Sicherheitsvorteile eines Cloudfare-Tunnel ggü Reverse-Proxy

[henfri]

Hallo,

immer wieder höre ich die Empfehlung, statt einem Reverse-Proxy, einen Cloudfare-Tunnel zu nutzen. Ich würde gerne verstehen, warum das sicherer ist.

Wenn ich es richtig verstehe, ist es dabei so, dass der Tunnel vom Heim-Server aus aufgebaut wird und deshalb keine Portfreigabe nötig ist. Zudem ist es so, dass Cloudfare DDOS Attacken verhindert.

Aber davon abgesehen ist es doch so, dass der Böse Bube beim Aufruf von vaultwarden.meine.tld einfach am Ende auf Vaultwarden kommt. Da ist doch egal, ob das vorher durch irgendwas von Cloudfare geht. Und es ist auch egal, ob port 443 offen ist. Am ende wird Vaultwarden erreicht.

Gruß,
Hendrik

 

[dverOstE]

Wenn ich es richtig verstehe, ist es dabei so, dass der Tunnel vom Heim-Server aus aufgebaut wird und deshalb keine Portfreigabe nötig ist. Zudem ist es so, dass Cloudfare DDOS Attacken verhindert.

korrekt

Aber davon abgesehen ist es doch so, dass der Böse Bube beim Aufruf von vaultwarden.meine.tld einfach am Ende auf Vaultwarden kommt. Da ist doch egal, ob das vorher durch irgendwas von Cloudfare geht. Und es ist auch egal, ob port 443 offen ist. Am ende wird Vaultwarden erreicht.

Du brauchst für den CF Tunnel keinen Port 443 in deiner FW öffnen. Ausserdem ist deine private öffentliche IP nicht sichtbar nach aussen. Dass ein Angreifer dennoch auf deine Application kommen kann sollte klar sein.
Das gilt es aber über andere Mechanismen abzusichern, falls gewünscht, SSO, 2FA, etc.


Ein entscheidender Nachteil den ich grundsätzlich bei CF Tunneln sehe ist - naja, all dein Traffic geht halt über Cloudflare. Falls du aber möchtest gäbe es auch dafür eine Lösung. -> Pangolin

 

[henfri]

Du brauchst für den CF Tunnel keinen Port 443 in deiner FW öffnen.

Und welchen Vorteil hat das? Durch den Tunnel kommt der Böse Bube dennoch auf den Rechner auf den er in der anderen Konstellation auch käme.

Ausserdem ist deine private öffentliche IP nicht sichtbar nach aussen.

Und welchen Vorteil bringt das?

 

[Autokiller677]

Imho sind die Kern-Vorteile eines Cloudflare Tunnels andere als Sicherheit.

Zum einen hat man direkt IPv4 und v6 (interessant, wenn man sonst hinter einem CGNAT hängt, oder bei einem Cloud-Server oder in einem Wohnheim oder so gar keine öffentliche IP hat / kein Port Forwarding einrichten kann).

Dazu bietet es automatisches Caching (mit der Downside, das Cloudflare halt die Inhalte sehen kann, weil sie die Verschlüsselung terminieren), man kann deren dicken DDoS Schutz haben (weiß nicht, ob beim Basic-Tunnel Tier direkt was dabei ist, aber zubuchen kann man es auf jeden Fall) und diverse andere fancige Sachen, die mit deren Edge-Network halt möglich sind.

Man muss sich nicht mehr selber mit der Konfiguration eines reverse-proxies rumschlagen, wenn man mehrere Applikationen erreichbar machen will. Und um SSL Zertifikate wird sich auch automatisch gekümmert, man spart sich also die Let's Encrpyt Einrichtung.

In Sachen Sicherheit bringt es vor allem in sofern was, dass man eben kein Port-Forwarding mehr machen muss und damit dort auch keine Fehler machen kann. Ja, eigentlich ist es kein rocket-science, aber mancher hat da einfach schon den ganzen Host exposed, statt nur einen Port weiterzuleiten oder so Späße. Und dann wirds hässlich.

Aber ja, wenn jemand über die gewollt öffentlich gemachte Applikation hinter Port 443 was Böses anstellen kann, hilft da auch kein Tunnel. Die Applikation an sich muss schon sicher sein - oder man sollte sie doch lieber intern lassen und über einen VPN draufgehen.

Ich nutze einen CF Tunnel, weil ich bei meinem Home-Server keine öffentliche v4 Adresse hab (CGNAT halt). Hatte ich vorher über einen vServer gelöst, der Forwarding gemacht hat, aber das war halt ein Server, der mich jeden Monat paar € gekostet hat und auch up2date gehalten werden musste. So ist schon angenehmer.

 

[ev4x]

Wenn du 100 Prozent sicher sein willst dann betreib dein Vaultwarden nur lokal. Auf die PW kannst du trotzdem von Unterwegs zugreifen da die Database auf dem jeweiligen Gerät gespeichert wird und immer Zuhause aktualisiert wird.

 

[henfri]

Vaultwarden ist nur ein Beispiel.
Es geht mir hier auch nicht darum andere Lösungsansätze zu finden, sondern darum zu verstehen, welche Vorteil der Cloudfare Tunnel bringt.