Sicherer Netzwerkaufbau für Home-Server

Itchy2

Grand Admiral Special
Mitglied seit
06.04.2002
Beiträge
5.457
Renomée
7
Hallo Zusammen,

ich zermartere mir seit einigen Tagen den Kopf, vielleicht habt ihr ja eine sinnvolle Idee.

Ich habe hier zu Hause ein ganz klassisches Heimnetz. Fritzbox und dahinter einige (viele) Geräte.

Jetzt würde ich gerne eine Nextcloud Instanz hosten (Nutzer: 2 aus dem Haushalt). Ich möchte die Lösung aber gerne sicher gestallten und nicht Tür und Tor zu meinem Netzwerk öffnen.

Folgende Überlegungen dazu:

- Ich setze einen Docker Container (Docker Host für "interne" Anwendungen ist schon vorhanden) mit Nextcloud auf. Dafür muss ich aber mit der Firewall (UFW, Lubuntu LTS) des Hosts noch ein paar "Klimmzüge" machen. Oder: Brauche ich auf dem Host überhaupt eine Firewall, wenn ich nur den Port zum Container weiterleite? Kommt ein "Angreifer" aus dem Container überhaupt "raus"?
- Ich nehme einen separaten PC für die Nextcloud Instanz und mache den relativ stark "dicht". Eigentlich würde ich gerne die MySQL DB aus einem anderen Docker wiederverwenden, aber wird es damit unsicherer? Ich muss ja eine Verbindung zu Docker ermöglichen. Wäre es sicherer, wenn ich alles auf einem separaten PC einrichte (inkl. Datenbank)?
- Wie steht es um die Sicherheit von anderen Clients im Lan? Wie groß ist das Risiko, dass ein Angreifer vom Server auf einen normalen Windows PC zugreift?
- Kann ich ggf. die Portfreischaltung in der Fritzbox nur auf einen bestimmten Lan-Port mappen? Kann man per Fritzbox ein weiters Subnetz (nicht das Gastnetz) eröffnen, um den Server vom "Rest" des Netzwerks zu trennen (das das mit einem zweiten Router geht, ist mir klar).

Danke und viele Grüße
Itchy2
 
- Kann ich ggf. die Portfreischaltung in der Fritzbox nur auf einen bestimmten Lan-Port mappen?
Ist das nicht die Regel beim Port Forwarding? Normal ja, denn woher soll der geöffnete, weitergeleitete Port sonst wissen zu welchem Rechner er zeigen soll. Also, ja!
Kann man per Fritzbox ein weiters Subnetz (nicht das Gastnetz) eröffnen, um den Server vom "Rest" des Netzwerks zu trennen (das das mit einem zweiten Router geht, ist mir klar).
Nein, jedenfalls keines welches mit einem DHCP Server bedient wird. Evtl. kannst du den Nextcloud Server in ein anderes Subnetz packen und per Statischer Route in der Fritzbox einbinden.
Wieso kein Gastnetz?
Exposed Host Funktion der Fritzbox schonmal angeguckt? Evtl. geht da was.
 
Hallo Landjunge,

vielen Dank für die Rückmeldung.

Bei der Portweiterleitung wird ein Port an eine IP / ein System "geleitet". Es erfolgt kein Mapping auf einen Netzwerkport an der Box selber. Die "feste Zuordnung" müsste irgendwo speziell konfiguriert werden (kein Standard).

Das Gastnetz ist für einen anderen Zweck belegt - daher kann ich das nicht verwenden. Das Thema "statische Route" verstehe ich nicht ganz (trotz Erklärungen). Hier könnte eine Lösung für mich drin sein.

Exposed Host würde alle Internet-Anfragen auf den Nextcloud Server weiterleiten. Wäre aus meiner Sicht das genaue Gegenteil von dem was ich erreichen möchte.

Danke und viele Grüße
Itchy2
 
Zurück
Oben Unten