Die sichere Methode zur Nutzung eines Exposed Hosts mit einem Zweitrouter

    Hallo zusammen,

    ich möchte mit euch eine äußerst effiziente und sichere Methode teilen, wie Ihr ein Gerät als Exposed Host ins Netz stellen könnt, ohne dabei euer gesamtes Heimnetzwerk zu gefährden. Der Schlüssel dazu ist die Verwendung eines zweiten Routers. Hier die Vorteile dieses Setups:

    1. Zweistufige Netzwerktrennung: Durch den Einsatz eines Haupt-Routers und eines nachgeschalteten zweiten Routers im Gastnetzwerk entsteht eine robuste Trennung der Netzwerke. Das als Exposed Host konfigurierte Gerät ist lediglich im Netz des Haupt-Routers zu finden, während alle anderen Geräte sicher hinter dem zweiten Router verborgen bleiben.
    2. Absolute Isolation: Dieses Setup sorgt für eine komplette Isolation des Exposed Hosts von Ihren anderen wertvollen Netzwerkgeräten. Ein potentielles Eindringen in den Exposed Host gibt keinem Angreifer die Möglichkeit, auf Geräte im zweiten Netzwerk zuzugreifen.
    3. Optimale Sicherheitsmaßnahmen: Während diese Zwei-Router-Struktur bereits einen hohen Sicherheitsstandard bietet, ist sie auch kompatibel mit allen weiteren Sicherheitsfeatures, die moderne Router bieten. Das bedeutet, Sie können Firewalls, Intrusion-Detection-Systeme und andere Schutzmechanismen zusätzlich aktivieren.

    Diese Methode, bei der ein Gerät als Exposed Host hinter einem Haupt-Router und vor einem Zweitrouter platziert wird, stellt aktuell eine der sichersten Möglichkeiten dar, spezielle Dienste oder Anwendungen frei zugänglich zu machen, ohne das restliche Heimnetzwerk zu kompromittieren.

    In der Praxis hat sich dieses Modell bereits vielfach bewährt und bietet sowohl für erfahrene Netzwerkadministratoren als auch für den alltäglichen Gebrauch eine zuverlässige und sichere Lösung.

    Ich hoffe, dieser Beitrag hilft euch weiter und gibt euch das nötige Vertrauen, euer Netzwerk optimal und sicher zu konfigurieren. Bei weiteren Fragen bin ich gerne für euch da!


    :)



    1. Sicherheitsfeatures moderner NAS-Systeme: Aktuelle NAS-Modelle renommierter Hersteller sind mit einer Vielzahl von Sicherheitsfunktionen ausgestattet. Dazu gehören Firewalls, automatische Blockierungen bei wiederholten fehlgeschlagenen Zugriffsversuchen, Verschlüsselung und regelmäßige Sicherheitsupdates.
    2. Trennung von Funktionen: Selbst wenn ein NAS als Exposed Host eingerichtet ist, bedeutet das nicht, dass alle Dienste und Daten des NAS öffentlich zugänglich sind. Administratoren können spezifische Dienste, wie FTP oder Webzugriff, für den externen Zugriff freigeben und dabei andere Dienste und Daten intern halten.
    3. Verschlüsselung: Die auf dem NAS gespeicherten Daten können verschlüsselt werden, sodass selbst bei einem unerwünschten Zugriff die Daten ohne den richtigen Schlüssel unleserlich sind.
    4. Regelmäßige Backups: Die meisten NAS-Geräte bieten automatisierte Backup-Lösungen. Sollte das NAS kompromittiert werden, sind die Daten durch regelmäßige Backups geschützt und können wiederhergestellt werden.
    5. Aktualität der Firmware: Namhafte NAS-Hersteller veröffentlichen regelmäßig Firmware-Updates, die Sicherheitslücken schließen. Ein regelmäßig aktualisiertes NAS ist gegen die meisten bekannten Angriffsmethoden gewappnet.
    6. Zwei-Faktor-Authentifizierung: Einige NAS-Systeme bieten die Möglichkeit, eine Zwei-Faktor-Authentifizierung (2FA) zu aktivieren, was das Risiko eines unberechtigten Zugriffs erheblich reduziert.

    Einmal editiert, zuletzt von hintzsche ()

    Nee, das NAS wird auch durch ein doppeltes NAT infiziert, die genannten Punkte unten sind egal, hat man ja bei deadbolt gesehen 2FA und Konsorten werden durch Exploits einfach umgangen.


    Also NAS nicht dem Web aussetzen und gut ist

    Schön geschriebene Anleitung. Danke fürs Teilen. :thumbup:

    Kann man das ganze nicht mit vLANs umsetzen? Weniger Ressourcen, weniger Kabel und weniger Pflege.

    Einfach ne richtige Firewall nutzen statt einem Router von AVM und Co.

    Dann kannst du dei Netz mit VLANs aufteilen und per Regelwerk wird dann eine DMZ aus dem jeweiligem Netz.


    Zudem gescheite VPN Möglichkeiten, ob IPsec, OpenVPN, Wireguard oder gar Tailscale, alles dabei.


    Wo man das brauchen kann, setzt man mehrere Provider ein und will WAN Fallback nach Tiering, da muss dann die Firewall im jeweiligen Transfernetz als exposed Host eingetragen werden.

    Aber werden Syno noch QNAP gehören da als exposed Host exponiert.


    Wenn man das unbedingt will oder muss, kann man einen reverse Proxy auf der Firewall dafür einsetzen. So könnte man das relativ sicher betreiben.

    Kennt ma mm die Quellen, auch wenn ws nur Dyndns IPs sind, kann man die über diesen weg auch freischalten, aber dann nur diese.

