exxxe
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 8
|
Hallo alle zusammen, ich habe mich nach längerer Zeit entschlossen wieder Ubuntu zu nutzen. Aktuell habe ich einen Server zu Hause im Einsatz (per WLan mit dem Netzwerk verbunden - ich weiß, untypisch...) auf dem ich Ubuntu 18.04 in der Desktop Version installiert habe. Desktopversion, weil ich den Server unter anderem am TV angeschlossen habe, um ab und an auch ein paar alte Filme abspielen zu können. Zudem läuft das Jupyter Notebook auf dem Server und es ist eine große HDD als Datengrab angeschlossen.
Nun habe ich vor auf das Jupyter Notebook und ggf. meine Daten von außen zuzugreifen. Grundsäztlich weiß ich, dass es sicherheitstechnisch immer eine heikle Sache ist sowas von außen erreichbar zu machen. Daher meine Frage: Wie mache ich das am besten/sichersten?
Wäre ein VPN-Server eine Möglichkeit (weil nur ein Port offen wäre?!?)? Ich habe hier noch einen Raspberry Pi 2 rumliegen der als solcher dienen könnte.
Wäre es sogar schlau diesen auf den Server selbst zu installieren?
Ist es besser die Ubuntu Server Version zu nutzen wenn es um die Sicherheit geht, oder macht das nicht so wirklich einen Unterschied? Ich bin leider was die ganze Netzwerktechnik/Sicherheit angeht nicht so wahnsinnig erfahren und frische mein Linuxwissen grade erst wieder auf. Ich hoffe Ihr könnt mir da mit ein paar Tipps weiterhelfen. Viele Grüße und Danke im voraus! -exxxe
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
exxxe schrieb: Wäre ein VPN-Server eine Möglichkeit ...
Ja, OpenVPN wäre m. E. eine gute Lösung. Mit Ubuntu auf deinem Server oder mit Raspbian (z. Zt. buster-lite) auf deinem PI.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
exxxe schrieb: Wäre ein VPN-Server eine Möglichkeit (weil nur ein Port offen wäre?!?)? Ich habe hier noch einen Raspberry Pi 2 rumliegen der als solcher dienen könnte.
Ja, VPN ist eine Möglichkeit. Ich würde sowas nutzen um WireGuard auszuprobieren, das wollte ich schon immer mal testen, hatte aber leider noch keine Zeit ☹ OpenVPN geht natürlich ebenfalls.
Wäre es sogar schlau diesen auf den Server selbst zu installieren?
Das ist an sich egal. Je nachdem, welches System dauerhaft bzw. öfter läuft. Ggf. kannst du auch einfach den Raspberry als Terminal-Host nutzen, und deinen Server dann per wakeonlan anschalten.
Ist es besser die Ubuntu Server Version zu nutzen wenn es um die Sicherheit geht, oder macht das nicht so wirklich einen Unterschied?
Das macht vermutlich keinen Unterschied: Da du die entsprechenden Ports eh an deinem Router freigeben musst, weißt du genau, was im Internet erreichbar ist. Wichtig sind natürlich regelmäßige Updates.
|
MelcooX
Anmeldungsdatum: 26. April 2016
Beiträge: 144
Wohnort: Am Ende des Weges
|
misterunknown schrieb: exxxe schrieb: Wäre es sogar schlau diesen auf den Server selbst zu installieren?
Das ist an sich egal. Je nachdem, welches System dauerhaft bzw. öfter läuft. Ggf. kannst du auch einfach den Raspberry als Terminal-Host nutzen, und deinen Server dann per wakeonlan anschalten.
Naja, in wenigen (vielleicht auch theoretischen) Szenarien schon. So könntest du auf dem Pi noch Firewall-Regeln, allgemeine Filter usw. einrichten und damit hast du dann erweiterte Sicherheit. Aber die Frage ist wirklich ob du das benötigst.
Ist es besser die Ubuntu Server Version zu nutzen wenn es um die Sicherheit geht, oder macht das nicht so wirklich einen Unterschied?
Das macht vermutlich keinen Unterschied: Da du die entsprechenden Ports eh an deinem Router freigeben musst, weißt du genau, was im Internet erreichbar ist. Wichtig sind natürlich regelmäßige Updates.
Und die richtigen Sicherheitsregeln aus Sicherheit anwenden.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
MelcooX schrieb: Naja, in wenigen (vielleicht auch theoretischen) Szenarien schon. So könntest du auf dem Pi noch Firewall-Regeln, allgemeine Filter usw. einrichten und damit hast du dann erweiterte Sicherheit. Aber die Frage ist wirklich ob du das benötigst.
