Privater Windows Server 2019
Hallo,
ich besitze einen Windows Server 2019 mit 60TB. Dieser ist mit einer Fritzbox 6490 verbunden. Auf diesen Server liegen unsere Daten wie Bilder, Filme usw. Installiert ist auf dem Server KerioConnect, Emby, und ein Webserver. In Hyper-v läuft Ubuntu 18 mit Nextcloud. Einen registrierte Domain habe ich bei Selfhost. Über diese Domain erreiche ich meine Dienste auf meinem Server. Jetzt lese ich im Internet das es fahrlässig ist den Server nicht in einer dmz zu betreiben. Habe ihn aber schon mehrere Jahre so an der Frittbox angeschlossen. Ein bekannter von mir hat noch eine Zyxel USG100 in der Ecke liegen, die er mir geben würde.
Was haltet ihr davon?
ich besitze einen Windows Server 2019 mit 60TB. Dieser ist mit einer Fritzbox 6490 verbunden. Auf diesen Server liegen unsere Daten wie Bilder, Filme usw. Installiert ist auf dem Server KerioConnect, Emby, und ein Webserver. In Hyper-v läuft Ubuntu 18 mit Nextcloud. Einen registrierte Domain habe ich bei Selfhost. Über diese Domain erreiche ich meine Dienste auf meinem Server. Jetzt lese ich im Internet das es fahrlässig ist den Server nicht in einer dmz zu betreiben. Habe ihn aber schon mehrere Jahre so an der Frittbox angeschlossen. Ein bekannter von mir hat noch eine Zyxel USG100 in der Ecke liegen, die er mir geben würde.
Was haltet ihr davon?
Please also mark the comments that contributed to the solution of the article
Content-Key: 483901
Url: https://administrator.de/contentid/483901
Printed on: April 25, 2024 at 15:04 o'clock
11 Comments
Latest comment
Kann man machen als Heimuser, muss man aber nicht !
Es hängt von deinen eigenen Sicherheits Ansprüchen ab und wie die sind können wir ja nicht raten. Da du es ja schon jahrelang so betreibst ist es ja scheinbar OK.
In deiner recht oberflächlich gehaltenen Beschreibung erklärst du zudem mit keinem einziegn Wort WIE du auf deine internen Resourcen zugreifst ?!!
Da gäbe es ja 2 Optionen:
1.) Per dummem Port Forwarding...
Ist natürlich sehr unsicher, denn da muss man ja bekanntlich ein oder mehrere Löcher in die FritzBox Firewall bohren um ungeschützten Internet Traffic in sein lokales Netz zu schleusen. Per se schon mal schlecht aus Sicherheits Sicht. Zudem sind die Daten die übertragen werden vollkommen ungeschützt und jeder im Internet kann mitlesen.
Zur Sicherheit dieses Verfahrens muss man in einem Administrator Forum sicher keinen weiteren Kommentar abgeben... Sowas ist immer laienhaft und gefährlich. Natürlich je nachdem wie sensibel die Daten sind. Badebilder der Kinder oder Videos vom Swinger Club sollte man auf so einem NAS dann besser nicht speichern.
2.) Mit einem VPN
Die weitaus intelligentere Option.
Denn dann ist der Zugang erstens verschlüsselt und sicher und zweitens Benutzer authentisiert. Option 1 bietet das nicht.
Wir können jetzt fröhlich raten was du machst...
Sollte es Option 1 sein wäre es dann intelligenter das in der Tat in eine DMZ zu bringen. Aber wie gesagt...DEIN Sicherheitsempfinden bzw. Anspruch ist maßgebend !
Es hängt von deinen eigenen Sicherheits Ansprüchen ab und wie die sind können wir ja nicht raten. Da du es ja schon jahrelang so betreibst ist es ja scheinbar OK.
In deiner recht oberflächlich gehaltenen Beschreibung erklärst du zudem mit keinem einziegn Wort WIE du auf deine internen Resourcen zugreifst ?!!
Da gäbe es ja 2 Optionen:
1.) Per dummem Port Forwarding...
Ist natürlich sehr unsicher, denn da muss man ja bekanntlich ein oder mehrere Löcher in die FritzBox Firewall bohren um ungeschützten Internet Traffic in sein lokales Netz zu schleusen. Per se schon mal schlecht aus Sicherheits Sicht. Zudem sind die Daten die übertragen werden vollkommen ungeschützt und jeder im Internet kann mitlesen.
Zur Sicherheit dieses Verfahrens muss man in einem Administrator Forum sicher keinen weiteren Kommentar abgeben... Sowas ist immer laienhaft und gefährlich. Natürlich je nachdem wie sensibel die Daten sind. Badebilder der Kinder oder Videos vom Swinger Club sollte man auf so einem NAS dann besser nicht speichern.
