Ist http:/ im Heimnetz unsicher?

Wotan57 · 21. November 2021

Hallo,
ich habe auf einen RaspberryPi 3b und DietPi als BS Synthing installiert um auf mehreren Rechnern meine Daten Syncron zu halten.
Auf den Pi kann ich nur über SSH oder das Dashboard von Dietpi zugreifen, auf das Dashboard wird mit meiner IP Adresse http:/192.168..... und Firefox zugegriffen. Ich kann nicht von ausserhalb darauf zugreifen, was ich auch so will. Nun frage ich ob http:/ ausreicht oder ob ich https:/ brauche?
Wie schon gesagt ich habe keinen Port nach draussen geöffnet.

Banned · 21. November 2021

Warum sollte man https benötigen, wenn man nicht über ein öffentliches Netz kommuniziert? Und WLAN sollte ja ohnehin verschlüsselt sein.

https braucht man nur bei sensiblen Daten über öffentliche Netze, die nicht anderweitig gesichert sind.

PS: Deinen Router im Heimnetzwerk rufst du doch auch nicht mit https, sondern mit http auf.

Rickmer · 21. November 2021

Solange keine http Ports weitergeleitet werden und du keine unbekannten Geräte im Heimnetz hast sollte das völlig egal sein.

Meine Nextcloud spricht mit dem Reverse Proxy auch nur mit http. Erst der Reverse Proxy hat ein öffentliches Zertifikat und erzwingt https.

madmax2010 · 21. November 2021

Verschlüsselung ist relevant, wenn Dritte deine Kommunikation mitlesen könnten. Innerhalb deines heimnetztes ist davon nicht auszugehen, wenn deine Router und Rechner noch regelmäßig Sicherheits Updates erhalten und nicht X unbekannte in deinem Netzwerk hängen

Wotan57 · 21. November 2021

Wenn ich mit den Firefox auf meine FritzBox gehe wird auch angezeigt das es eine Unsichere Verbindung sei.
Natürlich hab ich mein Wlan mit einen langen Passwort abgesichert. Vorgestern hab ich auf einen Pi 4 mit SSD Nextcloud ausprobiert und da wurde ich auch darauf hingewiesen das ich https:/ verenden soll.
Also brauche ich mir da keine Gedanken machen wenn ich keine Ports nach draussen geöffnet habe.

Ergänzung (21. November 2021)

@Rickmer Was meinst du mit

Rickmer schrieb:
Reverse Proxy

sowas wie Nginx oder Promox ?

Helge01 · 21. November 2021

Im eigenen Netz könnte man das machen wenn es entsprechend gesichert ist. Ich habe schon lange alles auf https umgestellt, da man nicht weiß wie lange die Browser http noch unterstützen.

Wotan57 · 21. November 2021

@Helge01 da muss ich mich erst mal informieren wie ich das anstellen muss alles auf https umzustellen.

Rickmer · 21. November 2021

Wotan57 schrieb:
sowas wie Nginx oder Promox ?

Ja, den nginx reverse Proxy.

Es gibt einige gute Anleitungen, wie man den mit Docker relativ easy bereit stellt.

Michael-Menten · 21. November 2021

Damit https überhaupt funktioniert im 192.168.178 block musst du deine eigene, lokale CA aufmachen.

Um's kurz zumachen: im lokalen Heimnetz macht das mehr Probleme als es löst.

Kenny [CH] · 21. November 2021

Wotan57 schrieb:
darauf hingewiesen das ich https:/ ?

Ja klar! Normalerweise wird nextcloud auch via internet freigegeben - zugang von extern - so wie onedrive/dropbox sollten die daten überall verfügbar sein (also das wäre das konzept/idee von nextcloud). Nextcloud ohne https und signed zertifikat kann funktionieren, sollte aber nicht gemacht werden - selbst der nextcloud client wird sich melden ohne signed zert (oder root zert importiert) - keepass wird z.b dir kein zugriff auf die db geben, wenn diese ohne signed zert gehosted wird.

cc_aero · 21. November 2021

Michael-Menten schrieb:
Damit https überhaupt funktioniert im 192.168.178 block musst du deine eigene, lokale CA aufmachen.

Im Heimnetz einfach auch eine "offizielle" dns mit eigenen dns Server einrichten und ein let's encrypt Zertifikat nehmen, schon gibt's keine Probleme mehr. Alternativ geht's mit einer offiziellen Domain +dnydns natürlich auch ohne eigenen dns Server, wenn der Router nat loop back kann.

Wotan57 · 21. November 2021

So wie ich euch bis jetzt verstanden habe kann ich mit http weitermachen solange ich von ausserhalb nicht darauf zugreifen will.
@Rickmer da werde ich mal probieren ob ich das mit Docer und Nginx hinbekomme nach der Anleitung

Banned · 21. November 2021

Helge01 schrieb:
da man nicht weiß wie lange die Browser http noch unterstützen.

Wat? Im Zweifelsfall nimmt man einfach den guten alten Internet Explorer.

Wobei mir so scheint, MS wolle den endgültig einstampfen:

"Wir empfehlen Ihnen vor dem 15. Juni 2022 auf Microsoft Edge umzusteigen, um eine schnellere, sicherere und modernere Browsererfahrung zu genießen." (https://support.microsoft.com/de-de...ndows-10-7248a101-d5dd-bded-d843-d9427c42d60f)

Kenny [CH] · 21. November 2021

cc_aero schrieb:
let's encrypt Zertifikat

Funktioniert zimlich gut mit dyndns - mein provider bietet das direkt an in deren router + domain. Hatte ca 10min um meine nextcloud mit letsencrypt zu sichern via dyndns.

