Eigene Webseite hosten - restliches Netzwerk absichern

[MisterY]

Hi,

Ich habe einen eigenen Homeserver und würde dort gerne eine eigene Seite hosten. Diese ist in einer Proxmox-VM, welche mittels Firewalleinstellungen so ziemlich vom restlichen Netz abgekoppelt ist. Wenn sich jemand also auf den Webserver einhacken sollte, bleibt ihm der Zugriff zu meinem restlichen LAN verwehrt. Was mir aber ein bisschen mehr Kopfzerbrechen bereitet: Ich nutze nebenbei noch Plex, Nextcloud und andere Dienste, die ins Internet freigegeben sind (Verschlüsselt; Nextcloud sogar mit AES). Direkter Remotezugriff (SSH, Proxmox-Webgui, OMV-Webgui) auf mein Netzwerk findet lediglich über VPN statt.

Wie kann ich verhindern, dass wenn jemand meine Webseite ansteuert, irgendwie erfahren kann, dass ich noch andere Sachen laufen habe?

 

[ctcn]

Das kannst du gar nicht verhindern. Automatisierte Portscans durch ganze Netze gehören zum normalen Hintergrundrauschen im Internet. Es wird immer Anmeldeversuche geben, was du für bestimme Dienste tun kannst: fail2ban. Ansonsten gilt immer das gleiche: aktuelle Software, sichere Passwörter und minimale Freigaben nach draußen.

security through obscurity ist ürigens ein schlechter Ansatz, wenn du Methoden suchst, deine Dienste zu "verstecken". Stecke deine Energie lieber darin, diese abzusichern.

 

[MisterY]

Hab jetzt nextcloud und sshd mit fail2ban gesichert. Sonst noch irgendwelche Tipps? Passwörter sind recht sicher und freigegeben wird eigentlich nur Nextcloud und Plex. der Rest läuft per OpenVPN.

 

[p4n0]

Ja: sofern noch nicht geschehen... SSH nur per key auth konfigurieren.

 

[Morpheus2200]

Ein bisschen weniger Paranoia

Sofern es nicht jemand direkt auf dich abgesehen hat, und du nicht gerade sshd mit plain passwd 'root' auf Standardport verwendest, bist du eigentlich ziemlich safe.

Bei mir läuft fail2ban, ssh nur mit pubkey. nextcloud, zabbix und Wordpress basierte websiten. Die sollte man halbwegs auf aktuellem Stand halten

fail2ban schickt mir bei jedem ban ne mail, da kommen schon ein paar hundert am Tag zusammen. Einziges Problem, das ich in den letzten Jahren mal hatte, war eine vernachlässigte WP-Install (weiß nicht Jobs WP selbst oder ein ungünstiges Plugin war), auf jeden Fall konnte darüber eine neue php abgelegt werden, die dann von außen immer aufgerufen wurde aus China und Spam verteilt hat. (fand mein Hoster nicht so prickelnd, war dummerweise direkt über die Weihnachtsfeiertage, wo ich nicht drauf geachtet habe)

 

[ctcn]

Ein permitrootlogin yes hat sowieso nichts in der sshd config zu suchen

 

[lexaiden]

Den Port vom sshd Dienst würde ich standardmäßig schließen und nur durch Portknocking kurzzeitig zum einloggen öffnen, z.B. hier erklärt Knockd Hetzner DokuWiki

 

[TCM]

Einziges Problem, das ich in den letzten Jahren mal hatte, war eine vernachlässigte WP-Install (weiß nicht Jobs WP selbst oder ein ungünstiges Plugin war), auf jeden Fall konnte darüber eine neue php abgelegt werden, die dann von außen immer aufgerufen wurde aus China und Spam verteilt hat. (fand mein Hoster nicht so prickelnd, war dummerweise direkt über die Weihnachtsfeiertage, wo ich nicht drauf geachtet habe)

Deswegen unterlässt man es ja auch, die Verzeichnisse und Dateien einer Webapplikation schreibbar zu lassen, egal wie bequem das ist und ob sich die ranzige Anwendung dann selber updaten kann oder nicht.

 

[tobsel]

Wieso soll jetzt WordPress schon wieder ranzig sein? Sichert man das ab und installiert nicht jedes Plugin aus der nächstbesten Hinterhof Schmiede passiert da absolut nichts.

Mit den Schreibrechten hast du aber natürlich recht.

 

[M.t.B.]

Sonst noch irgendwelche Tipps?

Googel mal nach demilitarisierter Zone (DMZ). Alles was von außen erreichbar sein soll wandert in ein eigenes Netzwerk.

Ich würde hier auch eine BSI Empfehlung umsetzen: Zwei Firewalls, eine am Router bzw. direkt danach und die zweite nach der DMZ aber vor deinem Heimnetzwerk.