    Hallo Zusammen,

    ich habe so eine 2 Router/Firewall Lösung Zuhause seit längerem laufen. Der 1. Router ist von der

    Telekom/ISP mit WLAN. Das nutze ich als Internetzugang für Gäste und unsere Smartphones /IPads.

    Dann kommt ein Mikrotik Router mit Firewall, NAT, und VPN (Wireguard, L2TP/IPsec). Hinter dem liegt

    mein gesamtes Netzwerk.

    Der 1. Router muß natürlich die Ports für das VPN zum Mikrotik durch leiten.


    Gruß

    Klaus

    Zitat von Crazyhorse

    Einfach ne richtige Firewall nutzen statt einem Router von AVM und Co.

    Das Schöne an den Fritz-Routern ist ja, dass man auch ohne Netzwerkkentnissen erst einmal eine sichere Konfiguration hat. Mit einer richtigen Firewall muss man sich besser auskennen, um nicht ein offenes Eingangstor zu übersehen.

    Auch da ist auf dem WAN per default alles blocked.


    Aber ja, man kann hier Fehler machen, aber mit vielen Einstellungsmöglichkeiten geht auch Verantwortung einher.

    Ich weiß nicht, was ich hier falsch verstehe, aber ich halte das für nicht sinnvoll…


    Gibt Probleme mit doppelten NAT (z.B.: Voip)


    Ausserdem versteh ich nicht, was das bringen soll?


    Es geht doch hier um die Tatsache, das ich an Router A ein Gerät als „Exposed Host“ laufen lasse. In einem 2. Router der im GastNet von Router A hängt läuft das normale Netz.


    Dann kann ich ja gleich 2 Netze im Router anlegen und einfach das Routing unter den Netzen rausnehmen.

    Wenn der Router das nicht kann, kauf ich nen kleinen managed Switch der über VLAN trennt. Kostet genau soviel wie ein Router.


    Die Schwachstelle ist doch nicht der Router, sondern das Gerät was als Exposed Host konfiguriert ist. Das muss gehärtet werden mit einer Firewall…

    Ich versteh es nicht…

    Zitat von nadstefan

    Dann kann ich ja gleich 2 Netze im Router anlegen und einfach das Routing unter den Netzen rausnehmen.

    Mit der Fritzbox geht das nicht. Klar, mit anderer Hardware geht das, aber wenn ich bedenke, wie viel Probleme ich hatte, auf einen Mikrotik-Accesspoint ein Gäste-LAN anzulegen, dann ist das nichts, was ich Nichtnetzwerkspezialisten empfehlen möchte. Gut, es mag andere Geräte geben, mit denen man das leichter hinkriegt, denn das Mikrotik-UI ist zwar nicht frei von Logik, aber nicht der Weisheit letzter Schluss.


    Insofern finde ich die Idee mit dem doppelten NAT nicht schlecht, zumal es gebrauchte Fritzboxen in großen Mengen und entsprechend günstig gibt. Wenn damit etwas nicht funktioniert, das bemerkt man, aber wenigstens ist es sicher. Übersieht man hingegen (bei anderer Hardware) einen weit offenen Eingang, bemerkt man das nicht, denn alles, was funktionieren soll, funktioniert trotzdem.

    Bei den Fritzboxen gibts ja schon GastWLan und Kabelgebundenes GastLan auf Port 4.


    Mir erschließt sich der Sinn eines Exposed Host noch nicht... ausser ich stelle einen Honeypot.....

    Denn an den Exposed Host werden alle Pakete von aussen weitergeleitet, die nicht zu einer existierenden Verbindung gehören.


    Würde eher in die Richtung DMZ gehen..... vermute dass das mit Exposed Host gemeint ist ?


    Btw. auch eine DMZ hilft gegen Exploits und sonstige Schwachstellen auch wenig bis gar nichts.

    Zitat von nadstefan

    Wenn der Router das nicht kann, kauf ich nen kleinen managed Switch der über VLAN trennt. Kostet genau soviel wie ein Router.

    Ich denke es geht um Einfachheit!


    Mehrere Geräte mit unterschiedlichen Oberflächen bringt die Wahrscheinlichkeit von Chaos in den Einstellungen.

    Deshalb liebäugele ich mit einem managed Switch von QNAP. Aber ist vermutlich zu teuer für das was es ist?


    Die Idee mit dem Gastnetzwerk der Fritzbox hatte ich auch schon umgesetzt. Allerdings blieb alles im Gastnetz unter sich.

    Ob eine Weiterleitung aus dem Gastnetz in das andere interne Netz eine Gefahr darstellt vermag ich nicht zu beurteilen.

    Aber alles was physisch verbunden ist könnte in meiner laienhaften Vorstellung auch erreicht werden. Wie weiß der Hacker 😉

    Da die FritzBox offiziell kein Bridge Modus mehr unterstützt, vermute ich mal stark dass darum mit den Exposed Host rumgemurkst wird.


    Ja, der Gatszugang bei der Fritzbox ist strikt getrennt. Da geht nichts. Macht ja eigentlich auch Sinn.


    Btw. Den Bridge Modus gibt's wohl noch ziemlich versteckt.


    Mit IpFire, Monowall etc. etc. und einem APU 3D2 inkl. einer Mini Pcie WLan Karte könnte man wenigstens die DMZs und DMZ Pinholes sauber konfigurieren.


    Halbwissen - das letzte mal hab ich vor 15 Jahren mit IpCop mit DMZ rumgespielt. Von Grün (Lan) auf (Orange) konnte man zugreifen wo z.B. der Webserver steht. Nur andersrum hat man Pinholes benötigt.


    Hilft aber immer noch nichts gegen Exploits beim NAS/Webservern etc. 😬