Portfreigabe sicher machen?

Hallo, ich würde gerne wissen, ist portfreigabe mit den Ports 80 und 443 sicher wenn ich nginx benutze?

2 Antworten

16.04.2023, 10:41

Hallo, ich würde gerne wissen, ist portfreigabe mit den Ports 80 und 443 sicher wenn ich nginx benutze

Prinzipiell besteht immer ein Risiko. Zum einen kommt es auf deine Konfiguration an, zum anderen musst du darauf vertrauen, dass der Webserver keine Sicherheitslücken beinhaltet.

Kritisch wird es, wenn dadurch der Angreifer root-Zugang zur Maschine möglich wird oder ein Angreifer beliebigen Code ausführen kann. Ich will nicht sagen, dass das passieren muss, aber es kann jederzeit auftreten, dass ein kritischer Bug gefunden wird.

Wichtig ist, dass du die Software nicht einfach vergisst, sondern auch regelmäßig auf den neusten Stand bringst und beim auftreten dieser Probleme auch eingreifst.

Optimalerweise ist dein Webserver nicht im gleichen Subnetz wie alle anderen Geräte, sondern in einem gesonderten Netz ohne Zugriff auf das Hauptnetz - Stichwort DMZ. Das gibt es aber bei den üblichen Consumer-Routern nicht. Man könnte das mit zwei hintereinandergeschalteten Routern bewerkstelligen (vorderer Router ist DMZ, hinterer das Heimnetz), aber das fügt Probleme wie Double NAT hinzu

Für Port 80 solltest du im Webserver auch eine automatische Weiterleitung auf Port 443 einrichten, dass immer verschlüsselt kommuniziert wird

Woher ich das weiß:Hobby – Eigenes Homelab - Netzwerk, Firewall, Server, Domain usw.

clownfish803

16.04.2023, 09:01

Sicher ist die Portfreigabe dann, wenn der Webserver sicher ist, der darüber läuft, also der Server genug abgesichert usw. Und die Website, sollte keine möglichen Schnittstellen haben über die ein Potenzieller angreifer in deinen Server eindringen könnte, und damit in dein Netzwerk und schaden anrichten könnte.

(Mögliche schäden wären: Hacken von anderen, - auch firmen -, netzwerken, klauen deiner daten usw.).

Würde aber mehr Sinn machen bei einem Webhoster wie Strato zu hosten. Bietet Sicherheit in alle richtungen, eben auch ausfallsicherheit :).

Ähnliche Beiträge

FRITZ!Box Portfreigabe auf Port 443 funktioniert nicht?

Ich habe auf meiner FRITZ!Box zwei Portfreigaben auf Port 80 und 443. Die auf Port 80 funktioniert die auf 443 aber nicht benutze für meine Domain Cloudflare.

...zum Beitrag

Nginx reverse Proxy?

Heyho,

Keine Ahnung ob ich hier wen finde der mir helfen kann aber gut.
Es geht um meinen reverse Proxy, ich bin relativ neu in der Netzwerk Technick und versuche gerade einen reverse Proxy vor meinen eigentlichen Server zu stellen.

Und zwar habe ich Nginx auf einem anderen debian 11 Server installiert und wollte von dort aus dann meine Dienste öffentlich machen um die eigentliche IP meines Hauptservers zu verstecken. Dazu wollte ich dann bei Nginx einen Stream machen der dann so funktioniert:

%IP VOM REVERSE%:4444 -> %IP VOM HAUPT%:25565

Funktioniert leider nicht, nichtmal mit dem Port 9090 (Auf meinem Hauptserver läuft cockpit port 9090). Habe die Ports auch in die Docker config geschrieben ...

...zum Beitrag

SSL auf Raspberry Pi für Nextcloud in Docker Container?

Ich habe auf meinem Raspberry Pi 4 Casa OS installiert. Darin läuft unter anderem eine NextCloud-Instanz.

Von Aussen (aka Internet) kann ich über domain.de:5011 zugreifen. Der Router leitet den Port zu meinem Raspberry Pi auf den Port von der NextCloud weiter. Das Problem ist, dass die Verbindung noch unverschlüsselt ist.

Ich habe bereits auf x verschiedene Wege versucht SSL über den Nginx Proxy Manager einzurichten. Das einzige, das mir (irgendwie) gelungen ist, ist ein Zertifikat zu erstellen. Aber das höchste aller Gefühle war dann immer eine Bad-Gateway-Fehlermeldung.

