Ich möchte von unterwegs auf meinen Heim-PC zugreifen. Ich weiß, dass dies mit dynamischem DNS (z. B. DynDNS) möglich ist, aber meine Frage betrifft die Sicherheit dabei.
Wenn ich dies heute einrichten würde, müsste ich meinen Linksys E3000-Router so konfigurieren, dass externe Verbindungen in das lokale Netzwerk möglich sind. Reicht die Firewall dieses Routers gegen Hacker aus?in diesem Fall?
Ist es besser, einen benutzerdefinierten Router zu bauen, der mehr Sicherheit bietet? (z. B. Untangle, Smoothwall, Astaro usw.) Wird das die Sicherheit erhöhen?
Antwort1
Die einzige Möglichkeit, sicherzugehen, dass Ihr Computer nicht über das Internet gehackt werden kann, besteht darin, ihn nicht mit dem Internet zu verbinden.
Das gesagt...
Ich gehe davon aus, dass Sie per Remotedesktopverbindung oder SSH eine Verbindung zu Ihrem Computer herstellen möchten.
Bei beiden Optionen müssen Sie Port 3389 (für RDC) oder 22 (SSH) für Verbindungen von der öffentlichen IP-Adresse Ihres Routers zu Ihrem Heim-PC weiterleiten.
Sobald Sie dies getan haben, können alle Verbindungen von außen eine Verbindung zu Ihrem lokalen Computer herstellen. Für die Sicherheit ist nun die Anwendung verantwortlich, die auf dem weitergeleiteten Port lauscht.
Es macht keinen Unterschied, ob Sie einen dynamischen Domänennamendienst verwenden oder nicht. Wenn über die weitergeleiteten Ports eine Verbindung zu Ihren IP-Adressen (unabhängig vom Domänennamen) versucht wird, werden diese Verbindungen hergestellt.
Wenn Ihr Router die Portweiterleitung nur für Verbindungen von bestimmten IP-Adressen zulässt, sollten „alle Verbindungen von der Außenwelt“ auf diese bestimmten IP-Adressen beschränkt sein.
Antwort2
Der dynamische DNS-Teil hat keine wirklichen Auswirkungen auf die Sicherheit, deshalb würde ich mir darüber keine Sorgen machen.
Ihr Linksys sollte ausreichend sicher sein, um ein „normales“ Heimnetzwerk zu schützen. Wenn Sie dort jedoch besonders vertrauliche Daten speichern, würde ich möglicherweise zusätzliche Sicherheitsebenen hinzufügen. Beispielsweise lasse ich nur externe Verbindungen in eine DMZ zu und die Konnektivität von dort zum internen Netzwerk ist sehr begrenzt.
Sie müssen den Router so konfigurieren, dass er nur die von Ihnen benötigten Ports zulässt. Ich würde außerdem nur SSH zulassen (alles andere, was Sie tun, kann ohnehin über SSH getunnelt werden), da dies eine starke Authentifizierung (mithilfe von Zertifikaten oder gemeinsamen Geheimnissen) und eine Ende-zu-Ende-Verschlüsselung bietet.