Hallo Allschwiler
Wie TerrorZwerg erwähnt hat, muss dein Internetanschluss auf IPv4 eingestellt sein, damit es funktioniert. Zudem muss die Erreichbarkeit (z. B. fixe IP, eigene Domäne oder “DynDNS-Service”) gewährleitet sein.
Grundsätzlich erlaubt jeder Router den Zugriff auf eine private “Wolke”. Allerdings gibt es im Fall der Connect Box gewisse Einschränkungen in Abhängigkeit der Art des Zugriffs:
Portweiterleitung (Router-Mode)
Diese ist die einfachste Methode und funktioniert in Regel bei allen ISP-Geräten. Dabei werden einzelne Ports freigeschaltet und die Anfragen zum definierten “Backend-System” weitergeleitet.
Ein Vorteil dieser Methode ist, dass ein Backend-Server pro Weiterleitung angegeben werden kann. Im Fall von UPC werden (unverständlicherweise) einige Ports (z. B. SMTP) gesperrt, sodass keine Weiterleitung für diese Ports möglich ist.
Diese Methode ist ansonsten die “sicherste”, welche die Connect Box anbieten kann. Der einzige Nachteil ist, dass man sich je nach Szenario mit doppelter NAT schlagen muss. Ansonsten ist diese Methode recht flexibel.
DMZ-Host (Router-Mode)
Diese Methode umgeht die Einschränkung der Portweiterleitung (gesperrte Ports), da sämtliche Anfragen zu (nur) einem definierten Backend-System.
Auch in diesem Fall ist doppelte NAT ein Thema. Ansonsten ist diese Methode ebenfalls flexibel.
Bridge-Mode
Mit dieser Methode wird eine weitere Komponente (eigener Router bzw. eigene Firewall) benötigt und leitet alle Anfragen an die erwähnte Komponente weiter
Diese Methode ist nicht so flexibel wie die anderen zwei und gilt zudem als “unsupported”: Im Supportfall werden die Benutzer aufgefordert, den Router in den “Router-Mode” zu versetzen, damit das Supportteam Störungen untersuchen kann.
Alle diese Methoden haben jedoch einen entscheidenden Nachteil: Sie bieten keine richtige Sicherheitsmechanismen an und können für Angriffe missbraucht werden. Für den Fernzugriff sind andere Komponenten bzw. Zugriffsmethoden besser geeignet:
VPN
Hierfür wird eine zusätzliche Komponente (Router oder Firewall) benötigt, welche als VPN-Server eingesetzt werden kann.
Diese Methode eignet sich für Zugriffe auf Freigabeordner (SMB-Shares) oder für Zugriffe auf interne Systeme bzw. Services mithilfe von anderen Anwendungen (z. B. SSH mit Putty).
Browser Zugriff
Obwohl eine Portweiterleitung ausreichend sein kann, bietet diese keinen richtigen Schutz, wie ich bereits erwähnt habe. Hierfür wird einen Reverse Proxy mit WAF-Funktionalität benötigt.
Diese Komponente bringt mehrere Vorteile mit sich, darunter Schutz auf Applikationseben, Multifaktor-Authentisierung, die Möglichkeit, den gleichen Port für verschiedene Services zu verwenden usw.
Meine Empfehlung wäre, eine Firewall einzusetzen, welche einen Reverse Proxy inkludiert. Hierfür gibt es mehrere Alternativen:
Zudem bietet eine Firewall zusätzlichen Schutz mithilfe vom Mechanismen wie IDS/IPS. Allerdings ist der Einsatz einer Firewall keine “einfache Sache” und man muss wissen muss, was man macht, wie von millernet bereits angedeutet.
Nur eine kleine Bemerkung noch: Sicherheit ist nichts anderes als Risikomanagement. D. h., man identifiziert die Risiken, man mitigiert sie, soweit es geht und man lebt mit den Restrisiko und den daraus resultierenden Folgen.
Die Frage ist nun, welche Pille du nehmen wirst:
Blaue Pille: “Mooooment, das ist mir jetzt zu kompliziert …”
In diesem Fall empfehle ich dir, den Rat von millernet zu befolgen und einen Cloudservice wie OneDrive oder Google Drive zu verwenden
Rote Pille: “Jaaaa, genau das habe ich gesucht …”
In diesem Fall heisse ich dich im Klub der “sadomasochistisch Veranlagten” willkommen, die sich gerne auch in ihrer Freizeit mit solchen Themen befassen … 😉
Ich hoffe, das hilft weiter
Gruss
Belegnor