Schutz durch kaskadierten Router oder Protfreigabe?

[valin1984]

Hallo zusammen.

Ich will für meine Freunde zur nostalgischen Weihnacht ein paar Retrospiele hosten und suche nach dem besten Weg. Erfahrung habe ich wenig.

Ich verfolge zwei Lösungsansätze:
1) Hamchi Server für 3 Clients auf einem PC, der durch einen Kaskadierten Router von meinem Netzwerk getrennt ist (Schutz vor Eindringen ins Heimnetzwerk!)
2) Portfreigabe am Router einstellen und dann Verbindung der Clients über IP-Adresse

Option 1) erscheint mir einfacher in der Umsetzung, aber ist das auch sicher?

Bei Option 2) frage ich mich wie es mit der IP Adresse ist? Müsste ich mir erst irgendwie eine statische IP adresse besorgen? Würde gerne u.A. einen Civ Pitboss server laufen lassen, und da wollen die Kollegen bestimmt nicht immer nach einer neuen IP fragen.

Was meint ihr, womit fahre ich besser? Gibt es noch bessere Alternativen?

Gruß,
Valin

 

[DeusoftheWired]

1) Hamchi Server für 3 Clients auf einem PC, der durch einen Kaskadierten Router von meinem Netzwerk getrennt ist (Schutz vor Eindringen ins Heimnetzwerk!)

Möglich. Halte ich für den Zweck und die Dauer aber für übertrieben. Du müßtest deinen Spiele-PC dann entweder direkt mit dem Hamachi-Server verbinden oder im kaskadierten Router Routen einrichten, die ausschließlich den Verbindungsaufbau in eine Richtung erlauben, nämlich von Spiele-PC zu Hamachi-Server. Für ein bißchen Retrodaddelei ist das Overkill.

2) Portfreigabe am Router einstellen und dann Verbindung der Clients über IP-Adresse

Ob du nur den Modemrouter vom Anbieter nutzt und darin Portfreigaben einrichtest oder fünf Router dahinter hängst und die Portfreigabe darin einrichtest, ist egal: Sobald die Portfreigabe steht, werden Pakete externer IPs, die auf diesen Ports deinen Router erreichen, an eine interne IP weitergeleitet. Ob die externe IP von einem deiner Freunde stammt oder von einem Bot, der 24/7 weltweit Portscans durchführt, kann der Router dabei nicht wissen.

Bei Option 2) frage ich mich wie es mit der IP Adresse ist? Müsste ich mir erst irgendwie eine statische IP adresse besorgen? Würde gerne u.A. einen Civ Pitboss server laufen lassen, und da wollen die Kollegen bestimmt nicht immer nach einer neuen IP fragen.

Du möchtest dich mit DynDNS auseinandersetzen. Stelle vorher aber erst mal sicher, daß du eine vollwertige IPv4 von deinem Internetanbieter erhältst, sonst ist alles davor auch vergebene Liebesmüh.

 

[BeBur]

Entweder DMZ einrichten oder einfach eine Port-Weiterleitung. Letzteres wurde jüngst hier diskutiert.
DynDNS brauchst du in jedem Fall.

Stelle vorher aber erst mal sicher, daß du eine vollwertige IPv4 von deinem Internetanbieter erhältst, sonst ist alles davor auch vergebene Liebesmüh.

Das geht so: Log dich in deinem Router ein und schau, was die Externe / WAN IP(v4) ist. Dann gehst du auf https://www.wieistmeineip.de/ und checkst da ebenfalls deine IP(v4). Beide müssen identisch sein, sonst hast du DS-Lite und kannst keinen Server betreiben bei dir zuhause.

 

[conf_t]

Die wohl sicherste Variante für den schmalen Geldbeutel:

Internet -> Internet-Router (Router 1 mit LAN Subnetz A) -> kaskadierte LAN Router (Router2 mit LAN Subnetz B).


An Router 1 hängst du deinen Spieleserver und stellt in Router 1 die Freigaben ein und hängst alles dran, was vom Internet aus erreichbar sein soll.
An Router 2 hängst du ganz normal dein ganzen LAN.

