Möglichkeiten zur Absicherung vom Webserver?

gspz · October 27, 2020, 04:06:42 PM

Hallo zusammen,

ich möchte demnächst meine Heimnetzwerk Nextcloud übers NAT ans Internet anbinden. Da hier private Daten gespeichert sind habe ich mir Gedanken zur Sicherheit gemacht. Ich gehe über die Telekom per PPPoE ins Internet. Die Einwahl nimmt bei mir opnsense selbst vor.

Über Alias und URL-List habe ich mir Blocklists von u.a. https://www.blocklist.de/ eingebunden, welche im LAN und WAN blockiert werden.

Gerne möchte ich auch auf ein IPS zurückgreifen, leider hat Suricata scheinbar keine Möglichkeit bei PPPoE siehe
https://forum.opnsense.org/index.php?topic=6462.0

Ist das noch der aktuelle Stand? Welche Möglichkeit gibt es sonst noch mittels opnsense?
Habt Ihr weitere Tipps die ich auf Seite von opnsense noch umsetzen kann?

Vielen Dank!

lebernd · October 27, 2020, 04:32:39 PM

Hallo gspz

Sicherheit ist einfach ein komplexes Thema... Wie ich es handhabe mit Nextcloud zuhause, hinter opnsense. (Nicht lange her wurde hier im Forum ein Artikel verlinkt, der sich kritisch mit dem Projekt überhaupt beschäftigt. Einfach mal suchen) Also ich mach es so:

1) Nextcloud auf aktuellem Stand halten
2) Aus dem Internet erreichbare Dienste (Webserver etc.) enden auf der Firewall. D.h. reverse proxy für die Dienste. D.h. haproxy oder ngnix.
3) Geräte im LAN checken ggf. Netzwerke separieren.
4) Nextcloud auf aktuellem Stand halten
5) Nextcloud gut absichern - auch Accounts zB nun mit TwoFactorAuth ggf. noch fail2ban auf dem Server.

-IPS: Punkt 3 lässt sich nicht gut realisieren, zu viele Geräte, Personen, Unwägbarkeiten im LAN. Sollte zuhause aber eigentlich machbar sein.
- Blocklist: meiner Meinung nach sinnvoll für Verbindungen "nach außen", also LAN->WAN. Auf WAN wird eh geblockt was das Zeug hält.

Grüße,
Bernd

gspz · October 27, 2020, 04:53:00 PM

Hallo Bernd,

meine Nextcloudlösung basiert auf dem x86 Docker Repository von https://ownyourbits.com/nextcloudpi/. Autoupdate, fail2ban und sichere Implementierung sind für mich als Anfänger da scheinbar schon gut umgesetzt.

Welchen Vorteil hat ein reverse Proxy wenn ich nur einen Dienst im Internet anbiete im Bezug zur Sicherheit?

Hat sonst noch jemand wichtige Hinweise zum IPS? Das IPS zu vielen Fehlern führen kann hatte ich auch schonmal. :D Notfalls mach ich auch ein eigenes Subnetz im Heimnetzwerk für die Nextcloud auf inkl. VLAN. Dank PPPoE aber wohl eh aktuell nicht machbar.

lebernd · October 27, 2020, 05:15:44 PM

QuoteWelchen Vorteil hat ein reverse Proxy wenn ich nur einen Dienst im Internet anbiete im Bezug zur Sicherheit?

Wie gesagt - Verbindungen geht nur bis zur Firewall bzw. dem Reverse-Proxy und nicht zum Webserver-Host. Zum Server-Host selbst kommt nur der Proxy. Also eine zusätzliche Sicherheitsschicht.
Es ist ein bisschen ein Aufwand das zu konfigurieren. Es braucht ggf. auch Änderungen an der Nextcloud config.php - meiner Meinung nach aber sinnvoll. Funktioniert auch zusammen mit einer Verschlüsselungslösung (letsencrypt) auf opnsense.

Bei IPS finde ich, ist es ein bisschen die Frage, welche Magie man sich davon erwartet... Vielleicht nochmal nachlesen, was das können soll und nach welcher Seite hin.

Ansonsten ja: ein DMZ für nextcloud bauen ist sinnvoll, zur Not über ein VLAN.

Patrick M. Hausen · October 27, 2020, 05:53:26 PM

Nextcloud funktioniert hervorragend hinter einem Reverse Proxy:
https://docs.nextcloud.com/server/19/admin_manual/configuration_server/reverse_proxy_configuration.html

Der kann dann auch gleich den Letsencrypt-Kram abwickeln und bei Zugriff über Port 80 einen Redirect auf HTTPS auslösen.

lfirewall1243 · October 28, 2020, 07:59:17 AM

Ich kann @pmhausen nur Recht geben. Läuft super mit HAProxy davor.

