Unitymedia Betrieb von nur lokal genutzten Heimservern an DSLite Anschlüssen

[MartinP_Do]

Ich habe einen Heimserver, den ich aufgrund von DSLite nur schwer "von außen" erreichen könnte. Das ist mir unter einem Aspekt auch nicht so unangenehm: Man muss sich bei einem "von außen" nicht erreichbaren Server weniger Gedanken um Sicherheit machen.

Und, wenn man den Server eh nicht "von außen" erreichen will, wäre es doch eigentlich am Besten, ihm erst gar keine IPv6 Adressen zuzuteilen. Verschließt eine Möglichkeit für Sicherheitslücken im Router, durch die Angreifer den Server doch von Außen erreichen könnten...
Oder könnte es sein, dass einige Linux Repositories in Zukunft nicht mehr per IPv4 erreichbar sein werden, sodass der Server keine Updates mehr bekommen könnte ...

Abgesehen davon, dass es dadurch wieder einen Grund weniger gibt, sich mit dem immer dringenderen Problem des besseren Verständnisses von IPv6 zu befassen fällt mir kein anderes Argument ein, auf das Abschalten von IPv6 im Server zu verzichten ...

Was meint Ihr?

 

[rv112]

Für Sicherheit gibt es eine Firewall. IP und NAT sind keine Sicherheit. Ich würde den Server also via v6 lokal ansprechen, oder mittels statischer v4. Natürlich von unterwegs nur via VPN.

 

[MartinP_Do]

Wenn man IPv4 UND IPv6 aktiviert bietet man aber der Firewall selber mehr Möglichkeiten Fehler zu machen.
Eine Grundregel heißt ja "KISS" (Keep it simple and stupid) - also alles, was man im Server nicht nutzt deaktivieren - wobei ich eben nicht weiß, ob auch IPv6 dazu zu zählen ist ...

Der Server hat zwar immer die gleiche IP, aber über DHCP von der Fritzbox zugeteilt - da ist das entsprechende Häkchen gesetzt .. ansonsten gibt sich die Fritzbox bei der Namensauflösung für den Server zickig ...

 

[hajodele]

Der Server hat zwar immer die gleiche IP, aber über DHCP von der Fritzbox zugeteilt - da ist das entsprechende Häkchen gesetzt .. ansonsten gibt sich die Fritzbox bei der Namensauflösung für den Server zickig ...

und hat den Vorteil, dass eine Änderung des IP-Ranges wesentlich einfacher ist.

 

[addicted]

wenn man den Server eh nicht "von außen" erreichen will

Wenn das so ist, musst Du Dir über die Adressierung keine Gedanken machen. Aber, wie rv112 schon sagte, Firewall solltest Du trotzdem haben.
Bei der Fritzbox kenne ich mich nur so grob aus, aber imho hat die für IPv6-eingehend sowieso alles dicht, was Du nicht explizit freigibst.

könnte es sein, dass einige Linux Repositories in Zukunft nicht mehr per IPv4 erreichbar sein werden

Unwahrscheinlich. Es gibt auch noch haufenweise Spiegelserver. Aber vielleicht wird es irgendwann einmal langsamer, via v4 herunterzuladen.

Was meint Ihr?

Ganz ehrlich? Ich würde so langsam über v6-only nachdenken. Bei mir im Netz ist nurnoch auf v4, was ich noch nicht durch zeitgemäßes ersetzt habe.
Natürlich haben weiterhin alle Geräte die es brauchen eine v4-Adresse, aber Dienste laufen fast alle schon nur noch auf v6.

 

[ttimpe]

Einfach ordentliches DNS aufsetzen und sich über IP-Adressen keine Sorgen mehr machen. Dann alle Clients sich per DHCP in den DNS eintragen lassen. Ich würde den Server generell so absichern, dass er auch innerhalb deines Netzes so geschützt ist, als wäre er öffentlich verfügbar.

 

[boba]

Da das Standard-Protokoll im Internet ipv6 ist und ipv4 als legacy mitgeschleppt wird, macht es keinen Sinn ipv6 auf einer Maschine auszuschalten. Stattdessen ist es angebracht, das System mittels Firewall entsprechend abzusichern.

Beim Betrieb im heimatlichen Netz sichert man einen nur lokal verwendeten Server in 2 Firewalls ab: zum einen die Firewall deines Routers, in dem man schlicht und ergreifend hereinkommende Verbindungen blockiert (bzw. gar nichts freigibt, denn gute moderne Router erlauben standardmäßig schon keinerlei eingehende Verbindungen). Zum anderen auf der Firewall des Servers selbst, in der man nur die Ports aufmacht, an denen tatsächlich Dienste lauschen, die man nutzt.

