"Sicheres" betreiben eines Webserver

[phil435345]

Hallo Leute,
wie man erkennen kann bin ich neu hier, habe aber schon sehr viele Posts aus dem Forum gelesen.
(OpnSense für Dummies (speziell für Fritzbox-Umsteiger))
(How (not) to expose services in your home network)
(Netzwerk-Umbau nach Glasfaser-Umstellung - FRITZ!Box vor oder hinter OPNsense?)
(...)

Meine Fragen wurden teilweise schon in anderen Posts beantwortet, wollte hier aber nochmal alles zusammenbringen, damit ich auf der sicheren Seite bin und eventuell auch anderen Personen, die das gleiche Problem haben, mit diesem Post weiterhelfe.

Meine Fragestellung ist, wie betrieb ich einen Webserver ,,sicher" in einem Heimnetz, sicher in ,,"weil es ja bekanntlich nie 100% Sicherheit gibt. Und ich spreche von einem einfach Webserver, der einfach eine persönliche Webseite hosten soll.

Mir ist bewusst das die optimale Lösung eine andere darstellt, jedoch ist optimal immer Ansichtssache und mit meinem Ansatz möchte ich mit wenig Aufwand (FritzBox Telefonie und weiteres so lassen wie es ist), ein hohes Maß an Sicherheit erreichen.

Mein Aufbau würde so aussehen: (alles auf IPv4, ich bekomme auch von meinem ISP eine IPv4 Adresse)

Internet <-->(public ipv4)Fritzbox (10.1.0.1/16) <--> Privates LAN (10.1.0.0/16) <--> (10.1.0.3/16)OpnSense(192.168.0.1/24) <--> "Öffentliches" LAN (192.168.0.0/24)

Aktuell ist mein Netzwerk wie oben aufgebaut jedoch ohne der OpnSense und dem ,,öffentlichen" LAN. Ich will die Fritzbox so lassen wie sie ist, jedoch will ich nicht, dass mein Webserver im gleichen LAN wie meine privaten Geräte hängt. Deswegen würde ich gerne die OpnSense zwischen schalten und in dem neuen ,,öffentlichen" LAN mein Webserver bereitstellen.

Dazu würde ich:
-   Auf der Frirtbox eine statische Route auf mein ,,öffentliches" LAN setzten, damit das doppelte NAT wegfällt.
-   Eine Portweiterleitung (80, 443) auf die IP-Adresse des Webservers im ,,öffentlichen" Netz (192.168.0.2/24).

Zusätzlich würde ich in der OpnSense ein Firewall Regel erstellen, dass alle Verbindungen aus dem Netzt 192.168.0.0/24 auf private IP Adressen blockiert werden.

Ihr könnt davon ausgehen, dass die Default-Gateways an der Fritzbox und der OpnSense richtig gesetzt sind.

Nach meinem Verständnis müsste jetzt mein Webserver aus dem Internet erreichbar sein. Zusätzlich sollte vom Webserver aus nur Verbindungen in das Internet möglich sein (für Updates oä.).

Durch diesen Aufbau erhoffe ich mir ein zusätzliches Maß an Sicherheit, weil wenn mein Webserver kompromittiert wird, dieser in einem abgeschotteten Netzt sitzt und niemanden erreichen kann.

Sind meine Gedanken so korrekt?

Danke für euere Unterstützung! Grüße Philip

[meyergru]

Das kannst Du so machen, wenn es auch eine sehr eingeschränkte Nutzung für OpnSense ist, bei der ggf. Blocklisten oder GeoIP erst nach der Fritzbox wirken. Wie Du weisst, sollte man die Angriffsfläche möglichst minimieren. Auch wird das alles in Bezug auf IPv6 schwierig - ich habe keine Ahnung, ob/wie man die IPv6-Präfixe delegieren kann oder ob Du das brauchst/willst.

Ich würde aus pragmatischen Gründen auch das Port-Forwarding nur auf der Fritzbox machen und auf der OpnSense anstelle von Port-Forwards oder Firewall-Regeln lieber einen Reverse-Proxy einsetzen, aber das hast Du ja schon gelesen. Eins davon musst Du auf jeden Fall tun, weil auf einem typischen "WAN" Interface per Default kein eingehender Traffic zugelassen ist (NAT musst Du dort dann auch abschalten).

Was die Subnetze angeht, solltest Du vielleicht noch dies lesen. Ohne Not würde ich weder ein /16 definieren noch 192.168.0.x/24 nutzen.

Richtig ist, dass Du damit eine DMZ schaffen kannst, die nur ins Internet kommt und keinen Zugriff auf interne Geräte hat. Das wäre aber eleganter auch mit einer OpnSense "vorne" möglich.