145971
Apr 02, 2022, updated at Apr 04, 2022 (UTC)
2922
9
0
Router als VPN Server oder eigenständiges Gerät?
Hallo,
ich habe bislang folgene Situation:
Fritzbox -- LAN -- Synology NAS
An der Fritzbox habe ich den VPN Port offen zur Synology NAS - diese spielt u.a. openVPN Server.
Was wäre in Augen sicherer?
Fritzbox als VPN Server spielen lassen (ohne einen Port öffnen zu müssen) oder die o.g. Situation?
Habe vorhin einen Foreneintrag gelesen (ähnliche Situation), wo ein VPN Server hinter der Fritzbox sicherer sein soll:
Was haltet ihr davon?
ich habe bislang folgene Situation:
Fritzbox -- LAN -- Synology NAS
An der Fritzbox habe ich den VPN Port offen zur Synology NAS - diese spielt u.a. openVPN Server.
Was wäre in Augen sicherer?
Fritzbox als VPN Server spielen lassen (ohne einen Port öffnen zu müssen) oder die o.g. Situation?
Habe vorhin einen Foreneintrag gelesen (ähnliche Situation), wo ein VPN Server hinter der Fritzbox sicherer sein soll:
In beiden Fällen (VPN-Server auf FritzBox +VPN-Server auf Gerät hinter FritzBox) muss ein möglicher Angreifer den VPN-Server (VPN-Dienst) des Geräts "hacken", auf dem der VPN-Server läuft.
- ein Angreifer hackt den VPN-Server deiner FritzBox hackt -> der Angreifer ist in deinem Netzwerk.
- ein Angreifer hackt den VPN-Server eines VPN-Routers hinter deiner FritzBox -> der Angreifer ist in deinem Netzwerk.
Den VPN-Server auf einem Gerät hinter deiner FritzBox laufen zu lassen, würde dir (zum Beispiel bei einem Rasberry Pi) die Möglichkeit bieten die Quell-IPs einzuschränken, die eine VPN-Einwahl machen dürfen. In der Praxis wiederum beschränkt man die Quell-IPs wiederum selten, weil die Einwahl von unbekannten Quell-IPs (z. B. über das Mobilfunknetz) erfolgt. Folglich ist die Einwahl in beiden Fällen (VPN-Server auf der FritzBox + VPN-Server auf VPN-Router hinter der FritzBox) von x-beliebigen Quell-IPs möglich.
Fragt sich am Ende nur, welchen VPN-Server (VPN-Dienst) der Angreifer besser hacken kann, den der FritzBox oder den, der auf einem Gerät hinter deiner FritzBox läuft.
Deine FritzBox ist von extern über mehr Ports erreichbar als ein VPN-Router hinter deiner FritzBox, an den nur genau 1 Port per DNAT (Portweiterleitung) durchgereicht wird. Die FritzBox bietet also eine größere Angriffsfläche als ein Raspberry Pi mit aktuellem Update-Stand und sicher konfiguriertem VPN-Server.Was haltet ihr davon?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2381640940
Url: https://administrator.de/contentid/2381640940
Printed on: April 23, 2024 at 23:04 o'clock
9 Comments
Latest comment
Moin,
Fritzbox als VPN Server spielen lassen (ohne einen Port öffnen zu müssen)
So solltest Du tun.
Gruß...
Uwe
Fritzbox als VPN Server spielen lassen (ohne einen Port öffnen zu müssen)
So solltest Du tun.
Gruß...
Uwe
Hallo Ben,
Ansonsten: Weder Fritzbox noch Synology.
Ich persönlich finde die Lösung über den Pi sehr charmant und sicher, weil der Pi ein gut und schnell supportetes System hat (unattended-upgrades aktivieren!) und zusätzliche Schutzmechanismen (z.B. Fail2Ban) aktiviert werden können.
Kollege @aqui, der Netzwerkmeister hier im Forum mag das aber nicht so, der favorisiert immer eine Lösung auf der Peripherie (also bei Dir Fritzbox). Obgleich ich eine stichhaltige technische Argumentation hierzu noch nicht gelesen habe.