Das geht ja auf dem Server genauso.
|
exxxe
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 8
|
Hallo alle zusammen, vielen vielen Dank für die Antworten. Nach euren Antworten habe ich mich gestern dran gesetzt und OpenVPN auf den Raspberry draufgepackt und mich schonmal bei einem DynDNS Dienst angemeldet.
Leider scheint das alles aber leider durch die neuen IPv6-Adressen nicht mehr so easy zu sein wie früher. Ich hab ein bisschen recherchiert.
Das heißt: Mein Provider nutzt DS-Lite, also IPv6 Adressen und mein Arbeitslaptop/Firmennetzwerk kann nur IPv4. Bei meinem Smartphone (Telekom) gibt es glaube ich keine Probleme, da die IPv6 nutzen.
Ich weiß nicht ob ich bei der Thematik hier noch richtig bin, aber nach meinem Verständnis brauche ich hier eine Methode wie ich meine IPv4 Anfragen auf meine IPv6-Adresse weiterleiten kann (in dem Falle wäre das ja die IPv6 Adresse vom Raspberry Pi?!?). OpenVPN unterstützt meines Wissens nach IPv6. Meine Idee war es einfach einen virtuellen Server (mit IPv4 Adresse) für schmales Geld zu mieten und darauf OpenVPN zu installieren. Der Client würde mich dann einfach auf den Raspberry weiterleiten. JEtzt nur die Frage:
Funktioniert das so wie ich mir das denke und brauche ich dann überhaupt noch einen VPN-Server auf meinem Raspberry Pi, wenn das der gemietete Server übernimmt?
Brauche ich noch einen DynDNS Dienst bei IPv6 - bzw. bleiben die IPv6 Adresse der Geräte statisch? Ich hoffe das sind nicht zu viele Fragen und sie passen hier noch einigermaßen rein 😀. Viele Grüße, exxxe
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
exxxe schrieb: Funktioniert das so wie ich mir das denke und brauche ich dann überhaupt noch einen VPN-Server auf meinem Raspberry Pi, wenn das der gemietete Server übernimmt?
Ja das funktioniert. Ein VPN zwischen der VM und dem Raspi ist natürlich dennoch nötig, damit der Traffic verschlüsselt wird. Solche VMs gibts teilweise schon ab 1€ pro Monat.
Brauche ich noch einen DynDNS Dienst bei IPv6 - bzw. bleiben die IPv6 Adresse der Geräte statisch?
Das ist von Provider zu Provider unterschiedlich – die meisten die ich kenne vergeben keine statischen IPv6-Adressen (bzw. -Netze).
|
exxxe
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 8
|
Danke für die schnelle Antwort ☺! misterunknown schrieb: exxxe schrieb: Funktioniert das so wie ich mir das denke und brauche ich dann überhaupt noch einen VPN-Server auf meinem Raspberry Pi, wenn das der gemietete Server übernimmt?
Ja das funktioniert. Ein VPN zwischen der VM und dem Raspi ist natürlich dennoch nötig, damit der Traffic verschlüsselt wird. Solche VMs gibts teilweise schon ab 1€ pro Monat.
Brauche ich noch einen DynDNS Dienst bei IPv6 - bzw. bleiben die IPv6 Adresse der Geräte statisch?
Das ist von Provider zu Provider unterschiedlich – die meisten die ich kenne vergeben keine statischen IPv6-Adressen (bzw. -Netze).
Hm, ok. Sehe ich das dann richtig, dass ich zwei VPN Server brauche? Also einen auf dem VPS, der sich mit dem Endgerät (Lapotop/Handy) verbindet und einen der dauerhaft zwischen dem VPS und dem Raspberry läuft?
Funktioniert das so? Oder reicht der VPN-Server auf dem VPS aus und der Raspberry sowie der Laptop (von außen) verbinden sich damit? Ich bin mir da leider noch nicht ganz sicher wie die Struktur da aussehen muss. Ansonsten kann ich die Verbindung zum VPS ja auch einfach per 6tunnel bspw. an den VPN-Server vom Pi weiterleiten?! Viele Grüße, -exxxe
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
exxxe schrieb: Hm, ok. Sehe ich das dann richtig, dass ich zwei VPN Server brauche? Also einen auf dem VPS, der sich mit dem Endgerät (Lapotop/Handy) verbindet und einen der dauerhaft zwischen dem VPS und dem Raspberry läuft?
Nicht zwei Server, aber zwei Tunnel. Der OpenVPN-Server kann auf dem VPS laufen, und der Raspi verbindet sich dahin (als Client). Andere Clients aus dem Internet können sich dann ebenfalls zum VPS verbinden.
