Hosting durch zwei Netzwerke?

Guten Abend,

ich habe eine kleine Frage an die Leute, die Erfahrung mit Hosting haben.
Unabhängig ob es ein Gameserver war oder Webspacehosting.
Wichtig dabei ist, dass ihr es am eignen Netzwerk durchgeführt habt und dazu kommen wir zu meiner Frage.

Folgendes:

Ich verwende einen Laptop als Server. Für ihm habe ich auch einige Ports freigegeben, damit er bei Minecraft einen Server hostet und FTP Zugang gewährt für mich und meinem Freund.

Genauso habe ich eine SRV und eine A Eintrag bei meiner TLD zur öffentliche IP-Adresse hinzugefügt und die Subdomain für Minecraft läuft bisher bestens.

Sogar Uptimerobot habe ich auf die IP und Ports gesetzt, dass er die anpingt und einen Uptimestatus Seite dafür bereit stellt.

Nun nach den paar Tagen das er läuft habe ich mir über die Sicherheit Gedanken gemacht.

Bisher habe ich alles einem Netzwerk gehabt und dies in einer Fritz!Box, wo alle Geräte verbunden sind und der auch ans V-DSL angebunden ist. Achtung, ich verwende nicht Exposed Host, weder noch an meinem Gaming PC (selbständige Port UPNP schon), wie auch beim Server Laptop (selbstständige Ports sind aus).

Nun habe ich mir gedacht, mein Netz zu Trennen zwischen dem Server Netzwerk und Hauptrouter und dies hat bisher auch geklappt, ich habe in der zweiten Fritz!Box in den Zugangsdaten die Verbindung vom Hauptrouter angegeben und es am Handy zu Urteilen, hat es Internet-Anbindung mit der gleichen öffentlichen IP-Adresse, aber Intern einen neuen Block statt xxx.xxx.178.xxx hat er nun xxx.xxx.188.xxx.

Um es sich Bildlich vorzustellen:

. Geräte vom Haushalt (178 Block)

V-DSL <===> Fritz!Box #1 ˫

. Fritz!Box #2 <===> Server Laptop (188 Block)

Würdet ihr dies als Sicherer so bezeichnen, oder würdet ihr eine andere Reihung der Verbindungen empfehlen oder gar eine ganz andere Methode. Ich bin offen und lerne gerne dafür dazu.

Vielleicht habt ihr auch sonstige Vorschläge, die zu meinem Schutz auch nützlich sein könnten :)

~ Die Falke in Gutefrage.

Comments

[flauski]

Wieso schiebst Du den Server nicht einfach ins Gastnetz, also in ein anderes VLAN?

[Warn0Falke]

Darüber habe ich nicht 🤔. Bin auf direkt auf meine zweite Box unter der 🛋️ und dachte mir einen zweiten 🌐 zu bauen. Ebenso müsste ich mich ins VLAN ein🦊en. Wie, Wo & Was 😁

Answer 1

[yippijaja]

Ich hab zwar noch nie ein eigenes Webhosting betrieben und auch keinen Gameserver im Netz verfügbar gemacht, aber das Setting haben in ähnlicher Form viele Firmen.

Aus Security-Sicht hast du quasi eine DMZ versucht. Du willst, dass die potentiell leicht zu kompromittierenden Server mit Verfügbarkeit im Internet in einem separaten Netzwerk stehen.

Ich kenn das Setting jetzt nicht. Aber wenn die Netze logisch getrennt sind, ist es super. Eigentlich willst du ab Firewall (deine Fritzbox vereint viele Dinge, die du als Unternehmen separat betreibst) auch eine physische Trennung haben. D.h. nicht mit Subnetting, sondern wirklich eigene Hardware. Weil Kabel kann der Eindringling nicht spoofen. Selbst bei VLANs wird's schon je nach Konfiguration fast unmöglich.

Wenn du Mal eine Firewall ans Netz hängst, dann siehst du ins Log und als erstes fällt dir alles aus dem Gesicht. Nicht umsonst sagt man, dass der meiste Traffic im Internet bot generiert ist. Ständig versucht jemand über Ports irgendwo ranzukommen, was natürlich nicht durch ein Deny geblockt wird. Das ist völlig normal. Wenn du nun einen Port auf machst, dann kommt diese Anfrage für den jeweiligen Port erst einmal weiter. Die Tür ist halt offen. Jetzt kommt das Thema Authentifizierung und die Berücksichtigung der WellLmown Port ins Spiel.

