Zuerst einmal kann ich Puppetmaster (wieder einmal) nur voll zustimmen. Ports sollten ankommend nur dann "geöffnet" bzw. im Router "weitergeleitet" werden, wenn ich als Anwender genau weiß, was ich will und wozu ich diese Ports benötige.
@Hüseyin
Was Ports und die sichere Verwendung davon angeht, ebensowenig.
Das ist keine Schande, ich kann mir zum Bsp meine Gallenblase auch nicht selber herausoperieren. Nur dann bitte deutlich danach fragen. Keiner kann hier wissen, was du weißt oder nicht weißt. Ich will auch keinen unnütz langweilen.
Ports
ganz einfach erklärt. Frei nach Schäuble mit seiner großen Telefonanlage ... . (Kennt ihr doch, oder?)
Stelle dir die Telefonanlage einer großen Firma vor. Eine Durchwahlnummer und ein paar Tausend Nebenstellen-Nummern. Die Durchwahlnummer ist "die Firma" (IT: das ist die jeweilige IP) und die Nebenstellen sind die Telefone, an denen die jeweiligen Mitarbeiter auf Anrufe warten. (IT: das sind die Ports, an denen den einzelnen Dienste wie Web- FTP, Mail- SSH- und weitere Server "lauschen"). Willst du also einen Webserver erreichen, dann musst du die jeweilige IP und dort den Port 80 ansprechen. Beim POP3-Server eben :110 und beim SSH-Server eben :22. => Suche im Internet nach "Standardports".
Mit dem Start eines bestimmten Dienstes und der entsprechenden, sehr oft damit unmittelbar verbundenen Anweisung an den Firewall, wird dieser Port geöffnet. Dieser Dienst ist dann erreichbar.
Standardmäßig sind in der Regel alle Ports ankommend dicht. Natürlich bis auf diejenigen, welche man für die Konfiguration unbedingt benötigt, also hier den Port für den Konfigurations-Webserver. Das alles hier genannte betrifft erst einmal beispielhaft unsere Synology.
Wenn du allerdings deine DS nicht nur innerhalb deines eigenen Homenetzes, sondern auch noch aus dem Internet erreichen willst, dann musst du noch einen weiteren Schritt gehen. Dann musst du in deinem Router eine so genannte "Portweiterleitung" einrichten. Ohne diese ist der Router nämlich ankommend ebenfalls (mehr oder weniger) "dicht". Also willst du einen Webserver betreiben, wird der aus dem Netz ankommende Traffic auf Port 80 an den Port 80 der der DS zugewiesenen IP weitergeleitet. Und dort lauscht ja auf Port 80 eben jener Webserver.
Und hier gilt die alte Regel, dass nur genau diejenigen Ports weitergeleitet werden sollten, auf welchen deine Dienste auf deinem Server aus dem Internet auch erreichbar sein sollen. Jeder unnütz geöffnete Port ist ein mehr oder weniger großes Sicherheitsrisiko.
Beispiel: Du benötigst eine SSH-Verbindung zu deiner DS, um darüber aus deinem Homenetz auf der Konsole Wartungs- Installations- und Konfigurationsmaßnahmen oder meinetwegen auch Datensicherung (rsync) durchzuführen, dann musst du zwingend den :22 auf der DS öffnen - aber niemals auf dem Router eine entsprechende Weiterleitung anlegen. Du willst ja nur aus dem eigenen Netz darauf zugreifen.
(Und genau hier haben wir das Problem, dass viele Firmen um es dem ONU einfacher zu machen, Automatismen zum Öffnen von Ports auf dem Router ausführen. Ich sehe darin, gerade beim ONU eine große Gefahr. Deshalb ist das
bewusste Öffnen von Ports immer die bessere Lösung!)
So, das zu diesem Thema. Ich hoffe, dass sich durch meine Auslassungen die Wissenden nicht gelangweilt fühlen. Und noch einmal: das waren Erklärungen für ONU, dem "Otto Normal User"!
Dann noch ein paar Worte zum sicheren Betreiben von ssh. Es geht hier nur um das Verständnis. Mehr dazu bitte selbst ergoogeln!
Mit ssh wird im Unterschied zu telnet eine
verschlüsselte Verbindung zu einem unter einem unixoiden Betriebssystem laufenden IT-System aufgebaut. Damit ist diese Verbindung von Hause aus schon mal vor dem Mitlesen recht gut geschützt. Es besteht aber noch das Problem einer unrechtmäßigen Anmeldung. Benutzername und Passwort sind eben die unsicherste Methode der Authentisierung. Das nutzen die Scriptkiddies mit ihrem Trommelfeuer aus den entsprechenden Programmen aus.
Die bessere Lösung ist die Nutzung der asymmetrischen Kryptologie für die Authentisierung.
Du erzeugst auf allen Rechnern, von denen du dich auf die entsprechende Maschine einloggen willst, ein Schlüsselpaar. Den privaten ("geheimen") Schlüssel lässt du gesichert auf dem entsprechenden Rechner und alle öffentlichen Schlüssel packst du auf die Kiste, auf welcher du dich remote anmelden willst. Dann musst du natürlich auf diesem Gerät den ssh-Dienst (sshd) so konfigurieren, dass die Anmeldung mit Benutzername + PW nicht mehr zulässig ist. Vorher selbstverständlich die andere Variante erfolgreich testen.
Nach dem Neustart des sshd kann sich nur noch ein Nutzer bzw. ein Client anmelden, der den passenden Schlüssel (secret key) zu dem auf dem Server installierten "Schlüsselloch" (dem public key) besitzt. Und so ein "Passwort" mit 4096 bit (512 Zeichen ...) kannst du schon als recht sicher betrachten. Zumal der verantwortungsbewusste Admin dieses regelmäßig wechselt und die Syno nach ein paar Fehlversuchen den Angreifer auch noch jedes mal ein Weilchen ausbremst.
Wer das (bei einem aus dem Internet erreichbaren Server) nicht nutzt, ist selber Schuld!
So, mehr möchte ich dazu nicht schreiben. Das Netz ist voll mit Anleitungen für den sicheren Betrieb eines sshd.
Konkrete Fragen dazu beantworte ich natürlich gerne.
MfG Peter
