SSH, NGxinx & Co = Risiken?

[TomL]

Moin

Vor einigen Tagen gabs hier den Thread "Standardeinstellungen, sicher oder nicht". Einige der Postings habe mich schon ein wenig beunruhigt, insbesondere das letzte im Thread von Wanne. Genau das ist allerdings aber auch ein Thema, wo ich selber einfach mal Blauäugigkeit gestehen muss..... man verlässt sich drauf, dass es schon gut gehen wird. Und es trifft sowieso immer nur die anderen Und was natürlich am gravierensten zutrifft, ist meine Unkenntnis über die technischen Möglichkeiten und die dadurch von mir selber geförderten Unsicherheiten.

Was mich verunsichert, ist eben die von mir selber vorgenommene Installation von typischen Netzwerksanwendungen auf meinem Raspian-File-Server. Beispielsweise ist der SSH-Server installiert, weil ich den Server ja eben via SSH innerhalb des LAN administriere. Ich weiss nicht, ob im damaligen Setup per default z.B. auch RDP installiert ist. Weiterhin laufen NGINX und Baikal als lokaler Cloud-Server.... die habe ich wiederum von Hand installiert. Ebenso wie OpenVPN. Also alles Dienste und Programme, deren Hauptzweck die Netzwerkskommunikation ist.... egal ob nun LAN oder WAN.

Jetzt habe ich gerade mal nachgesehen, angeregt durch ein Posting aus dem Thread, ob ich versehentlich mehr Ports als nur den einen für OpenVPN notwendigen freigegeben habe.....nööö, ist nix. Ist es denn vor dem Hintergrund sinnvoll oder gar notwendig, irgendwas zur weiteren Sicherung zu unternehmen? Von meinem Verständnis bleiben alle unerlaubten "Anrufe" in der Fritzbox hängen. Ich würde jetzt annehmen, dass irgendeine fremde Paket mit Adressierung auf den offenen SSH-Port meines Server nie dort ankommen kann., weil der Router eben ohne explizite Freigabe für einen/diesen Empfänger im LAN mit dem Anrunf nix anfangen kann und ihn verwirft.

Ist das so richtig überlegt, wenn ich annehme, ohne Portfreigaben und passenden Empfänger im LAN lässt der Router eh nix nach innen rein? Ich kann im Moment überhaupt nicht abschätzen, ob vielleicht die ganz normalen und wohl immer offenen Standardports wie 20, 22, 80, 443 da einfach einen Zugriff auf die o.g. Dienste zulassen.... gerade auch der Port 22. Ist das jetzt ein Scheunentor, trotz Router oder ist das eine sichere Tür?

[Six]

Die ordentliche Konfiguration eines Service ist nur ein Teil der Geschichte. Ein anderer Teil der Geschichte ist, was du deiner Fritzbox zuschiebst: Netzwerkkonfiguration. Das ist ein umfängliches Thema, aber um ein paar Basics zu lernen, lohnt sich der Besuch bei oldie, but goldie http://aboutdebian.com/. Extrem einsteigerfreundlich ist auch folgender Klassiker der Fachliteratur: Rüdiger Schreiner: Computernetzwerke.

[TomL]

Moin Six

Ich glaube, dass war jetzt ein bisschen ein Missverständnis. Ich denke, die elementaren Basics um ein Netzwerk zu administrieren, sind mir schon geläufig. Der angegebene Link zeigt leider auch nicht viel mehr, als ein paar gute Argumente dafür, Debian zu verwenden. Aber darum gings mir mit meiner Frage nicht. Für mich wäre es wichtiger, ein paar einfache Tipps zu hören, wie Fachleute ihr eigenes kleines privates Heimnetz basierend auf der ganz normalen Customer-Hardware schützen. Ich glaube, dass doch gerade die Leute, die etwas mehr als die Allgemeinheit über Computer wissen, ihre Hardware zuhause durchaus mit einiges Mehr an Umfang nutzen, als die Hausfrau beim morgendlichen Quatschen mit ihrem Chat-Lover (sorry, die Damen )

Und ich denke mal, auch die Profis haben zuhause oft auch nur ne übliche Fritzbox von Ihrem Provider am Start, dazu ein paar PC's, Platten, TV, Drucker, etc., und alles vernetzt. Vielleicht läuft wie bei mir ein kleiner Server rund um die Uhr für bestimmte Aufgaben, wie Drucken, File-Server, Mail-Postfächer, BAK's automatisch erstellen, Jdownloaden, was-weiss-ich. Bei mir läuft zudem auch noch Baikal als CardDav-Server und OpenVPN.... im Grunde genommen ist da nix exotisches dabei.... eine Konfiguration, wie sie vermutlich hunderte, tausende auch zuhause einsetzen.

Die Kernfrage ist, wie sicher ist so ein Equipment vor den typischen Hacker-Kid's? Ob der BND oder die NSA bei mir schnüffelt, ist mir egal... wenn, kann ich das vermutlich sowieso nicht verhindern. Aber wie schützt man sich vor den bösenbösen Hacker-Tools, die die ambitionierten Kids vermutlich verwenden und die man in jeder Hacker-Ecke downloaden kann? Ich rate jetzt hier einfach mal, ich weiss noch nicht mal, ob das tatsächlich so ist. Schreit mein NGINX vielleicht sofort ins Internet "Hallo Schatz, komm ein", wenn jemand an der Tür klopft? Kann sich überhaupt jemand mit einfachsten Mitteln am Türsteher namens "Fritte" vorbeischleichen? Muss ich irgendwas mit SSH machen, damit es von außen nicht zugänglich ist, wenn ich das selber doch im Innendienst nutze?

Was ich nicht will, ist jetzt ein Internet- , TCP-IP und Netzwerksadministrations-Studium zu absolvieren, nur um festzustellen "Zieh mal diese eine Schraube nach, die ist locker" oder "Mehr kannste eh nicht machen... das ist soweit alles ok". Mich interessieren eben so einzelne lockere Schrauben....die , die fast ein Fehlerstandard sind.... die, wegen derer vielleicht der ganze Bau wackelt. ... vielleicht SSH, vielleicht der Web-Server, vielleicht RDP. Und ich hoffe, dass es hier vielleicht ein paar Standard-Empfehlungen gibt, denen ich folgen kann.