Meine Meinung:
die portdiskussion und z.B. ping unterbinden etc. hat mit sicherheit nicht wirklich viel zu tun. Was Ihr hier besprecht, ist nur ist tarnen und taeuschen.
Es gibt zwei relativ sichere moeglichkeiten:
1. VPN Tunnel von einem externen client auf die Firewall / Internet Access Device / Router etc. (z.B. Fritzbox). Damit kommt Ihr sicher ins interne Netz und niemand sonst.
Das schwaechste glied ist eben dieses o.g. geraet, das die VPN Einwahl ermoeglicht.
2. Verwendung einer Firewall, die einen Application Proxy fuer das benoetigte Protokoll bereitstellt. z.B. fuer externen Browserzugriff auf ein internes Geraet auf port 80 oder 443 des internen servers/application.
Der Unterschied zu einer Portweiterleitung besteht darin, dass die Firewall alle Anfragen von aussen auf 80 oder 443 so beantwortet, als waere sie selber der webserver. Im hintergrund holt sie die Seiten von dem eigentlichen Zieldevice ab. Zu keinem Zeitpunkt aber kann ein Angreifer direkt mit dem internen server interagieren oder ihn angreifen. Die Firewall agiert nur dann als Mittelmann und greift auf das interne geraet zu, wenn sie die externe Anfrage im positiven Sinne einwandfrei verstanden hat. Alles merkwuerdige, nicht protokollkonforme etc. wird abgelehnt.
Der Vorteil ist, dass die internen geraete duraus schwach und theoretisch angreifbar (z.B. ungepatched, IOT etc.) sein duerfen. Solange der Web Application Proxy der Firewall stark ist, kann "nichts" passieren...
Bei einer Portweiterleitung hingegen kann sich die welt da draussen direkt an eurem internen server/dienst/geraet etc. austoben und versuchen, die luecke zu finden.
- - - Updated - - -
Der Vorteil ist, dass die internen geraete duraus schwach und theoretisch angreifbar (z.B. ungepatched, IOT etc.) sein duerfen. Solange der Web Application Proxy der Firewall stark ist, kann "nichts" passieren...
ich muss das relativieren: z.B. bei unveranderten Standard Passworten hilft auch ein web application proxy nichts. und auch nicht, wenn die interne application nicht ohnehin darauf ausgelegt ist, direkt ins WWW gestellt zu werden. Niemals darf man etwas ueber portfeigabe oder proxy von aussen zugaenglich machen, das nicht konzeptionell ohnehin darauf ausgelegt waere.