Portnummern: Klassiker vs. Exotenports – Mehr Sicherheit oder nur Esoterik?

[stevenfreiburg]

Hallo zusammen,

zum Thema Portnummern würde ich gerne wissen, wie ihr das handhabt und was eure Meinung und Fachwissen dazu ist.

Man kann ja die klassischen Standard-Ports verwenden – z. B. 80 für HTTP oder 443 für HTTPS. Vorteil: Die eigene Webadresse bleibt schön sauber, weil man keine Portnummer extra angeben muss. Gerade in Kombination mit Subdomains (z. B. fotos.meinedomain.de, notizen.meinedomain.de, usw.) wirkt das ordentlich und ist leicht zu merken.

Man kann aber auch genau diese Standard-Ports im Router dichtmachen und stattdessen exotische, hohe Portnummern verwenden. Dann leitet man z. B. über einen Reverse Proxy intern an den passenden Port weiter – egal ob zu Synology Photos, Joplin, DSM oder sonstwas. Subdomains kann man dabei natürlich ebenfalls nutzen, nur hängt dann eben trotzdem eine ungewöhnliche Portnummer dran, wenn man die Standard-Ports nicht offen lässt.

Meine eigentliche Frage:
Hat die Verwendung von solchen „Spezial-Ports“ überhaupt echte Vorteile?
Oder ist das am Ende nur gefühlte Sicherheit / „Security by Obscurity“ – und in der Praxis vor allem unpraktisch?
Gibt es dafür handfeste Belege oder ist das eher Ansichtssache/Meinung/Annahme?

 

[Ulfhednir]

Wer dich gezielt angreifen will, lässt sich von der Wahl des Ports nicht aufhalten – Tools wie Nmap scannen in kürzester Zeit den gesamten Portbereich. Die Verwendung eines exotischen Ports reduziert lediglich die Zahl automatisierter Bot-Angriffe, die sich oft nur auf Standard-Ports beschränken.
Soll ein Dienst öffentlich erreichbar sein, ist ein Reverse Proxy in Kombination mit zusätzlicher Authentifizierung (z.B. Basic Auth) in der Regel die sicherste und praktikabelste Lösung. Er erschwert auch Bot-Angriffe, da zum Auffinden des Dienstes nicht nur der Port, sondern auch die genaue Domain bekannt sein muss.

P.S.: Ich nutze seit Jahren SWAG. Das ist im Grunde genommen ein optimierter Nginx, den man mit 2FA & Co.-Settings erweitert hat.
Ich kann damit Dienste ins Netz hängen, welche selbst z.B. keine eigene Authentifizierung unterstützen.

 

[Benares]

Nutze VPN für den Zugriff auf dein Heimnetzwerk, am Besten über Wireguard auf deinen Router. Dann braucht es keine Portfreigaben mehr und alles ist so wie im heimischen WLAN. Aber ich wiederhole mich...

 

[ds718-]

Hat die Verwendung von solchen „Spezial-Ports“ überhaupt echte Vorteile?
Oder ist das am Ende nur gefühlte Sicherheit / „Security by Obscurity“ – und in der Praxis vor allem unpraktisch?

Meine persönliche Meinung wäre das es durch diese hohen Ports ab "60000" überhaupt keine Vorteile gibt, sondern bei Verwendung von Subdomains eher Nachteilig sind.
Eine "Biene" in einen großen Schwarm zu identifizieren, "damit meine ich den Port 443" wäre sehr schwer zu bewerkstelligen, hat die "Biene" nur einen exotischen Port ist sie viel leichter zu erkennen.

Den Port 80 den du für HTTP nehmen würdest, würde ich auf keinen fall für längere Zeit öffnen.

 

[Benie]

Wenn Du nginx npm verwendest, wird das schwierig ohne den Port 80 zu öffnen , denn der npm lauscht nun mal auf diesem.
Was machst Du dann?

 

[Synchrotron]

Eine andere Portnummer kann überall dort Sinn machen, wo die konkrete Portnummer auf einen bestimmten Dienst hinweist.

Gibt es -hypothetisch- in diesem Dienst einen Zero Day, erlaubt der unveränderte Port es relativ schnell, Angriffsziele zu finden.

Ein veränderter Port erschwert es, angreifbare Installationen zu finden.

Aus meiner Sicht ein kleines Plus für die Sicherheit. Also warum nicht mitnehmen ?

 

[Ronny1978]

Gibt es -hypothetisch- in diesem Dienst einen Zero Day, erlaubt der unveränderte Port es relativ schnell, Angriffsziele zu finden.

Ein veränderter Port erschwert es, angreifbare Installationen zu finden.

Dem stimme ich zu. Nicht umsonst empfiehlt selbst Synology den/die Standard Ports für das DSM (5000/5001) zu ändern, wenn das Gerät von außen zugänglich ist. Also in bestimmten Situationen ergeben für mich die Portänderungen zu 5-stelligen Portnummern schon Sinn. Dies muss aber nicht zwingend für alle Konstellationen und Nutzer zutreffen.

 

[ebusynsyn]

Nutze VPN für den Zugriff auf dein Heimnetzwerk, am Besten über Wireguard auf deinen Router. Dann braucht es keine Portfreigaben mehr und alles ist so wie im heimischen WLAN. Aber ich wiederhole mich...

Dem stimme ich zu ... mit der Anmerkung, dass es eben auch manchmal notwendig ist, von einem Client auf das heimische NAS zuzugreifen, auf dem kein VPN Client installiert werden kann.

Ich nutze deshalb den Reverse Proxy der DS und die vom Router weitergeleiteten Ports 443/80. Inklusive aller des DSM angebotenen Features, die der Sicherheit zuträglich sind.

Mir ist - nebst QuickConnect und/oder Cloudflare-Tunnel - keine andere Möglichkeit bekannt von extern auf meine im Drive verwalteten Daten zuzugreifen ohne einen Port zu öffnen.

 

[ctrlaltdelete]

Ich nutze auch einen Proxy (NPMplus auf einem Raspi im LAN), allerdings sehe ich keinen Grund Port 80 nach aussen freizugeben. Ich habe nur 443 im Router auf den Proxy weitergeleitet. Folgende Dienste funktionieren leider nicht über Proxy und sind zusätzlich offen: 5510 (Active Backup for Business), 32400 (Plex), 6690 (Drive).
Für SSH und DSM nutze ich VPN (Wireguard) eigener WGeasy Server auf dem Raspi.
Edit: Danke an @JohneDoe für den Hinweis, Plex läuft jetzt auch über den Proxy

 

[JohneDoe]

Plex funktioniert sehr gut mit einem Reverse Proxy. Das läuft bei mir seit Jahren. Was geht denn bei dir nicht mit dem RP?

 

[ctrlaltdelete]

@JohneDoe Klar, da hast du natürlich Recht, keine Ahnung wieso ich den nicht über den Proxy hab laufen lassen. Muss ich mir mal anschauen und testen Danke für den Stubser!
Edit: Port Forwarding im Router gelöscht und Proxyeintrag erstellt - läuft!