OPNsense/HAproxy und Nextcloud

[kosta]

Hallo,

wie schon im anderen Thread diskutiert, habe ich bei mir vor gehabt und jetzt auch umgesetzt, meine eigene Nextcloud.
Ich benötige Zugriff definitiv ohne VPN, daher habe ich mir ja überlegt was ich für die Sicherheit tun kann, um das Ding im WAN möglichst sicher zu machen.
Ich habe die Linuxbabe Anleitung benutzt und dort ein paar Sicherheits-Empfehlungen übernommen.
SELinux habe ich nicht hinbekommen, aber daran arbeite ich noch, ich weiß davon eigentlich nicht viel, außer nur in etwa verstehen was das Ding macht.
Jetzt ist alles aktuell, MariaDB, PHP und Nextcloud. Aktualisiert wird alles laufend, ich muss noch rausfinden wie ich die Sachen automatisiere. Ist einfach ein To-Do.
Ebenso kommen noch Multi-Ort Backups für gewisse Sachen, ist nur noch nicht eingerichtet.
Von der Konfiguration her ist es so, dass die Nextcloud selber wenig Daten (in Größe und nicht Anzahl gemeint) trägt oder tragen wird. Die Zugriffe passieren via mount --bind und nfs auf entsprechende Shares (NAS).

Was mich hier eher interessiert, was ich netzwerktechnisch auf der OPNsense tun kann, um möglichst wenig Angriffsfläche zu bieten. Ich sag mal was ich bisher getan habe:
- LE Zertifikat (Wildcard) am HAproxy
- kein "generischer" Name "nextcloud"
- eigener Port
- der Server befindet sich in einem ziemlich eingeschränkten VLAN wo auch andere Server residieren, wo sehr wenig ausgehend erlaubt ist überhaupt (eingehend nur sowieso aktuell Port für Nextcloud)
- starkes Passwort + 2FA am Nextcloud (alle Logins)

Kann ich auf der OPNsense oder HAproxy was extra tun? HAproxy macht eigentlich nix besonderes außer SSL Offloading und das war's.

Sollte Netzwerkplan notwendig sein, gerne auf Anforderung.

[lfirewall1243]

Vielleicht noch IDS/IPS aktivieren und mit GeoAlias, Blocklisten etc. arbeiten.
Und den Nextcloud Server aus dem Netz der anderen fern halten, wenn da eh schon ein VLan ist gib ihm doch ein eigenes.
Bezüglich der NC würde ich mich noch mit dem Thema Verschlüsselung der Daten beschäftigen

[lewald]

Ich habe vor unseren Webservern immer OPNsense mit firehole blocklist auf dem wan.
Und Securita am laufen.

Haproxy macht das verteilen.

[kosta]

Vielleicht noch IDS/IPS aktivieren und mit GeoAlias, Blocklisten etc. arbeiten.
Und den Nextcloud Server aus dem Netz der anderen fern halten, wenn da eh schon ein VLan ist gib ihm doch ein eigenes.
Bezüglich der NC würde ich mich noch mit dem Thema Verschlüsselung der Daten beschäftigen

Danke für die Tipps. Schaue ich mir an.
VLAN ist kein Problem, kann ich machen.
Verschlüsselung der Daten die auf der NC liegen? Wie wäre das im Bezug zu Daten die auf die NC verlinkt sind? Meine NAS ist für die Verschlüsselung viel zu schwach, und wenn ich das richtig verstehe, müsste die NAS auch verschlüsseln?

[kosta]

Und Securita am laufen.

Was ist Securita?

[lewald]

Da hatte ich wohl einen Typo

Suricata war gemeint . Ist gleich IDS/IPS

[kosta]

OK, ich habe mich mal mit IDS beschäftigt. Ich komme irgendwie mit dem Thema welche Rulesets ich aktiviere nicht weiter.
Gibt's irgendwo etwas wo ich nachlesen kann und auch verstehen kann wann ich was einsetzen kann, was Sinn macht usw.?

[lfirewall1243]

Die Namen der rulesets sind selbsterklärend.
Welche du da aktivieren solltest hängt davon ab wogegen du dich schützen willst

[kosta]

Ja haha ;-)
Ich hab ma gedacht ich aktiviere erstmal alle, und da sie sowieso auf Alert sind, erstmal im Log schaue, ob was ankommt.
Aber nichtmal das bekomme ich hin.
Alle downloaden geht, aber wenn ich dann unter Rules schaue, sind viele unter status\disabled. Und aktivieren kann ich sie auch nicht (rechts Checkbox Enabled anhaken funkt nicht).
Mache ich da was falsch?

[micneu]

hast du schon mal im forum zu dem thema gesucht? wurde schon öfter behandelt.