Beispiel FTP. Port 21 ist Standard. Jetzt wird ein Bot der über Port 21 gerne auf FTP abgesehen haben. Wenn du jetzt den FTP über Port 23456 bereitstellst wirst du schon Mal eine gute Anzahl an Bots ausschließen, weil die ja bei 23456 eventuell nicht auf FTP kommen. Aber selbst das kannst du rausfinden.

Nun musst du um an den Server Ran zu kommen, dich authentifizieren. Und das werden die je nach Protokoll auch Mal versuchen. Wird dann weggeblockt, weil sie die Zugänge nicht haben.

Am Ende hast Du den richtigen Gedanken. Du schützt das restliche Netzwerk bei einer Kompromiertung des Servers. Sicherer macht es den Server aber nicht. Die Firewall und auch der Server müssen hingegen sicher sein und nicht kompromitierbar. Viele Firmen setzen daher auch auf VPN. Deine Fritzbox müsste das auch kennen

Hast du eigentlich an DynDNS gedacht? Du hast eine IP, die sich auch Mal ändern wird.

Ob das alles jetzt wirklich sicher ist, kann ich dir nicht sagen ohne mir jedes Detail der Konfig anzusehen. Und selbst dann bist du von AVM abhängig. Wenn die Mist bauen und das tut jeder Softwarehersteller, dann gibt's auch wieder ne Sicherheitslücke... In den letzten Jahren hatten Firmen mit Exchange Servern z. B. gut zu leiden.

Abschließend kann ich dir sagen, dass du Dir sehr wahrscheinlich nur sorgen um Bots machen musst. Niemand (sry) interessiert sich da draußen für dich. Du hast kein Unternehmen, was du erpressen kannst, bist nicht superreich usw. kein Mensch setzt sich für dich aktiv hin, um dich "zu hacken" und das ist auch gut so :)

Viel Spaß beim Tüfteln:)

PS: es gibt noch andere Angriffsmuster. Man in the middle zum Beispiel. Wenn du kein SSL verwendest, dann könnte jemand die Zugangsdaten vom Gameserver oder FTP mitlesen und hat dann natürlich leichtes Spiel.

Woher ich das weiß: Berufserfahrung – Lange Zeit mit viel Freude Systemadministrator gewesen

Comments

[Warn0Falke]

Hallo, danke für deinen Text.

Das stimmt, ich habe DMZ in der Art versucht. Ich habe eine weitere Fritz!Box in dem Fall die 7560 AX ans Strom gesteckt, mich dann über WLAN mit dem Handy verbunden und in den Zugangsdaten dann statt PPPoe Daten dann die Option mit „Vorhandenen Zugang über WLAN“ ausgewählt, der dann die zweite Box mit einem eigenen Netzwerkadressbereich arbeiten lässt. Ich bin mir aber nicht sicher, ob dies als „DMZ“ ausreichend ist. VLANs habe ich in dem Fall überhaupt gar nicht beachtet und müsste demnach nach recherchieren wie man diese einrichtet. Hast du einen Tutorial für mich? Ich muss zugeben, dass ich tatsächlich die Standart Ports verwendet habe, ich habe 21 und 22 Ports für (s)ftp verwendet mit einen selbst unterschriebenen X.509 Zertifikat. Aber da weiß ich, was ich schon ändern kann, andere Ports freigeben und diese auch für FTP einrichten. Muss ich mich auch noch umsehen, wie ich es einstelle, dass diese Ports auch für FTP anspringen. Zu den VPNs: Es existieren Tunneln die eine offene NAT bzw. Ports haben? Welche Anbieter tun dies anbieten, was sind es für Preise? An Dyndns habe ich mal nachgedacht, aber benutze ich nicht. Ehrlich zu sein, meine öffentlich IP ist zwar öffentlich erreichbar, aber ändert sich weder täglich noch wöchentlich, somit habe ich mich entschieden einfach einen A und SRV in meiner tld-Domain zu eintragen mit meiner öffentlichen IP. Durch Cloudflare auch einfach zu managen dank DNS Panel.