Messages

91

German - Deutsch / Re: Naxsi Rules erstellen - wie richtig whitelisten?

« on: October 30, 2021, 01:57:07 pm »

Hey Fabian,
auch wenn das nur eine kurze knappe antwort war, war das doch sehr Aussagekräftig.
das mit dem Header hat auch geklappt!
Habe einfach accept in match_value eingetragen.

Hab noch 0 Ahnung von Rule Erstellung für naxsi.
Allerdings frage ich mich auch, warum ich im Learning mode trotzdem fehler auftreten.

Ich weiß auch gar nicht wie ich das whitelisten soll?

Code: [Select]

4 NAXSI_EXLOG: ip=111.22.33.44&server=mucke.example.com&uri=%2Frest%2Fstream.view&id=1000&zone=ARGS&var_name=c&content=substreamer, client: 111.22.33.44, server: mucke.example.com, request: "GET /rest/stream.view?u=odin&t=2892b6b6e13f6f190d26ed5b90459b7e&s=l0lbM6m&v=1.13.0&c=substreamer&f=json&id=01dd97d35996602c5f9467263b81b581&maxBitRate=320&format=mp3&estimateContentLength=false HTTP/1.1", host: "mucke.example.com"
kann ich mithilfe regulärer ausdrücke (worin ich auch noch ein noob bin) eine rule erstellen mit der ich sagen kann "match_value=content=substreamer"?

92

German - Deutsch / Naxsi Rules erstellen - wie richtig whitelisten?

« on: October 29, 2021, 08:03:03 am »

Moin moin alle,

Ich habe gestern versucht eigene Rules fürs whitelisting zu basteln. Leider finde ich keinen Guide der einen einfachen Weg aufzeigt. Viele verwenden zusätzliche Tools wie "rule generator nxtools"um das Log verständlicher zu machen.
Ich habe versucht anhand der Doku eine Rule zu erstellen. Siehe:
https://github.com/nbs-system/naxsi/wiki/naxsilogs
https://github.com/nbs-system/naxsi/blob/master/naxsi_config/naxsi_core.rules

Mein error log:

Code: [Select]

2021/10/28 09:36:51 error 8192#100150 *1 NAXSI_EXLOG: ip=111.22.33.44&server=mucke.example.com&uri=%2Frest%2Fstream&id=17&zone=HEADERS&var_name=accept&content=audio%2Fwebm%2Caudio%2Fogg%2Caudio%2Fwav%2Caudio%2F%2A%3Bq%3D0.9%2Capplication%2Fogg%3Bq%3D0.7%2Cvideo%2F%2A%3Bq%3D0.6%2C%2A%2F%2A%3Bq%3D0.5, client: 111.22.33.44, server: mucke.example.com, request: "GET /rest/stream?u=odin&t=1fd5989b84d42d7d017cdb5e69a6d1f2&s=be1ab3&f=json&v=1.8.0&c=NavidromeUI&id=1429d0d6a01880afaecb6705c19d7de3&_=1635406610710 HTTP/2.0", host: "mucke.example.com", referrer: "https://mucke.example.com/app/"
2021/10/28 09:36:51 error 8192#100150 *1 NAXSI_FMT: ip=111.22.33.44&server=mucke.example.com&uri=/rest/stream&vers=1.3&total_processed=11&total_blocked=3&config=learning&cscore0=$LIBINJECTION_SQL&score0=8&zone0=HEADERS&id0=17&var_name0=accept, client: 111.22.33.44, server: mucke.example.com, request: "GET /rest/stream?u=odin&t=1fd5989b84d42d7d017cdb5e69a6d1f2&s=be1ab3&f=json&v=1.8.0&c=NavidromeUI&id=1429d0d6a01880afaecb6705c19d7de3&_=1635406610710 HTTP/2.0", host: "mucke.example.com", referrer: "https://mucke.example.com/app/"
2021/10/28 09:51:06 error 13575#100974 *1 js exception: TypeError: cannot get property "split" of undefinedWas mache ich wenn es kein NAXSI_FMT Log gibt?

