Miniserver Firewall konfigurieren

Nun, ein bißchen lesen hilft auch da. Das ist kein undikumentiertes Feature sondern ist schon ewig dabei.
Die "Firewall" selbst kannst Du nicht einstellen. Damit der Miniserver sich aber auch aus anderen Netzen konfigurieren lässt, brauchst Du das im Admininterface (http://miniserver/admin nur freigeben.

Gruß Sven

Hallo Sven,

vielen Dank für den Hinweis, der entsprechende Punkt ist im Admin-Interface ganz unten. Schade dass man die lokale Firewall nicht weiter konfigurieren kann, aber damit kann ich leben.

Rein aus der Security Brille ist das Setting dort aber sehr suboptimal angesiedelt aber das war ja nicht die Frage

Ja, aber Du hast auch nicht das typische Setup im Home Netz. Ich denke, dass über 95% der Anwender genau ein lokales IP-Subnetz haben und der MS sich darin befindet. Die Default-Einstellung verhindert, dass der MS aus der Ferne z.B. über eine Portfreigabe auf dem Internet-Router umkonfiguriert wird. Gleichzeitig erlaubt sie die Konfiguration des MS aus dem Home-Netz. Daher auch die etwas ungücklichen Bezeichnungen "nur lokal" bzw. "online". An ein Setup mit lokalen IP-Netzen/VLANs hat man bei der Wahl der Bezeichnungen überhaupt nicht gedacht.

Die Bezeichnung "lokale Firewall" finde ich etwas übertrieben für dieses Feature. Man kann ja nicht mal einstellen, aus welchen IP-Netzen ein Zugriff möglich sein soll. Die Doku zu diesem Punkt ist ja auch eher schwer zu finden.

Fazit: Wenn man Sicherheit benötigt, dann sollte man den MS nicht aus dem Internet erreichbar machen, sondern ein VPN nehmen. Möchte man die Sicherheit im LAN verbessern, dann kann man eine Segmentierung vornehmen, sofern man passende Komponenten dafür hat (u.a. VLANs auf dem Switch, Firewall, die mehrere IP-Netze und Regeln unterstützt). Wenn man dann nicht umständlich NATten möchte, dann muss man, wie in Deinem Fall, die Sicherheit im MS für den o.a. Punkt quasi abschalten und es auf der Firewall über Regeln steuern.

Gruß Jan

Hi Jan,
ich finde gerade für den "normalen" Benutzer der eben ein Flaches Netz hat ist dieses Feature suboptimal. Jeder der den MS via Portfreigabe ins Internet stellt hat es ja im Prinzip nicht anders verdient aber wenn Port 80 zwecks Webgui freigeben ist, dann kann ich darüber als Angreifer auch die online-Option aktivieren - unnötig.

Auf den ersten Blick ist die Absicherung im LAN gar nicht so einfach. Die Webgui und die Adminpage laufen auf Port 80.
Damit muss ich exponierten Geräten Zugriff auf die Adminpage ermöglichen. Wer hat schon einen Reverse-Proxy zuhause im Einsatz ?

Klingt für die meisten mit Sicherheit paranoid aber man hat halt schon Schweine fliegen sehen...

Bist Du sicher, dass das geht?

Wie schon in Post #4 gesagt, kannst Du leider nicht einstellen, aus welchen Netzen der Zugriff möglich sein soll. Das kannst Du nur über Regeln auf Deiner Firewall einstellen. Wenn Du die Option "online" aktiviert hast UND eine Freigabe für Port 80 auf Deinem Internet-Router eingerichtet hast, dann kannst Du sowohl über REST API, Websockets oder die WebGUI Deinen MS voll steuern - es wird nur das richtige Password benötigt. Sollte es eine Sicherheitslücke im Code des MS geben oder eine Hintertür, dann hat ein Hacker auch ohne Deine Anmeldedaten zu kennen, vollen Zugriff auf Deinen MS.

Also für jemand, der sich ein paar Gedanken zum Thema Sicherheit macht, wird sehr schnell klar, dass dieses Risiko bei weitem höher ist, als das Risiko, dass Dein MS aus Deinem eigenen LAN gehackt wird. Hinzu kommt noch, dass die Kommunikation über http, d.h. im Klartext erfolgt. Damit ergibt sich automatisch, dass der MS auf gar keinen Fall per Portfreigabe in das Internet haben sollte, sondern ausschließlich per VPN von außen erreichbar sein sollte. Ein Reverse-Proxy kann vielleicht einige Angriffe verhindern, aber als Ersatz für ein VPN sehe ich den nicht.

Gruß Jan