Anfänger hat ein Paar Fragen zur Netzwerksicherheit

[IchigoB]

Hi und zwar zerbreche ich mir langsam den kopf über das Thema.
Ich nutze seit gut 6 Monaten meine erste DS (218+) und mir fallen immer mehr die Vorteile und der Spaß den ich mit der kleinen Kiste habe auf.
Da ich momentan Docker für mich entdeckt habe erstelle ich mir munter Container und teste alles mal aus.

Hier meine Erste Frage, wenn ich keinen Port explizit in der Fritzbox freigegeben habe, ist dann mein NAS offen im www ? Da ich ja den einzelnen Docker Containern Ports gebe un dadurch ja darauf unverschlüsselt zugreife.

Nun bin ich am Punkt wo ich gerne mehr machen würde, ggf. auch von außen auf meine Dienste Zugriff haben will.
Ich weiß das ich dafür eine Domain brauche (zb. namecheap) und da ich noch eine Dynamische ipv4 habe einen DynDNS dienst.
Am besten wäre es dann wenn ich über die DS einen Reverse Proxy laufen habe der dann die freigegebenen Ports 80 und 443(?) an die jeweiligen Dienste weiterleitet also ich stelle es mir so vor.

Anfrage www durch aufruf von tautulli.blabla.de -> Fritzbox -> ReverseProxy -> Tautulli

der Reverse Proxy dient somit nur als weitere Sicherheit damit ich zb Port 8181 nicht in der Fritzbox freigeben muss.

Aber was passiert wenn zb. die DS aus ist ? Kann dann alles munter durch die Beiden freigegeben Ports durch ?
Oder müsste ein Angreifer den exakten Port wissen auf den ich etwas freigegeben habe (was durch einen Scan ja relativ leicht ist) und den jeweiligen Dienst der darauf läuft ?
Und was ist mit Diensten die ich nur Intern nutzen will (zb. Sabnzbd), es aber auch über eine https verbindung ?

Falls das Thema hier falsch sein sollte tut es mir leid, ich wusste aber nicht wo es sonst gepasst hätte. Vielleicht habe ich auch etwas vergessen und würde mich dann über einen Hinweis freuen.
Ich bin der Meinung das man bei dem Thema wirklich Penibel sein muss, deswegen die Fragen.


Ich bedanke mich schon einmal recht herzlich an alle die sich die Wand von Text durchgelesen haben und eventuell ein paar Tips & Tricks oder Antworten für mich haben.

 

[blurrrr]

uPnP erledigt das für Dich mit dem "explizit" schon und macht somit einfach eigenständig irgendwelche Portfreigaben, nur weil es ein Gerät von innen anfordert

Soweit alles ok mit dem RP, wenn die DS aus ist, passiert "nichts", denn da ist nichts am anderen Ende, was irgendwem antworten könnte (also von extern (und intern) eben alles offline). Du kannst nach aussen "alles" via https versorgen (Lets Encrypt Zertifikate von der Syno bzw. dem Reverseproxy aus), nach intern eben unverschlüsselt weiter.

Laut Deiner Angabe ca. so: tautulli.blabla.de <-- https --> ReverseProxy <-- http --> Tautulli

EDIT: Bevor das falsch rüberkommt, schalt den uPnP-Dreck bloss aus im Router

 

[IchigoB]

uPnP erledigt das für Dich mit dem "explizit" schon und macht somit einfach eigenständig irgendwelche Portfreigaben, nur weil es ein Gerät von innen anfordert

ahhhh ok ?

Soweit alles ok mit dem RP, wenn die DS aus ist, passiert "nichts", denn da ist nichts am anderen Ende, was irgendwem antworten könnte (also von extern (und intern) eben alles offline).

Achso, dann wäre das soweit nicht tragisch, ich dachte offene Ports sind immer ein Problem

EDIT: Bevor das falsch rüberkommt, schalt den uPnP-Dreck bloss aus im Router

Müsste ich dann nicht aber alle Ports selber öffnen ? zb. auch die ganzen neben Ports von Plex, oder die für Origin etc.

Hast du zufällig eine empfehlung für einen RP ? Ich hatte Traefik rausgesucht, aber vllt gibt es ja etwas passenderes.

 

[blurrrr]

Nimm doch einfach den RP auf der Syno Allerdings willst Du Dinge wie Plex und Co nicht unbedingt von aussen erreichen, dafür nimmt man besser ein VPN (kann die Syno auch).
Origin? Warum sollte die Spieleplattform irgendwelche Ports benötigen bzw. warum sollten da Ports von aussen nach innen geleitet werden?

Ich z.B. habe bei mir "garnichts" nach aussen auf, erreiche aber "alles" via VPN (damit verbinde ich mich dann quasi remote mit meinem Netzwerk).

 

[IchigoB]

Nimm doch einfach den RP auf der Syno

Grund für Traefik war Lets Encrypt Wildcards (*.bla.de wenn ich es richtig verstehe) und automatische Erneuerung der Zertifikate

Allerdings willst Du Dinge wie Plex und Co nicht unbedingt von aussen erreichen

Oh warum ? Tatsächlich nutze ich Plex noch in einer anderen Wohnung und greife dann daurch darauf zu.

dafür nimmt man besser ein VPN (kann die Syno auch).

Dürfte ich dich bitten da etwas genauer drauf einzugehen ? Was ein VPN macht etc weiß ich, aber ich nutze nur einen um nach draußen zu kommen, nicht um mich von Wohnung A nach Wohnung B zu Tunneln.

Origin? Warum sollte die Spieleplattform irgendwelche Ports benötigen bzw. warum sollten da Ports von aussen nach innen geleitet werden?

z.B für Fifa oder Call of Duty zum Hosten eines Match

 

[blurrrr]

Traefik kann nicht "LE-Wildcard-Zertifikate", das ist nochmal ein ganz eigener Schuh und ich glaube, dass Du Dir das grade ein "bisschen" zu einfach vorstellst Du kannst 2 (oder mehrere) Netzwerke via VPN miteinander verbinden, so dass die Pakete quasi "intern" bleiben (Netz A <-> verschlüsselter VPN-Tunnel <-> Netz B), somit muss da auch nichts freigegeben werden, wenn Du auf Plex am anderen Standort zugreifen willst. Was die Games angeht... das ist dann wohl so, entweder Handarbeit, oder halt uPnP. Ich persönlich würde mir eher die Arbeit machen, aber das muss jeder für sich selbst entscheiden

 

[IchigoB]

Das mit den Wildcards klang tatsächlich relativ einfach aber dann werde ich erstmal den auf der DS nutzen.


Die VPN verbindung, kann ich so nicht aufbauen. Zwar sitzen an den anderen ende Family, aber ein koppeln beider Netzwerke müsste jetzt nicht unbedingt sein.
Das gleiche gilt für mobile, da ich den beiden gerne zugriff auf Ombi geben würde, das aber ohne ihnen klar machen zu müssen das sie sich jedesmla dafür mit einem VPN verbinden müssen.
Also wenn ich das richtig verstehe bietet mir eine eigene Domain mit RP keine wirkliche Sicherheit oder ?

 

[blurrrr]

"Einfach" ist das mit Sicherheit nicht, allein schon die DNS-Challenge ist ein Thema für sich.

VPN heisst nicht automatisch, dass jeder alles darf. Mit entsprechenden z.B. Routern/Firewalls wird zwar die VPN-Verbindung an sich etabliert, aber mit einer halbwegs gescheiten Firewall kann man dann auch noch die Zugriffsrechte regeln. Ist aber alles etwas umfangreicher. Der Reverseproxy ist eine "zusätzliche" Station in der Kommunikation zwischen Client und Zielserver.

 

[IchigoB]

Wie gesagt es klang nur so
Das mit dem VPN ist aber für die die es nutzen sollen zu kompliziert :/

 

[Synchrotron]

Wenn an beiden Enden der „Leitung“ Fritzboxen werkeln, kannst du das VPN dort einrichten. Das geht sowohl für eine Einwahl von außen wie auch als Bridge, um 2 FBen miteinander sicher zu verbinden.

Es gibt auf YT jede Menge gute Videos, die erklären, wie es geht. Ist langsamer als eine Lösung auf der Syno oder einem Pi, für den Hausgebrauch aber völlig tauglich.

 

[blurrrr]

"VPN-on-demand"

 

[IchigoB]

Wenn an beiden Enden der „Leitung“ Fritzboxen werkeln, kannst du das VPN dort einrichten. Das geht sowohl für eine Einwahl von außen wie auch als Bridge, um 2 FBen miteinander sicher zu verbinden.

Es gibt auf YT jede Menge gute Videos, die erklären, wie es geht. Ist langsamer als eine Lösung auf der Syno oder einem Pi, für den Hausgebrauch aber völlig tauglich.

Danke ich werde mir das anschauen

"VPN-on-demand"

Auch interessant, das wäre natürlich sehr geil wenn ich nur das jeweilige FireTV da durch jagen könnte.


Nochmal eine andere frage zu der RevereseProxy geschichte, wäre es in dem fall besser wenn ich hinter die FritzBox eine Pfsense Firewall oder ein Ubiquiti USG Netzwerk/Router setze ?

 

[blurrrr]

Dann vermutlich eher OPNsense (Fork von PFsense, nachdem Netgate da nun ständig so einen Werbescheiss und Co ablässt, alternativ für "Zuhause" geht auch eine Sophos UTM Home, oder IP-Cop (falls das Projekt noch lebt) oder was auch immer Du willst )