Weiss jemand, wie ich eine verschlüsselte Verbindung entsprechend einrichten kann bei meinem Setup:

"domain.de:5011". Von Aussen habe ich diesen Port im Router zur Verfügung.
Nextcloud ist in einem Docker Container installiert (Port 10081)
Nginx Proxy Manager in einem Docker Container hört auf dem Port 80 und 443 zu (Admin Panel auf Port 81)

Vielleicht noch als Nebeninformation. Im gleichen Netzwerk laufen auch Synology-Services, die jedoch verschlüsselt arbeiten und ebenfalls über 5000-er Ports von aussen erreichbar sind. (In den Tutorials, die ich gefunden habe, wurde die SSL-Einrichtung im Nginx Proxy Manager nie über Ports ermöglicht. Erschweren diese Ports das Ganze?)

Ich verstehe wirklich nicht, wie ich das am besten einrichten soll. Kann man den Raspberry Pi "allgemein" verschlüsselt kommunizieren lassen (soll heissen, dass auch der Traffic im lokalen Netz bereits verschlüsselt ist. Das ist bei den Synology-Services so.) oder geht es einfacher, wenn nur der Traffic nach aussen verschlüsselt ist?

Vielen Dank im Voraus :) Ich bin wirklich langsam überfragt...

...zum Beitrag

Port443 und 80 mehrmals nutzen?

Hallo,

ich habe das problem das Mein nextcloud auf port 80 bzw 443 läuft jetzt möchte ich aber Vaultwarden (bitwarden) im docker installiern. hab dann vom docker aber den error bekommen das port .0.0.0.0:80 schon gebunden ist.

Jetzt meine frage, es muss doch ne möglichkeit geben das trotzdem zu installieren.

mein OS ist ubuntu server

...zum Beitrag

NGINX Reverse Proxy sicher konfigurieren?

Hallo,

ich habe eine grundsätzliche Frage dazu, wie man NGINX sicher als Reverse Proxy einsetzt und leider nicht wirklich was dazu im Netz gefunden.

Mal angenommen auf Server A läuft eine Webapplikation, die auf 10.0.0.1:5000 hört und auf Server B läuft mein NGINX, der auf 10.0.0.2:80/443 hört. Ich möchte also von Server A zu B einen Reverse Proxy machen und die Verbindung soll mit TLS abgesichert sein.

upstream serverA {
    server 10.0.0.1:5000;
}

server {
    server_name example.org;
    listen [::]:443 ssl ipv6only=on;
    listen 443 ssl;
    ssl_certificate /etc/ssl/certs/example.org.crt;
    ssl_certificate_key /etc/ssl/private/example.org.key;

    location / {
        proxy_pass http://serverA;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Nginx-Proxy true;
        proxy_redirect off;
    }

}

... HTTPS redirect

Aber jetzt ist doch nicht der Traffic von Server B also dem NGINX, auf den der Nutzer zugreift zu Server A, der Webapplikation verschlüsselt oder liege ich da falsch? Falls er nicht verschlüsselt ist, wie erreiche ich das? Ist hier eine einfache Firewall Regel auf Server A schon ausreichend? Im Sinne von

ufw allow in from 10.0.0.2 to any port 5000/tcp

Danke für alle Antworten

...zum Beitrag

Warum sollte ein Internetanbieter nur beschränkt Ports für die Portfreigabe angeben?

Ein Kumpel von mir hat seit gestern eine neue Leitung bei 1&1 statt Telekom. Weil Telekom war scheiße. Ich bin auch bei 1&1, deshalb wundert es uns jetzt zu sehen, dass er bei einer Portfreigabe limitiert ist auf gerade mal 19 Ports (7020-7039).

Wärenddessen kann ich jeglichen Port freigeben, wie ich will. 25505, 32400, usw. alles kein Problem.

Und auch wenn ich ITler bin und ein Studium absolviere, frage ich mich, warum? Warum sollte 1&1 die Ports auf eine dermaßen kleine Anzahl beschränken, was auf nur zur Folge hat, dass mein Kumpel Port Rerouting machen muss, anstatt direkt den gewünschten Port zu benutzen.

Laut einem Artikel von 1&1:

je nach Konfiguration ihres Internetanschlusses wird hier ein eingeschränkter Portbereich angezeigt.

