Sicherheitsrisiko durch Routerkaskade und Portweiterleitung

[smodo1977]

Hallo,

ich würde gerne folgendes Netzwerkszenario aufbauen.
Besteht durch die Portweiterleitung des Wireguard-Ports ein Sicherheitsrisiko? Wenn ja, welches.





Danke

Smodo

Bild(er) als Vorschaubild(er) (siehe https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ ) eingebunden by stoney

 

[sonyKatze]

Aus welchem Grund, mit welchem Ziel machst Du die Router-Kaskade überhaupt?

 

[KunterBunter]

Dafür gab es ja schon vor einem Monat einen Thread.

 

[smodo1977]

Aus welchem Grund, mit welchem Ziel machst Du die Router-Kaskade überhaupt?

Da die 6490 kein Wireguard hat, möchte ich es gerne auf der 4040 mit OpenWRT laufen lassen, ich möchte auch das interne Netzwerk sicherer machen und daher die Firewall der 4040 nutzen.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Dafür gab es ja schon vor einem Monat einen Thread.

Hallo KunterBunter,

stimmt, den Thread gibt es, diesen hätte ich weiterführen könne, sorry dafür.
In dem Thread kann ich leider keine expliziete Antwort auf die Frage finden.
Kannst du mir hierzu bitte weiterhelfen.

Viele Grüße

Smodo

 

[frank_m24]

Besteht durch die Portweiterleitung des Wireguard-Ports ein Sicherheitsrisiko? Wenn ja, welches.

Natürlich. Es könnte jemand eine Sicherheitslücke im dahinterliegenden Server ausnutzen und Schaden in deinem Netz anrichten. Das ist implizit das Risiko jedes offenen Ports.

 

[smodo1977]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]

Der Port geht ja nur zur 4040. Das würde ja dann heißen, dass auf dem Weg von der 6490 zur 4040 ein "Loch" im Port sein müsste, oder? Der dahinterliegende Server ist ja hinter der 4040 und von der Firewall der 4040 abgeschirmt.

 

[frank_m24]

Der Port geht ja nur zur 4040.

Ja, und?

Das würde ja dann heißen, dass auf dem Weg von der 6490 zur 4040 ein "Loch" im Port sein müsste, oder?

Nein. Wie kommst du denn darauf?

Der dahinterliegende Server ist ja hinter der 4040 und von der Firewall der 4040 abgeschirmt.

Natürlich nicht. Und kann er auch nicht sein, denn dann wäre er ja nicht mehr erreichbar.

Wenn du es eh besser zu wissen glaubst, warum fragst du dann nach? Ein Server, der vom Internet erreichbar ist, egal ob durch Portweiterleitungen oder direkt, ist grundsätzlich nicht durch eine Firewall geschützt und damit prinzipiell immer eine Sicherheitslücke, die angreifbar ist. Wenn es dir darum geht, dein Netz so gut wie möglich abzusichern, dann mach die Ports zu.

 

[smodo1977]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
Hallo Frank,

es geht nicht um besser wissen, sonder ich will verstehen, wo das Sicherheitsrisiko ist.
Durch den Port wird das Wireguard VPN aufgebaut, über das ich den Zugriff auf die dahinterliegenden Geräte habe.
Wenn der Tunnel nicht aufgebaut ist, dann blockt doch die Firewall der 4040 den Port, oder?

Auf der 6490 wäre ja auch der VPN-Port offen, sonst würde ja das IPSEC-VPN nicht funktionieren, dann wäre ja das auch ein Sicherheitsrisiko nach dem was du geschriben hast.

Ich will einfach verstehen, wo das Risiko am oben aufgezeichneten Szenario ist.

Gruß

Smodo

 

[chrsto]

Ich will einfach verstehen, wo das Risiko am oben aufgezeichneten Szenario ist.

Das Risiko liegt beispielsweise darin, dass in deinem WireGuard Server eine Sicherheitslücke vorhanden sein könnte, die durch die Portweiterleitung von extern ausnutzbar ist. Darüber könnte dann z.B. eine Rechteausweitung möglich sein, die Zugriff auf dein restliches System möglich macht.

 

[frank_m24]

Wenn der Tunnel nicht aufgebaut ist, dann blockt doch die Firewall der 4040 den Port, oder?

