[Webserver] Sicherheit mit Server im Heimnetz

G

Galaxydriver

treuer Stammgast
Sicherheit mit Server im Heimnetz

Hallo,

derzeit habe ich ein ein lokales (heterogenes) Netzwerk mit Windows und Linux-Rechnern, das hinter einem Router hängt.

Ich möchte einen eigenen Server anbieten, auf dem die Ports für HTTP und FTP freigeschalten werden sollen. Allerdings soll keinerlei Verbindung zwischen diesem Server und dem lokalen Netzwerk bestehen, damit beigehacktem Server mein Netzwerk nicht angegriffen werden kann.

Ich habe gehört, dass ich eine DMZ aufbauen muß, damit ich das erreiche.

Ich würde wie folgt vorgehen:
Die eingehenden Anfragen aus dem Internet treffen zuerst auf den Router, bei dem ich diese HTTP- und FTP-Ports freischalte, und der die Anfragen dann an den Server weiterreicht? Dazu muß ich den Sever direkt am Router anstecken, oder?

Dann würde ich einen Rechner mit den zwei den Netzwerkkarten ebenfalls direkt am Router anstecken.
Auf diesem Rechner würde dann eine Software-Firewall agieren, die alle eingehenden Anfragen vom Internet verhindert. Ausgehende Anfragen ans Internet (also aus dem Heimnetz) würden alle durchgelassen werden.

Ist das so sicher genug, dass mein gehackter Server nicht mein Heimnetz bedrohen kann?

cu
Chri
 
DMZ steht für DeMilitarisierte Zone und bedeutet letztendlich, dass diese Zone nicht mehr von der Instanz, auf der die DMZ, definiert ist geschützt wird.

So wie ich das sehe willst du deinen Server gleichzeitig als Webserver und als Router einsetzen, was bei der gegebenen Hardware sicher nicht unbedingt das schlechteste ist. Wie sicher das ist, hängt davon ab wie du den Server konfigurierst und wie gut der "Feind" ist.
 
… So wie ich das sehe willst du deinen Server gleichzeitig als Webserver und als Router einsetzen,...
Zum Vergrößern anklicken....

Nein, der Webserver soll wirklich nur ein Webserver sein. Einen DSL-Router habe ich bereits im Einsatz, der die Aufrufe von Port 80 auf den Webserver umleitet.
Ob DMZ - oder nicht - mir wurde eine DMZ halt mal vorgeschlagen - aber ob das wirklich notwendig ist im Privatbereich, kann ich nicht beurteilen..?
Ich habe nur ein Ziel: Falls mein Webserver gehackt wird (was ich natürlich nicht hoffe :), möchte ich nicht, dass der Hacker über den Server ins Heim-Netzwerk eindringt. Mir ist schon klar, dass ein "sehr guter" Hacker auch jetzt schon in fast jedes Heimnetzwerk eindringen kann - auch ohne Server. -> Aber ich möchte mit Server die Anfriffsfläche für mein Heimnetz nicht vergrössern (dass ein Server ansich ein beliebtes Angriffsziel ist, ist leider das Schicksal eines Servers.. :( - und darum möchte ich mein Heimnetz vom Server abschotten.

Es gibt hier sicher einige (bis viele ;) Erfahrungsträger, die einen Server neben dem bzw. im Heimnetz betreiben.
Wie geht ihr mit dem Thema Sicherheit um?
 
Also DMZ braucht man in meinen Augen nur wenn man zu Faul ist sich schlau zu machen welche Ports man für welches Protokoll zu forwarden.

Sinnvoll wäre es sicherlich den privaten bereich vom Webserver zu trennen sprich sie in unterschiedlichen logischen Netzwerken zu betreiben und auf dem Webserver keinerlei Informationen über das private Netz zu hinterlassen.

Ist die beabsichtigte Lösung etwa so zu verstehen?

Internet-Router-PC als Router (zwei Netzwerkkarten)
................................. privates Netz/ \ Webserver
 
OSI-L8 schrieb:
Also DMZ braucht man in meinen Augen nur wenn man zu Faul ist sich schlau zu machen welche Ports man für welches Protokoll zu forwarden.
Zum Vergrößern anklicken....
Das stimmt nur teilweise - DMZ ist von daher eine nützliche Sache, weil ein DMZ-Rechner physikalisch vom übrigen Netz getrennt wird. Ein Angreifer kann sich auf der gehackten Kiste austoben und dort veranstalten, was er will, aber er kommt nicht auf die übrigen Rechner.

Allerdings kommt nun das große ABER: Viele Home-Router haben ein DMZ-Feature, machen aber aus dem Rechner einen exphosed Host, der komplett offen ist und auch im LAN bleibt.

Siehe hier:
https://www.supernature-forum.de/to...-vorsicht-falle-viele-dmz-sind-gar-keine.html
 
Supernature schrieb:
Allerdings kommt nun das große ABER: Viele Home-Router haben ein DMZ-Feature, machen aber aus dem Rechner einen exphosed Host, der komplett offen ist und auch im LAN bleibt.
Zum Vergrößern anklicken....

Jo und leider habe ich die DMZ bisher nur in diesem Zusammenhang kennenlernen dürfen.

Bezüglich der Trennung dürfte diese doch eher logischer Natur sein, da die DMZ-Funktion ja kein Kabel kappt oder die interne Verdrahtung im Router ändert. Aber nichts desto trotz ich hab mal wieder was gelernt und werde das Thema bei Gelegenheit vertiefen.
 
Einige Homerouter bieten die Option das Netz zu trennen. Falls Du einen solchen hast, wäre das Beispiel einen Versuch wert.

Servernetz:

1. IP-Adresse: 10.20.30.40
letzte IP-Adresse: 10.20.30.50
Adresse des Netzwerks: 10.20.30.32
CIDR-Suffix: 27
Netzwerkmaske: 255.255.255.224
Broadcast-Adresse: 10.20.30.63
Subnet: 255.255.255.0

Homenetz:
1. IP-Adresse: 192.168.0.0
letzte IP-Adresse: 192.168.0.254
Adresse des Netzwerks: 192.168.0.0
CIDR-Suffix: 24
Netzwerkmaske: 255.255.255.0
Broadcast-Adresse: 192.168.0.255
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben