Sicherheitskonzept für den Raspberry Pi

TossExecutor

Ensign
Registriert
Juli 2021
Beiträge
184
Hallo zusammen,

ich würde gerne folgendes mit mein Pi für den Anfang machen:
  • Nextcloud: Für den automatischen Foto-Upload vom Smartphone und Dokumentenablage (mittels externer USB-Festplatte am Pi).
  • Pi-hole: Als netzwerkweiter Werbeblocker (soll idealerweise auch unterwegs auf dem Smartphone filtern).
  • Vaultwarden: Als eigener, selbstgehosteter Passwortmanager.
  • Wake-on-LAN: Um meinen Windows-PC bei Bedarf aus der Ferne über den Pi aufzuwecken.

Meine Überlegungen was das Sicherheitskonzept angeht:
  • WireGuard: Ein einziger, freigegebener UDP-Port im Router. Verbindung über DynDNS direkt nach Hause.
  • Tailscale (mit MagicDNS): Mesh-VPN über den Drittanbieter Tailscale. Keine Portfreigaben im Router nötig, automatische Verbindung im Hintergrund.
  • Headscale (die selbstgehostete Tailscale): Ähnlicher Komfort wie Tailscale, aber der Koordinations-Server wird komplett selbst auf dem eigenen Pi gehostet.

Welches dieser Konzepte würdet ihr mir empfehlen oder würdet ihr es mir überhaupt empfehlen?

Mein Pi 5 hat 2GB RAM, LAN ist mit Desktop-PC am selben Switch. Habe eine SanDisk Extreme 128 GB MiniSD drin und habe mich beim OS für die Lite Variante (64-bit) entschieden.


1784231395913.png
 
In keinem der von dir beschriebenen Fälle kann ich ein Sicherheitskonzept finden, nur ne technische Beschreibung des Zugangswege.
Hab ich was überlesen?
 
  • Gefällt mir
Reaktionen: Asghan und SpicyWolf
ich nehme an du meinst MicroSD. Die Dinger gehen oft nach einer Weile kaputt. Vaultwarden würde ich damit nicht machen. Mit einer NVME HAT kann man schon viel mit dem PI5 machen er wird halt (ziemlich) warm und benötigt relativ viel Strom - jedenfalls im Vergleich.

Schau die mal Pimox an. Da kannst du die Dienste einzeln virtualisieren und bist flexibel wenn du mal andere sachen ausprobieren möchtest. Ein Sicherheitskonzept ist jedenfalls etwas anderes. Wireguardnutzer kannst du von deinem internen Netzwerk teilweise trennen und in Pimox nur eine Brücke zur Pihole Instanz zulassen.

Dein freigegebener Port im Router nutzt dir nur was wenn du eine feste IP hast und der Provider auch sonst nicht beschränkt. Sonst benötigst du noch dyndns oder ähnliches für die Einwahl zum Wireguard Endpoint.
 
wirelessy schrieb:
In keinem der von dir beschriebenen Fälle kann ich ein Sicherheitskonzept finden
Dieses erfragt er hier ja ... womöglich.
Die Frage muss ja gestattet sein, oder?

Das Szenario wurde ja recht detailreich dargelegt. Jetzt geht es darum ein Sicherheitskonzept dafür zu entwerfen.

Mir fehlen persönlich aber Bedingungen, weitere Kriterien (weiter unten transparent) und Zielvorgaben um ein Konzept ausarbeiten und vorschlagen zu können. Ist ja auch schon spät für "Stochern im Dunkeln".

./
Schön wäre mal zu wissen, wie die Schutzbedarfe nach den genannten Technologien / Apps / Features kategorisiert werden und welches Bedrohungsmodell zur Anwendung bzw. zur Berücksichtigung anstünde.

Darüber hinaus spielen der Ident-Schutz eine Rolle und die damit einhergehenden Zugriffsregeln.

Eine Anleitung zum Härten des Pi´s findet man ja im Netz.

Zu Vaultwarden und Nextcloud sollte man sich ebenfalls informieren, welche Sicherheitsvorgaben erfüllt, und welche noch offen sind ... gerade hinsichtlich des eigenen, zu erwartenden Nutzungsverhaltens.

Das ganze hier auszuformulieren ist schon üppig.
Aber ein Sicherheitskonzept muss eben alles beinhalten.

Abschließende Frage:
Wie weit willst du gehen?
/>

Die Zeit hierfür fehlt mir leider, aber ich denke ich habe mal ein paar grundsätzliche Themen angesprochen. Weiteres im Netz zur eigenen Fortbildung und Tauglichkeitsprüfung zum Anwendungsfall.

PS:
Für so etwas verlangen manche (alle) Fachleute ordentlichst Geld ;)

Gute Nacht und frohes Lernen.

:schluck:
 
Zuletzt bearbeitet:
Wenn du dich mit deinen Geräten via Wireguard zur Fritzbox (falls du eine nutzt) verbindest brauchst du gar nichts mehr "nach draußen" öffnen. Damit wäre außer dem obligatorischen Backup kein besonderes Konzept nötig.
 
  • Gefällt mir
Reaktionen: chrigu und chillking
TossExecutor schrieb:
Vaultwarden: Als eigener, selbstgehosteter Passwortmanager.
Benötigt HTTPS im lokalen Netzwerk. Nicht ganz so trivial.
 
Headscale bringt dir nur etwas auf einer VPS im Netz! 1c 1 GB gratis VPS von Oracle reicht dafür!

Dann brauchst du im Router keine ports öffnen!
Mache ich selbst so.
 
=dantE= schrieb:
Schön wäre mal zu wissen, wie die Schutzbedarfe nach den genannten Technologien / Apps / Features kategorisiert werden und welches Bedrohungsmodell zur Anwendung bzw. zur Berücksichtigung anstünde.
Dazu kann ich nix sagen, weil ich nicht weiß wie man meinen Pi angreifen kann. Ich würde gerne wissen was best practise Wege sind um meine Vorhaben abzusichern. So abzusichern, dass ich mich sicher fühlen kann, genauer kann ich es nicht beschreiben. Ich hätte aber gerne vorher eine approved Konzept bevor ich weiter machen. Aktuell habe ich nur das OS Image auf die SD Karte gepackt und den PI einmal an und ausgemacht.

Pimox scheint mir komplizierter als Docker zu sein, denke für den Anfang nicht das beste für mich.

Ich würde gerne wissen wie ich meine Vorhaben verhältnismäßig sicher machen kann, ohne dabei soviel beim Komfort zu verlieren, dass man sich den Pi auch hätte sparen können.

Das Thema Backup kommt erst danach für mich danach dran, aber aktuell waren meine Gedanken dazu automatische Backups auf meine HDD und/oder auf eine der beiden M2 SSDs in meine Desktop PC. Also das Thema Langlebigkeit der SD Karte würde ich über Backup lösen bzw. bei der Cloud Variante vermutlich die Daten eher auf meine HDD spielen oder auf einen USB-Stick. Ansonsten hatte ich gelesen, dass die Serien Extrem von SanDisk eigentlich genau dafür entwickelt wurde (für ständige Lese- und Schreibprozesse).
 
Zurück
Oben