Rickmer · 21. November 2021

Wenn man eine Domäne nutzen will und keine feste IP hat würde ich Strato als Registrar empfehlen. Da funktioniert das DynDNS für mich sehr gut.

Das eigentliche IP Updaten mache ich mit einem netten kleinen Powershell Skript über die Aufgabenplanung.

Wotan57 schrieb:
@Rickmer da werde ich mal probieren ob ich das mit Docer und Nginx hinbekomme nach der Anleitung

Ich hatte eine extrem ähnliche Anleitung von einem anderen Youtuber befolgt.

Der SSLLabs Test wurde mit A+ bestanden: https://www.ssllabs.com/ssltest/index.html

Kenny [CH] · 21. November 2021

Wotan57 schrieb:
So wie ich euch bis jetzt verstanden habe kann ich mit http weitermachen solange ich von ausserhalb nicht darauf zugreifen will.

Wieso reverse proxy? Why not port forward auf den nextcloud+letsencrypt. Was soll dir der reverse proxy bringen in diesem setup? betreibst du div webseiten von deine server aus oder so?
Wann setzte ich reverse proxy ein?
1. Wenn ich nur eine ext ip habe und nur eine server ins netzt hängen möchte + div andere seites (auf anderen server nur intern) zur verfügung stellen muss.
2. Eine webapp kack ports verwendet z.b 8080 für http - sucks to domain.tld:8080

/E: ich würde das mit reverse proxy unterlassen und nextcloud wenn direkt online stellen mit port forward. RP ist eine feine sache aber lohnt sich nicht für dein use case + die extra software kann zu ordentlichen issues führen! Reverse proxy können jenach app super duper mühsam werden zum einrichten/fehlersuche etc pp

madmax2010 · 21. November 2021

Kenny [CH] schrieb:
Wieso reverse proxy? Why not port forward auf den nextcloud+letsencrypt. Was soll dir der reverse proxy bringen in diesem setup? betreibst du div webseiten von deine server aus oder so?

man will php-fpm halt nicht nackig ans netz haengen.
1. Sicherheit
2. Performance

Wotan57 · 21. November 2021

@Kenny [CH] Nein ich ich betreibe keine Webseiten von meinen server aus. Mir ist es ja nur darum gegangen weil ich immer wieder darauf hingewiesen wurde das http nicht sicher ist.Da ich zu diesen Thema absolut keine Ahnung habe frage ich lieber bei Leuten nach die sich da besser auskennen, nur wer fragt und probiert lernt etwas. 1995 wusste ich nichtmal das man einen PC nicht am Netzschalter ausschaltet!

Kenny [CH] · 21. November 2021

madmax2010 schrieb:
man will php-fpm halt nicht nackig ans netz haengen.
1. Sicherheit
2. Performance

Und wo soll der rp laufen auf dem gleichen server? Wenn ja dann hast du weder 1. Noch 2.
Auf einem eigenen server? Okay punkt 1. Kann noch vorhanden sein, jedoch wenn jemand auf deinem rp eindringen kann, wegen einer nginx lücke bist du nicht besser bedient, der angreiffer ist bereits im netzwerk - da hilft dir idr auch kein rp mehr.
Performance wat wie und woher? Solange du kein lb machst zwischen deinen nc's servers bringt dir dein rp keine zusätzliche performance - wie auch? Nc server benötigt selber nginx/webserver etc zum überhaubt laufen. Wenn du noch eine rp davor packst wird das nicht einfach mehr performance geben! Besonders wenn du den rp noch auf die selber hw packst...

Ergänzung (21. November 2021)

Wotan57 schrieb:
@Kenny [CH] Nein ich ich betreibe keine Webseiten von meinen server aus. Mir ist es ja nur darum gegangen weil ich immer wieder darauf hingewiesen wurde das http nicht sicher ist

Alles klar kein ding und kann auch verstehen das man fragt

verstehe nur den reverse proxy nicht, da es imho nicht viel bringt in den meisten fällen. Ausser evtl mehr issues.
Rp auf dem gleichen server wie nc laufen zu lassen würde zb kein sinn ergeben, das macht nur sinn, wenn ein 2. Server vorhanden ist.

Rickmer · 21. November 2021

Für meinen Teil hatte ich den nginx reverse Proxy installiert weil

Ich mir nicht sicher war ob und wann zusätzliche Websites vielleicht hinzukommen, daher lieber direkt flexibel aufstellen
Das Zertifikatsmanagement (letsencrypt natürlich) über die UI des Reverse Proxy (für mich) viel einfacher ist als wenn man es in der Nextcloud Instanz macht
Der Reverse Proxy mit ziemlich guten Standard-Settings daher kommt was Sicherheit angeht (siehe oben - ssltest mit A+ bestanden ohne Aufwand von meiner Seite), während man eine Nextcloud per Hand einstellen muss

Ist http:/ im Heimnetz unsicher?

Lt. Junior Grade

Admiral

Fleet Admiral

Fleet Admiral

Lt. Junior Grade

Commodore

Lt. Junior Grade

Fleet Admiral

Commander

Commodore

Lt. Junior Grade

Lt. Junior Grade

Admiral

Commodore

Fleet Admiral

Commodore

Fleet Admiral

Lt. Junior Grade

Commodore

Fleet Admiral

Ähnliche Themen

Passend zum Thema