Letzteres sollte man auf jeder Kiste im Netz tun, egal ob sie als Server oder als Client verwendet werden. Die Standardeinstellung sollte sein, dass ausgehende Verbindungen grundsätzlich erlaubt sind und eingehende Verbindungen grundsätzlich geblockt. Hat man dann Dienste, die eingehende Verbindungen erwarten, erstellt man für genau diesen Dienst eine Ausnahmeregel, die die eingehende Verbindung auf dem Port erlaubt, den der Dienst benutzt. Man sollte jede Maschine im lokalen Netz firewallmäßig so konfigurieren, als ob sie direkt im Internet hängt. Es sollte keine Maschine mehr geben, die ohne lokale aktive Firewall läuft.

 

[rv112]

Exakt. Wer nichts explizit erlaubt, bekommt auch nix rein. Von daher können auch keine Fehler passieren.
Und bei einem public Server sollte dieser eh in einer DMZ hängen.

 

[sch4kal]

Leute ohne entsprechende Vorbildung sollten es generell tunlichst meiden, Homeserver im Internet zu betreiben.
Fachleuten sollten ohnehin wissen, wie man einen Dienst im Netz grundsätzlich absichert.

 

[MartinP_Do]

Homeserver im Internet zu betreiben.

Das will ich doch gerade gar nicht ...

 

[harv]

Wenn du der Fritzbox nicht traust (in Bezug auf die Weiterleitung von IpV6 Adressen), schalt halt am Server IpV4 only. IpV4 wirst du vermutlich mit lokalen Adressen und NAT betreiben? Falls Ipv6 gebraucht wird, kann man es ja jederzeit aktivieren.
Ich habe an meinem Hauptrechner unter Linux meistens auch Ipv4-only, da ich bei Mischbetrieb schon oft längere Wartezeiten bei Aufruf von Webseiten festgestellt hatte, und ich benutze sowohl bei ipv4 als auch 6 nicht die UM-DNS-Server.
Nur wenn der CGN-Server dicht ist versuche ich es mit IPv6, sofern die gewünschten Seiten das unterstützen. Ist halt Mist, dass viele Sides noch gar kein Ipv6 unterstützen, sonst würde ich ganz darauf gehen (ich traue, nach ausführlichen Weiterleitungstests mit ipv6, meiner Fritzbox -7390 hinter TC7200 als Routerkaskade) .
Aber wenn man von so Fehlern liest, wie vor einigen Tagen in dem Telekom-Router
( https://www.heise.de/ct/artikel/Warum-eine-komplette-Arztpraxis-offen-im-Netz-stand-4590103.html ), kann man schon ins Grübeln kommen.

 

[Torsten1973]

Wieso liest man sowas eigentlich IMMER über die Telekom? Bei UM hab ich solche Faux-pas jedenfalls in der Menge noch nicht erlebt/gelesen...

 

[harv]

Zum anderen auf der Firewall des Servers selbst, in der man nur die Ports aufmacht, an denen tatsächlich Dienste lauschen, die man nutzt.

Letzteres sollte man auf jeder Kiste im Netz tun, egal ob sie als Server oder als Client verwendet werden. Die Standardeinstellung sollte sein, dass ausgehende Verbindungen grundsätzlich erlaubt sind und eingehende Verbindungen grundsätzlich geblockt.

Auf meinem Server sind nur Ports offen, an denen genutzte Dienste aktiv sind. Wozu also noch eine eingehende FW? Die blockiert dann Ports, die eh zu sind.

Lokale FWs machen imo nur Sinn für ausgehende Ports (genutzt von eingefangenen Trojanern/Viren), die nicht zu den Standardports (80,443, smb/cifs etc) gehören. Ansonsten sollten auf einem normalen Rechner keine Dienste irgendwelche Ports öffnen, so dass ein eingehendes Blocken überflüssig ist (ok, Theorie und Praxis, bzw. Linux vs. Windows-Clients)

 

[boba]

Man betreibt immer eine lokale Firewall, und zwar aus mehreren Gründen:

• um zu verhindern, dass unautorisiert oder aus Versehen gestartete Dienste genutzt werden können. Die lauschen dann zwar an ihren Ports, dort kommen aber aufgrund der Firewall grundsätzlich keine Pakete an. Das härtet den Rechner gegen unautorisierte oder unerwartete Nutzung von Serverdiensten, zu denen in diesem Fall auch Trojanische Pferde gehören, die auf Verbindungsanfragen warten.
• um zu verhindern, dass Datenmüll an die Ports gesendet wird, der nicht zu einer Verbindung gehört. Eine stateful Firewall lässt nur Pakete einer aktiven tcp Verbindung durch und verwirft alle Pakete, die nicht zu einer aktiven tcp Verbindung gehören. Das härtet den tcp/ip Stack des Rechners gegen Angriffe.

