Vill du vara del av diskussionerna i forumet, ställa frågor eller hjälpa andra? Registrera dig här!
Trädvy Permalänk
Medlem
Registrerad
Apr 2020

Amatörfråga

Jag har väldigt lite kunskap om nätverk/router osv (men börjar finna det ganska intressant)
Det jag funderar på är ifall man på något vis kan ha en dator som webbserver som är ansluten direkt till internet i väggen, medan resten av enheterna i hemmet är anslutna till en router, kan man liksom isolera en enskild dator?
Kanske kan man isolera en dator som är ansluten till routern dessutom?
Hur funkar det då med port 80 t ex?
Tänker på risken att bli hackad etc, om man då använder en dator man inte bryr sig så mycket om så är det ju "lugnt", om det inte påverkar övriga enheter dvs.

Hoppas någon fattar vad jag försöker få sagt, jag har sökt lite på forumet men hittade inte den tråden som jag läste för ett tag sedan som rörde ungefär samma sak vill jag minnas.

Trädvy Permalänk
Medlem
Registrerad
Apr 2019

Du vill nog läsa på om DMZ.

Trädvy Permalänk
Medlem
Registrerad
Jul 2015

Om du ska ha en webserver så kan forwarda port 80 till servern i routern.

Trädvy Permalänk
Medlem
Registrerad
Apr 2020

@zyy: Ja detta har jag testat, men man hör ju hur "farligt" det är med öppna portar?
Läst att det kan ta sekunder innan det sniffats upp en öppen port, kör numera Linux, är det säkrare än Windows vad gäller detta?

Skrivet av CymbalCrasher:

Du vill nog läsa på om DMZ.

Tack, har för mig jag snubblat förbi det begreppet tidigare, kanske något man ska orka nörda in sig på =P
Jag tänker att det lär finnas väldigt många världen över som har egna webbservrar för simplare hemsidor, utan att bli sönderhackade konstant?
Sitter de på feta brandväggar då?

Trädvy Permalänk
Medlem
Registrerad
Jul 2015

Ska du ha en webserver så måste minst en port vara öppen för att kunna ansluta till servern.
Porten blir bara öppen mot servern, inte mot andra datorer på nätverket.

Trädvy Permalänk
Medlem
Registrerad
Apr 2020
Skrivet av zyy:

Ska du ha en webserver så måste minst en port vara öppen för att kunna ansluta till servern.
Porten blir bara öppen mot servern, inte mot andra datorer på nätverket.

Vet som sagt hur man gör detta, men som sagt så känns det ju inte jättesäkert att bara öppna porten sådär?
Kom på att jag har ju en till router som inte används, om jag kopplar den till ett "vägguttag" och ansluter webbserver.datorn till den så blir det lite säkrare?

Trädvy Permalänk
Medlem
Registrerad
Jul 2015
Skrivet av ChrisGBG:

Vet som sagt hur man gör detta, men som sagt så känns det ju inte jättesäkert att bara öppna porten sådär?
Kom på att jag har ju en till router som inte används, om jag kopplar den till ett "vägguttag" och ansluter webbserver.datorn till den så blir det lite säkrare?

Säkrare för vad? Servern? Minst en port måste fortfarande vara öppen för att du ska komma åt servern utanför nätverket.

Trädvy Permalänk
Medlem
Registrerad
Apr 2020
Skrivet av zyy:

Säkrare för vad? Servern? Minst en port måste fortfarande vara öppen för att du ska komma åt servern utanför nätverket.

Inte vet jag, är väldigt färsk inom detta som sagt.
Så om jag gör som jag provade sist, dvs gör så att man kan nå mitt-ip-nummer:80 publikt så är det inga större risker med det?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Sep 2006

Om du öppnar porten i routern eller kopplar in datorn direkt i väggen och vitlistar porten i brandväggen spelar ingen roll. Porten är lika öppen utåt oavsett.

Trädvy Permalänk
Medlem
Registrerad
Jul 2015
Skrivet av ChrisGBG:

Inte vet jag, är väldigt färsk inom detta som sagt.
Så om jag gör som jag provade sist, dvs gör så att man kan nå mitt-ip-nummer:80 publikt så är det inga större risker med det?

