Heimnetz von Internet Abschotten, wie am besten?

[Gerber_]

Hallo Community,

Ich habe zuhause einen NAS Server mit dem Windows Server BS 2008 R2 laufen.
Er dient als FileServer, ebenfalls läuft er als DC mit Active Directory, DHCP Server usw...
Zusätzlich habe ich auf einem Raspberry Pi PC Ffhem laufen (Hausautomatisierung).

Nun wollte ich über einen freien DNS Dienstanbieter meinen NAS Server auch über das Internet errreichbar machen um gegebenfalls Daten ablegen, auslesen usw.
Ebenso um auf meinen kleinen Raspberry Pi zuzugreifen und meine Haussteuerung von Unterwegs auslesen/steuern zu können.

Die Fragen die sich mir nun stellen:

- Wenn ich über einen DNS Anbieter meine Router IP und die IP Weiterleitung (Ports) freigebe kann ich zwar auf mein Heimnetz zugreifen, jeder andere aber auch?

- ist dies eine große Sicherheitslücke ?

- wie kann ich mein Heimnetz am besten von dem Internet abschotten (nochmals sichern?)

- wie würdet ihr dieses Problem lösen??


Danke im voraus für die Hilfe...

MFG Gerber

 

[Sephe]

DNS auf deine Public IP, und im Router nur die notwendigen Ports auf das NAS weiterleiten. Fertig.

 

[Gerber_]

Du meinst das ist ausreichen??

keine zusätzliche Firewall oder ähnliches?

Ich öffne ja diese beliebigen Ports, dadurch ensteht keine Sicherheitslücke?

 

[HominiLupus]

Lass ein VPN Server laufen und richte nur eine Portweiterleitung für diesen VPN Dienst ein, sonst nichts. Für VPN Software wie OpenVPN gibt es Clients für alle PC Betriebssysteme, Android, IPhone, etc.
D.h. der Benutzer muss sich erst beim VPN einloggen und kann erst dann auf NAS, Heimautomatiion, etc zugreifen.

 

[sdwaroc]

Geht ja auch um die Hausautomatisierung. Würde da auf jeden Fall eine Lösung per VPN oder ähnliches andenken. Dazu eine vernünftige HW-Firewall und die richtige IP hinter nem Proxi verstecken und du hast quasi alles getan

 

[Sephe]

Du meinst das ist ausreichen??

keine zusätzliche Firewall oder ähnliches?

Ich öffne ja diese beliebigen Ports, dadurch ensteht keine Sicherheitslücke?

Im Regelfall ist dies ausreichend, da nur offene Ports prinzipiell angreifbar sind. Somit heißt es: Die freigegebenen Dienste immer aktuell halten. - Genauso wie die Firmware des Routers.

Alternativ halt VPN einrichten, jedoch werden die VPN Ports in vielen Unternehmen und evtl. sogar aus UMTS Netzen gesperrt.

 

[conf_t]

GeoIP in der Firewall ist nicht schlecht als zusätzliche Option, du wirst wohl kaum aus China oder Weißrussland auf dein Netzwerk zugreifen wollen. Schütz zwar nicht vor Angriffen aus D oder einem Proxy mit DE-IP aber hebt die Hürde etwas.

 

[Gerber_]

Puuh danke für die schnellen Antworten...

Werde mich dan wohl mit VPN befassen und versuchen eine Verbindung einzurichten...
Habe noch nicht viel Erfahrung mit VPN, muss ich auf irgendwas besonders acht nehmen??
Gibt es besonders empfehlenswerte Tutorials?

@ Nicht ich: genau aus China und Weißrussland wohl eher nicht -.- .

@ sdwaroc: was für eine HW Firewall würdest du einsetzen??

Danke...

MFG Gerber

 

[Domi83]

Also ich persönlich würde die Variante mit dem VPN auch vorziehen und empfehlen. Wenn schon ein NAS im Keller steht, welche diese Optionen mitbringen könnte, wäre das eine Option Jetzt wäre dann natürlich noch die Frage, von welchem Gerät steuerst Du das dann alles... Handy, Notebook, Büro PC etc.?!

Ich persönlich finde das Thema fhem gerade ziemlich interessant, wenn ich das so durchlese. Vielleicht kann ich ja damit die Hof-Beleuchtung etwas genauer steuern

Nachtrag: Das ist zwar Offtopic, aber ich sehe gerade... so etwas läuft über Funk. Wie verhindert man denn, wenn man auf so einer Fernbedienung 5 drückt, dass nicht im Wohnzimmer auf einmal eine Lampe aus geht?

 

[1a2b3c4d5e]

Alternativ halt VPN einrichten, jedoch werden die VPN Ports in vielen Unternehmen und evtl. sogar aus UMTS Netzen gesperrt.

Daran wird es bei einer sinnvollen Konfiguration des VPN eher nicht scheitern: Ein SSL-VPN über Port 443 tunnelt (fast) jede Firewall und jede Portsperre. (Ausnahme: Deep Packet inspection mit aufbrechen der SSL-Verbindung)

 

[CBCrosser]

Hallo,

willst du dein Vorhaben sinnvoll und sicher umsetzen, so solltest du dich hier einlesen: https://en.wikipedia.org/wiki/DMZ_(computing)

Zu bevorzugen sollte eine zweifache Firewall-Lösung sein. Meiner Meinung nach das Mindeste wenn man sein privates Netz einer solchen Gefährdung aussetzen möchte.

Gruß,
​Gabbadome

 

[cbtestarossa]

sobald du ein Gerät ins internet stellen willst wird dieses auch irgenwie lauschen müssen
egal welcher Dienst darauf läuft
somit musst du ja irgendeinen Port am Router auf eine LanIP forwarden denk ich mal
und der Port ist dann vom Internet aus OFFEN
und ob die Spielzeug-Router/NAS sicher sind wage ich zu bezweifeln

dahinter halt noch VPN wenn schon oder noch ne 2te IP-Range fürs LAN
VLAN oder Router kaskadieren, HW Firewall etc
am besten alles OSS

 

[Gerber_]

Danke nochmal an alle für die Antworten...

Ich werde es mir nochmal genau überlegen ob ich dies einrichte oder nicht.

Ist vermutlich auch mit einigen Kosten verbunden...

MFG

Gerber

 

[d4nY]

Man kanns aber auch wirklich übertreiben...2 Firewalls halte ich für den Hausgebrauch dann für etwas übertrieben...

Wenn du ne Weiterleitung/Umleitung einrichtest, dann benutz Ports >50.000, denn die bekannten Ports (<1024) werden gerne mal abgeklopft und nach schwachen Passwörtern abgesucht. Das sollte deine Anwendung/dein NAS schon mal ziemlich gut verbergen.
Updaten ist sowieso immer Pflicht, wenn das System irgendwie aus dem Netz erreichbar ist

Das schützt dich gegen das Grundrauschen. Es wird niemand versuchen die gesicherte Vordertür (Router/NAT) einzuschlagen, wenn man doch viel einfacher über die Terrasse (Trojaner/Social Engineering/etc) reinkommt

Und wenn es wirklich jemand auf dich abgesehen hat, dann wird er garantiert einen Weg finden, wie er das bekommt, was er will

E: Auf den Rest deines Heimnetzes kommt ein Angreifer erst, wenn er eine Schwachstelle in der Anwendung, im Betriebssystem oder im Router ausnutzt.