Externer Zugriff auf die Diskstation - welche Methode ist die sicherste

[Matis]

.... und wenn man dann die benötigten Ports per https und reverse proxy weiterleitet statt die ports aufzumachen, müsste jemand genau den Empfänger, die subdomain und die logins kennen. Das Risiko ist noch tragbarer. Dann ist mein gesamtes Netzwerk mit nichten offen, sondern nur port 443 mit definiertem Empfänger.

 

[whitbread]

... wow wie charmant!

OK - den nehme ich zurück. Versuche gerade meinen Kindern beizubringen, die gleiche Frage nur einmal zu stellen... - Es ist ja nicht so, dass ich es weiter oben nicht bereits erwähnt hatte, vielleicht nicht ganz so detailliert.

 

[whitbread]

Reverse Proxy ist auch eine gute zusätzliche Massnahme. Hier verbleibt dann nur der Web-Server als Angriffsvektor.

Mir war Port-Knocking einfacher zu konfigurieren und finde es umfänglicher zu verwenden, da auch Nicht Web-basierte Dienste gehen. Jedem klar wie Port-Knocking funktioniert?

 

[mr coffee]

Jedem klar wie Port-Knocking funktioniert?

Mir war es nicht klar, ich habe es auf WIkipedia nachgelesen. Kurze Zusammenfassung eines Laien:
Der Port ist erstmal geschlossen und öffnet sich nur, wenn ein bestimmtes Muster (zeitlich / inhaltlich) von SYN-Paketen ankommt. Es ist also - ohne diese "Sequenz" zu kennen - nicht möglich herauszufinden, ob der Port offen oder geschlossen ist.

 

[whitbread]

Inhaltlich korrekt. Ist quasi wie ein Zifferncode für den Raum in dem der Tresor steht.

Der oder die Ports sind tatsächlich vorm Knocking geschlossen und werden dann für die knockende einzelne IP temporär geöffnet.

 

[Nomad]

Diese Diskussion scheint in Glaubenskrieg zu enden aber...

Jeder Dienst den man ins Internet stellt sollte von sich aus so stabil sein, dass es keinerlei weiterer Schutz bedarf, um einen "sicheren" Betrieb zu gewährleisten. Tut er das nicht, dann gehört er auch nicht ins Internet. Wenn man VOR jedem Dienst einen Firewall stellen müsste, was sollen dann die Router machen? Wer einerseits seinem Router vertraut bzw. vertrauen muss, der wird wohl die Gefährdung nicht zu stark erhöhen wenn er einen gut konfigurierten und gewarteten Webserver unter Debian an Port 80 horchen lässt.

Zusätzlich vorgeschaltete Firewalls können nur als ergänzende Maßnahme taugen. Für die meisten Hobbyisten dürfte er eher schädlich sein. Zum einen erhöht das die Komplexität und noch fataler, können sie die Nutzer in falscher Sicherheit wiegen.

Lalalaa.... Ich leite den gesamten Internettraffic auf mein Server, wo ich mich alle paar Monate mal als Administrator einlogge, denn ich habe ja ein Firewall... So funktioniert das nicht. Andererseits besteht auch kein Grund anzunehmen, dass Sekunden nachdem man einige Portweiterleitungen bei der Fritzbox konfiguriert hat die Fritzbox explodiert.

 

[Puppetmaster]

Dem stimme ich im Grundsatz zu.

Aber ...

Jeder Dienst den man ins Internet stellt sollte von sich aus so stabil sein, dass es keinerlei weiterer Schutz bedarf, um einen "sicheren" Betrieb zu gewährleisten. Tut er das nicht, dann gehört er auch nicht ins Internet.

Das ist die Theorie. Die Praxis zeigt eben, dass die Löcher in einer Software nicht bei Erscheinen bekannt sind, sondern sich erst später offenbaren - wenn überhaupt.

Ich denke allerdings, dass jeder selbst entscheiden muss, wieviel Schutz nun im Einzelfall wirklich notwendig ist. Solange das Ganze für den DAU nicht zu managen ist, bringt das alles nichts.

 

[independence2206]

@ whitebread: Also eine Sophos UTM 220 für ca 150€ Euro hinter den Router klemmen und das wars dann mit den Kosten? Keine Lizenzgebühren oder sonstige zusätzlichen Kosten?

Aufgrund des Spieltriebs schon interessant, aber ob ich mir die Konfig zutraue, ist was anderes..

 

[Nomad]

Das ist die Theorie. Die Praxis zeigt eben, dass die Löcher in einer Software nicht bei Erscheinen bekannt sind, sondern sich erst später offenbaren - wenn überhaupt.

Daher die Anführungszeichen. Mit "sicher" kann man nur meinen, ich habe nach bestem Wissen alles mögliche getan, um keine Lücken offen zu lassen.

Andererseits dürfte gegen Zero Days eine Firewall selten eine Hilfe sein? Wiederum andererseits wäre das eine einzige mal, wo zufällig ein Zero Day Exploit doch mal daran abprallt, den Aufwand wert sein...

 

[whitbread]

Ja, Sophos UTM ist für privaten Gebrauch kostenlos.

Also eine Firewall DAU-fähig zu fordern ist schon etwas vermessen, allerdings wäre eine für den interessierten Laien umsetzbare Konfiguration sicher wünschenswert.

Warum ich mich so vehement für die Nutzung einer Firewall einsetze liegt auch daran, dass ich eine grundsätzliche Beschäftigung mit dem Thema Security jedem nur anraten kann. Eine Firewall ist kein Allheilmittel, aber wir müssen doch sehen, dass mit zunehmender Vernetzung auch die Auswirkungen bei einem Angriff steigen. Als Beispiel möchte ich nur den inzwischen weit verbreiteten Smart-TV oder andere IoT-Geräte nennen. Wenn diese alle direkt an der Fritte (oder anderem Einwahlrouter) hängen ist das ganze Netz betroffen. Sich zu überlegen, ob der Smart-TV bspw. Zugriff auf den PC benötigt oder nicht ist der erste Schritt in Richtung Sicherheit. Wenn das Bewusstsein erstmal da ist, sind in entsprechenden Foren sicherlich andere gerne bereit bei der Umsetzung zu helfen.

Die Angriffe, denen wir ausgesetzt sind, sind doch eher zufälliger Natur, denn als Ziele aufgrund der Inhalte werden wir zumeist nicht ausgewählt. Eher ist es doch so, dass bspw. ein Exploit im DSM dazu führt, dass massenweise der entsprechende Port gescannt wird. Hier wäre es doch sinnvoll wenn Router und/oder Firewall genau dieses verhindern würden. Eine Firewall, die Port-Scanning, Brute-Force-Angriffe, Protokoll-Anomalien und den Zugriff von bereits bekannten bösartigen IP's verhindert, verringert die überhaupt aufschlagenden Angriffe schon drastisch. Und selbst im Falle eines Angriffs wäre nur ein Gerät betroffen.
Gewiss, wenn die Firewall auch offen im Internet steht, ist diese ebenfalls gefährdet. Wenn diese aber hinter dem DSL-Router steht, der nur dedizierte Ports an die NAS weiterleitet, ist die Firewall ein zusätzlicher Schutz.

Und gerade die Tatsache, dass wir ja kein kontinuierliches Monitoring betreiben können, spricht doch eher dafür gewisse Schranken und Automatismen einzuführen, um nicht am Wochenende festzustellen, dass ein Angreifer sich die ganze Woche austoben konnte.