Die Lösung auf der Peripherie (da gehe ich bei dem Zitat mit) ist m.E. aber nur sicherer, wenn das Gerät, dass das VPN beherbergt, auch zuverlässig gewartet wird. Ob da AVM besser ist als Synology (die kürzlich erst wochenlang eine Lücke im VPN nicht fixen konnten), weiß ich nicht.
Für zuhause ist Fritzbox sicher genügend. Mit dem Pi hast Du aber ein vergleichsweise bequemes OpenVPN.
Viele Grüße, commodity
Zitat von @145971:
Habe vorhin einen Foreneintrag gelesen
den Du vielleicht mit einem Link hättest einbringen können.Habe vorhin einen Foreneintrag gelesen
Was haltet ihr davon?
Wenn Teufel oder Beelzebub, dann gehe ich mit dem Kollegen @transocean.Ansonsten: Weder Fritzbox noch Synology.
Ich persönlich finde die Lösung über den Pi sehr charmant und sicher, weil der Pi ein gut und schnell supportetes System hat (unattended-upgrades aktivieren!) und zusätzliche Schutzmechanismen (z.B. Fail2Ban) aktiviert werden können.
Kollege @aqui, der Netzwerkmeister hier im Forum mag das aber nicht so, der favorisiert immer eine Lösung auf der Peripherie (also bei Dir Fritzbox). Obgleich ich eine stichhaltige technische Argumentation hierzu noch nicht gelesen habe.
Die Lösung auf der Peripherie (da gehe ich bei dem Zitat mit) ist m.E. aber nur sicherer, wenn das Gerät, dass das VPN beherbergt, auch zuverlässig gewartet wird. Ob da AVM besser ist als Synology (die kürzlich erst wochenlang eine Lücke im VPN nicht fixen konnten), weiß ich nicht.
Für zuhause ist Fritzbox sicher genügend. Mit dem Pi hast Du aber ein vergleichsweise bequemes OpenVPN.
Viele Grüße, commodity
Was wäre in Augen sicherer?
Auch als Laie sollte man wissen das VPNs generell in der Peripherie gehören und damit auf Router und Firewall. Das Warum liegt auf der Hand, denn in deinem Konstrukt musst du ein Loch in deine Firewall bohren und so ungeschützten Traffic in dein ansonsten geschütztes lokales LAN leiten. Das ist an sich schon ein sicherheitstechnisches NoGo.Das dann noch auf einem so zentralen und besonders schützenswerten Gerät wie einem NAS zu terminieren muss man in einem Administrator Forum sicher nicht weiter kommentieren.
Da ist dann der Workaround mit dem Pi o.a. wie vom Kollegen @commodity oben angesprochen schon besser. Er löst aber nicht den gravierenden Nachteil Firewall Ports zu öffnen ins interne LAN.
Ist ja auch vollkommen überflüssig und damit sinnfrei wenn man schon einen VPN fähigen Router wie die FritzBox besitzt der sowas problemlos löst:
https://avm.de/service/vpn/uebersicht/
Hallo Kollege @aqui,
Warum ist ein weitergeleiteter ("gebohrter") Port eine Gefahr? Der weitergeleitete Traffic springt ja wohl nicht frei im Netz herum. Entscheidend ist nach meinem Verständnis (also nur) die Sicherheit des von der Weiterleitung erreichten Gerätes. Wie in dem Zitat des TO auch schon beschrieben wird: Ist das Peripherie-Gerät gehackt, ist die Situation ja wohl kaum besser.
Viele Grüße, commodity
... musst du ein Loch in deinen Firewall bohren und so ungeschützten Traffic in dein ansonsten geschütztes lokales LAN leiten. Das ist an sich schon ein NoGo.
Das schreibst Du ja öfter, bitte erkläre doch mal das technische Warum. So beschrieben ist das pauschal und (ungewohnt) untechnisch.Warum ist ein weitergeleiteter ("gebohrter") Port eine Gefahr? Der weitergeleitete Traffic springt ja wohl nicht frei im Netz herum. Entscheidend ist nach meinem Verständnis (also nur) die Sicherheit des von der Weiterleitung erreichten Gerätes. Wie in dem Zitat des TO auch schon beschrieben wird: Ist das Peripherie-Gerät gehackt, ist die Situation ja wohl kaum besser.
