offener Port in Firewall sicher?

[Exxter]

Hallo,

eine Frage, die ich mir schon oft gestellt habe.

Ich habe 2 Netzwerke mit einer Firewall dazwischen. Ein Netzwerk, das Internet, und das interne, zu schützende Netzwerk. Im internen Netzwerk soll ein OwnCloud-Server auf Debian stable installiert werden der dauerhaft laufen soll. Die Firewall soll jetzt so aufgebohrt werden, dass Clients vom Internet aus auf den OwnCloud-Server zugreifen können.

Meine Frage ist jetzt, wie sicher ist so eine Konfiguration? Kann man es so definieren: "So sicher, wie Owncloud ist"? Sprich, nur wenn in OwnCloud eine Lücke ist die remote ausnutzbar ist, ist es ein Problem. Aber gesetzt dem Fall, OwnCloud ist aus und es lauscht kein Prozess auf dem freigegebenen Port (auch kein Apache2), kann jemand über diese "Lücke" in der Firewall ins interne Netzwerk vordringen? Der interne Debian Server hat vollen Zugriff auf den Rest des internen Netzwerkes, es gibt keine DMZ.

Es wäre dann also so: Ein Paket aus dem Internet kommt durch die Firewall bis an den Debian Server. Wie wahrscheinlich ist es, dass Angreifer darüber ins interne Netz kommen, unabhängig von OwnCloud und Apache? Eigentlich ist das Paket ja bereis im internen Netz, aber ist es möglich, dass man auf den Weg auch weiter ins Netzwerk vordringen kann?

Mir geht es darum das Risiko abzuschätzen und zu verstehen.

[uname]

Generell brauchst du noch eine IP-Adressumsetzung von externer auf interner IP-Adresse und umgekehrt sowie ein Port-Forwarding, da das direkte Routing zwischen externen und internen Netzwerkadressen nicht möglich ist. Ich hoffe mal, dass das interne Netzwerk keine weltweiten IP-Adressen für direktes Routing hat. Dann hast du nämlich ganz andere Probleme
Die Nichtverfügbarkeit des Ziel-Ports/Sockets sollte kein Problem darstellen. Kritischer ist wenn die Anwendung läuft. Besser wäre wahrscheinliche eine eigene DMZ für Owncloud. Vielleicht kannst du das über ein VLAN am Router/Firewall konfigurieren auch wenn es vielleicht nicht so sicher wie ein physikalisches Subnetz ist.

[DeletedUserReAsG]

Wenn ein Port geschlossen ist, also kein Programm läuft, das ihn aufgemacht hat, ist eine Firewall davor absolut sinnlos.

[Exxter]

Generell brauchst du noch eine IP-Adressumsetzung von externer auf interner IP-Adresse und umgekehrt sowie ein Port-Forwarding, da das direkte Routing zwischen externen und internen Netzwerkadressen nicht möglich ist. Ich hoffe mal, dass das interne Netzwerk keine weltweiten IP-Adressen für direktes Routing hat. Dann hast du nämlich ganz andere Probleme .

Nein, das interne Netzwerk ist ein LAN mit IP-Adressen 192.168.0.0.

Die Nichtverfügbarkeit des Ziel-Ports/Sockets sollte kein Problem darstellen. Kritischer ist wenn die Anwendung läuft.

Genau das war die Frage. Dass jeder laufende Dienst ein "Problem" ist, ist mir klar. Aber das bedeutet natürlich auch, dass wenn OwnCloud oder Apache eine Lücke hat, man darüber auch ins interne LAN kommt (auch logisch).

Besser wäre wahrscheinliche eine eigene DMZ für Owncloud. Vielleicht kannst du das über ein VLAN am Router/Firewall konfigurieren auch wenn es vielleicht nicht so sicher wie ein physikalisches Subnetz ist.

Hmmm, wäre zu überlegen. Aber OC soll auch vom ganzen internen Netzwerk aus erreichbar sein. Dh. wenn ich OC in ein DMZ stelle müßte ich in die DMZ auch ein Loch bohren, hätte den gleichen Zustand wie von der anderen "Seite" (Internet) aus, oder?

Obwohl, halt, nein. Wenn ich einen Router zwischen internes Netzwerk und OC-Server stelle dann müsste man, nachdem man den OC-Server gehackt hat, noch den Router hacken auf dem null Ports offen sind. Trotzdem könnte ich vom LAN aus problemlos auf OC zugreifen.

[Exxter]

Wenn ein Port geschlossen ist, also kein Programm läuft, das ihn aufgemacht hat, ist eine Firewall davor absolut sinnlos.

Die Firewall ist ein eigenes Gerät von Zyxel und dient zur Abschottung der Netzwerke. Oder was meinst du?

[uname]

Hmmm, wäre zu überlegen. Aber OC soll auch vom ganzen internen Netzwerk aus erreichbar sein. Dh. wenn ich OC in ein DMZ stelle müßte ich in die DMZ auch ein Loch bohren, hätte den gleichen Zustand wie von der anderen "Seite" (Internet) aus, oder?

Klar musst du auch dem internen Netz den Zugriff erlauben (HTTPS) und vielleicht auch noch die Administration (SSH). Aber umgekehrt brauchst du keine Kommunikationen erlauben. Der Angreifer kommt aus dem Internet, in die DMZ und dann ins LAN. Wobei wenn du Windows (im LAN) einsetzt kommt der Angreifer per Fernwartungs-Trojaner aus dem LAN.