ComputerBase Menü
Aktuelles

UFW und Docker mit Reverse Proxy - Sicherheit

Chibi88

Chibi88

Lt. Commander
Registriert
Dez. 2007
Beiträge
1.266
Hallo,

derzeit habe ich eine Nextcloudinstanz und eine Vaultwardeninstanz auf meinem Server laufen. Die beiden Dienste habe ich mit einer Nginx Proxy Manager Weiterleitung so konfiguriert, dass sie auf die Ports zeigen.

Deployt habe ich die Docker Container wie folgt:
Nextcloud auf Host 11000 und Docker 80
Vaultwarden auf Host 15000 und Docker 80

Wenn ich im Proxy Manager jetzt wie folgt konfiguriere
Domain Name: <meineDomain>
Scheme: <http>
Hostname / IP: <meineVPSipv4>
Forward Port <11000 und bei dem anderen Dienst 15000)

kann ich unter SSL für diese Dienste ein Zertifikat von let's Encrypt ausrollen. Bei Domainaufruf ohne Portangabe im Header werde ich auch richtig weitergeleitet. Ich kann diese aber auch im Browser über nur http mit der Domain und dem Port, z. B. 15000 aufrufen.

Ist das ein Sicherheitsrisiko? Wenn ja, wie kann ich das beheben? MITM ist bei normalen Domainaufruf nicht möglich, da SSL verschlüsselt. Außerdem muss ich in UFW Ports 11000 und 15000 freigeben, da ich sonst keinen Zugriff bekomme. Kann ich hier evtl. auch ein bisschen mehr Sicherheit erlangen?

Grüße

Edit: Das Management vom Portainer und Nginx Proxy Manager sind auch öffentlich erreichbar. Ich habe hier ein langes PW genommen und arbeite mit Fail2ban. Gibt es bessere Lösungen?
 
Zuletzt bearbeitet:
Chibi88 schrieb:
Edit: Das Management vom Portainer und Nginx Proxy Manager sind auch öffentlich erreichbar. Ich habe hier ein langes PW genommen und arbeite mit Fail2ban. Gibt es bessere Lösungen?
Zum Vergrößern anklicken....
Nur öffentlich erreichbar machen, was erreichbar sein muss. Beispielsweise kannst du fix wireguard aufsetzen und die management Interfaces nur auf der fürs vpn vorgesehenen ip Range lauschen lassen.


Chibi88 schrieb:
das ein Sicherheitsrisiko? Wenn ja, wie kann ich das beheben? MITM ist bei normalen Domainaufruf nicht möglich, da SSL verschlüsselt. Außerdem muss ich in UFW Ports 11000 und 15000 freigeben, da ich sonst keinen Zugriff bekomme. Kann ich hier evtl. auch ein bisschen mehr Sicherheit erlangen?
Zum Vergrößern anklicken....
Ob du Transportverschlüsselung a. Hast oder nicht ist aus betreibersicht fast egal. Kannst für alles http einen redirect nach https machen.
Warum 11000 unf 15000? Ich betreibe mir ein paar mehr Dienste und habe nur 80 und 443 auf (von Video Konferenzen mal abgesehen)
 
madmax2010 schrieb:
Ob du Transportverschlüsselung a. Hast oder nicht ist aus betreibersicht fast egal. Kannst für alles http einen redirect nach https machen.
Warum 11000 unf 15000? Ich betreibe mir ein paar mehr Dienste und habe nur 80 und 443 auf (von Video Konferenzen mal abgesehen)
Zum Vergrößern anklicken....
Hat er ja auch. Die 11000 und 15000 gehen nur zwischen NPM und Docker-Host. Nach außen ist nur 80 & 443 offen.
Hier würde ich auch ansetzen: ich gehe mal davon da steht noch ein Router und/oder Firewall zwischen Außenwelt und NPM. Hier einfach Port 80 dichtmachen.

Ein Sicherheitsrisiko besteht halt für den der deine Dienste per http (unverschlüsselt) nutzt. Man kann NPM aber auch so konfigurieren das er http-Anfragen in https umsetzt. (Force SSL aktivieren).

https://github.com/NginxProxyManager/nginx-proxy-manager/issues/886
Ergänzung ()

PS: gerade eingefallen: bin unsicher wegen Port 80 dicht machen: braucht man für die Zertifikatsanfrage bei Let's Encrypt nicht Port 80 & 443?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: madmax2010
Korben2206 schrieb:
PS: gerade eingefallen: bin unsicher wegen Port 80 dicht machen: braucht man für die Zertifikatsanfrage bei Let's Encrypt nicht Port 80 & 443?
Zum Vergrößern anklicken....
jein, gibt auch noch DNS-01

aber den selben dienst auf 80 und 443 lauschen zu lassen, exposed i.d.r auch die gleichen sicherheitsluecken. Security by Obscurity wirkt nicht. 80 kann man lasen und einfach einen redirect machen.

grob so:

Code: 
server {
    listen 80 default_server;

    server_name _;

    return 301 https://$host$request_uri;
}
 
  • Gefällt mir
Reaktionen: Korben2206
madmax2010 schrieb:
Nur öffentlich erreichbar machen, was erreichbar sein muss. Beispielsweise kannst du fix wireguard aufsetzen und die management Interfaces nur auf der fürs vpn vorgesehenen ip Range lauschen lassen.



Ob du Transportverschlüsselung a. Hast oder nicht ist aus betreibersicht fast egal. Kannst für alles http einen redirect nach https machen.
Warum 11000 unf 15000? Ich betreibe mir ein paar mehr Dienste und habe nur 80 und 443 auf (von Video Konferenzen mal abgesehen)
Zum Vergrößern anklicken....

Wie machst du das in Docker? Ich habe im Container den Port 15000 und 11000 genommen und via Proxy Manger dann ein SSL ausgerollt, welches auf 443 weiterleitet. Wenn ich 80:80 in Docker nehme, beißen sich andere Container, die auch auf 80:80 senden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Avenger84
Nginx Reverse Proxy: Sicherheit
Antworten
14
Aufrufe
1.788
mae1cum77
mae1cum77
H
Reverse Proxy Docker - Strato DNS challenge
Antworten
3
Aufrufe
787
Malaclypse17
Malaclypse17
Don-DCH
[Unraid] Docker am sichersten nutzen inklusive Reverse Proxy
Antworten
10
Aufrufe
777
alturismo
A
Don-DCH
Einen oder mehrere Nginx Proxy Manager
Antworten
6
Aufrufe
767
Don-DCH
Don-DCH
tsit239
Reverse-Proxy für Gameserver
Antworten
13
Aufrufe
816
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz