Schöne Anleitung, oder aber auch " wie mache ich es Kids leicht mein Haus zu Hacken " …
Portfreigaben nach außen gibt’s bei mir nicht, mein Netz ist nur per VPN erreichbar. Dank Zertifikaten und einem großen Netzwerkhersteller geht das auf dem iPhone vollkommen transparent. Zur Not per SSL-VPN auch ohne installierten Client.
Fazit: technische Grundlagen sind in dem Beitrag schön erklärt, diese aber so zu nutzen meiner Meinung nach mehr als fahrlässig.
Grüße
Andreas
PS: Der seine Kohle mit Network Security verdient :rolleyes:
Hi, wenn Du es „sicher“ haben möchtest, wird Dir nicht viel übrig bleiben als Apache, zumindest unter Windows und selbst dann würde ich den Apache auf einem eigenen Host laufen lassen und mindestens mit einer „two-factor authentication“ absichern.
Also ich weiß nicht ob ihrs in punkto Sicherheit da nicht etwas übertreibt.
Wer soll denn schon großartig Aufwand investieren um den IPS Zugang zu hacken.
Wer weiß denn schon was sich hinter Port 20720 verbirgt (den könnte man zur Tarnung ja auch noch leicht umbiegen) ?
Und wenn doch, was fängt er damit groß an ?
Letztendlich könnte doch nur ein IPS kundiger da irgendetwas sinnvolles damit machen.
Weiters sind die Daten ja mit SSL verschlüsselt, man müßte also erst dieses hacken (also den Datenstrom irgendwie abgreifen und hacken) um dann selbst einzudringen und Unfug zu treiben.
Nun ich bin da kein Spezialist, aber wie sicher ist denn ein VPN wenn es nicht von einem IT Profi gewartet wird ?
der typ. Hobby Admin ist doch schon glücklich wenn er selbst reinkommt
keine sicheren Passwörter verwendet werden (wohl in 99% der Fälle)
das Windows Auto Update ausgeschaltet ist (wohl auch oft der Fall)
ect. ect.
Also als Hacker würde ich mich eher auf unsichere VPN als auf irgendwelche unbekannten dubiose Ports stürzen.
Ich habe bei mir ne Astaro laufen und mit dem IPS - Vorsicht Kalauer -> Intrusion Prevention System - werden Portscans erkannt und für den Angreifer transparent ignoriert, ergo ist schon ein Zufallstreffer nötig um den offen Port für IP-Symcon zu finden.
ich bin auch BB´s Meinung, das Sicherheit immer nur so gut wie die Schwächste Stelle ist. Ich gehe mit Portfreigaben generell restriktiv um, und wenn ich sie nicht zwingend von Überall erreichen muss, dann sind sie auch nur per VPN erreichbar.
Anderseits gehören bei mir getrennte Netze für Haustechnik, Wlan, Lan und Internet einfach zum Standard. Das minimiert die mögliche Schadensreichweite…
Ich bin ja schon darauf eingegangen; selbstverständlich habt ihr VPN-Benutzer Recht damit, dass eure Lösung prinzipiell sicherer ist weil es einen zusätzlichen verschlüsselten layer gibt. Ja.
Aber man sollte tatsächlich auch bedenken, wie wahrscheinlich ein solcher Hack denn wirklich ist und ob es sich angesichts der deutlichen Komforteinbußen lohnt, den VPN-Umweg zu gehen.
Gab es überhaupt schon mal so einen Fall, hier im Forum zum Beispiel, wo jemand wirklich gehackt wurde? Es dürfte doch die absolute Ausnahme sein. Und wenn es passiert dann hat es vermutlich auch noch am ehesten mit schwachen Kennwörtern zu tun.
Ich habe den Eindruck dass gerade diejenigen die von Berufs wegen mit IT-Sicherheit befasst sind, bei sich zu Hause unrealistisch hohe Maßstäbe anlegen. Bei der Website einer großen Firma gibt es ja durchaus mehr Interessenten, deren Systeme zu „hacken“ als bei Hansi Müllers Haussteuerungsseite, die noch dazu nirgends verlinkt ist. Sony wird gefühlt einmal im Monat gehackt, und die haben vermutlich riesige Teams von Security-Experten die genau das verhindern sollen.
Da müsste also jemand der sich auskennt, erstmal zufällig über die Webfront-Seite stolpern, verstehen welche Systeme im Einsatz sind und sich dann Zugang verschaffen, ohne dass das irgendwem auffällt.
Ich glaube da sollte man sich in puncto Sicherheit mehr Gedanken über Menschen machen, die physisch vorbei kommen um das Haus zu hacken: Einbrecher.
Und schon den ersten Fehler gemacht…
Bei sog. Penetration Tests ist es eine der ersten Aufgaben herauszufinden, welche Systeme eingesetzt werden, um dann Schwachstellen gezielt auszunutzen.
Die erste Aufgabe ist bei Dir jetzt leicht zu loesen.
Ich denk nicht das ein VPN ein zu großer Aufwand ist, gibt heut zu tage gute und günstige Router mit VPN und ner gescheiten Firewall. Der Administrationsaufwand ist wesentlich geringer als der eines DNS Server, zumal ein Lancom Router alle Funktionen abdeckt Für alle meine Mobilen Geräte (1x Laptop, 2x Smartphone) gibt es VPN Clients. Oder sie können es von Haus aus.
Wenn ich übertreiben wollte würde ich mir nen Knocking Server aufsetzten dahinter den VPN Router mit 3 Wege Authentifizierung und natürlich einer 2 stufigen Firewall Obwohl weit davon entfernt ist meine Konfig nicht.
Ports werden von vielen Rechnerfarmen automatisch gescannt ein Angriff ist nicht so unwarscheinlich wie man immer hofft. Schonmal ein frisch installierten Windows PC ohne Firewall ins Internet gestellt? 3…2…1… Botnetzsklave
Letzlich muss das jeder selbst abschätzen, nur wenn einer meinen Server hacken sollte hat er zugriff auf meine sensibelsten Daten, die aus Angst vor einem Hausbrand alle digitalisiert sind.
Natülich legen Leute aus dem IT Security Bereich besonderen Wert auf dieses Thema, ein Statiker oder Maurer schlägt aber auch bei fast jedem Heimwerker die Hände überm Kopf zusammen, mal gehts gut mal nicht.
Interessante Diskussion hier. Ich habe zum Beispiel noch gar nix eingerichtet um mit meinem iPhone auf mein Webfront zu kommen. Um überhaupt auf mein Netz daheim zu kommen, benutze ich das Unified Access Gateway von MS im Zusammenspiel mit einem OTP Server und einem Softtoken am iPhone. Von dort weg benutze ich eigentlich fast ausschliesslich RDP Verbindungen auf meine Server.
Wie ich jetzt mit meinem iPhone am Besten aufs Webfront kommen soll, weiss ich noch gar nicht so genau…deswegen werde ich eure weiteren Posts genau verfolgen und mir dann eine gute Lösung rauspicken
Nun ja … das ist Ansichtssache. Ist stimme Dir zu, dass die Haussteuerungsseite von Hansi Müller eher weniger interessant für einen Hacker ist, als z.B. Webseiten von größeren Unternehmen. Ich hätte auch keinen wirtschaftlichen Schaden, wenn einer mein Webfront hackt - aber schön wäre es auch nicht, wenn ich nach Hause komme und wie von Geisterhand sind Licht, Fernseher und Stereo-Anlage an und das Badezimmer ist geheizt. Hier kann niemand etwas wirklich schlimmes anrichten, aber trotzdem ist es für mich ein beruhigendes Gefühl, dass eben nach außen hin keine Ports offen sind, sondern der einzige Weg ins interne Netz nur über VPN führt. Von daher würde ich meine getroffenen Sicherheitsmaßnahmen nicht als „unrealistisch hoch“ einstufen.
Dem einen ist halt ein VPN ins interne Netz sicher genug, der andere schiebt noch eine Firewall dazwischen und gibt die benötigten Ports explizit frei und der Dritte baut sich getrennte Netze für LAN und WLAN. Es hat auch jeder unterschiedliche Dinge über IPS gelöst. Von daher kann ein Außenstehender gar nicht beurteilen, ob die getroffenen Maßnahmen genau richtig oder unrealistisch hoch sind.
Ich glaube es würde sich lohnen, falls erhöhtes Interesse am Thema IT-Sicherheit besteht, dafür einen eigenen Thread aufzumachen. Mein Beitrag sollte jedenfalls kein Urteil darüber fällen, welche Ports man aus welchem Grunde offen oder geschlossen halten könnte oder sollte. Da gibt es jede Menge Gründe die im einzelnen dafür oder dagegen sprechen.
Es ging mir aber nicht darum, diese Diskussion zu führen, sondern eine Alternative zum lokalen/dynamic-dns-Domainnamen-Wirrwarr vorzustellen. Ob man unter einem „hübschen“ Domainnamen dann dieses oder jenes Gerät erreicht, oder eben ein VPN, ist eigentlich ertmal nicht so entscheidend.
das ist genau der Punkt, aus diesem Blickwinkel finde ich Deinen Beitrag sehr informativ. Es sollte sich aber auch jeder darüber im Klaren sein, dass es darüber hinaus eine Menge mehr Wissen erfordert, die für sich „beste und sicherste“ Lösung zu finden (wobei sich „beste“ und „sicherste“ fast ausschließen").
Wie schon gesagt: ich find den Beitrag klasse ;).
Und die Idee, weiteres Wissen in einem dedizierten Thread zu platzieren ist ebenfalls sehr gut.
vpn über Port 443 geht in der Regel nicht, weil zumindestens ein Proxy dazwischen hängt. Der Proxy erwartet nunmal http(s).
Möglich wären dann https- Tunnel (schwierig/ nicht unbedingt erfolgreich) oder SSL-VPN.
Ich hatte mal ein SSL-VPN namens SSLexplorer im Einsatz, war spitze, doch das ging dann leider den komerziellen Weg mit Hardwarebundelung.
