AVM Exposed Host - Pro und Contra

[Tommes]

Ich bitte um ein kurzes Brainstorming!

In der Regel werden ja Portfreigaben im Router dazu verwendet um Anfragen aus dem Internet durch das lokale Netzwerk an ein passende Gerät wie die DS weiterzuleiten, klar. Jetzt bin ich aber schon öfters über den "Exposed Host" meiner Fritzbox gestolpert, womit man die DS ja vom eigentlichen internen Netzwerk abschotten kann. Das die DS dann erstmal schutzlos dem Internet ausgeliefert ist ist mir klar, da alle Ports erstmal offen sind. Ich würde aber gerne mein lokales Netzwerk so gut es geht nach außen hin absichern und sehe im "Exposed Host" die passende Möglichkeit dazu.

Meine Frage ist daher, ob man eine DS guten Gewissens in einen "Exposed Host" verbannen kann wenn man die im DSM zur Verfügung stehenden Sicherheitsmaßnahmen (Firewall, GeoIP, Passwortstärke, Admin-Konto deaktivieren etc.) dementsprechend konfiguriert, oder seid ihr der Meinung, das man davon besser die Finger lassen sollte.

Es sei noch erwähnt, das ich die DS zum einen als Webserver betreiben möchte, der die Ports 80/443 zur Verfügung stellen muß, zum anderen auch gerne Web-, Cal- und CardDAV Dienste über die entsprechenden Ports der DS (oder alternative) ansprechen möchte. Evtl. würde ich auch die Notestation aktivieren wollen.

Was meint ihr. Ist ein "Exposed Host" Sinnvoll und kann man so sein lokales Netzwerk besser absichern, oder sollte man eher bei der "normalen" Portweiterleitung bleiben?

Und noch eine Verständnisfrage. Kann man einen "Exposed Host" mit einer Routerkaskade vergleichen, so wie hier beschrieben...

http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

... oder sind das zwei völlig unterschiedliche Konzepte bzw. Ansätze?

Ich hab auch hier im Forum schon das ein oder andere zum Thema gelesen, jedoch kann ich immer noch nicht das Pro und Kontra einer DMZ richtig zuordnen.

Tommes

 

[bfpears]

Hi Tommes,
meines Wissens nach hast du eine DMZ beschrieben. Die Geräte in einer DMZ können nicht in das "normale" LAN zugreifen.
Für ein DMZ müsste man einen LAN Port (am Switch) bestimmen der nicht mit den anderen LAN Ports kommunizieren kann.
Das kann man aber in der FB nicht (Stand 7490).
Da die Home Router das nicht können hat die CT überlegt das durch 2 Router zu simulieren kann.
In einigen Router wurde behauptet sie könnten DMZ es war aber nur "Exposed Host".
Wikipedia handelt das leider auch nur sehr kurz ab.

Ich würde eine DMZ einrichten wenn ich viele "öffentliche" Daten (zugriffe) hätte und die von meinen Privaten Daten trennen möchte.

Exposed Host macht für mich gar keinen Sinn, außer du weißt nicht welchen Port du aufmachen willst ...

BF

Nachtrag: http://www.heise.de/ct/hotline/DMZ-Schwindel-293950.html

 

[stefan_lx]

In der DMZ stehen eigentlich nur öffentlich erreichbare Server, Webserver, Mailserver usw. die sozusagen in einem eigenen Netz stehen... ob das bei einer Fritte auch so ist, bin ich mir nicht sicher, schau mal hier, da steht auch was zum Exposed Host..

Stefan

 

[Tommes]

Danke für eure Antworten. Der letzte Satz aus dem c't Artikel...

Zitat aus dem c't Artikel :

Das Weiterleiten einzelner Ports ist einem Exposed Host auf jeden Fall vorzuziehen.

... beantwortet ja meine Frage ziemlich gut.

Tommes

 

[nachon]

Ich würde sagen, damit fällt die Option "Exposed Host" jawohl raus, oder?
Entweder eine echte DMZ oder einzelne Ports öffnen.

 

[Tommes]

Jep! Exposed Host hat sich somit wohl erledigt. Bleibt noch der Aufbau einer DMZ, so wie z.B. hier beschrieben...

http://m.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html?from-classic=1

... bleibt nur die Frage, ob der Aufwand für mein Vorhaben gerechtfertigt ist?

Tommes

 

[dil88]

Das hängt von Deinen Anwendungen ab. Wenn Du eine private kleine Website bereitstellen möchtest, dann würde ich mir das sparen. Wenn Du Deine Website promoten und breit streuen willst, würde ich die Site vielleicht in eine DMZ stellen, aber nicht auf einer DS, die eigentlich Dein NAS fürs LAN ist.

 

[nachon]

Ich hätte noch ein paar Router hier.
Aber im ernst, ich würde mir für Dein vorhaben die arbeit auch sparen. Das rechtfertigt das ganze nicht.
Zum NAS kommt dann noch ein zweiter Router etc....das würde ich mir gut überlegen.

 

[Tommes]

Ich hab zwar noch eine 7390 hier rumliegen mit der ich mir eine DMZ zusammenschustern könnte, aber das ist für meine Anforderungen dann wohl doch etwas über's Ziel hinausgeschossen. Zum testen bestimmt mal eine Exkursion wert, aber für den Dauereinsatz wohl doch "to much". Da bleib ich doch lieber bei der Portweiterleitung.

Tommes

 

[Tommes]

...vielleicht in eine DMZ stellen, aber nicht auf einer DS, die eigentlich Dein NAS fürs LAN ist.

Genau aus diesem Grunde habe ich mir gestern die DS115 bestellt! Die DS114 ist bei mir die NAS für`s LAN

Tommes

 

[tufkabb]

Hallo,
ich würde die öffentlich erreichbaren Dienste bei einem Hoster unterbringen. Kostet nicht die Welt.
Wenn schon eine eigene DMZ für schmales Geld, dann würde ich ein Alix Board mit 3 Netzwerk Ports nehmen und einen IP-Cop drauf packen.

Dienste wie Cal- und Card-DAV laufen bei mir auf einem Raspberry (Baikal) und sind, wie mein restliches Netz auch von aussen per VPN über die Fritzbox, und zwar ohne Portweiterleitung, erreichbar. VPN auf der Fritzbox ist total easy einzurichten und der VPN ist IMO auf der Fritte besser aufgehoben als auf der DS. Hin und wieder ein Blick in die Logfiles der Fritte um zu sehen was per VPN da so passiert, gibt mir dann noch etwas Sicherheit.

 

[Tommes]

Mein Ziel war eher mit den mir zur Verfügung stehenden Mitteln bzw. Geräten eine DMZ/Exposed Host aufzubauen, sollte es für meine Zwecke überhaupt Sinnvoll sein. VPN hab ich bereits am Laufen und nutze es auch. Jedoch möcht ich nicht immer ein VPN aufbauen um z.B. mal eben Cal- und/oder CardDAV abzugleichen. Auch sollen mir bekannte Personen ohne VPN auf ausgewählte Dienste zugreifen können, wobei es sich dabei wohl hauptsächlich um WebDAV-Zugriff handeln wird oder aber über ownCloud per https!

Einen Pi mit Baikal/ownCloud hab ich zur Zeit am Laufen. Funktioniert auch recht gut, nur ist und bleibt mir die Linux-Konsole ein Buch mit Sieben Siegeln. Von daher fühl ich mich nicht sicher genug, da ich nicht immer weiß was ich da so konfiguriere.

Schlussendlich will ich daher den Pi durch eine DS115 ersetzen.

Tommes