Wie Webserver am sichersten nach außen freigeben?

B

Bambuleee

Experte
Thread Starter
Mitglied seit
17.12.2014
Beiträge
361
Hi,
momentan sieht meine Konfiguration so aus:

Fritzbox 7360
- VPN aktiviert, nutze ich an und ab übers Smartphone
- Portweiterleitungen für OMV, owncloud, mehrere Webinterfaces

Zugriff erfolgt über einen DynDNS Dienst, der an der Fritzbox eingerichtet ist

In den Logs von OMV, kann ich die unzähligen versuchten Zugriffe sehen. Fail2ban ist aktiv.
Gibt es eine Möglichkeit, dass ganze etwas sicherer zu gestalten ohne das ich auch für die Webdienste mich ins VPN einwähle?
Oder nur den VPN Zugriff aktiv lassen und den Rest nach außen sperren?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Entwder bin ich zu alt oder ich verstehe schlichtweg nicht was du möchtest.
Ist OMV eine Beschreibung für einen Webserver? Falls nein, wo ist dann der Webserver? Was läuft da für ein Betriebssystem drauf? Läuft da eine Website drauf oder warum willst du den Zugriff von aussen öffnen?
Oder ist es gar kein Webserver sondern du meinst deine eigene Cloud?

Wenn du das ganze für die Öffentlichkeit machen willst sieht es wieder anders aus als wenn du nur für dich selber Zugriff haben möchtest. Letzteres würde ich dann über VPN realisieren, was du ja scheinbar schon hast.

Das du irgendwelche Zugriffe und derartiges verzeichnest (bei der Firewall) ist doch logisch. Da gibt es soviel im Netz, von einfachen Portscannern bis zu Ping Tests von irgendwem. Ich habe auch schon Pings auf IPs ausgführt die mir nicht bekannt waren in der Hoffnung eine aktive zu finden
 
Braucht irgend jemand anders als du Zugriff auf die Webdienste? Falls nicht ist der Fall klar und du solltest alles hinter das VPN packen. Falls doch, sollten nur die Dienste, die andere benutzen, in eine DMZ (Demilitarized Zone) gepackt werden. Die Maschinen in der DMZ können nicht auf dein internes Netz zugreifen, so dass der Schaden bei einem Einbruch auf die DMZ beschränkt bleibt. Ich weiß nicht, ob die Fritzbox DMZ kann. Notfalls musst du noch eine kleine Firewall anschaffen.
 
Da OMV hier in gefühlt jedem dritten Thread genannt wird, dachte ich die Bezeichnung ist geläufig.
OMV = Openmediavault. Debianbasierte NAS Lösung.
Nutze ich als NAS und stelle verschiedene Dienste mit Webinterface zur Verfügung. Steht aber auch oben. z.B. die Plex Konfigoberfläche, pyload ....

Selbst wenn ich Sachen nur für mich zur Verfügung haben will, wie owncloud, ist VPN nicht immer sinnvoll, da nicht immer ein Client zur Verfügung steht.
 
Jo, also DMZ einrichten, sicher stellen dass alle Dienste nur mit Authentifizierung und starker Verschlüsselung benutzt werden können, d.h. Zugriff ausschließlich mit TLS 1.2 auf Port 443 und sichere Passwörter vergeben. Dann Debian Sicherheitspatches jeden Tag prüfen und einspielen und auch die restlichen Tipps zum Hardening von Debian & Co durchlesen und umsetzen:
https://www.debian.org/doc/manuals/securing-debian-howto/
https://wiki.debian.org/Hardening

Und nicht vergessen, regelmäßig automatisch Backups zu ziehen, so dass die Dienste wieder hergestellt werden können, falls es doch jemand schafft, einzubrechen. Der Backup Server kommt ins interne Netz, so dass er von der DMZ aus nicht kompromittiert werden kann.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh