DMZ einrichten, Portforwarding = Sicherheitsproblem?

[Freeed91]

Hallo zusammen,

leider bin ich ein absoluter Anfänger was die Security in Netzwerken betrifft.

Vor längerer Zeit habe ich mich dazu entschlossen mir ein Raspberry Pi zu kaufen um damit etwas herumzuspielen und einen Umgang mit Linux zu haben.

Nun habe ich in meinem Netzwerk zuhause eine Fritzbox und habe mir für diese einen DDNS eingerichtet damit ich via Portforwarding von überall auf mein Raspberry zugreifen kann. Das ganze sieht dann so aus, dass ich auf der FritzBox definiert hab xyzDDNS.de:4444 geht direkt auf den SSH Port auf mein Raspberry.

Ein Kollege von mir belehrte mich nun, dass ich mit dieser Weitergabe ein nicht unerhebliches Securityproblem erschaffen habe, da man ja vom Raspberry auf alle anderen Geräte im LAN zugreifen kann. Käme ein potenzieller Angreifer somit auf das Pi käme er auch auf meinen NAS etc.

Nach einiger Recherche habe ich von einer DMZ Möglichkeit gelesen womit ich dieses Raspberry in ein gesondertes Netzwerk stelle. Nun glaube ich aber das auch das Fritzbox System mir die Möglichkeit gibt softwaretechnisch ein einzelnes Gerät als "DMZ Gerät" zu definieren (Extended Host). Hierbei warnt mich aber die Fritzbox das dieses Gerät ohne Firewall im Netz steht.

Frage 1.) Hat mein Kollege recht das eine simple Portweiterleitung eine gravierende Sicherheitslücke offen legt=

Frage 2.) Ist die Fritzbox Option eine Möglichkeit diese Lücke zu schließen oder komme ich um eine zwei Router Lösung nicht drum herum.

Bin für jede Anregung und Lösung dankbar aber bitte bedenkt das ich noch ein Anfänger auf dem Gebiet bin

Dankeschön bereits im Voraus (=

[Eye-Q]

Nach einiger Recherche habe ich von einer DMZ Möglichkeit gelesen womit ich dieses Raspberry in ein gesondertes Netzwerk stelle. Nun glaube ich aber das auch das Fritzbox System mir die Möglichkeit gibt softwaretechnisch ein einzelnes Gerät als "DMZ Gerät" zu definieren (Extended Host). Hierbei warnt mich aber die Fritzbox das dieses Gerät ohne Firewall im Netz steht.

Das, was man in der Fritzbox einstellen kann, ist keine DMZ, sondern ein Exposed Host (Exposed = offen liegend). Somit ist diese Option noch schlechter als eine einzelne Portweiterleitung, weil somit sozusagen alle Ports auf diesen Host (in deinem Falle der Raspberry Pi) weitergeleitet werden.

Frage 1.) Hat mein Kollege recht das eine simple Portweiterleitung eine gravierende Sicherheitslücke offen legt=

Ja. Wenn man nicht sicherstellt, dass ein Angreifer nicht per Brute Force alle möglichen Login-Möglichkeiten durchprobiert, kann das dementsprechend problemlos gemacht werden und Du kannst das nicht verhindern.

Frage 2.) Ist die Fritzbox Option eine Möglichkeit diese Lücke zu schließen oder komme ich um eine zwei Router Lösung nicht drum herum.

Nein, siehe oben.

Bin für jede Anregung und Lösung dankbar aber bitte bedenkt das ich noch ein Anfänger auf dem Gebiet bin

Auch wenn es etwas mehr Aufwand bedeutet, empfehle ich eine VPN-Einwahl auf die Fritzbox zu machen: VPN Service | AVM Deutschland Von dort aus kommst Du dann auf alle internen Geräte. Die Fritzbox unterbindet eine Brute Force-Attacke, wenn jemand versucht, die VPN-Zugangsdaten herauszufinden.

[Freeed91]

Vielen lieben Dank für die Informationen!

Mittlerweile habe ich deinen Rat befolgt und bin zu VPN umgestiegen, AVM hat da ja wirklich tolle Tutorials im Netz.

Nun habe ich aber wiederum vom selbigen Kollegen , welcher mir schon die Lücke im ersten Fall offengelegt hat, gehört, dass der VPN Zugang anfällig gegenüber BruteForce Attacken wäre.

Lediglich die FritzBox Weboberfläche würde diese verhindern mit dem Mechanismus der "Wartezeit" zwischen den Falscheingaben welche sich verdoppeln.

Gibt es hier eine Möglichkeit zu konfigurieren das der VPN Account nach 5 Fehleingaben gesperrt wird? Oder wäre eventuell eine Zertifikat Lösung der typischen PreShared Key Lösung vorzuziehen?

Danke nochmals (=

[Eye-Q]

Theoretisch kann man per Brute Force auch VPN-Zugangsdaten herausfinden, allerdings ist der Fernzugriff kein einfacher PPTP-Zugang, wo nur Benutzername und Kennwort benötigt wird, sondern ein IPSEC-VPN, so dass es sehr viel mehr Einstellungen richtig sein müssen, um eine Verbindung herstellen zu können. Somit gibt es fast unendlich viele Kombinationen, die durchprobiert werden müssten, und das ist mit normalem Aufwand nicht machbar.

[Crash2001]

Klar ist eine Einwahl mittels Zertifikat und Passwort sicherer als eine Einwahl nur per Passwortüberprüfung.

Anderseits - mit einem Zertifikat bist du eingeschränkter.

Je sicherer, um so mehr Einschränkungen muss man halt hinnehmen.

Ich denke einmal, es ist eigentlich sicher genug, wenn man per VPN-Netzwerk mit der Box verbindet und alle Rechner einen Passwortschutz haben, so dass man nicht einfach so auf einen der verbundenen Rechner drauf kommt.

Genauso ist eine SSH-Einwahl möglich oder sonst was.

Man sollte halt nur möglichst nicht die Standardports nutzen, so dass jemand, der das Netzwerk von aussen scannt dieses nicht direkt findet

(FTP Port 20/21, SSH Port 22, Telnet Port 23, SMTP Port 25, HTTP Port 80, SFTP Port 115, RDP Port 3389, VPN Port 5000, VNC Port 5500, ...)

Praktisch ist es auch mit mehreren FritzBoxen, diese per VPN direkt zu verbinden. So braucht man keinen zusätzlichen VPN Client oder sonst etwas, wenn man unter Freunden mal was kopieren will, sondern kann z.B. ein Netzlaufwerk freigeben für Transfers oder auch einen FTP-Server im internen Netz laufen lassen, da die Verbindung ja verschlüsselt ist.