Gefahren durch Port forwarding?

Welche Gefahren enstehen wenn man ein Debian Web und SSH Server im eigenen Netzwerk durch Port forwarding hostet?

7 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

07.04.2021, 11:22

Hinter einem Port verbirgt sich ein Prozess (eine Software). Gibt es in der Software (zum Beispiel einem Web-Server) eine Schwachstelle, besteht die Gefahr, dass man das System übernehmen kann.

Der offene Port ist somit ein mögliches Einfallstor, wenn die Software Bugs aufweist oder falsch konfiguriert ist.

Tipp: Öffne keine Ports, da sonst das Risiko besteht, dass man in das interne Netz eindringen kann.

Grundsätzlich sollten solche Dienste sowieso in einer DMZ sein und niemals in deinem lokalen LAN.

Also: Firewall -> DMZ -> Firewall -> LAN

Bei SSH sehe ich das weniger kritisch, wenn man den SSH Sever ordentlich konfiguriert.

GrakaVII

05.04.2021, 23:29

Alles was gesagt wurde, außerdem kannst und solltest du dein System auditieren mit z.B. Lynis. Das zeigt dir mithilfe eines Index-Scores (0-100) an, wie sicher dein System ist und listet außerdem auf was (und wie) du dein System weiter absichern kannst. Außerdem wäre eine "professionelle" Netzwerkinfrastruktur sinnvoll, so ca. nach folgendem Schema

Internet -> Firewall -> DMZ -> Reverse Proxy -> Dein Server

Woher ich das weiß:Studium / Ausbildung – Studium in theoretischer Informatik (Master)

franzhartwig

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Internet, Technik

05.04.2021, 22:25

Du öffnest Dein Netz nach außen. Sobald der Rechner, für den die Portweiterleitung gilt, eine Schwachstelle hat, ist Dein gesamtes Netz und alle Geräte darin gefährdet. Der Server sollte also sorgfältig administriert und gehärtet sein. Web- und SSH-Server werden sehr schnell von ungewünschten Gästen besucht werden. Den SSH-Server würde ich ausschließlich mit Public Key Authentication betreiben, Passwort-Authentisierung würde ich deaktivieren. Bei mir scheitern manche Bots schon daran, dass die sehr strikte Kryptoalgorithmen konfiguriert habe. Natürlich ist der Root-Login zu deaktivieren.

Wenn Du auf dem Webserver Dienste betreibst, die nicht öffentlich zugänglich sein sollen, würde ich da eine Authentisierung mit Client-Zertifikat konfigurieren.

Besuche durch unerwünschte Gäste kann man auch verringern, indem man die Dienste auf ungewöhnlichen Ports laufen lässt.

Generell sind Default-Benutzer und Default-Passwörter umzukonfigurieren.

Fail2Ban kann IP-Adressen blockieren, wenn Loginversuche zu häufig nicht erfolgreich waren.

GrakaVII

05.04.2021, 23:27

Zusätzliche 2FA Authentifizierung ist bei SSH auch sehr sinnvoll, also Auth per Key und 2FA

franzhartwig

05.04.2021, 23:33

@GrakaVII

Klar, kann man auch noch ergänzen.

Ryeera

05.04.2021, 22:04

Pro Tip: Stelle deinen SSH-Server nicht auf den Standard-Port 22, denn es gibt jede Menge Programme, die den ganzen Tag nichts anderes machen, als das Internet nach solchen Servern abzusuchen. Bei der Webseite bleibt dir wohl nichts anderes übrig, als Port 80 oder besser 443 zu verwenden, aber über einen Webserver kommt man auch nicht direkt in dein Heimnetz. Benutz ein sehr starkes Passwort für deinen SSH-Server!

Woher ich das weiß:Berufserfahrung

BeamerBen

05.04.2021, 22:07

Benutz ein sehr starkes Passwort für deinen SSH-Server!

Nein, keine Passwörter nutzen sondern public keys.

Das mit dem nicht standard port empfehle ich zwar auch einfach damit sich nicht hunderte Bots versuchen bei einem anzumelden aber es bringt im Zweifel nicht wirklich mehr Sicherheit, reduziert halt den Müll Traffic.

Ryeera

05.04.2021, 22:09

@BeamerBen

Na ja, hat beides seine vor- und Nachteile. Einen Private Key musst du irgendwo speichern und der kann dann verloren gehen und/oder in die falschen Hände geraten. Ein starkes Passwort, welches nur in deinem Kopf ist, nicht.

BeamerBen

05.04.2021, 22:12

@Ryeera

Ein private key ist in der Regel genau so durch ein Passwort geschützt. Passwörter sind unsicher eben genau weil man die sich merken muss, es fällt Menschen schwer sich sichere Passwörter zu merken und deswegen wird oft auf schlechte zurückgegriffen.

Außerdem ist es absolut fatal Passwörter mehrmals zu verwenden, wenn man eine bestimmte Menge an Zugängen hat kann man sich da irgendwann gar nicht mehr sichere, einzigartige Passwörter merken. Es ist fast gar nicht möglich Passwörter sicher zu verwenden ohne einen Passwort Manager.

