Matrix Synapse Server at home Risikos?

[Octarock]

Hi,

ich überlege mir auf meinen Heimserver eine VM mit Matrix Synapse zu erstellen, um Familie und Freunden zu ermöglichen mehrere Chatplattformen zu einer zusammenzufassen. Jetzt stelle ich mir nur die Frage, welches Risiko ich mir damit anschaffe? Momentan ist der Heimserver von außen nur mittels VPN aufrufbar, danach aber ja nicht mehr. Ich konnte dazu nicht wirklich etwas finden und hoffe ihr könnt mir ein paar Empfehlungen geben.

 

[derchris]

In einer VM? Hat die eine dedizierte Netzwerkkarte?

 

[Octarock]

ne wäre aber natürlich möglich, wieso?

 

[spcqike]

er möchte wahrscheinlich darauf hinaus, dass natürlich jeder Dienst, der von Außen erreichbar ist, erst einmal ein Risiko darstellt. wie groß das Risiko ist, darüber lässt sich streiten.

am "sichersten" wird es natürlich, wenn der Dienst oder gar der komplette Server, auf dem selbiger läuft, in einer DMZ läuft und vom eigentlichen Netzwerk isoliert ist. So wäre im Falle eines Hacks/einer Lücke / eines Risikos nur die DMZ betroffen und nicht das interne Netzwerk.

eine separate Netzwerkkarte ermöglicht beispielsweise, dass die VM im GastLAN der Fritzbox oder einem anderen DMZ ähnlichen Setup platziert wird.

Auf der anderen Seite gibt es keine 100%ige Sicherheit.

 

[blablub1212]

Nimm Docker anstatt VM… bei Matrix musst du dann drauf achten, dass du zumindest keine Federation einrichtest. Räume sollten Invite-Only sein und die History von Räumen sollte nicht global einsehbar sein.

Theoretisch kannst du das ganze dann auch nur über dein VPN erreichbar machen. Mehr Sicherheit aber halt weniger Komfort für deine Nutzer.

 

[Yuuri]

Wie kommst du an ein SSL Zertifikat?

 

[Octarock]

@spcqike
das klingt ja eigentlich ganz gut, wenn ich so einfach das Risiko drastisch reduzieren könnte. Brauch ich dafür wirklich eine dedizierte Netzwerkkarte oder reicht da ein Virtuelle über einen dedizierten Port?
@blablub1212
An sich gute Idee, aber dann müsste ich ja allen Usern eine VPN-Verbindung einrichten... Aber ja, ich werde das in nen Container machen. Danke auch für die Tipps für Synapse, noch nenn Vorschlag wie viele Ressourcen ich den geben soll?
@Yuuri
gute Frage, keine Ahnung, aber ich denke mal, du hast da sicher ne Idee

 

[spcqike]

mit einer dedizierten Karte (kann auch n USB Stick sein) hast du weniger Probleme, was die Trennung im Netzwerk angeht. Wenn du das über ne virtuelle Schnittstelle löst, brauchst du wieder VLAN fähige Switche. (Auf der anderen Seite, wenn du VLAN fähige Switche und eine VLAN fähige Firewall hast, kannst du das auch machen)

Am Ende kommt es auch immer darauf an, wie groß ist das Risiko, dass man selbst Opfer eines Angriffs wird. Selbst eine dedizierte Schnittstelle und ein wirklich getrenntes LAN nutzt nichts, wenn der Host, auf dem die VM läuft, aus der VM heraus angegriffen werden kann. Ist das im privaten Umfeld ein wahrscheinliches Risiko? Ich denke nicht daher läuft auch bei mir alles in VLANs und VMs/LXCs.

zur Zertifikat:
am einfachsten von Lets Encrypt, dafür brauchst du nur ne eigene Domain.

 

[Octarock]

super vielen Dank bei mir ist alles VLAN fähig, also das sollte gut gehen. Wie groß ist den das Risiko, aus der VM heraus Probleme zu bekommen, rein technisch gesehen?

 

[spcqike]

Wie groß soll das Risiko sein? So hoch das Risiko eines unauthorisierten Zugriffs bei dir zu Hause auf deinem Host nun einmal ist. Du bist bestimmt keine Bank und keine Arztpraxis, hast aber dennoch deine eigenen Daten die du schützen willst (nehme ich an)

Wie Wahrscheinlich ein solches Szenario ist, kann man auch nur schwer sagen. Bist du ein besonderes Ziel? Versteckst du zuhause Firmengeheimnisse oder andere Dinge? Schwachstellen und Lücken gibt es immer wieder. In jedem System und Hypervisor.
https://en.wikipedia.org/wiki/Virtual_machine_escape

ich vermute mal 90% der Welt nutzt heutzutage Virtualisierung. von daher .... 🤷‍♂️

 

[Octarock]

ja stimmt schon, das Risiko ist vermutlich minimal und wirklich geheime oder besondere Daten habe ich nicht. Mit geht es auch eher um das Risiko durch Viruse als um individuelle Angriffe. Gibt es dazu vielleicht Studien oder der Gleichen, damit ich hier nicht auf reinen Vermutungen handle?

 

[0-8-15 User]

Das größte Risiko geht von einer fehlerhaften Konfiguration deinerseits und nicht von der Tatsache, dass Schadsoftware theoretisch aus einer VM ausbrechen könnte aus.

 

[Octarock]

Klar würde ich unterschreiben, aber zu überprüfen, dass ich keine Fehler gemacht habe, dürfte schwierig werden. Oder gibts da gute Möglichkeite?

 

[derchris]

ne wäre aber natürlich möglich, wieso?

Wie schon vermutet ging es mir um die ordentlich Trennung des Netzes. Wenn du die Box schon nach Außen hin erreichbar machst, dann gut getrennt von dem Rest. Wenn du es über VLANs machen kannst/willst auch fein.

 

[Octarock]

Super Danke dann werde ich das mal ausprobieren. Habt ihr irgendwelche Empfehlungen für Anleitungen und Domain Anbieter? Und wie viele Ressourcen ich dem Container zur Verfügung stellen sollte?