2.) Mit einem VPN
Die weitaus intelligentere Option.
Denn dann ist der Zugang erstens verschlüsselt und sicher und zweitens Benutzer authentisiert. Option 1 bietet das nicht.
Wir können jetzt fröhlich raten was du machst...
Sollte es Option 1 sein wäre es dann intelligenter das in der Tat in eine DMZ zu bringen. Aber wie gesagt...DEIN Sicherheitsempfinden bzw. Anspruch ist maßgebend !
Zitat von @ahaeuser75:
Sorry, hatte vergessen zu erwähnen das ich mittels OpenVPN auf meine Daten zugreife. Ja, ich habe für meine Dienste Ports in der Fritzbox weitergeleitet. Muss ich ja bei einem mail server und web server.
Sorry, hatte vergessen zu erwähnen das ich mittels OpenVPN auf meine Daten zugreife. Ja, ich habe für meine Dienste Ports in der Fritzbox weitergeleitet. Muss ich ja bei einem mail server und web server.
Muß man nicht unbedingt, sofern der Server am richigen Ort (=IP-Netz) steht. Aber Mail- und Webserver gehören auf jeden Fall in eine DMZ, wenn sie öffentlich erreichbar sein sollen.
Du solltest darüber nachdenken, Deine Server "auseinanderzusägen" in den Teil, der Privat ist und per VPN erreichbar ist und den Teil, der öffentlich erreichbar ist, weil die Leute webseiten abrufen und Mails einkippen können.
Und nein, die sollten nicht auf demselben Blech liegen oder virtualisiert werden.
lks
Zitat von @ahaeuser75:
Wenn ich den Server in eine DMZ bringe, geht das auch mit mein Ubuntu im Hyper-V?
SORRY, habe mit DMZ keine Erfahrung 🙄
Wenn ich den Server in eine DMZ bringe, geht das auch mit mein Ubuntu im Hyper-V?
SORRY, habe mit DMZ keine Erfahrung 🙄
Naja, wenn Du alle sin die DMZ packst kanst Du es gauch gleich lassen. Denn dann sind Deine privaten Daten auch in der DMZ.
lks
SORRY, habe mit DMZ keine Erfahrung
Guckst du hier:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zitat von @maretz:
Ehrlich gesagt - ich würde gar keine DMZ machen dafür... Ich würde die ganze Port-Weiterleitung abschalten und einfach das VPN der Fritte nehmen. Ist man im VPN - zugriff aufm Server... Wenn nich, dann nicht.
Ehrlich gesagt - ich würde gar keine DMZ machen dafür... Ich würde die ganze Port-Weiterleitung abschalten und einfach das VPN der Fritte nehmen. Ist man im VPN - zugriff aufm Server... Wenn nich, dann nicht.
Naja, er scheint aber einen Mail und Webserver zu betreiben, auf den die ganze Welt per smtp und http zugreifen darf. Das wird dann nichts, wenn man das Portforwarding abstellt.
lks
Zitat von @ahaeuser75:
Danke für eure Hilfe. Jetzt habe ich noch ein klitzekleines Problem. Mein Netzwerk besteht aus 192.168.178.1.1 Server hat die192.168.178.2. Auf diesen Server läuft eine Hyper-V Mit Ubuntu die 192.168.178.4. Auf Ubuntu ist Nextcloud mit dem Port 7000 installiert. In der Fritzbox habe ich eine statische Route angelegt damit ich wenn der oben VPN Tunnel steht auf die 192.168.178.4 komme. Jetzt hat aber jemand wo ich den VPN Tunnel einrichten möchte auch eine FRITZ!Box die gleiche IP Adresse. Wenn ich jetzt die IP von Nextcloud eingebe, findet er sie nicht.
Danke für eure Hilfe. Jetzt habe ich noch ein klitzekleines Problem. Mein Netzwerk besteht aus 192.168.178.1.1 Server hat die192.168.178.2. Auf diesen Server läuft eine Hyper-V Mit Ubuntu die 192.168.178.4. Auf Ubuntu ist Nextcloud mit dem Port 7000 installiert. In der Fritzbox habe ich eine statische Route angelegt damit ich wenn der oben VPN Tunnel steht auf die 192.168.178.4 komme. Jetzt hat aber jemand wo ich den VPN Tunnel einrichten möchte auch eine FRITZ!Box die gleiche IP Adresse. Wenn ich jetzt die IP von Nextcloud eingebe, findet er sie nicht.
Genau deswegen nimmt man keine Standardadressen der Plastikboxen sondern "denkt" sich selbst eine aus, z.B. 172.17.71.0/24 als Netz und die dazu passenden Adressen. Dann hat man auch keien Probleme mit anderen Fritten oder gar Speedports.
Ändere also einfach Dein IP-Netz.
lks