Viele Grüße, commodity
Muss ich jetzt zur vorstehenden Frage dumm sterben?
Viele Grüße, commodity
Viele Grüße, commodity
Oh, sorry...nein das musst du natürlich nicht.
Wenn du einen Server, NAS etc. im internen LAN betreibst auf den du von außen zugreifen willst ist das per se ja unmöglich weil die Router Firewall und auch die NAT Session Table das verhindert. Du musst also in dem Fall irgendwie dafür sorgen das Traffic aus dem Internet an dein Endgerät im lokalen LAN gelangen kann.
Das geht dann gemeinhin über Port Forwarding indem du dem Router/Firewall sagst: "Hey Alter alles was hier mit Destination Port UDP xyz an der WAN IP ankommst forwardest du aufs interne NAS mit der IP 192.168.178.20"
Schlimm sind dann noch diese Router die noch nicht einmal zw. UDP und TCP unterscheiden können so das man dann immer gleich 2fach öffnet.
Das hebelt dann sowohl die Firewall als auch die NAT Session Tabelle aus. Der Router kann weder prüfen wer sich hinter dem Absender befindet und ob der überhaupt diesen Traffic senden darf, noch was im Paket wirklich ans Ziel transportiert wird.
Mit anderen Worten...Risiko. Jeder im weltweiten Internet der diese Credentials nutzt landet dann auf dem lokalen NAS. Lokale Endgeräte sind ja in der Regel wenig bis gar nicht geschützt. Folglich exponiert man das Endgerät ungeschützt diesem Traffic. Es gibt weitere Tricks um auch das lokale LAN unter seine Hoheit zu bringen würde diesen Thread aber sprengen.
Genau das ist der Grund warum man das besser bleiben lassen sollte.
Wer einmal mit einem Wireshark oder anderem Monitoring das tägliche Scannen von WAN Adressen im Subsekundentakt gesehen hat weiss sofort warum.
Klar kann man das machen aber ein Restrisiko bleibt immer. Normal hat ungeschützter Verkehr von außen nichts im lokalen LAN zu suchen. Eine Binsenweisheit....
VPN = Peripherie
Wenn du einen Server, NAS etc. im internen LAN betreibst auf den du von außen zugreifen willst ist das per se ja unmöglich weil die Router Firewall und auch die NAT Session Table das verhindert. Du musst also in dem Fall irgendwie dafür sorgen das Traffic aus dem Internet an dein Endgerät im lokalen LAN gelangen kann.
Das geht dann gemeinhin über Port Forwarding indem du dem Router/Firewall sagst: "Hey Alter alles was hier mit Destination Port UDP xyz an der WAN IP ankommst forwardest du aufs interne NAS mit der IP 192.168.178.20"
Schlimm sind dann noch diese Router die noch nicht einmal zw. UDP und TCP unterscheiden können so das man dann immer gleich 2fach öffnet.
Das hebelt dann sowohl die Firewall als auch die NAT Session Tabelle aus. Der Router kann weder prüfen wer sich hinter dem Absender befindet und ob der überhaupt diesen Traffic senden darf, noch was im Paket wirklich ans Ziel transportiert wird.
Mit anderen Worten...Risiko. Jeder im weltweiten Internet der diese Credentials nutzt landet dann auf dem lokalen NAS. Lokale Endgeräte sind ja in der Regel wenig bis gar nicht geschützt. Folglich exponiert man das Endgerät ungeschützt diesem Traffic. Es gibt weitere Tricks um auch das lokale LAN unter seine Hoheit zu bringen würde diesen Thread aber sprengen.
Genau das ist der Grund warum man das besser bleiben lassen sollte.
Wer einmal mit einem Wireshark oder anderem Monitoring das tägliche Scannen von WAN Adressen im Subsekundentakt gesehen hat weiss sofort warum.
