Wie kann ich am besten die offenen Ports in meinem Netz sichern?
Ich habe angefangen zu Hause meinen eigenen Server zu betreiben und habe deswegen Ports in meinem Router geöffnet. Nun möchte ich sie absichern, damit sie zwar ihre Funktion nicht verlieren, aber kein Risiko in meinem Netz sind. Leider weiß ich nicht viel von Security und bräuchte deswegen vielleicht 1–2 Tipps wie ich eine Firewall daran packen kann. Der Server läuft auf Proxmox und die einzelnen Server sind kleine Linux Container. In meinem Router sind die Ports nur für die einzelnen Container und nicht für den gesamten Server. Im Container läuft bis auf das FTP alles per Docker. Kann ich per Docker eine Paketfirewall dran bauen, welche z.B. meinen Minecraft oder Teamspeak Server nicht beeinträchtigen, aber die Ports so absichern, dass nicht jeder in mein Netz kommen kann und tun und lassen kann, was er will?
2 Antworten
Um deinen Server etwas abzusichern, musst du nicht unbedingt eine VM mit pfsense, OPNsense o.ä. aufsetzen. Dafür kannst du auch schon die inbuilt Firewall von Proxmox verwenden.
Zusätzlich wäre es gut sich ggf. in Programme wie fail2ban oder crowdsec reinzulesen und zu implementieren.
Des Weiteren solltest du natürlich versuchen Serverzugriff soweit wie möglich zu beschränken. Z.B. entsprechende Benutzer einrichten, die bestimmte Services übernehmen und eingeschränkten bis gar keinen Root-Zugriff z.B. mittels sudo besitzen.
Das wären beispielsweise ein paar Maßnahmen, um sich schon mal zu schützen.
Mit deinem ersten Satz muss man immer aufpassen. Es gibt genügend Beispiele, wie Kriminelle schon unterschiedliche Zugriffe (auch auf Systeme) erhalten haben, indem sie eine Schwachstelle in einer Software ausgenutzt haben. Das ist bei nach außen gerichteten Diensten nicht zu vernachlässigen.
Du kannst mit der Proxmox Firewall Zugriffe auf deine VMs und LXCs einschränken und nach außen (außerhalb des Proxmox Servers!) erreichbar machen. Damit aber Außenstehende auf Services deines Proxmox Servers zugreifen können ist meistens ein Port-Forwarding in deinem ISP-Router notwendig.
Ich würde mir in einer zusätzlichen VM einfach eine Firewall wie zum Beispiel pfSense installieren. Dann könntest du allen Traffic auf die Firewall schicken und dort dann die einzelnen Ports für deine Anwendungen frei geben. Idealerweise baust du dir eine DMZ. Um dich in das Thema einzuarbeiten, könntest du dir mal die YouTube-Videos von Dennis Schröder (RaspberryPiCloud) ansehen.
Auf dem Server direkt kann keiner was machen ausser mir. Mir geht es wirklich nur um die ports. Weißt du ob die inbuilt Firewall von proxmox reicht wenn ich ports freigebe? Immerhin haben sie kein ftp Zugang und sonst läuft nurnoch der Server selbst. Aber danke dir auf jedenfall.