Ansonsten kann ich die Verbindung zum VPS ja auch einfach per 6tunnel bspw. an den VPN-Server vom Pi weiterleiten?!
Das ginge auch, würde ich dir aber nicht empfehlen. Es ist immer günstiger, wenn dynamische Clients zum Server mit fester IP verbinden. Und in deinem Konstrukt ist der VPS der Server mit statischer IP.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
exxxe schrieb: Leider scheint das alles aber leider durch die neuen IPv6-Adressen nicht mehr so easy zu sein wie früher.....Mein Provider nutzt DS-Lite, also IPv6 Adressen
Damit hast Du ein ziemlich großes Problem... weil fast alle öffentlichen WLAN-AccessPoints (ebenso wie Dein Arbeitgeber) und wie auch das normale Handy-Netz reines IPv4 verwenden. Das bedeutet, ein Connect von einem IPv4-Client auf einen IPv6-VPN-Host ist nicht möglich. Du brauchst dazu ein 4to6-NAT. Dafür gibts Tunnel-Provider, die allerdings meistens kostenpflichtig sind. Ich habe mal irgendwo was gelesen, dass jemand eine Lösung mit eigenem VServer versucht hat, der beide Protokolle unterstützt. Aber wie so eine Lösung aussieht, weiss ich leider nicht. Und ganz am Rande bemerkt, aus Sorge um Deinen Arbeitsplatz solltest Du auf gar keinen Fall aus dem Firmen-Netzwerk nachhause tunneln.... ganz egal, mit welcher Technik, lass das lieber. Das ist ein Kündigungsgrund. Und wenn der mal 'nen Vorwand sucht, würdest Du ihm damit einen liefern. misterunknown schrieb: Andere Clients aus dem Internet können sich dann ebenfalls zum VPS verbinden.
Das ist eine Bemerkung von misterunknown, der Du durchaus große Beachtung widmen solltest... denn bei bestehender Netzwerk-Verbindung (weil der Pi sich ja als Client verbunden hat), hat jeder, der sich Zugang zum VServer verschafft, auch Zugang auf die Ressourcen des Pi und somit auf dein heimisches Netzwerk. Ich persönlich würde so etwas wahrscheinlich nicht tun. *hmmm* Für mich wäre da die fast unlösbare Herausforderung den VServer so abzusichern, dass er eben nicht missbraucht werden kann.
|
exxxe
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2011
Beiträge: 8
|
TomLu schrieb: exxxe schrieb: Leider scheint das alles aber leider durch die neuen IPv6-Adressen nicht mehr so easy zu sein wie früher.....Mein Provider nutzt DS-Lite, also IPv6 Adressen
Damit hast Du ein ziemlich großes Problem... weil fast alle öffentlichen WLAN-AccessPoints (ebenso wie Dein Arbeitgeber) und wie auch das normale Handy-Netz reines IPv4 verwenden. Das bedeutet, ein Connect von einem IPv4-Client auf einen IPv6-VPN-Host ist nicht möglich. Du brauchst dazu ein 4to6-NAT. Dafür gibts Tunnel-Provider, die allerdings meistens kostenpflichtig sind. Ich habe mal irgendwo was gelesen, dass jemand eine Lösung mit eigenem VServer versucht hat, der beide Protokolle unterstützt. Aber wie so eine Lösung aussieht, weiss ich leider nicht. Und ganz am Rande bemerkt, aus Sorge um Deinen Arbeitsplatz solltest Du auf gar keinen Fall aus dem Firmen-Netzwerk nachhause tunneln.... ganz egal, mit welcher Technik, lass das lieber. Das ist ein Kündigungsgrund. Und wenn der mal 'nen Vorwand sucht, würdest Du ihm damit einen liefern. misterunknown schrieb: Andere Clients aus dem Internet können sich dann ebenfalls zum VPS verbinden.
Das ist eine Bemerkung von misterunknown, der Du durchaus große Beachtung widmen solltest... denn bei bestehender Netzwerk-Verbindung (weil der Pi sich ja als Client verbunden hat), hat jeder, der sich Zugang zum VServer verschafft, auch Zugang auf die Ressourcen des Pi und somit auf dein heimisches Netzwerk. Ich persönlich würde so etwas wahrscheinlich nicht tun. *hmmm* Für mich wäre da die fast unlösbare Herausforderung den VServer so abzusichern, dass er eben nicht missbraucht werden kann.
Vielen Dank für die Antwort. Das stimmt natürlich...wenn man da irgendwo einen Serve gemietet hat ist das ein unsicheres Ding. Was noch möglich wäre in dem Zusammenhang: Wenn ich den PI als VPN Server bei meinen Eltern (mit IPV4-Anschluss) aufstelle und mein Homeserver sich darauf als VPN-Client einklinkt...Das wäre dann doch eine vergleichsweise sichere Lösung, oder? Die Endgeräte werden dann erst zu meinen Eltern und dann zum Homeserver weitergeleitet per VPN-Tunnel!?!