Code: [Select]

2021/10/29 09:52:06 error 61853#101734 *52 NAXSI_EXLOG: ip=111.22.33.442&server=mucke.example.com&uri=%2Frest%2FgetCoverArt.view&id=1000&zone=ARGS&var_name=c&content=substreamer, client: 111.22.33.442, server: mucke.example.com, request: "GET /rest/getCoverArt.view?u=odin&t=b9f082fda448ce38bed40f30dd0abbb0&s=2ImvkNK&v=1.13.0&c=substreamer&f=json&size=500&id=567c7510b719964b11e26c518b2c5f28 HTTP/2.0", host: "mucke.example.com", referrer: "https://localhost/"
2021/10/29 09:52:06 error 61853#101734 *52 no live upstreams while connecting to upstream, client: 111.22.33.442, server: mucke.example.com, request: "GET /rest/getCoverArt.view?u=odin&t=b9f082fda448ce38bed40f30dd0abbb0&s=2ImvkNK&v=1.13.0&c=substreamer&f=json&size=500&id=567c7510b719964b11e26c518b2c5f28 HTTP/2.0", upstream: "http://upstream67c0fb4aebe44d9884a90b4cf7d49264/rest/getCoverArt.view?u=odin&t=b9f082fda448ce38bed40f30dd0abbb0&s=2ImvkNK&v=1.13.0&c=substreamer&f=json&size=500&id=567c7510b719964b11e26c518b2c5f28", host: "mucke.example.com", referrer: "https://localhost/"Meine Rule: (Siehe Bild)

In der Beschreibung der Rule Types steht auch: Basic rules need to be added to a policy to allow assosciation with a location.
Soll ich auch eine benutzerdefinierte policy erstellen und an meine location anbinden, oder soll ich eine bestehende nutzen?

Wichtigste Frage IMO, gibt's nen trick um herauszufinden welche value man eintragen müsste? $HEADERS_VAR:accept habe ich in einem anderen Forum gefunden, ohne die Syntax dahinter wirklich zu verstehen. siehe: https://issueexplorer.com/issue/nbs-system/naxsi/554

Danke vorab für jede Hilfe!

93

German - Deutsch / Re: NGINX proxy_set_header & Co für dumme

« on: October 22, 2021, 12:02:10 pm »

Hey danke!
Auf dich ist bei dem Thema verlass.

Das mit dem Security Header war ein guter Tipp.
Hab es nun hinbekommen.

Was X-Real-IP angeht,

Nein, das würde nicht gesichert werden. Es wird nur das Gui gesichert.

proxy_set_header X-Forwarded-Host $http_host;

Der HTTP header wird direkt als Host weitergereicht. Man muss hier eigentlich nix überschreiben.

War für mich schwer festzustellen, ob das nun extra gesetzt werden musste, oder ob das bereits per default drin ist.

94

German - Deutsch / NGINX proxy_set_header & Co für dumme

« on: October 21, 2021, 09:10:04 pm »

Hallo an alle,

Ich versuche navidrome (music streaming) von außen erreichbar zu machen. -> funktioniert auch, aber ich bekomme einige fehler beim streamen oder das runterladen von songs geht nicht.

ich sehe online das es diverse settings gibt die man noch für den container bräuchte. Allerdings bin ich mir nicht sicher welche von den settings über die UI setzbar sind.

Ähnliches wurde bereits hier mal diskutiert: https://forum.opnsense.org/index.php?topic=16595.0
Aber da weiß ich nicht was sich seit da an geändert hat. Ich bin mir auch nicht sicher ob ein Backup der OPNsense config manuelle settings in den nginx-xyz.conf files über das terminal mit sichern würde. Ich würde gerne vermeiden bei einer Wiederherstellung von vorn anfangen zu müssen.

Der Einfachheit halber.. gibt es eine Doku wo man diese settings in der UI finden kann?

Code: [Select]

add_header Strict-Transport-Security "max-age=31536000" always;
proxy_pass http://127.0.0.1:4533/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr; # < vermutlich über "config: http server" "PROXY-Protokoll=y; "Real IP Source=X-Real-IP"
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Protocol $scheme;
proxy_set_header X-Forwarded-Host $http_host;
proxy_buffering off; # Ich vermute unchecken von "Request/Response Buffering"

Danke vorab für jede Hilfe!