Klar kann man das machen aber ein Restrisiko bleibt immer. Normal hat ungeschützter Verkehr von außen nichts im lokalen LAN zu suchen. Eine Binsenweisheit....
VPN = Peripherie
Danke Dir, ich denke (weiter) drüber nach.
Auf den ersten Blick glaube ich, Du beschreibst das zu allgemein und es bleiben noch ein paar Fragen:
Es ist schon klar, dass geforwardeter Traffic ungeprüft bis zum Endgerät geht. Worauf ich hinaus wollte und wir uns wohl einig sind:
Er geht auch nur dorthin.
Am Endgerät gilt dann:
a) Läuft da kein Dienst, wird der Traffic verworfen. Schlimmstenfalls kann er als DDoS ein Problem sein.
b) Läuft da ein Dienst, ist dieser für jedermann erreichbar. Es kommt dann darauf an, dass der Dienst sicher und korrekt konfiguriert bzw. das Endgerät geschützt ist. Du verwendest hier den Begriff "lokale Endgeräte ... nicht geschützt" sehr generell. Was an einem PC oder Multi-NAS so alles offen sein kann und wie da der Schutzstatus ist, ist für den Home-Anwender vielleicht nicht so klar. Also VPN da drauf? Eher nicht.
Ein spezifisches VPN-Device aber, z.B. ein Raspi, der dazu eingesetzt wird, ist doch nicht weniger "geschützt", als der VPN-Router selbst. Im Gegenteil: Ich bezweifle, dass die Fritzbox einen Fail2Ban-Check macht. Und der Raspi bekommt auch schneller seine Updates als die Fritze. Was kann ich sichereres haben, als ein aktuelles Linux? In Deinem Sinne hängen Hunderttausende Linux-Server "ungeschützt" im Internet. Ich sehe nicht, warum ein freier VPN-Port unsicherer sein soll, als ein SSH-Port. Entscheidend ist der Zustand des Systems.
Was ich konzediere: Bei einem Fehler (Bug/Fehlkonfiguration) auf dem lokalen VPN-Gerät ist der böse Bube natürlich sogleich im lokalen LAN. Aber ist das bei einem Fehler auf dem Peripheriegerät wirklich anders?
Für den Laien ist Dein Merksatz natürlich als Faustregel ok. Für hier im Forum ist mir der Satz
Und schließlich: Wie ist es im Big Business (wo ich mich nicht auskenne)? Die haben doch spezifische VPN-Gateways. Die liegen doch nicht an der Peripherie sondern hinter der Firewall? Fraglos in einem eigenen gefirewallten Netzsegment - aber eben nicht an der Peripherie...
Viele Grüße, commodity
Auf den ersten Blick glaube ich, Du beschreibst das zu allgemein und es bleiben noch ein paar Fragen:
Es ist schon klar, dass geforwardeter Traffic ungeprüft bis zum Endgerät geht. Worauf ich hinaus wollte und wir uns wohl einig sind:
Er geht auch nur dorthin.
Am Endgerät gilt dann:
a) Läuft da kein Dienst, wird der Traffic verworfen. Schlimmstenfalls kann er als DDoS ein Problem sein.
b) Läuft da ein Dienst, ist dieser für jedermann erreichbar. Es kommt dann darauf an, dass der Dienst sicher und korrekt konfiguriert bzw. das Endgerät geschützt ist. Du verwendest hier den Begriff "lokale Endgeräte ... nicht geschützt" sehr generell. Was an einem PC oder Multi-NAS so alles offen sein kann und wie da der Schutzstatus ist, ist für den Home-Anwender vielleicht nicht so klar. Also VPN da drauf? Eher nicht.
Ein spezifisches VPN-Device aber, z.B. ein Raspi, der dazu eingesetzt wird, ist doch nicht weniger "geschützt", als der VPN-Router selbst. Im Gegenteil: Ich bezweifle, dass die Fritzbox einen Fail2Ban-Check macht. Und der Raspi bekommt auch schneller seine Updates als die Fritze. Was kann ich sichereres haben, als ein aktuelles Linux? In Deinem Sinne hängen Hunderttausende Linux-Server "ungeschützt" im Internet. Ich sehe nicht, warum ein freier VPN-Port unsicherer sein soll, als ein SSH-Port. Entscheidend ist der Zustand des Systems.