Inte just, såvida du bara forwardar port 80 till webserverns interna ip-adress och inga andra datorer på nätverket.
En större säkerhetsrisk skulle jag säga är routrar som inte blivit uppdaterade på 5 år och som har UPnP aktiverat som standrard osv.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Sep 2006
Skrivet av ChrisGBG:

Inte vet jag, är väldigt färsk inom detta som sagt.
Så om jag gör som jag provade sist, dvs gör så att man kan nå mitt-ip-nummer:80 publikt så är det inga större risker med det?

Det finns alltid risker med att öppna upp portar mot Internet, så långt har du uppfattat det hela rätt. Tänk på vad du exponerar på porten du öppnar så ska du nog kunna känna dig ganska trygg. Se till att ha webbservrar och allt sådant uppdaterat för att minimera risken att folk kan utnyttja en massa sårbarheter.

Trädvy Permalänk
Medlem
Registrerad
Apr 2020
Skrivet av zyy:

Inte just, såvida du bara forwardar port 80 till webserverns interna ip-adress och inga andra datorer på nätverket.
En större säkerhetsrisk skulle jag säga är routrar som inte blivit uppdaterade på 5 år och som har UPnP aktiverat som standrard osv.

Ok, har en nästan helt ny Ubiquti-router.

Skrivet av MrPasty:

Det finns alltid risker med att öppna upp portar mot Internet, så långt har du uppfattat det hela rätt. Tänk på vad du exponerar på porten du öppnar så ska du nog kunna känna dig ganska trygg. Se till att ha webbservrar och allt sådant uppdaterat för att minimera risken att folk kan utnyttja en massa sårbarheter.

Så det kanske är större risk att jag skrivit riskabel JavaScript eller PHP än att någon hacker tar sig in antar jag.
Men vad kan hända mer konkret när man har en öppen port? Är det bara webbserver-datorn som drabbas om något händer?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Sep 2006
Skrivet av ChrisGBG:

Så det kanske är större risk att jag skrivit riskabel JavaScript eller PHP än att någon hacker tar sig in antar jag.
Men vad kan hända mer konkret när man har en öppen port? Är det bara webbserver-datorn som drabbas om något händer?

Det är ungefär som att säga att det är större risk att du har ett billigt lås än att en tjuv tar din cykel. En av riskerna är just att det är brister i koden någonstans och det är så någon kan ta sig in och ställa till med fanskap.

I första hand drabbas datorn som någon tar sig in på. Är den sammankopplad med de andra datorerna hemma kan den potentiellt utgöra en väg till dem. På ditt lokala nätverk är ju reglerna inte alls lika strikta som ut mot Internet, så om någon har kommit så långt kan det vara lättare att komma vidare.

Trädvy Permalänk
Medlem
Registrerad
Apr 2020
Skrivet av MrPasty:

Det är ungefär som att säga att det är större risk att du har ett billigt lås än att en tjuv tar din cykel. En av riskerna är just att det är brister i koden någonstans och det är så någon kan ta sig in och ställa till med fanskap.

I första hand drabbas datorn som någon tar sig in på. Är den sammankopplad med de andra datorerna hemma kan den potentiellt utgöra en väg till dem. På ditt lokala nätverk är ju reglerna inte alls lika strikta som ut mot Internet, så om någon har kommit så långt kan det vara lättare att komma vidare.

Förstår.
Har givetvis googlat detta en del och det man hittar är att en del säger att det är jätteriskabelt och att det alltid scannas efter öppna portar osv medan andra säger att det är jätteliten risk att någon ska hacka dig bara för att du har en port öppen.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Sep 2006

Det är nog ganska olika beroende på vad portarna går till. Jag vet till exempel att det skannades något alldeles infernaliskt efter port 22 när jag hade den öppen utåt. Väldigt många inloggningsförsök på SSH för användare "admin" och annat. Min gissning är att det inte är så värst farligt för dig att ha webbportarna öppna så länge du inte kör gammal eller på annat sätt kass mjukvara som pratar över dem.

Trädvy Permalänk
Rekordmedlem
Plats
Salstad
Registrerad
Feb 2009

Handlar det om nån enklare sida så använd ingen vanlig pc som du har till annat utan skaffa en Raspberry pi att ha som webbserver, den är liten, ljudlös och drar lite ström och det går att säkra upp den ganska bra då den bara behöver fungera som server.