95

German - Deutsch / Re: Cloudflare Proxy - Reverse Proxy und Wireguard?

« on: October 13, 2021, 01:37:07 pm »

Dann muss ich das bei mir mit den Subdomains noch ein wenig umstellen.. Danke für den Hinweis!

96

German - Deutsch / Cloudflare Proxy - Reverse Proxy und Wireguard?

« on: October 12, 2021, 08:52:22 am »

Moin moin,
eine Frage zu den Proxies und VPN.

Wenn ich den Cloudflare Proxy Service und Nginx Reverse Proxy verwende. Wie bekomme ich dann VPN mit Wireguard hin? Wenn ich den Cloudflare Proxy aktiviere, komme ich nicht mehr zu meiner Firewall. Vermutlich weil ich über den Cloudflare Proxy mit einer anderen IP komme und erst eine (HTTP Server) config mit "Real IP Source" = Cloudflare Connecting IP - bräuchte..?
Wie habt ihr das bei euch gelöst? VPN Endpoint ist bei mir OPNsense.

97

German - Deutsch / Re: github timeout wegen FireHOL block

« on: October 08, 2021, 04:27:12 pm »

Hat sich erledigt... nach ewigem rumprobieren:

Trick war es das Ziel umzukehren

98

German - Deutsch / Re: github timeout wegen FireHOL block

« on: October 08, 2021, 04:08:25 pm »

Mein Alias:

99

German - Deutsch / Re: github timeout wegen FireHOL block

« on: October 08, 2021, 07:33:22 am »

Ah, klasse! Danke für den Hinweis!

Edit: Habs ausprobiert, aber scheinbar zieht die Regel nicht. :/ Hab einen Alias erstellt (weil mehrere IP's) URL (IPs)
Übersehe ich hier was?

100

German - Deutsch / github timeout wegen FireHOL block

« on: October 07, 2021, 10:58:52 pm »

Moin moin männas,

Ich habe mich schon seit Ewigkeiten gewundert warum ich immer einen Timeout bei github bekomme. (Sehr oft aber nicht immer)

Code: [Select]

lan Oct 7 22:54:04 192.168.1.118:51824 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:54:04 192.168.1.118:51822 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:54:00 192.168.1.118:51824 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:54:00 192.168.1.118:51822 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:53:58 192.168.1.118:51824 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:53:58 192.168.1.118:51822 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:53:57 192.168.1.118:51824 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:53:57 192.168.1.118:51822 140.82.121.3:443 tcp FireHOL Blacklist OUT
Anscheinend ist FireHOL daran schuld das ich github nicht besuchen kann.
Kann man irgendwo herausfinden warum das geblockt wird und ob man dafür eine Ausnahme machen kann ohne auf FireHOL zu verzichten?

Danke vorab für jede hilfe!

101

German - Deutsch / Re: Sicherer remote zugriff auf interne Cloud ohne VPN?

« on: September 29, 2021, 12:33:50 pm »

Interessant was es für Möglichkeiten gibt. Finde ich prinzipiel auch einen guten Lösungsansatz, aber da ist dann wieder die Frage, gibts noch mehr authentifizierungsmethoden? Weil bei den Zertifikaten bist du auch an die Geräte gebunden. Somit wäre das schon mal für meine Frau auf Dienstreise nur übers Handy, aber nicht über das Notebook möglich.
Was würde denn gegen 2FA sprechen oder FIDO2, bzw. wären mehre methoden möglich? Quasi ein Optionsmenü beim anmelden, wo man die gewünschte Art auswählen kann.
Ich gehe oft vom Wurst-Käs szenario aus, wo das Handy verloren geht und man nur noch seine Credentials im Kopf hat, aber dafür das Firmennotebook (wo keine zertifikate installierbar sind).

102

German - Deutsch / Re: Sicherer remote zugriff auf interne Cloud ohne VPN?

