Portfreigabe

Hallo,

ich habe an verschiedenen Stellen gelesen, dass durch Portfreigabe Sicherheitsrisiken bestehen.
Wenn an dem Router, an dem ich den Port freigebe, mehrere PC's / Endgeräte hängen,
gefährde ich damit nur das eine Gerät, mit dem ich den freigelegten Port nutzen möchte?
Oder konkreter: Ich möchte aus Testzwecken meinen Raspberry Pi nutzen, um eine Webseite zu hosten.
Wenn jemand Zugriff auf den Raspberry Pi erhalten würde, wäre das weniger dramatisch, da dort keinerlei
Daten liegen und die Webseite unwichtig ist.
Aber gefährde ich damit auch andere PC's hinter dem Router?

Grüße,

Lykos

 

Das ist leider so extrem vereinfachend dargestellt bzw. formuliert, dass du das gleich wieder vergessen kannst.

Ports sind keine unabhängig existierenden "Öffnungen/Tore" in deinem PC. Es sind einfach nur
Nummern, die entweder fest oder variierend LAUFENDEN Diensten oder Anwendungen zugeordnet sind, damit das Betriebssystem eintreffende Datenpakete eindeutig zuordnen kann.

Ein Port ist also offen, wenn eine entsprechende Anwendung läuft, die Datenaustausch mit einer anderen Anwendung auf demselben PC, auf einem anderen PC im LAN oder mit einem Server oder Privat-PC im Internet betreiben will/muss.

Geregelt werden kann das mit einer regelbasierten Desktopfirewall und da reicht die Windows-eigene.

 

So genau habe ich mich mit der Portfreigabe nicht beschäftigt, weil ich einfach folgende Anleitung befolgen möchte:
http://projpi.com/diy-home-projects-with-a-raspberry-pi/pi-web-server/
Die Frage war, ob ich damit Risiken für andere PC's im Netzwerk schaffe.

 

Risiken gibts IMMER. Das liegt aber dann nicht daran, dass einfach dieser oder jener Port freigegeben wurde, sondern WENN, dann daran, dass die Anwendung, die läuft, wegen Programmfehlern/Sicherheitslücken oder fehlerhafter Konfiguration unsicher und damit angreifbar ist.

 

Okay.
Wenn die Anwendung jetzt nur auf dem einen PC (bzw. raspberry) läuft, besteht als auch nur für den PC ein Risko?

 

der angreifer könnte via bug im apache oder php den pi übernehmen und hat dann natürlich zugang zu deinem netzwerk.

also:
theoretisch: ja.
praktisch: eher unwahrscheinlich.

 

Um dem aus dem Weg zu gehen, wurde die DMZ erfunden. Entsprechende Businessrouter bieten dafür 3 Firewallebenen/-übergänge und zwei eigenständig konfigurierbare IP-Subnetze. Wer so etwas nicht zur Verfügung hat, kann sein "privates" Netz über einen kaskadierten zweiten Router vom "öffentlichen" Netz trennen. Dann läuft man nicht Gefahr, dass ein Angreifer über den Server auf die restlichen Rechner durchgreifen kann - vorausgesetzt der zweite Router ist vernünftig konfiguriert.

 

Heimrouter sind schlecht geeignet, um das Heimnetzwerk von einen Webserver oder anderen Dienst abzuschotten, der immer erreichbar sein muss. Da gibt es bestenfalls Exposed Host, was aber die Sicherheit herabsetzt, anstatt sie zu erhöhen, weil dann ein Endgerät im Netzwerk komplett offen ist und das kann dann ungehindert mit den anderen im selben Netz kommunizieren. Ist ein Endgerät offen, sind es im gleichen Netz dann auch alle anderen ungeschützt.
Man kann sich dann mit einem 2. Router behelfen, der einen anderen IP-Bereich hat.
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-48713.html#toc-2