Gibt es geschützte vServer?

[francy_space]

Hallo,

ich habe daheim einen DS-lite Router. An ihm hängt ein VPN-Server, auf dem Wireguard läuft. Ich habe auf einem vServer einen Portmapper laufen, damit mein VPN-Server/Heimrouter von außen per IPv4 ansprechbar ist. Da ich außer fail2ban keine Sicherheitskenntnisse habe, habe ich Sorgen. Kennt jemand von euch einen Diensleister oder Anbieter von vServern, die diese zugleich vor Angriffen schützen?

Ich weiß, dass es Portmapper-Anbieter, wie "feste-ip.net" gibt. Die sind mir aber zu lahm, weil die nur OpenVPN unterstützen und auf Basis des TCP-Protokolls arbeiten. Daher tendiere ich zu sicheren vServern, auf dem ich unabhängiger meinen VPN-Server daheim gestalten kann.

Vielen Dank

 

[madmax2010]

installier dir halt iptables.

Diverse Angriffe Blocken alle Serveranbieter weg. Egal ob du nun Bei Hetzner, Amazon oder godaddy mietest.

Das Bringt dir aber recht wenig, wenn du nicht 1-2x pro woche updates isntallierst.

Wenn du flinkes dyndns haben willst: https://dns.he.net/

 

[Fujiyama]

Hängt das nicht maßgeblich vom Besitzer/Mieter der Server ab, also letztlich du?

 

[francy_space]

Klar, das hängt von mir ab. Das braucht aber Zeit, sich in die Thematik einzulesen. Wobei ich nicht glaube, dass iptables unmöglich ist.

 

[Groug]

Da gibt es wenn nur Managed Server. Und TCP ist wohl das normalste der Welt. Alternativ UDP das hat aber durchaus Nachteile.

 

[Raijin]

Wenn man einen Server mietet, ist man auch selbst für dessen Absicherung verantwortlich. Der Hoster hat keine Ahnung welche Dienste der Kunde darauf betreiben möchte. Das einzige was ein Hoster zur Sicherheit beitragen kann ist ein DDoS-Schutz. Deswegen sind Server im www, die von unbedarften Mietern betrieben werden, auch genau jene, auf denen Hackergruppen ihre Botnetze aufbauen.

Wenn man einen Server gemietet hat und ihn absichern will - was dringend zu empfehlen ist - dann muss man sich zwangsläufig in die Materie einarbeiten. Tutorials, Videos und Foren können maximal Hinweise geben, werden aber selten bis nie exakt das erforderliche Szenario abdecken. Heißt: Wenn man Tutorial X durcharbeitet, hat man die Ziele aus X erfüllt, so es denn überhaupt vollständig ist. Ob damit aber auch die eigenen Ziele erfüllt sind, weil andere Dienste auf dem Server laufen als im Tutorial, ist nicht sicher. Daher muss man das Konzept verstanden haben, um selbsttätig Ergänzungen einbauen zu können.

Wenn dein Server ausschließlich als Portmapper dient, sollte die Firewall - iptables - allerdings recht schlank aussehen. Prinzipiell so (nur Beispiel, siehe Anmerkungen oben):

INPUT filter
Allow dst port tcp 22 (für ssh)
Default: drop

FORWARD filter
Allow dst port wireguardport
Allow dst port andererdienstport
Default drop

Damit wird auf dem Server lokal ausschließlich ssh erlaubt - die weitere Absicherung dessen erfolgt dann zB durch fail2ban - und bei der Weiterleitung werden ausschließlich die benutzten Dienste erlaubt. Hierbei ist natürlich Vorsicht geboten, weil man sich schnell selbst vom Server aussperren kann, zB wenn man erst das default drop aktiviert und hinterher das allow... oh, schon vorbei.........

Zudem muss man auch darauf achten, dass es nicht nur eine IPv4 Firewall gibt, sondern auch IPv6. Diese muss man also auch entsprechend bearbeiten damit sie nicht schlimmstenfalls auf default allow steht und somit alle Dienste auf dem Server, die auch auf IPv6 laufen, offen sind wie ein Scheunentor.

Es bleibt aber dabei: Wenn man einen Server im www administrieren will, muss man sich zwingend das KnowHow dazu aneignen oder eben Dienste wie feste-ip.net nutzen, die exakt solch einen Service bieten. Dass dir das zu langsam ist, ist am Ende der Preis dafür, dass sich jemand anderes um die Sicherheit des Servers kümmert. Eventuell gibt es aber auch einen anderen Anbieter, der ebenfalls wireguard zur Verfügung stellt.

 

[M-X]

Das Stichwort ist "Managed Server". Allerdings sind die in der Regel in anderen Preisrregionen angesiedelt als die billigen vServer die es so als Massenwahre gibt.

Gerade bei einem kleinen Hoster ist da aber ggf. was zu machen. Man kann zb. bei https://www.webhostlist.de/ eine Ausschreibung starten worauf sich Anbieter melden können. Das könnte eine Option sein.

Bzgl. TCP scheints du wohl etwas zu verwechseln. Das Internet basiert zu einem großen Teil auf TCP, der andere Teil auf UDP. Also was auch immer bei OpenVPN zu langsam zu sein scheint, wird nicht an TCP liegen.