Welke poorten gebruiken bij services in je thuisnetwerk

Zelf persoonlijk, zou ik met een site-to-site VPN werken en dit op jouw devices instellen, dan krijg je gewoon een intern IP van jouw thuisnetwerk en je bent ready 2 go...

Ik werk zelf op de bovenstaande wijze. Mocht dit geen uitkomst voor je zijn, is elke poort een risico die je naar de buitenwereld openzet. Je kunt het op basis van IP doen, dat de poorten voor alles dicht staan behalve voor ip x.x.x.x maar ik vermoed dat dat te omslachtig eventueel voor je kan zijn als ik je bericht zo interpreteer.

Een hacker of althans portscanner kan gewoon prima, alle poorten scannen, als een hacker of scriptkiddie er zin in heeft, scanned 'ie gewoon alle poorten.

Ik heb een internet facing server waar onder andere SSH op draait. In eerste instantie had ik die op default 22 staan, en zag wel erg veel pogingen voorbij komen om er op te connecten. Die draait nu op een 5 digit poort.
Overigens kan ik je aanraden om gewoon Fail2Ban te draaien. Ik heb dat zo ingesteld dat er na 3 pogingen een 24 uur IP ban op komt. Mijn IP thuis is overigens wel gewhitelist (ziggo ip met 'vast' adres). Dat scheelt echt enorm.
Als je echt safe wil zijn maak je de services alleen vanaf je lokale netwerk beschikbaar en VPN je van buiten naar binnen.

Het aantal gevoelige services beperken voor de buitenwereld is een goed idee. De suggestie om iets van een VPN draaien,, waarmee je na succesvol aanmelden de rest van je netwerk ontsluit, sluit ik mij bij aan.
Daarmee verklein je extern bereikbare doelwitten.
Dat ben ik hier ook van plan zodra er wat meer draait.

Andere poort kiezen kan, maar je wint er geen veiligheid mee. Wel win je wat rust, omdat je door de standaard bots en scriptjes dan redelijk snel gepasseerd wordt. Die zoeken naar laag hangend fruit. Maar iemand die een beetje op je richt die kan een port scan doen en dan kom je er snel genoeg achter wat er er waar draait.

FTP, met authenticatie? Wellicht was het gewoon een voorbeeld zoals je al aangaf, maar gewoon niet doen, klaar. Er zijn betere manieren om files heen en weer te gooien. Voor anonieme toegang helemaal prima, maar alles van een account daarop wil je niet.

SSH is een goed alternatief. Ik draai dat op de default poort (22). Ja, dan klopt er van alles aan maar whatever. Je komt er alleen in met SSH keys, geen wachtwoorden, dat is één. Ik heb een AllowUsers statement staan zodat alleen een beperkte set gebruikers überhaupt kan inloggen, dat is twee. Ik ben daarmee al niet zo bang dat er ongenode gasten in komen.
Je kunt nog verder gaan: op extern gerichte machines accepteer ik enkel de sterkte Ciphers (chacha20-poly1305@openssh.com) en met die actie falen heel veel botjes omdat ze die (nog) niet in hun handshake hebben zitten. En vergelijkbare beperkingen op de HostKeyAlgorithms, KexAlsorithms, enkel SHA2 based HMACs, dat soort dingen.
Met een Match blok kun je dat ook nog op basis van "afkomst" (IP ranges bijv.) aanpassen. Externe adressen kun je zo strenger behandelen dan interne adressen.

Zaken als NextCloud... die wil je toch gewoon op poort HTTPS (443) houden. Andere poort kan, maar dat is imo vooral geprutst voor weinig gain. Rechten er van beperken tot wat nodig is, is vaak uit de doos al best aardig gedaan gelukkig (www user met eigen home). Kwestie van dat ding up to date houden en eventuele security meldingen daarvan in de gaten houden. Iets met Two Factor Auth doen is aan te raden.

[ Voor 3% gewijzigd door Ultraman op 10-05-2021 13:24 ]

Tusk schreef op maandag 10 mei 2021 @ 12:39:

3. Buiten de IANA range.

Buiten de IANA range wil je juist niet gebruiken. 49152-65535 is gereserveerd voor dynamic ports. Ofwel applicaties die een random port pakken en bij een port conflict gewoon weer een andere random port pakken. Hier wil je geen applicaties achter hangen die geen dynamic ports gebruiken want eens in de zoveel tijd krijg je dan een port conflict en moet je services gaan herstarten om het te fixen (been there, done that).

Dus de keuze gaat uit de standaard port en de 1024-49151 range waarbij je zelf moet opletten dat je geen port pakt die al in gebruik is op die machine.

Ik denk niet dat hier een algemeen antwoord op te geven is.
Andere poorten maakt het een beetje lastiger maar niet veel.
Je houdt er vooral de scriptkiddies mee tegen die op zoek zijn naar makkelijke doelen.
Als je beveiliging verder op orde is dan voegt het niet zo heel veel toe.
Maar het scheelt wel een hoop meldingen in je logs, als je daar om geeft.

Soms is het ook onhandig om dingen op een andere poort te hebben draaien. Mail moet bijvoorbeeld altijd op poort 25 binnen komen, dat gaat eigenlijk niet anders.


Het is dus vooral een afweging tussen hoeveel vertrouwen je in je eigen beveiliging hebt en welke vorm van gemak je wil.