Ich experimentiere grade mit BarracudaDrive. In dem Umfeld könnte was gehen. Ich werde bei Erfolg berichten.
Denket aber bitte auch an eines: Die Firmenpolicies wurden nicht ohne Grund gemacht! Ich sitze in der IT und könnte so etwas feststellen.
da ich noch ziemlicher NAS-Anfänger bin, habe ich ein paar Probleme mit der Anleitung. So bin ich vorgegangen:
Subdomain nas.DOMAIN.COM für mein NAS als CNAME eingerichtet . Nach Eingabe der Subdomain lande ich auf der korrekten Zieldomain. Also kein Problem.
Was bedeutet „jedem Dienst eine eindeutige Portnummer zuweisen“? Ich habe auf meinem Speedport W921V eine UDP-Umleitung für den Port 8080 eingerichtet und auf das NAS gerichtet. Ist das korrekt?
Der NAS hat eine feste IP-Adresse, da ich aber über VPN auf das NAS zugreife, habe ich die feste VPN-Adresse unter /etc/hosts eingetragen und mit nas.DOMAIN.com verbunden.
Wenn ich jetzt nach Aufgabe einer VPN-Verbindung im internen Netz nas.DOMAIN.com eingebe, lande ich auf dem NAS. Allerdings funktioniert jetzt der Zugriff aus dem externen Netz nicht mehr, wenn ich mich am selben Rechner befinde (Laptop). Wähle ich mich über einen USB-Stick ein, scheitert jeder Verbindungsversuch.
Ich denke mal, das liegt daran, dass ich den letzten Schritt „Dann muss man natürlich noch die entsprechenden Portfreigaben anlegen und den entsprechenden Netzwerkgeräten zuführen“ nicht durchgeführt habe. Was bedeutet das?
Für einen Tipp und ggf. notwendige Korrekturen wäre ich Euch sehr dankbar.
schöner Post, aber ich kann das wegen der Ports nicht nutzen (bei mir auf der Arbeit ist alles außer 80 und 443 gesperrt). Die Benutzung von unterschiedlichen Ports finde ich persönlich aber auch nicht so elegant. Ich habe das zum Anlass genommen, das bei mir zu überdenken und löse das jetzt mit DNS Wildcards und Reverse Proxy.
Eine DNS Wildcard löst beliebige Subdomains auf eine IP auf, also sowohl a.meine.domain.de als auch b.meine.domain.de. Das bieten die wenigsten Dynamic-DNS Anbieter, hier einer der wenigen: http://www.ddnss.de/. Der Update geht sogar über ein eindeutigen Schlüssel („KEY“) in der URL, also ohne Username und Passwort in der URL. Die meisten anderen Dienste schicken genau diese Infos unverschlüsselt übers Netz…
Auf dem Router selbst wird wie üblich eine Weiterleitung eingerichtet - bei mir nur für 443 (https) auf ein Linux System. Windows ging auch, aber ich vertraue Linux einfach mehr.
Auf dem Linux System horcht dann nginx, ein Reverse Proxy auf die eingehenden Anfragen und leitet diese je nach DNS-Name an die internen Systeme: https://ips.meine.domain.de an IPS, https://cam1.meine.domain.de an eine Kamera usw. Nginx ist in der Konfiguration ziemlich biestig und nichts für Anfänger, aber wenn es ein mal läuft merkt man das nicht mehr.
Als Sicherheitsaspekt lasse ich Anfragen ohne Subdomain - hier bspw. https://meine.domain.de - einfach ins leere laufen. Wer meine Ports scannt, sieht also den Reverse Proxy, kommuniziert aber niemals mit internen Systemen. Ist zugegeben Security by Obsucirty, reicht mir i.V.m. https und Passwort aber allemal.
Auf dem Linux-System lasse ich nebenbei noch ein internen DNS laufen, der die internen Systeme genau wie die externen auflöst. In IPS muss übrigens nicht mal ein weiterer Konfigurator für https eingerichtet werden.
Das ist zugegeben deutlich komplizierter, meines Erachtens aber sicherer und ein mal eingerichtet auch einfacher in der Benutzung.
Wer seine Fritzbox gegen eine Sophos UTM eingetauscht hat, so wie ich, kann sich glücklicherweise die biestige Konfig von nginx sparen und hat die selbe Funktionalität bereits in der Firewall.
Seid dem bin ich vom Port-Mapping auch weg.
Gerade bei kastrierten Arbeitssystemen ist sowas sehr hilfreich…
Mache ich schon länger so. TeamViewer läuft auf dem Server und damit habe ich Zugriff auf alle Geräte im Netz. Außer, dass der TeamViewer auf dem Tablet einmal gestreikt hat weil er auf einen Server zugreifen sollte und meinte es wäre eine kommerzielle Nutzung funzt das ansonsten sehr reibungslos.
Für alle meine Mobilen Geräte (1x Laptop, 2x Smartphone) gibt es VPN Clients. Oder sie können es von Haus aus.