Hier ein Beispiel, wie ich es bei mir reallisiert habe:

Ohne weitere Portfreigabe an Router 2 kannst du aus dem LAN auf den Server an Router 1 zugreifen und dein LAN ist sicher. Dann richtest du einen DDNS Dienst an Router 1 ein und stellt an Router 1 die Portfreigaben für deinen Server ein. Vom sicheren LAN aus kommst du auf alle Dienste am Server, aber nicht aus dem Internet, von dort ist nur erreichbar, was freigeschaltet ist und falls der Server gekapert wurde ist dein LAN weiterhin so sicher wie ohne den Server.

Dem ganze liegt das Onion-Prinzip zugrunde, je mehr Router man von außen (internet) nach innen durchschreitet, desto weniger darf man.
In dem Fall darf man am letzten (2. Router) von außen kommen gar nichts mehr.

 

[valin1984]

Danke für die tollen und ausführlichen Antworten!

Bevor ich mich mit DynDNS und IPv4 beschäftige nochmal die Nachfrage zum kaskadierten Router 2:

mein Router 2 ist eine alte Fritzbox mit 100MBit Lan. Ich wollte da meinen Hamachi-Server-PC anschließen. Geht das denn nicht, dass er in seinem Zwiebelinneren sitzt und vom äußeren Netzwerk abgekapselt ist, aber trotzdem über das Hamachi VPN mit der Umwelt kommunizieren kann? Denn technisch wäre das für mich echt das einfachste...

 

[conf_t]

Wie @DeusoftheWired schon schrieb, bringt es nichts, mehrere Router zu kaskdieren, wenn man eh alles freischaltet bis ins innerste. Du hast von einer Kaskade nur einen Vorteil, wenn mit jeder Kaskadierung auch die Sicherheitseinstellungen strikter werden.

Wenn du nur den Spieleserver über das VPN und nicht über das Internet erreichbar machen willst,
würde ich dennoch zu dem Zwiebelprinzipgreifen und den Spieleserver am 1. Router anschließen und dort das VPN auch terminieren. Du selbst musst, wenn du nur auf den Server zugreifen muss dafür dann nicht mal im VPN sein, da du direkt per IP zugreifen kannst aus dem sicheren LAN, nur deine Freunde brauchen dann einen VPN Tunnel zu dir. Denn auch wenn es gute Freunde sind, ich wüsste nicht, wozu die in meinem privaten LAN sein sollten - von zu hause aus. Auch hinsichlich automatischer Malwareberbreitung....

Allerdings gilt zu bedenken, dass fremd gehostete VPN Lösungen schnell die Latenz (Ping) verschlechtern. Ich weiß nicht wie relevant das für dein Vorhaben ist.

 

[valin1984]

Das geht so: Log dich in deinem Router ein und schau, was die Externe / WAN IP(v4) ist. Dann gehst du auf https://www.wieistmeineip.de/ und checkst da ebenfalls deine IP(v4). Beide müssen identisch sein, sonst hast du DS-Lite und kannst keinen Server betreiben bei dir zuhause.

Das hat schonmal geklappt. Die Adressen habe ich gefunden und sind identisch. Danke.

Ergänzung (11. November 2020)

Entweder DMZ einrichten oder einfach eine Port-Weiterleitung. Letzteres wurde jüngst hier diskutiert.
DynDNS brauchst du in jedem Fall.

Den Forenbeitrag habe ich überflogen. Mein ihr dass es dann besser ist auf den Kaskadierten Router und VPN zu verzichten und es rein über Portforwarding zu machen? DynDNS ist ja dann erstmal eine separate Fragestellung und dient nur der statischen IP.

 

[conf_t]

Die Kaskadierung schützt dich, falls dein Spiele Server bösartig, durch irgendwen auf der Welt "übernommen" wurde. Steht er im gleichen LAN, wie der Rest, ist der auch befallen - oder man muss zumindest davon ausgehen. Sofern dein Server nicht erfolgreich angegriffen wird, brauchst du die Kaskade nicht. Die Frage ist halt, wie es auch in dem Threa angesprochen wird, kannst du sicher sein, dass der Server ohne ausnutzbaren Bug ist? Und das keiner in der zwischen Zeit versuch dich anzugreifen? Und wieviel (Aufwand/Zeit/Geld) ist es dir wert sich davor zu schützen?