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
exxxe schrieb: Was noch möglich wäre in dem Zusammenhang: Wenn ich den PI als VPN Server bei meinen Eltern (mit IPV4-Anschluss) aufstelle und mein Homeserver sich darauf als VPN-Client einklinkt...Das wäre dann doch eine vergleichsweise sichere Lösung, oder? Die Endgeräte werden dann erst zu meinen Eltern und dann zum Homeserver weitergeleitet per VPN-Tunnel!?!
Also eine V4-Verbindung zu den Eltern und von dort eine V6-Verbindung nach Hause, wobei der Pi quasi nur als Relay fungiert. Ja, ich denke auch, das wäre definitiv sicherer, weil damit ja der Fremdzugriff sowohl auf die Verbindung als auch auf die Hardware nicht mehr obligatorisch ist. Aber wie das geht...?... da solltest Du Dir wirklich die Mühe machen und das mal komplett beschreiben, wenn Du das gelöst hast. Wenn Du so eine Lösung hinkriegst und diese auch nachvollziehbar dokumentierst, wäre das ein wirklich guter Beitrag für die Opensource-Community. Ich weiss nur nicht, ob ich wirklich eine statische Leitung realisieren würde.... oder nicht doch lieber ad hoc ...?... also wo nicht der heimische VPN-Server agiert und eine permanente Verbindung herstellt, sondern wo er nur auf Verbindungsanfragen reagiert und die ggf. auch abweist und nur autorisierte Clients akzeptiert.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
exxxe schrieb: Vielen Dank für die Antwort. Das stimmt natürlich...wenn man da irgendwo einen Serve gemietet hat ist das ein unsicheres Ding.
Wieso? Kannste doch vernünftig Firewallen, und ggf. verschlüsseln.
Was noch möglich wäre in dem Zusammenhang: Wenn ich den PI als VPN Server bei meinen Eltern (mit IPV4-Anschluss) aufstelle und mein Homeserver sich darauf als VPN-Client einklinkt...
Wo wäre da der Unterschied zu einem VPS im Internet? Sobald ein System irgendwie im Netz erreichbar ist, muss man natürlich vernünftige Sicherheitsmaßnahmen treffen, aber unabhängig davon, ob man einen VPS betreibt, oder einen Raspi zu Hause hat.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
TomLu schrieb: der Fremdzugriff sowohl auf die Verbindung
Die ist ja verschlüsselt.
als auch auf die Hardware nicht mehr obligatorisch ist.
Das ist in der Tat ein theoretisches Szenario, wobei man mit Festplattenverschlüsselung schon viel erreichen kann, und ASLR macht es extrem aufwändig von außen irgendwelche Sachen aus dem RAM zu ziehen. Wenn ein Angreifer so viel Zeit und Ressorcen reinstecken will, wäre es wohl einfacher einfach bei dir einzubrechen und die Hardware mitzunehmen.
|
MelcooX
Anmeldungsdatum: 26. April 2016
Beiträge: 144
Wohnort: Am Ende des Weges
|
misterunknown schrieb: Das ist in der Tat ein theoretisches Szenario, wobei man mit Festplattenverschlüsselung schon viel erreichen kann, und ASLR macht es extrem aufwändig von außen irgendwelche Sachen aus dem RAM zu ziehen. Wenn ein Angreifer so viel Zeit und Ressorcen reinstecken will, wäre es wohl einfacher einfach bei dir einzubrechen und die Hardware mitzunehmen.
Naja, da ist auch immer wieder die Frage vor wem die Verschlüsselung schützen soll. Wenn der Schutz vor über 90% der Hacker schützen soll, dann reicht dies. Aber wenn der Angreifer nun dazu a) in der Lage ist und b) bereit ist, diese Ressourcen einzusetzen, dann ist man jemandem ordentlich auf die Füsse getreten... Denn es macht ökonomisch keinen Sinn mehrere 1000$ (wenn nicht noch weit mehr) aufzuwenden um einen Server für sagen wir 20$/Monat zu knacken. Die normale Verschlüsselung sollte in der Regel hinreichend sein... Einfaches Beispiel: Man kriegt einen Verschlüsselten Laptop/eine Verschlüsselte Festplatte. Wieso soll ein Hacker diese Verschlüsselung angreifen, wenn er a) nicht weiss ob darauf überhaupt was ist und b) ob er Erfolg haben wird. Dies macht er nur, wenn etwas sicher ist...
|