Portfreigabe im extra Netz?

[Don-DCH]

Guten Abend,

ich habe gelesen, dass wenn man beim Router eine Portfreigabe macht welche man nur an einem speziellen Port zuordnen kann, woran dann der Server/NAS angeschlossen ist ist das sicherer wie allgemein den Port freizugeben im Netzwerk mit anderen Geräten.
Wenn ich jedoch eine Portfreigabe mache zeigt der Router doch nur auf das eine Gerät und auch nur auf den Zielport an NAS. Oder verstehe ich hier etwas falsch?

Viele Grüße
und einen schönen Abend zusammen

 

[Raijin]

Bei einem 08/15 Router geht das sowieso nicht, weil die vermeintlichen 4 LAN-Schnittstellen tatsächlich nur eine sind, mit einem Switch-Chip auf 4 Ports aufgebohrt. D.h. aus Sicht des Routers gibt es nur WAN und LAN, aber nicht LAN1, LAN2, etc.

Eine Portweiterleitung ist immer nur so "sicher" wie ihr Ziel. D.h. wenn du zB die Weboberfläche deines NAS mittels Portweiterleitung erreichbar machst und das Passwort aus admin/admin besteht, ist die Portweiterleitung .. .. naja .. .. nicht besonders sicher. Wenn hingegen ein komplexes Passwort dahintersteht und zudem noch eine verschlüsselte Verbindung hergestellt wird (zB https), dann ist die Weiterleitung auch sicher - bis die nächste Sicherheitslücke in https auftaucht , etc.


Separate Ports am Router beziehen sich auf fortgeschrittene Router, die ihre LAN-Ports eben nicht zwangsweise in einen internen Switch quetschen, sondern auch tatsächlich als separate Interfaces mit eigenem IP-Bereich, eigenem DHCP-Server, eigener Firewall, etc. splitten können. Dann kann man einen Server in ein eigenes separates Netzwerk packen und selbst wenn der mal gehackt werden würde, kommt der Hacker aus diesem Netzwerk nicht ins Hauptnetzwerk. Das nennt sich DMZ, setzt aber eine erweiterte Konfiguration voraus, insbesondere der Firewall.

 

[n0dau42]

Ports öffnen und Port Weiterleitung ist n Unterschied.
Wenn du eine Portweiterleitung auf eine IP in deinem lokalen Netz machst, dann ist auch nur dieses Gerät von außen erreichbar.

 

[leipziger1979]

Wenn ich jedoch eine Portfreigabe mache zeigt der Router doch nur auf das eine Gerät

Richtig. Bei einer Portfreigabe/weiterleitung gibst den Port für ein bestimmtes Gerät im LAN frei um es aus dem Internet zu erreichen.

 

[Don-DCH]

Guten Abend, danke euch für die Antworten.
Also ist das Problem, dass wenn mein NAS gehackt wird, dass der Angreifer Zugriff auf mein Heimnetz hat, aber die Portweiterleitung ermöglicht es, wie ich es gesehen habe nicht, dass man an andere Geräte irgendwie drankommen kann ohne das Weitergeleitete Gerät gehackt zu haben.

Bezüglich des Routers weiß ich, dass AVM leider nur einen Switch hinter den eigentlichen Port klemmt, damit man 4 Anschlüsse hat. Ich habe aber schonmal nach Alternativen geschaut und liebäugel gerade mit einem Synology Router

Stimmt DMZ wäre wohl das Beste.
Ich danke euch und wünsche euch einen schönen Restabend!

 

[Raijin]

Eine Portweiterleitung geht immer direkt auf das Ziel. Der Router reicht die Datenpaketen 1:1 durch, nicht nach links, nicht nach rechts, sondern immer geradeaus zum Ziel.

Stell dir einen Snackautomaten vor. Alle Fächer sind zu, 5cm dickes Panzerglas. Erst wenn bezahlt und eine Nummer eingetippt wird (= Portweiterleitung), kann man dieses eine Fach öffnen und durch die Scheibe hindurch auf das Sandwich zugreifen, den Dienst auf der lokalen Ziel-IP. Die anderen Fächer bleiben weiterhin zu.
Man kann aber mit Gewalt durch die Seitenwand des offenen Fachs brechen (potentiell dünnes Glas) und sich die Frikadelle daneben krallen. Das wäre analog zur Übernahme des weitergeleiteten potentiell unsicheren Dienstes bzw. des Servers und die anschließende Infiltration des restlichen Netzwerks.

Deswegen sollte man nur solche Dienste über eine Weiterleitung verfügbar machen, die auch entsprechend sicher sind. So wäre zB SMB in seiner ursprünglichen Form überhaupt nicht für den Betrieb außerhalb eines vertrauenswürdigen Netzwerks gedacht. Leitet man dennoch die SMB-Ports weiter, kann ein Angreifer im worst case den Server übernehmen. Um beim Snackautomaten zu bleiben: Die Seitenwände des SMB-Fachs wären aus Plastik... Ein VPN-Fach hätte hingegen auch an den Seiten Panzerglas