NextBox zuhause sicher verbinden über FritzBox

Hallo zusammen,

ich habe vor ca. 2 Monaten meine NextBox durch Kickstarter erhalten. Ich zögerte bisher noch das Gerät anzuschließen, da ich mich vor dem Betrieb vergewissern wollte, dass meine Infrastruktur einen sicheren Betrieb zulässt.

Zuhause gehe ich über einen FritzBox Router (6490 Cable) ins Internet. Ich habe mich gefragt wie sicher es ist, wenn ich die NextBox direkt über diese FritzBox betreibe? Die Nextcloud möchte ich auch über das Internet erreichen können.

Folgende Fragen habe ich:

  1. Was spricht für/gegen den Betrieb der Nextbox direkt an meiner FritzBox?
  2. Könnte mein Internetprovider Zugriff auf die NextBox erhalten?
  3. Könnte sonst jemand anderes Zugriff auf die NextBox erhalten?
  4. Ist es sinnvoll, dass ich mir andere / zusätzliche Hardware besorge? Ich dachte dabei z.B. an einen weiteren Router welcher zwischen die FritzBox und die NextBox geschalten ist - als “Man-in-the-middle” Firewall? Leider kenne ich mich hier noch nicht so gut aus. Falls das sinnvoll wäre freue ich mich über Infos hierzu.

Danke schon mal!
Viele Grüße
Maddin

Hallo,

vermutlich lehne ich mich nicht sehr weit aus dem Fenster, wenn ich behaupte, dass die allermeisten, die daheim eine Nextbox (oder generell Nextcloud oder ähnliches) betreiben, diese direkt an ihrem DSL-Router hängen haben. Ich mach’s auch so.

Ideal ist das zwar nicht, die “ordentliche” Lösung sähe eine Trennung der Netze vor (Internet - Firewall - DMZ - Firewall - Intranet). Etwas in der Art, das ohne zu viel Overkill zuhause machbar ist, wird z.B. hier beschrieben: Netzwerkaufbau im Heimnetz – Digitaler Schutzschild Teil5 ⋆ Kuketz IT-Security Blog

Wie auch immer: Dein ISP wird nicht aktiv versuchen, in dein Netz oder deine Geräte einzubrechen (hoffe ich jetzt einfach mal). Natürlich sieht er alle deine Verbindungen. Gegen diese Privatsphäreprobleme kann man ein bisschen was tun, z.B. durch Eintragen anderer, vertrauenswürdiger (am besten DoT-) DNS-Server.

Fakt ist aber: Sobald du irgendein Gerät “ans Internet” hängst, wird es (automatisiert) angegriffen, wenngleich in der Regel nur auf vglsw. harmlose Weise, Portscans u.ä. Du solltest deshalb z.B. den SSH-Port 22 nicht nach außen führen, aber vor allem anderen:

Halte die Software aktuell. Auf allen Geräten, insbes. auch Endgeräten.
Wer einen Server betreibt, hat entsprechende Verantwortung und muss sich auch entsprechend mehr kümmern, auch wenn Nitrokey einem da einen Teil der Arbeit abnimmt.

Nutze gescheite Passwörter und, wenn irgend möglich, 2FA (z.B. via TOTP). In der Nextcloud-Verwaltung gibt es außerdem einige Einstellungen zu Passwort-Policies.
Ein Brute-Force-Schutz ist auch integriert, das hilft schon mal gegen viele “dumme” Angriffe.

Unabhängig von der Nextcloud/-box kann ich ansonsten die Einrichtung eines Pi-Hole nur wärmstens empfehlen – eine der größten Gefahren droht vmtl. immer noch von böswilligen bzw. inkompetenten Seiten im Internet…

Disclaimer: Bin kein IT-Sicherheitsprofi. Man möge mich gern berichtigen oder ergänzen.

1 Like