Salamimander
Captain
- Registriert
- Okt. 2019
- Beiträge
- 4.015
Das sicherste ist Port-Knocking mit einer custom Sequenz und dann vpn oder ssh. Mein ssh lauscht auch nur innerhalb des VPNs… (für den Notfall habe ich noch Remote VNC über meinen Provider)
Folge dem Video um zu sehen, wie unsere Website als Web-App auf dem Startbildschirm installiert werden kann.
Anmerkung: Diese Funktion ist in einigen Browsern möglicherweise nicht verfügbar.
aid0nex schrieb:Port 22 ist natürlich geschlossen - wenn ich wirklich von außen den Server ansteuern möchte, verbinde ich mich per VPN (z.B. Wireguard) in das Netzwerk und greife dann über Port 22 intern drauf zu.
mae schrieb:Und dann hast Du eine Luecke im VPN.
Ssh macht eine verschluesselte Verbindung mit Authentifizierung ueber einen private key. Das ist so sicher wie eine verschluesselte Verbindung ueber ein VPN.
ReactivateMe347 schrieb:Mehr noch wird SSH über Tunneling durchaus auch als Quasi-VPN verwendet.
mibbio schrieb:Den SSH-Dienst sollte man dann aber zumindest manuell neustartet, sofern apt das nicht selber macht*. Ansonsten bleibt bis zum nächsten Reboot erstmal weiter die bereits laufende, alte Version aktiv.
* dürfte apt eher nicht machen, da im Moment des Neustart des Dienstes ja auch gerade aktive Sitzungen abbrechen.
Nope, WireGuard handelt nix aus, ist hochmodern und hat zahlreiche weitere Sicherheitsfeatures fest integriert.mae schrieb:Das ist so sicher wie eine verschluesselte Verbindung ueber ein VPN.
Wieso bezahlen?ownagi schrieb:allerdings nicht extra ein VPN aufsetzen und bezahlen wollen,
Ich auch nicht, das ist viel Wind um eine fast schon unbedeutende Kleinigkeit. Dennoch schreit das halbe Internet blind nach Patches, als hätte man eine unauthenticated remote code execution...ReactivateMe347 schrieb:Falls ja verstehe ich dei Aufregung und diesen Artikel nicht.
Mit welcher Begründung?aid0nex schrieb:hätten die Security Kollegen mir sofort den Kopf abgesägt
Auch bei einem Cloud Provider bist du für die Sicherheit verantwortlich. Du solltest dort ebenso eine Firewall, und sofern nicht sowieso schon mit dem Firmennetzwerk per VPN oder MPLS verbunden, ein VPN Gateway deployen und dann musst du auch dort Port 22 nicht aus dem Internet erreichbar machen. Bequemer ist es natürlich trotzdem. Macht man in Firmennetzwerken aber einfach nicht.KitKat::new() schrieb:Mit welcher Begründung?
Serverzugriff via SSH ohne VPN ist Standard bei Servern sh.
Inwiefern ist das eine Antwort auf meine Frage?busta1 schrieb:Auch bei einem Cloud Provider bist du für die Sicherheit verantwortlich.
Es geht ja nicht ums müssen, sondern ums nicht sollen. Und Port 22 alleine kann ich ja alleine schon vermeiden indem ich die Konfiguration vom SSH Server ändere (sofern der Port irgendein Problem darstellen eürde ;-) )busta1 schrieb:musst du auch dort Port 22 nicht aus dem Internet erreichbar machen.
Nichts gegen die zusätzliche Security by Obscurity, aber man kann problemlos IPv4 komplett scannen, da hilft auch ein anderer Port nicht.KitKat::new() schrieb:Es geht ja nicht ums müssen, sondern ums nicht sollen. Und Port 22 alleine kann ich ja alleine schon vermeiden indem ich die Konfiguration vom SSH Server ändere (sofern der Port irgendein Problem darstellen eürde ;-) )
Wenn es wirklich nichts aushandeln, dann bin ich gespannt, wie das in 20 Jahren aussieht. Kann mir nicht vorstellen, dass WireGuard nicht vorsieht, die Krypton auszutauschen.Bob.Dig schrieb:Nope, WireGuard handelt nix aus, ist hochmodern und hat zahlreiche weitere Sicherheitsfeatures fest integriert.
KitKat::new() schrieb:Mit welcher Begründung?
Serverzugriff via SSH ohne VPN ist Standard bei Servern sh. z.B. https://docs.hetzner.com/cloud/servers/getting-started/connecting-to-the-server/ https://learn.microsoft.com/en-us/azure/virtual-machines/windows/connect-ssh https://www.linode.com/docs/guides/connect-to-server-over-ssh-on-linux/p
ownagi schrieb:@aid0nex: Sehe in einem offenen SSH-Zugang eigentlich wenig Probleme.
Viele Webhoster bieten das an und ich wüsste nicht, wieso das besonders kritisch sein sollte.
Ich ebenfalls. Vermutlich wird es einfach ein WireGuard 2.0 geben, welches beide Seiten sprechen müssen, einen Fallback wird es nicht geben.ReactivateMe347 schrieb:Wenn es wirklich nichts aushandeln, dann bin ich gespannt, wie das in 20 Jahren aussieht.
Warum nicht?holdes schrieb:SSH und viele aus Deutschland?
Rede von einzelnen, extern gehosteten Servern, da bekomme ich den VPN zusätzlich zu meinem Server nicht geschenkt.Bob.Dig schrieb:Wieso bezahlen?
Ihr redet von sehr unterschiedlichen Sachen. Klar, wenn es um Server in einem Firmennetz geht, ist das Vorschalten eines VPN Stand der Technik und hat neben Sicheheitsaspekten auch den Vorteil, dass es viel einfacher zu managen ist (keine Portweiterleitungen, etc).aid0nex schrieb:Ganz ehrlich - ich kann's dir nicht ganz genau sagen. Das ist so Usus bei uns in der Firma (DAX Konzern btw.) und auch eine Security Anforderung, die ich zu erfüllen und nicht zu hinterfragen habe.
@mae sprach hypotetisch für den Fall, dass dein VPN mal ne Schwachstelle haben sollte. Insofern ist es im Vergleich zu ssh nicht schlechter, aber auch kaum besser.aid0nex schrieb:Inwiefern macht das meinen VPN unsicherer, oder sogar "lückenhaft", wenn sich in diesem Netzwerk zu dem der VPN Zugriff bietet auch ein Server befindet? Deine Aussage macht für mich wenig Sinn.
Krass, scheint echt zu stimmen. Sprich sobald einer der Algorithmen tot ist, ist WireGuard hinfällig, kein Patchen möglich. Krass.Bob.Dig schrieb:Ich ebenfalls. Vermutlich wird es einfach ein WireGuard 2.0 geben, welches beide Seiten sprechen müssen, einen Fallback wird es nicht geben.