« on: September 29, 2021, 06:10:50 am »

Danke erstmal @fabian für deine Zeit und deine Erläuterungen. Ich gucke mal wie weit ich mit der config komme.

Direkt am PI kannst du ein self signed lassen. Deinem LAN solltest du ja trauen können. Eine andere Frage ist, ob du intern überhaupt HTTPS brauchst. Wenn du über den LB gehst, macht der ja das HTTPS. Das ist dann aber Geschmackssache und vom internen Netzwerk abhängig.

Ich war mir nicht bewusst, dass der der auch intern erstmal über den LB geht. Ich dachte der LB bearbeitet Anfragen von extern, nicht beides, außer ich konfiguriere eine Route von intern.

also, sorry aber in der heutigen zeit und auch in zukunft sind vpn keine technik die man nicht LERNEN kann, um so besser wenn die personen es JETZT bei dir lernen, so bekommen nur leuter die daten zu sehen denen du die konfig gibst. ausser du konfigurierswt was falsch. also deine argumente sind für mich kein grund auf vpn zu verzichten.

alles ander (haproxy oder nginx als revers proxy, kann man machen)
das ist meine persönliche meinung.

1. Ich habe niemals gesagt das ich auf VPN verzichten will... aber Wireguard ist alles andere als Simpel und die anderen Lösungen sind einfach zu unperformant. Ich selber werde weiterhin VPN benutzen, weil ich weiß wie das geht. Kannst du dir deine Wireguard credentials merken? Kannst die im Bitwarden hinterlegen. So und was wenn deine Passwortdatenbank @ home hinter der Firewall liegt?
2. Geht es darum auch für das worst case ein szenario zu haben, wie handy geht verloren... keine tokens mehr, keine VPN zugangsdaten im kopf. Man darf da nicht immer von sich auf andere schließen. Es ist genauso wie seiner Oma beizubringen wie man das Internet benutzt. Die wird dich 2x fragen dann lässt sie das in der Ecke liegen. (natürlich sind nicht alle so... aber es ist nicht auszuschließen) Manche sind einfach schwer von begriff was Technik betrifft. Ja in der heutigen Zeit muss man oft mit ihr gehen... allerdings ändert sich alles so rasant, dass manche da einfach kein bock mehr haben. Bei meinem Sohn habe ich Hoffnung, aber meine Frau hat andere Probleme. Die steht auf kriegsfuß mit VPN, weil die ein problembehaftetes fortinet VPN von der Arbeit hat und wenn ich ihr dann jetzt noch mit meiner super simplen Wireguard config komme, kannst du dir ausmalen wie viel nerv die dafür haben wird. Zu Mal beides gleichzeitig nicht funktionieren wird.
3. Geht es auch um den Komfort. Soll man ständig VPN aktivieren wenn man musik hören will? Was wenn man an Geräten sitzt wo sich kein VPN einrichten lässt?

103

German - Deutsch / Re: Sicherer remote zugriff auf interne Cloud ohne VPN?

« on: September 28, 2021, 09:39:41 am »

Danke erstmal für dein Feedback!

Beide sind einfach und brauchen keine 10 Minuten wenn du keinen Let's Encrypt support brauchst. Ansonsten sollte es in ner Stunde erledigt sein.

In der tat brauche ich Lets Encrypt, aber ich habe gestern erfolgreich Zertifikate für meine Domain bezogen. Habe eben auch festgestellt, dass ACME nur HAProxy integration anbietet. Da die Frage, was müsste ich bei NGINX beachten? Ich habe bei den TLS settings die Letsencrypt Zertifikate auch auswählen können. Reicht das?

Wenn du hier 2Fa von OPNsense meinst: Das kannst du zwar mit dem nginx plugin nutzen aber ich würde dir aufgrund der kurzen Passwortgültigkeitsdauer davon abraten. 2Fa auf der nextcloud wäre ziemlich sicher OK.

Das ist ein guter Hinweis, danke dafür!

Patches einspielen sollte in der Regel reichen.
Den PI als DMZ Host anschließen?

