Homeserver Forum

Hallo,
ich besitze einen Windows Server 2019 mit 60TB. Dieser ist mit einer Fritzbox 6490 verbunden. Auf diesen Server liegen unsere Daten wie Bilder, Filme usw. Installiert ist auf dem Server KerioConnect, Emby, und ein Webserver. In Hyper-v läuft Ubuntu 18 mit Nextcloud. Einen registrierte Domain habe ich bei Selfhost. Über diese Domain erreiche ich meine Dienste auf meinem Server. Jetzt lese ich im Internet das es fahrlässig ist den Server nicht in einer dmz zu betreiben. Habe ihn aber schon mehrere Jahre so an der Frittbox angeschlossen. Ein bekannter von mir hat noch eine Zyxel USG100 in der Ecke liegen, die er mir geben würde. Unterwegs greife ich mittels OpenVPN auf meine Daten zu. In Moment habe ich einige Ports in der fritzbox geöffnet da ich den Mail server und Webserver betreibe.

Was haltet ihr davon?

Kurzfassung: nichts.

Langfassung: unterschiedliche Netzwerkzonen bringen meiner Meinung nur dann etwas, wenn Du den Daten oder Benutzern unterschiedliche Risikoklassen zuordnen kannst und dann Regeln erzwingst was erlaubt bzw. verboten sein soll. Wenn Du den ganzen Server in die DMZ stellst (oder eben alles via Dienst nach außen exponierst), dann hast Du hinsichtlich des Servers gar nichts gewonnen. Eine DMZ bringt auch nur dann etwas, wenn Du in der DMZ ein Anwendungsgateway betreibst, dass Benutzer von außen authentifiziert, Berechtigungen zuweist, und den Datenstrom filtert, idealerweise auch das Protokoll wechselt (weil sonst zuviel generisch gemacht wird - die meisten installierten WAFs machen fast nichts sondern erfüllen nur ein Kriterium auf einer Checkliste).

Konkret das Zyxel USG100: das ist keine richtige DMZ, sondern eine Mischung aus Router, Firewall, Proxies, WAF, VPN. Eine solche Mischung würde ich als eher toxisch betrachten, weil ein Programmier- oder Konfigurationsfehler leicht zum Gegenteil des gewünschten führen kann. Obendrein scheint es auch nicht mehr gewartet zu werden - damit machst Du Deinen Sicherheitsstatus eher schlechter. Viele der Funktionen scheinen auch davon motiviert zu sein, die internen Benutzer zu überwachen oder zu gängeln, als Angreifer auszusperren.

Überlege Dir, welche Features Du wirklich brauchst, schon hast (Firewall in der Fritzbox, Virenfilter in NextCloud?), und welche wirklich sinnvoll auf eine extra Box gehören. Und auch ob Du Dich wirklich als potentielles Opfer der NSA, des Mossad, oder so siehst, und ob Deine Bedrohungslage nicht ganz überwiegend von Familienmitgliedern die auf Phishing reagieren gekennzeichnet ist.

Was Du machen kannst/solltest: sowenige Ports wie möglich öffnen, starke Passwörter (für alle Benutzer), Systeme regelmäßig aktualisieren. Jede Kommunikation, auch die im internen Netzwerk verschlüsseln. Statt Windows Server den Windows Server Core nehmen, sinngemäß bei Linux keine Desktop-Installationen. Software die nicht da ist, hat keine Fehler ergo keine Sicherheitslücken und muss nicht gepatcht werden. Und jedem Benutzer dazu bringen Phishingmails gleich zu löschen. Gäste nur ins Gastnetzwerk.

Gruß Joachim

Lustig, wenn man WAF als woman acceptance factor liest

WAF ist manchmal halt auch Web-Application-Firewall..