Den Raspberry Pi ins böse Internet hängen

Praktische Sicherheitsüberlegungen auf dem Weg zur eigenen digitalen Souveränität

Auch wenn es verlockend bequem ist, möchte ich nicht mehr alle meine Daten auf fremden Wolken lagern. Als Schritt zur persönlichen digitalen Souveränität habe ich deshalb angefangen, gewisse Dienste selbst zu hosten. Dafür könnte ich entweder einen virtuellen Server bei einem Provider mieten oder aber mir selbst einen kleinen Server in die Wohnung stellen und selektiv den Zugriff aus dem Internet auf diesen Server erlauben.

Ich habe mich für den eigenen Server im Bücherregal in Form eines Raspberry Pi 5 entschieden. Einerseits, weil dieser Server auch die Haussteuerung übernimmt, andererseits weil es darauf auch Daten hat, welche die Wohnung eigentlich nicht verlassen sollten. Ist es da nicht gefährlich, Löcher in die Firewall meines Internet-Routers zu bohren?

Es gibt folgende Möglichkeiten:

1. Den Raspi nicht ins Internet hängen:
   Der Raspi ist nicht von aussen erreichbar, damit auch am wenigsten angreifbar. Die Dienste sind nur nutzbar, wenn ich zuhause im eigenen Netwerk bin.
2. Der Raspi ist nur per VPN erreichbar:
   Entweder hat bereits der Router ein VPN eingebaut (Fritzboxen von AVM haben das z.B.) oder man nutzt einen VPN-Dienst wie z.B. Tailscale, mit dem sich verschiedene eigene Geräte in einem eigenen geschlossenen VPN verbinden lassen (Tailscale ist für Privatgebrach kostenlos und vergleichsweise einfach installierbar, nutze ich selbst. Da Tailscale immer auf meinem Notebook läuft, ist mein Raspi darüber immer erreichbar).
   Mit dieser Methode kann nur ich b(bzw. alle, die ich ins gleiche VPN einlade) auf den Raspi zugreifen.
3. Obskure Port-Forwards einrichten:
   Auf dem Router werden irgendwelche obskuren Ports geöffnet, die den Zugriff auf Ports auf dem Raspi ermöglichen. Ein böser Angreifer muss damit auf dem Router mindestens einen Portscan machen, um herrauszufinden, auf welchem Port man angreifbar sein könnte. Verwendet man nicht die Standardports der entsprechenden Programme, dann ist man rein statistisch etwas besser geschützt vor automatisierten Angriffen. Ist aber security by obscurity und man muss drauf vertrauen, dass die dadurch im Internet sichtbaren Dienste keine Schwachstellen besitzen und einigermassen gegen brute force Angriffe abgesichert sind.
   Mit einem kostenlosen dynDNS-Dienst wird der eigene Router auch über eine stabile Adresse von aussen erreichbar (AVM bietet für die Fritzboxen so etwas kostenlos an).
   Nachteil: Gewisse Firewalls (z.B. die meines Arbeitgebers) sperrt obskure Ports, so dass die Dienste dann doch nicht von überall her erreichbar sind.
4. Den https-Port forwarden:
   Wenn der Standard-Port für https-Anfragen (443) am Router eingehende Anfragen an den Raspi weiterleitet, so ist der Raspi auch bei restriktiven Firewalls eher erreichbar. Umgekehrt ist aber auch die Wahrscheinlichkeit grösser, dass man Ziel automatisierten Drive-By-Attacken wird.

Wie mache ich es konkret?

Ich habe den Port 443 offen und dahinter läuft ein nginx Proxy-Server. Der schaut, anhand der Anfrage, welche Domain eine Anfrage erreichen will. Anfragen direkt auf die IP-Adresse laufen ins Leere. Damit hoffe ich, automatisierte IP-Scan-Angriffe etwas eindämmen zu können, da Angreifer wissen müssen, welche Domains auf meinem Raspi akzeptiert werden (sprich: IP-basierte Angriffe laufen ins Leere, DNS-basierte Angriffe erreichen ihr Ziel). Hier habe ich derzeit mehrere kostenlose dyndns-Adressen registriert und automatisiert mit einem Let's-Encrypt-Zertifikat versehen.

Nun wäge ich bei jedem Dienst zwischen Sicherheit und Bequemlichkeit ab:

Was ich von aussen einfach erreichen will:

• Meine Fotosammlung
• Meine Haussteuerung

Was ich nur via tailscale erreichbar gemacht habe:

• Meine Dokumentenverwaltung (paperless-ngx)
• Meine Duplicati-Backup-Dashboards
• Mein gninx-Dashboard