Sicherheitsrisiken bei der Portweiterleitung zum zweiten Router

655
seadoggie01

Ich habe in letzter Zeit viel über Portweiterleitung gelesen (und die Risiken in einem offenen Port verstanden), aber ich möchte einen Minecraft-Server mit meinem Cousin (der die Zustände entfernt lebt) betreiben. Ich kam auf die Idee, den Port an einen zweiten Router weiterzuleiten, um zu verhindern, dass meine Familie sichtbar wird, während der Port geöffnet ist.

Mein Vater war nicht begeistert von dieser Idee, da wir nicht wissen, ob dies für die anderen angeschlossenen Geräte noch riskant wäre (und ich stimme zu, hoffe aber nicht :)

Würde dieses Setup das Risiko für Computer im primären Netzwerk beseitigen, wenn nur der Minecraft-Port weitergeleitet würde?

Bearbeiten: Meine alternativen Ideen ...

  1. Verwenden Sie die Portweiterleitung auf dem ursprünglichen Router. (Mein Vater hat nein gesagt.)
  2. Führen Sie einen Cloud-basierten Server aus (ca. 5 USD pro Monat)
  3. Kein Server :(
0

3 Antworten auf die Frage

1
lungj

Sie schreiben "Entfernen Sie das Risiko", aber ich denke nicht, dass Sie explizit geschrieben haben, was die Alternative war. Wenn Sie keinen Minecraft-Server betreiben möchten, sind Sie der Meinung, dass Sie ein (vernachlässigbares) Risiko hinzufügen, vorausgesetzt, alles ist richtig eingerichtet.

Wenn Sie Daten an einen Router weiterleiten, der sich in Ihrem "regulären" LAN befindet, wenn Ihr Minecraft-Server oder der zweite Router gefährdet ist, hat der Angreifer Zugriff auf Ihr internes Netzwerk erhalten. Wenn Sie Ihren Minecraft-Server in einem separaten LAN betreiben (also am Ende zwei interne LANs haben), sind Sie wahrscheinlich in Ordnung. Eine Alternative dazu besteht darin, den Minecraft-Server direkt hinter Ihrem Internet-Router zu platzieren und dann hinter einem zweiten Router, der an Ihren Internet-Router angeschlossen ist, ein neues LAN zu erstellen. Wenn Sie dies richtig machen, sollten Sie in der Lage sein, eine Verbindung zu Ihrem Minecraft-Server über das Netzwerk des zweiten Routers herzustellen, jedoch nicht umgekehrt.

0
Daywalker

Je nachdem, wie genau Sie eine Erklärung wünschen und wie gut Sie Server und Netzwerk einrichten können, kann eine Situation mit zwei NAT / PATs sehr sicher sein, ist aber schwierig zu handhaben. Besonders wenn Ihr Setup längere Zeit läuft und sich plötzlich etwas ändert / bricht. Dann haben Sie wahrscheinlich eine längere Debugging-Sitzung. Aber das ist kein Grund, es nicht zu tun;) Wie @lungj bereits schrieb, wäre ein zweites internes LAN sehr sicher. Insbesondere wenn Ihr Minecraft-Server wirklich gefährdet wäre, können Sie leicht jegliche Kommunikation aus diesem Subnetz ausschließen.

Die Frage ist, ob Sie einen zweiten Router für den Relay benötigen, wenn Ihr aktueller Router bereits mehrere Subnetze verwalten kann und die Kommunikation zwischen diesen Netzwerken durch Firewall verhindert. Dies würde auch die Komplexität erheblich reduzieren.

 +~~~~~~~~~~~~~~+ ( Internet ) ) ( +~~~~~+^~~~~~~~+ || || || +-----v+-------+ | Router1 | | | +-----+^-------+ || || +-----||------------------------------+ +----------------------------------------+ | ||LAN segment 1 (private) | | LAN segment 2 (DMZ) | |-----||------------------------------| |----------------------------------------| | || | | | | || | | | | || +--------------+ | | +--------------+ | | |+-------------+ Router2 +------------------------> MinecraftSRV | | | +^-------------> | | | | | | | || +--------------+ | | +--------------+ | |+----v+-----------+ | | | || other Hosts...| | | | || | | | | |+-----------------+ | | | +-------------------------------------+ +----------------------------------------+

Hier ist ein kleines Diagramm der vorgeschlagenen (komplexen) Lösung. Wenn Router 1 eine zweite IP-Adresse an einer anderen Schnittstelle und eine gute Firewall haben könnte, könnte das gleiche Setup auch ohne einen zweiten Router in Ihrem privaten LAN erfolgen.

Wenn Sie einen zweiten Router einrichten, vergessen Sie nicht, eine statische Route auf Router1 in die DMZ über Router2 einzufügen, um nach innen in das LAN-Segment zu kommunizieren!

0
LawrenceC

Es ist egal, wie viele Router Sie zwischen dem Router, mit dem Ihr ISP verbunden ist, und Ihrem Minecraft-Server aufstellen, Sie müssen immer noch einen Port auf dem ISP-Router öffnen.

Sie müssen also einen Port an Ihrem ISP-Router öffnen und den Verkehr irgendwo durchqueren, irgendwie in Ihrem LAN, egal was passiert.

Wenn Sie den eingehenden Datenverkehr absperren möchten, damit ein LAN weder sehen noch davon betroffen sein kann, ist die Lösung A) ein physikalisch separates Netzwerk (was Sie nicht tun könnten, wenn Ihr ISP Ihnen nicht 2 IPs gibt) oder B) VLANs Dies erfordert, dass Ihr Router sie unterstützt.

Hier ist mein Zuhause-Setup und die schnelle und schmutzige Abbildung unten sollte die Dinge wahrscheinlich erklären. Sie benötigen einen Router, der VLANs unterstützt.

OpenWRT ermöglicht die Konfiguration des Routers, um verschiedene Ports verschiedenen VLANs zuzuweisen. Der Datenverkehr über verschiedene VLANs kann sich nicht sehen.

Bei Verwendung dieser Konfiguration kann der für den Server bestimmte Datenverkehr Ihr LAN nicht überqueren, es sei denn, jemand stürzt sich in den Router.

Sie benötigen nicht wirklich einen separaten Wireless-Router / -Switch wie ich, aber ich habe viele verkabelte Geräte in meinem Heim-LAN.

enter image description here

Verwandte Probleme