Nein. Du hast offenbar ein vollkommen falsches Verständnis von der Funktionsweise einer Firewall. Ich empfehle dringend, dich noch mal mit den Grundlagen der TCP/IP Protokolle zu befassen. Das ist wirklich Basiswissen, was man unbedingt intus haben sollte, bevor man seinen ersten Server aufsetzt.

Auf der 6490 wäre ja auch der VPN-Port offen, sonst würde ja das IPSEC-VPN nicht funktionieren, dann wäre ja das auch ein Sicherheitsrisiko nach dem was du geschriben hast.

Genau. Ist es.

 

[KunterBunter]

Wenn der Tunnel nicht aufgebaut ist, dann blockt doch die Firewall der 4040 den Port, oder?

Wenn das wirklich so wäre, könntest du über diesen Port danach nie einen Tunnel aufbauen.

 

[chrsto]

@smodo1977 um dich mal in eine andere Richtung zu stoßen: Es geht nicht darum, ob es eine Sicherheitslücke ist. Denn das muss im Zweifel immer mit 'ja' beantwortet werden. Damit ist das Thema dann durch.

Dir geht es doch darum, dass in deinem internen Netzwerk Daten sind, die du extern nutzen möchtest. Jetzt geht es darum zu entscheiden ob, und wenn ja, wie du es umsetzt (stark vereinfacht):

In meinen Augen ist ein VPN allemal sinnvoller, als beispielsweise einen Webserver extern erreichbar zu machen. Das könnte allerdings wieder mit einem professionelleren Router über eine DMZ gelöst werden.
Wenn du die Daten aber ohnehin extern nutzen möchtest, könnte es auch sinnvoll sein, direkt einen Server bei einem Provider zu mieten und die Daten dort abzulegen. Damit wäre dein internes Netz "sicher", auf der anderen Seite machst du dich aber ggf. von dem Provider abhängig.

 

[smodo1977]

Dir geht es doch darum, dass in deinem internen Netzwerk Daten sind, die du extern nutzen möchtest. Jetzt geht es darum zu entscheiden ob, und wenn ja, wie du es umsetzt (stark vereinfacht):

Danke dir Chrsto,

ja so ist es. Ich möchte per VPN auf meine Daten zugreifen können, da die 6490 kein Wireguard hat, wollte ich eben die 4040 dahinter hängen.
Mir wäre es einfach wichtig, eine Aussage zu bekommen, ob das aus Sicht der "Sicherheit" bzw. dem "Netzwerkaufbau" so akzeptabel ist.

 

[frank_m24]

Das kannst nur du entscheiden. Es ist eine Frage der Risikoabwägung. Welchen Schaden könnte ein Hacker in deinem Heimnetz anrichten? Welche sensiblen Daten abgreifen? Bist du nach einem Vorfall gerüstet, die Folgen zu beherrschen? Durch Backups oder der Wiederherstellung verschlüsselter Installationen?
Welchen Wert hat auf der anderen Seite der VPN Zugriff für dich? Dann triff die Entscheidung und ergreife ggf. noch Schutzmaßnahmen für den Fall der Fälle.

 

[smodo1977]

Danke euch für euere Antworten.

 

[sonyKatze]

6490 kein Wireguard hat

Von einer Router-Kaskade zu einem nicht FRITZ!OS rate ich ab … das betrifft Dich nur, falls sich das IPv6-Präfix ändern sollte und dann auch nur für eine kurze Zeit. Trotzdem wäre mein Rat auf eine neuere FRITZ!Box Cable zu wechseln. Die hat dann gleich direkt WireGuard an Bord.

ich möchte auch das interne Netzwerk sicherer machen und daher die Firewall der 4040 nutzen.

Das geht so eingentlich nicht. Du kannst höchstens komplexere eingehende Regeln aufstellen und den Datenverkehr von Innen genau unter die Lupe nehmen. Die Alternative wäre, dass Du Deine FRITZ!Box zur Bridge, also zu einem reinen Cable-Modem umstellen lässt. So würdes Du die Router-Kaskade vermeiden.

Beides wäre einfacher und sinnvoller, als solch ein technisches Konstrukt mit Community-basiertem = kostenlosem IT-Security-Gutachten.