Nur mal als Beispiel. Ich betreibe u.a. einen Mailserver (SMTP) mit meiner eigenen Domäne in dem Bild von oben. Der Mailserver wird von mir kaum verwendet, die Email-Adressen sind nicht bekannt, der Dienst ist nirgendwo eingetragen oder kann gegooglet werden. Dennoch habe ich täglich 3-5 Brute-Force Attacken, denn es wird automatisiert nach angreifbaren Mailservern gesucht, da ständig neu zum Spamversand benötigt werden, da andere irgendwann gesichert wurden. Durch meine Einstellungen führt das sehr schnell und sehr restiktiv zu einem Bann der IP des Angreifers, aber zu glauben, man würde nicht angegriffen werden können, nur weil man mal eben einen Server betreibt, ist imho naiv. Daher rechne ich bei jedem Dienst, den ich im Internet erreichbar mache nicht nur mit einem Angriff, sondern auch mit einem erfolgreichen Angriff und treffe Vorkehrungen, die mein Zeit- und Finanzbudget erlauben.

 

[valin1984]

Ich werde nur Spieleserver hosten...

CIV 4 Pitboss
vllt. MC
und andere die mir noch einfallen mögen.

Ich werde da nur die Offiziellen Server Softwarepakete verwenden.

Ergänzung (11. November 2020)

Also Portfreigabe stelle ich mir so vor: Anfragen landen bei meinem Router und prallen an der Firewall ab. Einzelne Ports sind freigegeben und solche Anfragen werden an einen PC weitergereicht. Dort reagiert der PC auf die Anfrage, sprich der laufende Server nutzt die Informationen...

Da kann ja eigentlich nur was passieren, wenn auf dem Rechner eine Software läuft, die aus der eingehenden Kommunikation etwas schädliches tut...

Ein Angriff kann also nur unter Mitwirkung der Software auf dem PC erfolgreich sein (außer Denial of Service Angriff?). Wenn ich meiner Software also vertrauen kann, müsste das sicher sein?

 

[BeBur]

Ein Angriff kann also nur unter Mitwirkung der Software auf dem PC erfolgreich sein (außer Denial of Service Angriff?). Wenn ich meiner Software also vertrauen kann, müsste das sicher sein?

Ja.
Software ist halt prinzipiell nicht so richtig vertrauenswürdig und muss natürlich auch regelmäßig bzw. zeitnah updates bekommen, falls Sicherheitslücken bekannt werden. Es ist nun aber auch nicht so, dass dein Netzwerk "offen wie ein Scheunentor" wird wie einige schon schrieben im anderen Thread, wenn du einen Port weiter leitest.

Dennoch habe ich täglich 3-5 Brute-Force Attacken, denn es wird automatisiert nach angreifbaren Mailservern gesucht

Ich hatte im Minecraft Thread vorgeschlagen, von den Default-Ports abzuweichen (also nicht auf dich bezogen, natürlich, sondern der TE hier und drüben) und stattdessen allgmein unbenutze andere Ports zu verwenden. Das verhindert solche automatisierten Angriffsversuche, da diese stets Dienst- bzw. Applikationsbezogen sind und stets auf den Default Ports gescannt wird.

 

[valin1984]

Jut, ich habe mal nebenher versucht über DDNSS.de einen DynDNS Dienst zum Laufen zu bekommen... in meinem Router habe ich die Update-Infos eingegeben und schau mal über die Tage, ob der Host aktualisiert wird... Damit wäre ja schonmal ein thema erschlagen.

Dann teste ich das Portforwarding in Verbindung mit dem DynDNS Host mit einem Teamspeak Server.

 

[chrigu]

Die wohl einfachste art wird sein....
An diesem Tag der Nostalgie steckst du nur den ganeserver an den ersten Router (alles andere abstecken) und gibst deinen Kollegen deine ipv4 Adresse die jetzt aktuell ist per Telefon durch und im Router setzt du die benötigten Ports .
Nach dem zocken, Server abhängen, erster Router resetten und den Rest wieder anstöpseln.
kein rumwerkrln mit dmz oder Befürchtungen das Geräte durch falschmanipulation im Internet für alle zugänglich sind