Network Hardening & VPN Tunneling
Fritzbox-Parameter, WireGuard und Zero-Trust im lokalen Netz.
Ein offener Port im Router ist eine Einladung an Bot-Netze auf der ganzen Welt. Meine Philosophie: Nichts ist aus dem Internet erreichbar, es sei denn, es wird zwingend gebraucht, und dann nur durch verschlüsselte Tunnel oder Reverse-Proxys.
Die Fritzbox als Firewall-Gatekeeper
Die Fritzbox ist im Standard-Modus solide, aber erst wenn man UPnP (Universal Plug and Play) rigoros abschaltet, hat man Kontrolle. UPnP erlaubt es Smart-TVs, Konsolen oder dubiosen IoT-Geräten, selbstständig Ports nach außen zu öffnen. Das ist in meiner Infrastruktur strengstens deaktiviert. Kein Port öffnet sich ohne mein manuelles Eingreifen.
Remote Access: WireGuard statt Port-Forwarding
Viele NAS-Nutzer öffnen die Ports 80 und 443 direkt auf die Login-Seite ihrer Synology. Das ist Wahnsinn. Ich nutze für administrativen Zugriff ausschließlich WireGuard.
- Die Architektur: WireGuard ist nicht wie das klobige OpenVPN. Es besteht aus nur rund 4.000 Zeilen Code, ist direkt in den Linux-Kernel kompiliert und nutzt State-of-the-Art Kryptografie (Curve25519, ChaCha20).
- Der Vorteil: Es läuft "Silent". Ein WireGuard-Server antwortet auf unautorisierte Pakete nicht mit einer Fehlermeldung, er droppt sie einfach. Ein Port-Scanner sieht den WireGuard-Port nicht einmal. Er wirkt, als wäre er geschlossen.
Reverse Proxy & 2FA Enforcement
Für Dienste (wie Emby), die ich über das Web teilen muss, nutze ich einen Nginx Proxy Manager. Dieser nimmt den Traffic auf Port 443 an, handelt die SSL-Zertifikate per Let's Encrypt automatisch aus und routet den Traffic an die internen Docker-Ports weiter. Bevor man überhaupt die Login-Maske eines kritischen Dienstes sieht, greift ein Authenticator ein und fordert einen TOTP 2FA-Code (Time-Based One-Time Password), der von meinem iPhone oder Android Smartphone generiert wird. Brute-Force-Attacken prallen somit direkt an der Proxy-Mauer ab.