Bei IP Adressen ist es natürlich so, dass jeder Kunde ne eigene IP Adresse hat, die kann man immerhin nicht teilen. Aber Ports sind bei jeder IP eigen, da wird nix gesplittet. Also sehe ich keinen Grund, warum ein Internetanbeiter die Ports auf eine so kleine Anzahl limitieren sollte. Geschweige denn ÜBERHAUPT limitieren sollte.

...zum Beitrag

Portfreigabe mit Fritzbox 7490 funktioniert nicht?

Hallo Freunde,

ich bekomme irgendwie keinen Port auf.

Über die Einstellungen im Fritzbox 7490 -> Internet -> Freigaben -> Fritz!Box-Dienste -> Internetzugriff auf die FRITZ!Box über HTTPS aktiviert = (kann ich den Port 443) oder unter -> Internetzugriff auf Ihre Speichermedien über FTP/FTPS aktiviert (den Port XX) öffnen.

Diese Teste ich auch auf www.yougetsignal.com und es funktioniert.

Sobald ich eine Portfreigabe über den Reiter "Portfreigaben" einen Port öffnen will funktioniert es nicht.

Ich wähle mir in der Liste meinen Server und gebe als Beispiel den Port 5555 frei. Die Freigabe auf den Server für den Port 5555 habe ich auch. Als Testzwecken habe ich auch meinen Firewall auf dem Server mal ausgeschaltet, aber ich bekomme es einfach nicht auf yougetsignal.com meinen Port als open zu markieren.

Ich hoffe das Ihr mir da weiterhelfen könnt. Vielen dank !

...zum Beitrag

Alexa für HomeAssistant ohne Port 443?

Hallo zusammen. Ich bin inzwischen auf HA umgestiegen und will jetzt eben Alexa einbinden, jedoch ohne 5€ im Monat zu zahlen. Dazu gibt es auch eine Anleitung vom HA Team, jedoch muss ich meine HA Instanz dabei auf Port 443 Freigeben. Jedoch ist dieser schon von einer Webseite belegt, die über mein Netzwerk nach draußen gelangt. Hassio läuft bei mir auf einem Pi4 mit dem neusten HA OS. Hat jemand eine Idee. Danke im vorraus

...zum Beitrag

Mit Nginx Proxy Manager Website erstellen?

Moin! Kann man mit dem Nginx Proxy Manager eine website erstellen zbs die Website über port 80 kann man die bearbeiten

...zum Beitrag

Mehrere Ports im Internet freigeben?

Hallo, ich habe eine Frage bezüglich auf Ports. Momentan benutze ich zu Hause für meine web Anwendungen ein nginx revers Proxy jetzt habe ich nur die Frage ist es möglich dies mit jeden Port zu machen (ssh oder andere Sachen)

...zum Beitrag

Bestimmte Ports in Nginx ignorieren?

Guten Tag,

gibt es eine Möglichkeit bestimmte Ports von bestimmten Webseiten in Nginx zu ignorieren und sie direkt durchzuleiten?

Mit freundlichen Grüßen

...zum Beitrag

Einen anderen Port als 80 oder 443 für eine Webseite nutzen. Ist das möglich?

Naja, ich habe vor, mehrere komplett verschiedene Webseiten zu hosten und werde demnach auch mehrere verschiedene Ports nutzen müssen. Da ich ja weiss, dass man normalerweise den Port 80 und 443 nutzt, weil man sonst www.domainname.com:2000 (nur als Beispiel) eingeben muss und das ziemlich blöd ist, will ich wissen, ob es möglich ist einen anderen Port zu nutzen und man gleichzeitig auch nicht www.domainname.com:Port eingeben muss.

...zum Beitrag

Portfreigabe durch andere Fritzbox?

Hallo habe eine fritzbox als Hauptrouter habe das passwort nicht habe gelesen wenn mann eine andere frzbox im netzwerk anschließt kann mann mit ihr die ports freigeben stimmt das ?

...zum Beitrag

Portfreigaben auch für Powerline-Adapter einrichten?

Hallo 😊 Ich habe für meine PS5 Portfreigaben eingerichtet und nutze nun Powerline-Adapter (übers Stromnetz) anstatt wie bisher, die direkte LAN-Verbindung zum Router.

Ich frage mich nun ob ich für diese Adapter ebenfalls Portfreigaben einrichten muss oder ob es nach wie vor nur entscheidend ist, dass die Portfreigaben für die PS5 eingerichtet sind?

Vielen Dank schonmal! 😊🙏🏼

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen