OTP) abgesichert. -
@wendy2702 In einer VM auf Proxmox und in einem eigenen VLAN. Natürlich regelmäßig Updates fahren. DMZ würde ich nicht verwenden, sondern nur benötigte Ports weiterleiten.
Aber warum nicht bei VPN bleiben? Ich habe unsere Androiden so eingerichtet, dass bei verlassen des eigenen WLAN VPN automatisch aktiviert wird. Somit ist man sozusagen immer im Heimnetz ohne etwas tun zu müssen. Somit auch immer werbefrei dank Pihole. Geht mit der App 'tasker' und dem 'openVPN Tasker Plugin'.
-
@dr-bakterius sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Ich habe unsere Androiden so eingerichtet, dass bei verlassen des eigenen WLAN VPN automatisch aktiviert wird
Wie hast du das gemacht?
Ich habs schon mit Tasker & Co. probiert, mit manchen Autom. Apps, aber nichts brauchbares gefunden, oder Tasker einfach nicht gecheckt. -
Danke für die Antworten.
@Meister-Mopper : habe meine NC mit Apache konfiguriert. Da müsste ich erst auf Nginx umstellen oder gibt es so einen Manager auch für Apache.
@Dr-Bakterius : das mit dem VPN wäre grundsätzlich die beste Lösung allerdings sind wir 4 Personen und davon nur eine mit Android unterwegs. Für IOS ist mir nicht bekannt das es so etwas gibt.
Wenn du eigenes VLAN verwendest, welchen Router/DSL Modem nutzt du dann und was spricht aus deiner Sicht gegen DMZ?
-
@wendy2702 <<<<<<
Keine Ahnung, habe ich nicht recherchiert. NPM ist halt ein unkomplizierter Docker-Container.Traefik ist auch eine Option, oder nginx als Linux-Server.
-
@wendy2702 den Linux Proxy setzt du separat (Lxc, VM, docker) auf. Von dort wird verteilt.
So mache ich auch meine Subdomain Verwaltung. Geht alles auf meine nginx Lxc, dort wird die Domain überprüft und anhand weiterer regeln authentifiziert und auf den eigentlichen zielserver geProxied (was ein Wort).
Gruss
Andre -
wenn netcloud bzw. die ganze netcloud infrastruktur (inklusive datenbank und proxy) in einem normalen container läuft, dann läuft ja alles in einem eigenen netz (erkennbar an ip-adressen meist mit 172..., welches vom hauptnetzt separiert ist. daher kann jemand wenn er in nextcloud drin ist erstmal nur in diesem netz operieren, da alle ip packchen welche für ein anderes netzt bestimmt sind vom router (in diesem fall übernimmt das containermanagement das routing) nicht weitergeleitet werden.
-
@negalein sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Wie hast du das gemacht?
Ein Profil erstellt, dass den Task VPN verbinden bei verlassen den WLAN aufruft. Dort wird über die App open VPN Tasker Plugin die Verbindung zum vor eingerichteten VPN hergestellt. Wenn das WLAN wieder verbunden ist, macht man einen Ausgangstask, der die Verbindung über das Plugin wieder trennt. Geht total easy mit der zusätzlichen App.
-
@wendy2702 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Wenn du eigenes VLAN verwendest, welchen Router/DSL Modem nutzt du dann und was spricht aus deiner Sicht gegen DMZ?
Ich habe die Gerätschaften von Unifi. Viele bessere Router können das aber auch von anderen Herstellern und man benötigt managed Switches.
Gegen eine DMZ spricht IMHO, dass der gesamte Netzwerkverkehr aus dem Internet auf den angegebenen Rechner trifft. Reißt eventuell unnötige Lücken auf.
-
@dr-bakterius OK. Danke.
Alles auf Unifiy umzustellen hatte ich auch schonmal überlegt.... da komme ich bei der Anzahl an Switchen und benötigten Ports aber schnell auf einen 4 Stelligen betrag.... und das dann nur um NC "sicher" zu machen fällt mir aktuell ein wenig schwer.
Ich habe aber mal die einschlägigen Suchmaschinen bemüht und man kann auch bei IOS VPN on Demand einrichten. Werde mir das mal anschauen.
-
@wendy2702 Man kann auch andere Switche verwenden, solange sie VLAN-fähig sind. Ich verwende zum Beispiel mehrere Unifi Access point für WLAN, habe aber ausschließlich Switche von Zyxel im Einsatz. Als Router einen Edgerouter 4. Vorteil ist, dass Komponenten teilweise günstiger sind, Nachteil, dass man halt nicht alles unter einer Oberfläche konfigurieren kann. Wobei ich das auch als Vorteil sehe. So kann ich jedes Gerät granular für genau seinen Zweck konfigurieren. Und eigentlich ändert man da ja eh nicht ständig etwas...
Gruß, Jürgen -
ich habe einen 24 Port-Switch von Netgear.Der läßt sich sehr gut über die Konfig-Software einstellen.
Bin nur am lernen, welche Ports ich von VLAN zu VLAN öffnen muß.
Schließlich sollen Backups vom IObroker, bzw der Aufruf der Admin-Seite nicht ins leere laufen. -
@mathiasj Das Routing zwischen VLANs muss aber der Router machen, außer Du hättest einen relativ teuren Switch, der selbst Level3-Routing beherrscht.
Zudem ist Ports freischalten hier das falsche Stichwort. Wie der Name es sagt. Es muss geroutet werden, von einem Netzwerk ins andere.
Bei mir macht das der Edgerouter, der ist passend eingestellt, was das Routing zwischen den Netzen angeht, bzw. blockiert den Verkehr zwischen den VLANs, den kch nicht haben will.
Gruß, Jürgen -
@wildbill
danke, wieder was dazu gelernt! -
@oliverio sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
wenn netcloud bzw. die ganze netcloud infrastruktur (inklusive datenbank und proxy) in einem normalen container läuft, dann läuft ja alles in einem eigenen netz (erkennbar an ip-adressen meist mit 172..., welches vom hauptnetzt separiert ist. daher kann jemand wenn er in nextcloud drin ist erstmal nur in diesem netz operieren, da alle ip packchen welche für ein anderes netzt bestimmt sind vom router (in diesem fall übernimmt das containermanagement das routing) nicht weitergeleitet werden.
du redest explizit von docker containern, ja, da ist das so im default fall.
ich nutze lxc container in den meisten fällen, und dort im bridged mode. sonst müsste ich ja wieder weitere routing-instanzen oder vlan-switches einsetzen. das halte ich bei mir derzeit recht einfach (dafür fail2ban und authentification vorne weg und zusätzlich FW-Regeln auf Netze, die durch Port-Scans und Brute-Force-Attacken etc. aufgefallen sind).