Soll ich also den Host als alleinigen DMZ Host im internen LAN deklarieren? Wie geht das und bringt mir das zusätzlichen Schutz? ^^

HAProxy ist eher was für den Load Balancer Einsatz. Nginx würde ich nehmen, wenn ich tiefer eingreifen will. Zum Beispiel hast du dort ne WAF.

Ich würde ja da auf die Security Header Hinweise in der Admin-Seite von nextcloud verweisen.

Das WAF Feature ist mir bei den Settings auch aufgefallen und ist definitiv ein geiles feature. Bei den Security Headern bin ich mir aber unschlüssig ob ich das nur auf dem Reverse Proxy machen sollte, oder sowohl als auch auf dem Webserver.

Hier auch noch eine Frage zu Zertifikaten. Ich habe intern ein selbstsigniertes Zertifikat. Aussteller ist meine interne OPNsense CA. Was wäre denn hier sinnvoller? Soll ich das interne Zertifikat auf dem Pi lassen, oder auf dem Pi selber auch Lets encrypt einrichten? Wenn ich das interne Zertifikat darauf belassen würde, würde ich dann eine Zertifikatswarnung bekomme, wenn ich von extern kommen würde?

Und noch eine Frage bzgl. IP ACL. Kann man in NGINX auch URL's angeben die Listen angeben? quasi so: https://www.cloudflare.com/ips-v4

104

German - Deutsch / Sicherer remote zugriff auf interne Cloud ohne VPN?

« on: September 27, 2021, 08:16:21 pm »

Moin moin,
Ich versuche momentan herauszufinden was die sicherste Methode wäre, um auf meine Daten (unkompliziert) zuzugreifen.

Ich habe einen kleinen Nextcloudpi bei mir stehen und möchte gerne auch plex von außerhalb erreichbar machen. Derzeit habe ich  Wireguard konfiguriert, aber Frau und Kind haben 2 linke Hände was Technik betrifft, darum die Frage, was wäre die sicherste Methode um idiotensicher über eine einfache URL auf seine Cloud zuzugreifen? Geht auch darum das wir z.B. auch Bilder von unterwegs aus übers Handy in die Cloud syncen wollen, oder Musik streamen. Oder z.B. auch mal für den Notfall, falls die Brieftasche im Ausland verloren geht.

Ich habe diverse doku's gefunden und mir auch mal die OPNsense Doku angesehen und bin unschlüssig was denn nun besser geeignet wäre.
Eine DMZ ist ja im prinzip wie es der Name schon sagt, demilitarisiert und hat nur den Vorteil das interne Netz vor schnüfflern zu schützen. Der Webserver in der DMZ ist aber nur so gut geschützt wie seine config es zulässt. Sprich Fail2ban.. SELinux, Apache config etc. Gleiches gilt auch für den Proxy, aber dafür brauche ich keinen extra Router.
NGINX und HAProxy sind laut Aussagen beides gute Möglichkeiten, sind aber auch kein Allheilmittel. Außerdem ist die Konfiguration alles andere als Simpel.

Was sind denn eure Empfehlungen und Erfahrungen?
2FA + NGINX + Firewall rules für mein "Server" Subnetz.
Für eine DMZ bräuchte ich eine extra Kiste. Außerdem habe ich da mehr bedenken um die Sicherheit meiner persönlichen Daten.
Worauf müsste ich bei der Proxy config achten, bzw. was welches Produkt wäre besser geeignet? > NGINX/HAProxy

105

German - Deutsch / Re: Timeout - WebUI von Docker Containern hinter der Firewall

« on: September 23, 2021, 04:15:32 pm »

Fritzbox LAN 192.168.50.0/24
Darum sind beide im selben Subnetz.
Beide haben ein eigenes NIC.
OPNsense ist eine VM innerhalb von unRAID. Außerdem ist es problematisch unRaid hinter die sense zu routen. Weil.. blöd wenn VM beim nächsten boot nicht startet. Ansonsten klar... hättest du natürlich recht die hinter die sense zu stellen, wenn sie eigenständig wäre. ^^

Eigenes subnetz oder vlan für unraid... weiß nicht obs das übersichtlicher macht.