Ryeera

05.04.2021, 22:29

@BeamerBen

Du hast natürlich genau Recht. Ich habe leider vergessen, dass man Keys auch verschlüsseln kann. Grüße!

BeamerBen

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Linux

05.04.2021, 22:04

Jemand der in der Lage ist über die Ports auf deinen Server zu gelangen hat auch Zugang zu deinem lokalen Netzwerk.

Ich würde für SSH kein Password Auth nutzen und auf einen nicht Standard port legen. Fail2Ban kann auch sinnvoll sein, damit kannst du bots blocken.

Solange die Anwendungen die auf deinem Webserver laufen einigermaßen sicher sind sehe ich aber kein wirklich großes Problem.

Woher ich das weiß:Berufserfahrung – Software Entwickler / Devops

Ähnliche Beiträge

PC im Heimnetzwerk von außen via SSH-Tunnel erreichen?

Hey,

ich möchte gerne meinen Lokalen PC von außen (bspw. Arbeit) via RemoteDesktop erreichen.

ein paar Infos vorweg:

Lokaler PC: statische IPv4, keine Möglichkeit zum öffnen von Ports

Mir ist folgende SSH Tunnel-Methode bekannt.

"Local" Port Forwarding / "Local" Tunneling

Befehl: [ssh -L 'RANDOM_PORT':'LOKALE_IP_DES_PC':'RDP_PORT' 'USER'@'SSH_Server_IP']

Beispiel: [ssh -L 8182:197.162.223.77:3389 root@197.162.223.78]

197.162.223.77 = der zu erreichende PC

197.162.223.78 = bspw. ein RaspberryPi

Das dürfte ja bei mir nicht gehen, da dies nur ginge, wenn der SSH_Server sich im selben Netzwerk des zu erreichenden PC's befindet & der Port 22 (SSH) extern geöffnet ist, richtig?

Ich habe einen vServer und da stelle ich mir die Frage ob es auch darüber geht. Ein SSH Server läuft da so oder so drauf.

Wenn jemand eine Idee hat, teilt Sie gerne mit mir - Danke!:)

...zum Beitrag

Fritz!Box absichern?

Hi!

Ich betreibe hinter meiner Fritz!Box einen Server. Auf dem Server,

laufen 1-2 gameserver, nen Webserver, und paar andere Kleinigkeiten.

Der Server hat auch eine SSH Verbindung eingerichtet (auf einem anderen port als 22) damit ich von außen darauf zugreifen kann, jedoch abgesichert mit ssh keys, fail2ban, und ich checke öfters den SSH log (Systemctl status ssh) sowie Virenscan mit ClamAV,… Der Server hat Debian 11.6, immer die neusten Updates, die Fritz!Box hat einige an ports zu ihm eingerichtet.

Die meisten sonstigen Rechner im Netzwerk sind Windows und MACOS.

Ist natürlich nicht Hochsicher.

Aber wie seht ihr das an ? Kann ich das so Weiterbetrieben oder begehe ich weiterhin ein riesiges Sicherheitsrisiko, falls das so sein sollte, habt ihr Tipps was ich noch verbessern kann ?

...zum Beitrag

Ist beim IONOS Webhosting eine NodeJS-Installation möglich?

Ist es mit dem "Webhosting Plus"-Paket möglich, NodeJS zu installieren?

Ich habe mich mit putty über SSH mit dem Server verbunden, aber weiß nicht genau, was die nächsten Schritte sind.

Bash-Kommandozeile und anscheinend Debian steht da. Falls man mehr Infos braucht, stellt Nachfragen.

Es ist ein Standard-Website-Hosting-Paket, wie bei allen Anbietern All-Inkl, Strato.

SSH wahrscheinlich ohne Admin-Rechte, paar Domains inklusive, PHP vorinstalliert, usw..

Gibt es nicht sowas wie

wget -- nodejs@latest

oder so?

...zum Beitrag

Port Forwarding gefährlich?

Hey, Ich habe mir vor kurzem einen Minecraft Server erstellt. Damit Leute auch sich mit meinem Server verbinden können, muss ich offensichtlich ein Port eröffnen. Dieser geht über meine Netzwerk IPv4-Adresse ( Also nicht die IP-Adresse vom Router, die man im Internet sehen kann).

Wenn ich, nun solche Ports freigebe, kann dies dann gefährlich werden bezüglich Hacker Angriffen?

...zum Beitrag

VirtualBox - Linux Debian 11 - Kein SSH?

Hi, nach dem Vorgänger dieser Frage, stellt sich nun ein neues Problem... Ich habe mir erfolgreich Linux Debian 11 gebootet, jedoch ohne, dass SSH funktioniert! SSH Server habe ich vorinstalliert!

...zum Beitrag

Vodafone station port forwarding?

ich muss ja port forwarding machen um einen server zu machen aber meine vodafone station hat kein port forwarding eine Möglichkeit was zu machen?

