Minecraft Server über 2. PC Portweiterleitung?
Moin,
Ich würde gern einen Minecraft Server über meinem 2. PC 24/7 laufen lassen, ich habe aber gehört das Hacker über den Port die daten z.b Online-Banking auslesen könnten... Also erst verschaffen die sich Zugang zum PC und dann zum Netzwerk?
Ich würde so vorgehen... Minecraft Server Port 25565 freischalten(Portweiterleitung TCP und UDP zu dem 2. PC... )Dann habe ich mit NO-IP meine Adresse verbunden damit ich eine statische IP Habe... Und dann habe ich mir gedacht das ich einfach einen Gast-Wlanzugang anschalte und mich dort mit meinen 2. PC anmelde... weil ja das Netzwerk dann vom Hauptnetzwerk abgetrennt ist... Habe es Probiert und es hat auch geklappt also andere Spieler können auf dem Server joinen... Also so wie ich es will...
Viele würden jetzt schreiben es ist unwahrscheinlich das etwas passiert... aber jetzt kommt das Problem ich streame auf Twitch und würde dann dort die IP weitergeben damit meine Subs mitspielen können nun kam es aber vor das russische Zuschauer reinkamen und direkt die IP abgefragt haben... damals hatte ich aber noch einen Server bei Nitrado da kann mir ja nichts weiter passieren... in Zukunft wäre es ja aber Meine IP... und sie kennen meinem Port...
Also jetzt zur richtigen Frage: Wie kann ich mein Netzwerk sicher machen? (vor Hacker angriffen, DDOS, DOS-Schutz)
bzw. ist es schon sicher durch den Gast Zugang(bezogen auf die daten z.b Online-Banking)?
Schonmal im voraus danke für eure Hilfe :)
1 Antwort
Ich würde gern einen Minecraft Server über meinem 2. PC 24/7 laufen lassen, ich habe aber gehört das Hacker über den Port die daten z.b Online-Banking auslesen könnten...
Solange verschlüsselt kommuniziert wird, ist da nichts mit "Daten des Online-Bankins auslesen". Ganz ohne Risiko ist es natürlich nicht
Also erst verschaffen die sich Zugang zum PC und dann zum Netzwerk?
Sobald sie den Server erfolgreich angegriffen haben, haben sie - in einem einfachen Heimnetzwerk - direkten Zugriff zum Netzwerk.
Die größte Hürde ist damit genommen - ein Zugriff von außerhalb in das Netzwerk. Von da an hat ein potentieller Angreifer ein einfacheres Spiel.
Alternativ: Sie haben deinen Server übernommen und greifen damit - über deinen Namen - andere Dienste an. Ist auch eine Möglichkeit. Davon gibt es noch unzählige weitere.
Ich würde so vorgehen... Minecraft Server Port 25565 freischalten(Portweiterleitung TCP und UDP zu dem 2. PC... )
UDP ist unnötig
Dann habe ich mit NO-IP meine Adresse verbunden damit ich eine statische IP Habe...
Du hast keine statische IP dank NoIP. Du hast eine (Sub-)Domain, die eben dank DynDNS auf deine aktuelle IP zeigt - wenn du einen Dienst laufen hast, welcher die IP automatisch bei Wechsel aktualisiert.
Und dann habe ich mir gedacht das ich einfach einen Gast-Wlanzugang anschalte und mich dort mit meinen 2. PC anmelde... weil ja das Netzwerk dann vom Hauptnetzwerk abgetrennt ist...
Andersrum wäre es sinnvoller, wobei das auf die Implementierung ankommt.
Je nach Consumer-Router kann nämlich vom Heimnetz problemlos aufs Gästenetz zugegriffen werden, andersrum eben nicht. Oft kannst du aber fürs Gästenetz keine Freigaben erstellen.
in Zukunft wäre es ja aber Meine IP... und sie kennen meinem Port...
Ohne Adresse und Port kein Zugriff, das stimmt.
Also jetzt zur richtigen Frage: Wie kann ich mein Netzwerk sicher machen? (vor Hacker angriffen, DDOS, DOS-Schutz)
Es gibt keinen 100%igen Schutz. Das ganze ist immer ein Katz- und Maus-Spiel zwischen (potentiellen) Angreifern und den Server-Betreibern.
Zwei große Bereiche, die du selbst steuern kannst, sind Server und Netzwerk.
Für den Server solltest du nicht auf Windows setzen und eben dafür sorgen, dass die Software immer aktuell ist, so wenig wie möglich im Hintergrund läuft, Minecraft optimalerweise über einen unpriviligierten Nutzer ausgeführt wird usw. Kurzum: Der Minecraft-Server sollte so wenig machen können wie möglich.
Den Root-Nutzer schaltest du am besten ab, erstellst einen eigenen Nutzer mit sudo-Rechten, den du für die Administration nutzt. Dazu dann eben Fernzugriff über SSH nur mit Keyfile, nicht per Passwort. Richtest darüber auch eine (lokale) Firewall wie ufw ein und vieles mehr. Regelmäßiges Monitoring soltle auch beachtet werden und du solltest dich irgendwie über Sicherheitslücken benachrichtigen lassen - z.B. Log4j lässt grüßen.
Für das Netzwerk: Setze nicht unbedingt auf Consumer-Hardware oder -Lösungen, dann kannst du dort auch mehrere Netzwerke einstellen und genau konfigurieren, was genau mit was kommunizieren darf. Wichtig wäre eine DMZ, die eben dank Firewall-Regeln keinen Zugriff auf das innere Netzwerk erlaubt und optimalerweise auch den Zugriff des Servers auf externe Netze einschränkt.
Prinzipiell könntest du das ganze auch mit zwei hintereinander geschalteten Consumer-Routern realisieren, da hast du dann aber mit Dingen wie Double NAT zu kämpfen.
Ich weiß, das ganze ist jetzt relativ allgemein gehalten und ist auch nicht komplett, aber für genaueres reicht eine einfache Antwort eben nicht aus. Da kann man unzählige Faktoren betrachten.
Und das ganze ist bisher nur für einen Schutz von innen. Vor z.B. einem DDoS schützt das nicht. Hierfür könntest du einen Anbieter wie Cloudflare bezahlen, die eben einen Proxy bereitstellen und entsprechende Angriffe abfangen.
Je nachdem, wie groß das ganze wird, solltest du dir auch überlegen, einen Business-Vertrag mit deinem Internetanbieter abzuschließen. Prinzipiell schließen die meisten nämlich eine Bereitstellung von Diensten in den AGB aus. Hat auch den Vorteil, dass du dadurch eine statische IPv4 bekommst und dir den Stress mit DynDNS sparst und eine schnellere Lösung bei Problemen geliefert wird