Ausgehende Ports sperrt man in einem Heimnetz nur, wenn man Kontrollfetischist ist, echte Paranoia, zuviel Nerven und zuviel Zeit hat. Zuviel Zeit und Nerven unter dem Gesichtspunkt, dass man erst jeden ausgehenden Scheiss in der Firewall freigeben muss, wenn man mal irgendwas zum ausprobieren installiert. Die Fehlersuche, wenn dann mal was nicht geht, ist einfach zu umständlich. Das Netz ist schon umständlich genug, man muss es nicht noch umständlicher machen. Da wirkliche Angreifer von innen die praktisch immer freigegebenen Ports 80 oder 443 nutzen, ist dieser Schutz ohnehin weitgehend wirkungslos.

In einem Firmennetz sieht das anders aus, da gibt man grundsätzlich keinerlei Direktverbindungen ein- und ausgehend auf Maschinen im Intranet frei. Ohne Ausnahme. Da gibt es ganz andere Netzkonzepte wie DMZ für Server mit eingehenden Verbindungen vom Internet auf den Server und Proxy für Zugriffe vom Intranet ins Internet. Dennoch hat es sich als best practice eingebürgert (das ist erst in den letzten Jahren gekommen), dass man auch im Firmen-Intranet alle Maschinen mit ihrer lokalen Firewall so abschottet als ob sie direkt im Internet stünden. Auch Intranet-Webserver und andere Verbindungen laufen verschlüsselt (https, Fileserver) und haben ihre Datensicherheit so konzipiert, als ob sie direkt im Internet stehen würden.

 

[harv]

Man betreibt immer eine lokale Firewall, und zwar aus mehreren Gründen:

• um zu verhindern, dass unautorisiert oder aus Versehen gestartete Dienste genutzt werden können. Die lauschen dann zwar an ihren Ports, dort kommen aber aufgrund der Firewall grundsätzlich keine Pakete an. Das härtet den Rechner gegen unautorisierte oder unerwartete Nutzung von Serverdiensten, zu denen in diesem Fall auch Trojanische Pferde gehören, die auf Verbindungsanfragen warten.
• um zu verhindern, dass Datenmüll an die Ports gesendet wird, der nicht zu einer Verbindung gehört. Eine stateful Firewall lässt nur Pakete einer aktiven tcp Verbindung durch und verwirft alle Pakete, die nicht zu einer aktiven tcp Verbindung gehören. Das härtet den tcp/ip Stack des Rechners gegen Angriffe.

Fall 1 gebe ich dir recht, wenn ein Trojaner zB von innen via 443 nach aussen kommuniziert und als Rückgabeport einen von ihm freigegeben benutzt.

Bei Fall 2 hilft normalerweise die vorgeschaltete Firewall des Routers, heute ja im allgemeinen eine SPI. Oder erwartest du DOS-Angriffe im LAN?

Noch besser als lokale FW auf jedem Client ist Schulung der Nutzer und Brain 1.0

(OK, ich habe meistens mit LinuxClients zu tun, da ist die Gefahr von "versehentlich" installierter Software entschieden geringer. Im Windowsumfeld würde ich mich wohl auch mit der lokalen FW exkulpieren.)

 

[boba]

Ich mag da jetzt ehrlich gesagt nicht im einzelnen dran herumdiskutieren. Ich habe den Stand der Technik beschrieben. Ich bin vom Fach, ich versichere dir dass das heute Stand der Technik ist und üblich.
Eine recht ausführliche Auflistung von best practice auf hoher Abstraktionsebene, allerdings rein auf Firmennetze bezogen, findest du hier: https://www.netwrix.com/network_security_best_practices.html Das habe ich nach kurzer Suche als Referenz gefunden - es gibt sicherlich dutzende solcher Guidelines. Zu beachten ist, dass man aktuelle Beschreibungen heranzieht und keine veralteten. Der genannte Guide ist neu und aktuell, was man dadurch sieht, wie dort Virtualisierung und SDN (software defined networking) Erwähnung findet.