...zum Beitrag

Remote-Zugang zu MariaDB/MySQL mit phpMyAdmin scheitert?

Hallo und schönen Feiertag an alle!

Ich würde gerne meine MYSQL-Datenbanken remote mit lokal installiertem phpMyAdmin verwalten, jedoch wird die Verbindung abgewiesen.

Der Server läuft mit Debian 11, Apache/2.4.54, MariaDB 10.5.15. Und auch sonst ist alles auf dem aktuellen Stand.

Auf dem lokalen PC läuft Linux Mint 21. Fernzugriff per SSH und FTP. Funktioniert alles tadellos.

Der config.inc.php von phpMyAdmin habe ich folgendes hinzugefügt (gekürzt):

host = '178.14.xxx.xxx';

port = '3306';

socket = '';

connect_type = 'tcp';

extension = 'mysql';

compress = FALSE;

auth_type = 'config';

user = 'admin';

password = 'mariadb';

Firewall und Router sind entsprechend konfiguriert. Zugangsdaten sind auch korrekt (hier oben allerdings abgeändert) und ich kann mich via SSH bei der Datenbank anmelden und Befehle ausführen lassen. Habe inzwischen allerhand recherchiert und probiert, aber eine wirkliche Lösung war nie dabei.

Ich hoffe, dass ich hier fündig werden kann. Vielen Dank schonmal.

...zum Beitrag

SSH / SSHD restart geht nicht was tun?

Hallo erstmal,

Ich wollte gerade SSH neustarten ohne den Server neustarten zu müssen dazu habe ich mein Standart Befehl "sudo service ssh restart" verwendet der Server spuckt mir aber die Fehler Meldung "Job for ssh.service failed because the control process exited with error code. See systemcl status ssh.service and journalctl -xe for details"

raus ich kann mit der überhauptnichts anfangen (das gleiche sagt er mir auch bei sudo service sshd restart).

Der Server wurde frisch aufgesetzt nichts wurde bisher installiert (Außer sudo).

Restart vom Server bringt nichts (ja ich weis SSH startet auch neu muss es aber mehrmals neustarten und will net immer den vserver neu starten).

System infos:

OS: Debian 9

Meine Änderung in der SSHD config: #PermitRootLogin prohibit-password → PermitRootLogin yes

...zum Beitrag

Wie entfernten PC hochfahren über den SSH Server?

Mit meinen Windows PC zu Hause kann ich mit Putty eine Tunnel Verbindung zum SSH Server (Debian 6.0 Squeeze) aufbauen und mich mit dem Firmen Windows PC via Remote Desktop verbinden. Dafür muss der Firmen PC an bleiben.

Ich möchte den Firmen PC aus der Ferne über den SSH Terminal per WOL hochfahren. Am Firmen PC ist WOL aktiviert. Wie kann ich den entfernen PC über diese Wege hochfahren?

Ich habe hier https://www.taste-of-it.de/debian-wol-wake-on-lan-einrichten/

was gelesen, aber bin mir nicht sicher, ob dieser Weg richtig ist.

...zum Beitrag

Linux Debian - Alle Ports öffnen?

Hi, habe eine VM bei einem Hoster, der alle Ports bei seinen VMs standartmäßig sperrt, bis auf die Standartports (SSH, http, https usw)! Es ist jedoch ziemlich mühsam, alle Ports manuell und einzeln freizuschalten... Kann man alle Ports zugleich freischalten?

...zum Beitrag

Port Forwarding für Minecraft Server, Telekom Speedport Smart?

Hi ich möchte einen Minecraftserver mit Spigot auf meinem PC aufsetzen der Server läuft und ich kann über meine IP connecten. Ich habe bloß keine Ahnung was ich bei den Router Settings(Port Forwarding) einstellen muss(TCP/UDP) damit mein Freund auch connecten kann. Ich habe ein Telekom Speedport Smart und bei Port Forwarding entweder die Optionen

1.Port-Umleitungen und Port-Weiterleitungen

oder

2.Dynamische Portfreischaltungen

Grüße

...zum Beitrag

Minecraft Server auf einem VPS mit Webinterface?

Hallo, ich möchte Minecraft Netzwerk auf meinem VPS Server einrichten aber mit Webinterface, weil ich nicht alles nur über ein ssh termial schauen möchte. Pterodactyl kann ich leider nicht nutzen auf Debian 10 und einem VPS Server.

...zum Beitrag

SSH Port Freigabe funktioniert nicht?

Hey, ich will einen Server machen aber SSH geht nur Lokal. Ich habe den Port schon freigegeben aber irgendwie weiss ich nicht mehr was machen. Kann mir vielleicht jemand helfen? Ich habe noch ein Bild hochgeladen wo man die Portfreigabe sehen kann.

Danke im Voraus

...zum Beitrag

Server online ohne Port forwarding?

Gibt es eine Möglichkeit ohne Port fowarding, Ports zu öffnen um zB einen HTTP oder Minecraft Server laufen zu lassen? Nach Möglichkeit nicht Anbieterabhängig, wie zB ngrok

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen