Ubuntu Home Server Port weiterleitung - Sicherheit

[Cliff1]

Hallo,

ich habe hier einen Ubuntu Server 12.04 rumstehen.
Darauf sind jede Menge Sachen installiert (Samba, XBMC, ...)
Außerdem habe ich mir jetzt Seafile als Dropbox-Ersatz eingerichtet.
Da ich auf diesen Service natürlich auch von außerhalb zugreifen will, muss ich im Router eine Port Weiterleitung einrichten.
Anfragen auf den Ports 8000, 8082, 10001 und 12001 müssen auf die IP des Servers weitergeleitet werden.

Wie groß ist das Sicherheitsrisiko wenn ich das mache?
Kann ich davon ausgehen, dass wenn mein Ubuntu 12.04 aktuell ist und Seafile selbst keine große Sicherheitslücke besitzt, ich relativ sicher bin vor Angriffen?
Die anderen eingehenden Ports werden ja alle vom Router (dd-wrt) geblockt, richtig?

 

[mensch183]

Nur so als Idee:
Statt 153 Dienste einzeln von außen erreichbar zu machen und abzusichern, könntest du dir alternativ einen VPN-Zugang bauen, über den du von außen arbeiten kannst als wärst du innen. Dann mußt du dir nur an der einen Stelle Gedanken über die Absicherung machen.

Beide Varianten haben Vor- und Nachteile.

 

[Cliff1]

Die Ports werden alle für Seafile benötigt.
https://github.com/haiwen/seafile/wiki/Firewall-settings-for-seafile-server

Da ich auch vom Android Smartphone gemütlich darauf zugreifen möchte, eignet sich ein VPN leider nicht.

 

[KillerCow]

Das größte Einfallstor ist erstmal der Dienst, der auf dem Port lauscht. Natürlich müssen die Daten vorher durch den Netzwerkstack vom Kernel, der dürfte allerdings als halbwegs sicher anzusehen sein.

Um ein wenig mehr Stolpersteine einzubauen, könntest du die Ports von außen auf andere Ports legen und intern dann wieder auf die richtigen Ports umleiten. So mache ich das mit meinem SSH Zugang. Als der nach aussen noch auf der 22 lag, hatte ich prompt die Chinesen mit einer Wörterbuchattacke zu Gast.

Natürlich mußt du dann die Ports in den verwendeten Clients auch entsprechend einstellen (können).

Sofern du immer fleißig die Sicherheitsupdates einspielst, wirst du halbwegs sicher sein.

 

[davidbaumann]

Also ich kann unter Android einige verschiedene VPN Dienste einrichten.
OpenVPN sollte als Dienst deutlich sicherer sein (da etablierter und ausgereifter), also obiger Dienst, der mir schonmal unsympatisch ist weil er soviele offene Ports benötigt.

Ich würde auch die Möglichkeit mit dem VPN bevorzugen.

Gruß.

 

[expironec]

VPN ist auf jedenfall sicherer, ich kann dir aber auch empfehlen, die Externen Ports auf möglichst keine "well known ports" zu legen. Intern kannst du diese ja wieder an den default-Port der Applikation weiterleiten. Dies erspart dir die Zeit für das Einrichten der VPN

Cheers

 

[Cliff1]

Ok, vielen Dank für die Antworten.
VPN behalte ich mal im Hinterkopf und werde es einrichten wenn ich Zeit habe. Auch werde ich die Ports von Seafile abändern. Das sollte ohne Probleme möglich sein.

Gibt es eigentlich eine Möglichkeit bei dd-wrt (Router) das logging einzuschalten, um Portscans oder versuchte Angriffe zu erkennen?