Und der Vorteil ist, du kannst getrennt von Subdomains deinen Port 443 mehrfach Belegen, oftmals ist der ja bereits für den Exchange Belegt. Damit einfach Subdomain Anlegen und im HAProxy hinterlegen

gspz · October 28, 2020, 04:51:26 PM

Da Suricata scheinbar nicht funktioniert auf PPPoE WAN funktioniert habe ich mir etwas anderes einfallen lassen.
HAProxy werde ich sicherlich noch umsetzen.

Aktuell werde ich wohl ein speziellen Allias als Source beim Portforwarding definieren. Auf meinen Nextcloudclients läuft überall dydns. Ich werde die Domains als erlaubte Source (Alias) einstellen. Dazu kommt noch die Domain (Alias) der http-001 Challange die ich aktuell von letsencrypt verwende, damit sollte zukünftig das Zertifikat erneuert werden können.

lebernd ich habe hier im Forum schon zu dem Post zu nextcloud gesucht, hast du vielleicht noch ein Link dazu?
Dadurch das die EU jetzt auch bei nextcloud ist, dachte ich das es eine sichere Lösung ist.

Danke für eure Ratschläge!

lebernd · October 28, 2020, 05:06:17 PM

Schau mal hier: https://forum.opnsense.org/index.php?topic=18661.0

Ja, letztlich ist - mehr als bei wordpress/drupal etc. - Datensicherheit ein Hauptfeature bei Nextcloud.

Die dyndns-Lösung stelle ich mir etwas kompliziert vor und bin gespannt, ob das so von überall funktioniert.
Aber ja, warum nicht. Ich denke es ist andererseits auch overkill - vielleicht eher auch mal gucken, was fail2ban im Docker macht.

Grüße, viel Spaß damit
Bernd

lfirewall1243 · October 29, 2020, 07:54:43 AM

Quote from: gspz on October 28, 2020, 04:51:26 PM
Da Suricata scheinbar nicht funktioniert auf PPPoE WAN funktioniert habe ich mir etwas anderes einfallen lassen.
HAProxy werde ich sicherlich noch umsetzen.

Aktuell werde ich wohl ein speziellen Allias als Source beim Portforwarding definieren. Auf meinen Nextcloudclients läuft überall dydns. Ich werde die Domains als erlaubte Source (Alias) einstellen. Dazu kommt noch die Domain (Alias) der http-001 Challange die ich aktuell von letsencrypt verwende, damit sollte zukünftig das Zertifikat erneuert werden können.

lebernd ich habe hier im Forum schon zu dem Post zu nextcloud gesucht, hast du vielleicht noch ein Link dazu?
Dadurch das die EU jetzt auch bei nextcloud ist, dachte ich das es eine sichere Lösung ist.

Danke für eure Ratschläge!

Wenn du deine NextCloud eh so stark "Einschränkst", mach es doch direkt per VPN. Das ist wohl der sicherste Weg.

micneu · October 29, 2020, 09:26:59 AM

Quote from: gspz on October 28, 2020, 04:51:26 PM
Da Suricata scheinbar nicht funktioniert auf PPPoE WAN funktioniert habe ich mir etwas anderes einfallen lassen.
HAProxy werde ich sicherlich noch umsetzen.

Aktuell werde ich wohl ein speziellen Allias als Source beim Portforwarding definieren. Auf meinen Nextcloudclients läuft überall dydns. Ich werde die Domains als erlaubte Source (Alias) einstellen. Dazu kommt noch die Domain (Alias) der http-001 Challange die ich aktuell von letsencrypt verwende, damit sollte zukünftig das Zertifikat erneuert werden können.

lebernd ich habe hier im Forum schon zu dem Post zu nextcloud gesucht, hast du vielleicht noch ein Link dazu?
Dadurch das die EU jetzt auch bei nextcloud ist, dachte ich das es eine sichere Lösung ist.

Danke für eure Ratschläge!

also einfach in der suche "nextcloud" eingeben und dann wirst du ihn schon finden

Möglichkeiten zur Absicherung vom Webserver?

gspz

October 27, 2020, 04:06:42 PM

lebernd

October 27, 2020, 04:32:39 PM #1

gspz

October 27, 2020, 04:53:00 PM #2

lebernd

October 27, 2020, 05:15:44 PM #3

Patrick M. Hausen

October 27, 2020, 05:53:26 PM #4

lfirewall1243

October 28, 2020, 07:59:17 AM #5

gspz

October 28, 2020, 04:51:26 PM #6

lebernd

October 28, 2020, 05:06:17 PM #7

lfirewall1243

October 29, 2020, 07:54:43 AM #8

micneu

October 29, 2020, 09:26:59 AM #9