Es gibt weitere Tricks um auch das lokale LAN unter seine Hoheit zu bringen
Dieser Teil wäre vielleicht interessant und überzeugender.Was ich konzediere: Bei einem Fehler (Bug/Fehlkonfiguration) auf dem lokalen VPN-Gerät ist der böse Bube natürlich sogleich im lokalen LAN. Aber ist das bei einem Fehler auf dem Peripheriegerät wirklich anders?
Für den Laien ist Dein Merksatz natürlich als Faustregel ok. Für hier im Forum ist mir der Satz
Das ist an sich schon ein sicherheitstechnisches NoGo.
noch zu dünne.Und schließlich: Wie ist es im Big Business (wo ich mich nicht auskenne)? Die haben doch spezifische VPN-Gateways. Die liegen doch nicht an der Peripherie sondern hinter der Firewall? Fraglos in einem eigenen gefirewallten Netzsegment - aber eben nicht an der Peripherie...
Viele Grüße, commodity
Im Big Business ist die Firewall meist das VPN Gateway und lässt dann mit einem strikten Regelwerk nur bestimmte Dienste und Netze zu. Zusätzlich wird da meistens mit IPS/IDS Diensten noch genau hingesehen.
Alternativ in einer DMZ mit einem VPN Gateway was dann ebenfalls ein striktes Regelwerk plus IPS/IDS hat.
Im Heise Ticker war mal ein Artikel wie man einen remoten Adresss- und Portscan von außen über ein Trittbrett via Port Forwarding initiiert. Muss ich mal suchen... Der Aufwand war schon etwas größer und nicht so einfach per Mausklick zu machen.
Im Grunde ist es immer die eigene Entscheidung des Admins wo sein Security Level bzw. Policy ist. Einzig der bestimmt ja was man will oder nicht will so das diese Diskussion immer relativ ist.
Wenn es so trivial wäre könnte man ja auch im Big Business oder generell einfach Port Forwarding auf einen Windows Server machen... Machen Vernünftige aber nicht.
Alternativ in einer DMZ mit einem VPN Gateway was dann ebenfalls ein striktes Regelwerk plus IPS/IDS hat.
Im Heise Ticker war mal ein Artikel wie man einen remoten Adresss- und Portscan von außen über ein Trittbrett via Port Forwarding initiiert. Muss ich mal suchen... Der Aufwand war schon etwas größer und nicht so einfach per Mausklick zu machen.
Im Grunde ist es immer die eigene Entscheidung des Admins wo sein Security Level bzw. Policy ist. Einzig der bestimmt ja was man will oder nicht will so das diese Diskussion immer relativ ist.
Wenn es so trivial wäre könnte man ja auch im Big Business oder generell einfach Port Forwarding auf einen Windows Server machen... Machen Vernünftige aber nicht.
Danke Dir,
Wir sind uns aber einig, dass die spezifische Sicherheit des VPN-Server(-Gerätes) ein maßgebliches Kriterium ist?
Und was ist, wenn das Perimeter Gerät eine Lücke hat? Gerade bei dem ganzen BlackBox-Zeug (wozu ich die Fritzbox zähle) finde ich es sicherer, das VPN auf ein kontrollierbares Gerät zu legen.
Viele Grüße, commodity
Wir sind uns aber einig, dass die spezifische Sicherheit des VPN-Server(-Gerätes) ein maßgebliches Kriterium ist?
Und was ist, wenn das Perimeter Gerät eine Lücke hat? Gerade bei dem ganzen BlackBox-Zeug (wozu ich die Fritzbox zähle) finde ich es sicherer, das VPN auf ein kontrollierbares Gerät zu legen.
remoten Adresss- und Portscan von außen über ein Trittbrett via Port Forwarding
kann ich kaum glauben. Das kann doch nur funktionieren, wenn der Dienst hinter der Freigabe so etwas zulässt.Viele Grüße, commodity