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Trädvy Permalänk
Medlem
Registrerad
Apr 2020
Skrivet av MrPasty:

Det är nog ganska olika beroende på vad portarna går till. Jag vet till exempel att det skannades något alldeles infernaliskt efter port 22 när jag hade den öppen utåt. Väldigt många inloggningsförsök på SSH för användare "admin" och annat. Min gissning är att det inte är så värst farligt för dig att ha webbportarna öppna så länge du inte kör gammal eller på annat sätt kass mjukvara som pratar över dem.

Har läst om det där med SSH, därav kan man inte använda namn som root osv?
Detta är inget absolut måste utan jag har ju webbhotell om jag vill lägga upp något, det handlar mest om att jag är nyfiken på hur allt fungerar och sedan så är det såklart "roligare" att hosta en sida själv, och man kan köra annan mjukvara etc.

Skrivet av mrqaffe:

Handlar det om nån enklare sida så använd ingen vanlig pc som du har till annat utan skaffa en Raspberry pi att ha som webbserver, den är liten, ljudlös och drar lite ström och det går att säkra upp den ganska bra då den bara behöver fungera som server.

Har 5 st datorer vilket är lite i överkant, så har en stationär och en laptop som inte används, tänker att dessa två kan användas till olika små experiment.
Vill ju såklart inte att resten av datorerna drabbas av att man klantat sig bara

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Sep 2006
Skrivet av ChrisGBG:

Har läst om det där med SSH, därav kan man inte använda namn som root osv?
Detta är inget absolut måste utan jag har ju webbhotell om jag vill lägga upp något, det handlar mest om att jag är nyfiken på hur allt fungerar och sedan så är det såklart "roligare" att hosta en sida själv, och man kan köra annan mjukvara etc.

Du ska aldrig använda användarnamn som root eller admin på tjänster som är tillgängliga utåt. Sedan brukar det vara en bra idé att inte använda de vanliga portarna heller och när det gäller tjänster som SSH tror jag att det är klokast att inte ha dem tillgängliga utifrån alls. Det gäller väl egentligen alla tjänster som inte faktiskt behöver det utan går lika bra att köra genom en VPN.

Jag tycker absolut att du ska testa att köra din egen webbserver. Det är ett jättebra sätt att lära sig saker och du verkar tänka så pass mycket på säkerheten från början att du förmodligen inte kommer att göra några katastrofala misstag. Skulle du ändå göra det är det, som sagt, en bra idé att inte ha servermaskinen på samma lokala nätverk som övriga prylar hemma. Jag kör själv lite olika servrar hemma sedan några år tillbaka och jag lär mig hela tiden en massa nya grejer.

Trädvy Permalänk
Medlem
Registrerad
Apr 2020
Skrivet av MrPasty:

Du ska aldrig använda användarnamn som root eller admin på tjänster som är tillgängliga utåt. Sedan brukar det vara en bra idé att inte använda de vanliga portarna heller och när det gäller tjänster som SSH tror jag att det är klokast att inte ha dem tillgängliga utifrån alls. Det gäller väl egentligen alla tjänster som inte faktiskt behöver det utan går lika bra att köra genom en VPN.

Jag tycker absolut att du ska testa att köra din egen webbserver. Det är ett jättebra sätt att lära sig saker och du verkar tänka så pass mycket på säkerheten från början att du förmodligen inte kommer att göra några katastrofala misstag. Skulle du ändå göra det är det, som sagt, en bra idé att inte ha servermaskinen på samma lokala nätverk som övriga prylar hemma. Jag kör själv lite olika servrar hemma sedan några år tillbaka och jag lär mig hela tiden en massa nya grejer.

Har provat just SSH och att skicka data mellan datorerna lokalt, det är väl ingen fara att ha port 22 öppen för andra datorer lokalt?
Vad gäller webbserver så är det är ju just det där med att isolera en dator ifrån de övriga som jag får läsa in mig på.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Sep 2006

Lokalt tycker jag att det känns lugnt att använda standardportar. Sedan ska så klart lösenorden vara ordentliga som alltid.

Som har nämnts tidigare är det DMZ du är ute efter. Då kan du koppla in serverdatorn i routern och få den exponerad mot Internet och isolerad från övriga datorer hemma. Du kan så klart också koppla in den på en switch innan routern men det känns onödigt krångligt. Kolla också med din leverantör hur många IP-adresser du får ha eftersom webbservern kommer att behöva en egen.