Soweit verstanden danke Thrandu. Noch eine Zwischenfrage. Warum statt des nginx ein VPN? Damit erschlägt man doch eigentlich alles?
Passwort Manager Empfehlungen
-
- Frage
- erledigt
- off-Topic
- fred05
Es gibt 307 Antworten in diesem Thema, welches 72.708 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.
-
-
Du meinst warum nicht lieber VPN statt Reverse Proxy?
Naja stell dir selbst die Frage.
Willst du immer ein VPN aufbauen zu dir ins Heimnetz wenn du ein Passwort z.b. benötigst?
Was ist wenn du an einem Fremd PC gerade bist und kein VPN Client hast, ein VPN ist halt immer etwas komplexer und nicht flexibler gerade wenn es unterwegs und dynamisch sein soll.
Um da dann ggfs. ein Kompromiss zu erhalten wäre dann ein Reverse Proxy wieder gut der entsprechend mit Login geschützt ist und dich erst dann durch lässt.
Aber ja, ein VPN wäre am ende die sicherste varriante, aber auch die wenigst flexibelste.
-
Nun ich schiebe einfach nur einen Regler im Iphone nach rechts und warte eine Sekunde
Das ist eigentlich auch so ziemlich das einzige was ich derzeit bei Apple vermisse... die dauerhafte VPN-verbindung. EIne Möglichkeit gibt es, aber dazu müsste ich mein Iphone komplett Nullen, dazu hab ich kein Bock. Aber mit VPN bin ich eigentlich recht zufrieden.
Mein Bauchgefühl sagt mir einfach, dass es falsch ist nicht über VPN die Sache abzuwickeln. Vermutlich nicht mehr und nicht weniger.
-
Das ist korrekt, aber was machst du wenn du an einem PC bist z.b. bei der familie, bekannte, arbeit und du brauchst eines deiner Kennwörter?
Handy raus, VPN verbinden, tresor öffnen, passwort suchen am besten mit 20-30 zeichen und sonderzeichen und dann musst es abtippen :D.
So ein PW Manager soll ja auch dazu dienen von jedem Gerät direkt zugriff drauf zu haben, wenn du die Kennwörter nur an deinem PC brauchst und am Handy, dann brauchst auch nicht mal das VPN weil du durch ein Sync zuhause sowieso dein Tresor dabei hast
-
Daher dann lieber alles bei 1password oder lastpass in der cloud
-
Iich sagte ja bereits, dass ich mich für mSecure entschieden habe und da hab ich verschiedene Möglichkeiten zu Syncen.
Aber lustig 20 bis 30 Stellen PW mit Sonderzeichen, das ist schon sehr sportlich, wenn ich mir das ausrechne. Meinste nicht, dass 16 Stellen reichen? (die kann man notfalls auch mal abtippen)
-
Iich sagte ja bereits, dass ich mich für mSecure entschieden habe und da hab ich verschiedene Möglichkeiten zu Syncen.
Aber lustig 20 bis 30 Stellen PW mit Sonderzeichen, das ist schon sehr sportlich, wenn ich mir das ausrechne. Meinste nicht, dass 16 Stellen reichen? (die kann man notfalls auch mal abtippen)
Jeder halbwegs gescheite Passwordmanager hat ne copy und paste Funktion von dem her ist die Länge zu 98% aller Fälle kein Kriterium bzw. je länger desto besser.
Und für die restlichen 2% brauchste halt reverse Proxy oder VPN.
-
Ja nun das beantwotet die Frage nicht so ganz. Ein Portscan heisst ja noch gar nix.
Nö, garnicht, das ist nur der Anfang alle Hack-Versuchen - die suchen gezielt nach IP-Adresse mit offenen Ports und versuchen dann über Brute-force Attacken usw. da Zugang zu bekommen.
Behörden, die jucken mich garnicht.
-
Puh tuxtom also ein Portscan hat man vor 25 Jahren mal am Anfang gemacht. Das ist längst out. Dh ich bin froh wenn bei mir Portscans ankommen, denn dann muss ich mir keine Gedanken machen. Portscans sind viel zu laut und dann noch ne Bruteforce dranhängen? Da kannst als Dieb in der realen Welt genauso gut mit nem Panzer in eine Strasse reinfahren und darauf hoffen, dass dich keiner gesehen hat.
Das wäre nichtmal dummdreist.
Aber wir driften ab.
-
Also ich sehe es so:
Bitwarden ist an sich verschlüsselt ( Encryption | Bitwarden Help & Support )
Bitwarden uses AES-CBC 256-bit encryption for your Vault data
Masterpasswort enthält Buchstaben (groß & klein), Sonderzeichen und Zahlen.
Davor den reverseproxy.
So hat man das bestmögliche getan. VPN wäre machbar, jedoch entfällt so der Komfort z.B. von jedem Browser aufrufen etc.
-
Du kannst doch VPN anschalten und dann per Browser drauf zugreifen. Ich tu mir schlicht extrem schwer damit, irgendwas aufzumachen an der FW was nicht VPN ist. Kann aber nur ein Bauchgefühl sein und/oder ich bin zu alte für den neumodischen Kram
Wenns ein Unternehmen ist mit verschiedenen Clients die auf irgendwas und verschiedene Dinge zugreifen müssen, dann wäre das sicherlich eine komfortablere Lösung, aber nur für son PW Manager... ich weiss nich.
Ausserdem wenn man die Cloudlösung der PWManager anzweifelt, dann sollte man das AES-Fass nicht aufmachen.
Entweder das Verfahren ist grundsätzlich in jede Richtung sicher oder eben nicht.
-
Du kannst doch VPN anschalten und dann per Browser drauf zugreifen. Ich tu mir schlicht extrem schwer damit, irgendwas aufzumachen an der FW was nicht VPN ist. Kann aber nur ein Bauchgefühl sein und/oder ich bin zu alte für den neumodischen Kram
Damit hat du natürlich recht, wie ja auch schon gesagt hatte.
ABER, dieser Plan hat lücken wenn du an einem Fremd PC dein Vault brauchst oder den Zugriff...bist wie erwähnt bei bekannten, musst, warum auch immer, dich irgendwo anmelden oder neu registrieren und brauchst dein Vault an diesem PC da hast du kein Schalter mit "VPN" ;).
Wenn du dir sicher bist du brauchst den Vault nur an deinem Heim PC + Handy mit VPN ist das vollkommen ausreichend.
Ich z.b. würde aber ggfs. den Vault dann auch mal vom Arbeits PC brauchen, vielleicht muss ich mich von der Arbeit aus in einem Portal einloggen mit einem Kennworter aus meiner Vault, was dann?
Das über Handy zu tippen macht kein sinn, ein Firmen PC mit VPN Software austatten? Ähm ja..nein, abgesehen davon das es womöglich blockiert ist.
Wenn du dann noch im Zeiten des Home Office und ggfs. Dynamische Arbeitsplätze nicht immer am gleichen PC bist sind die möglichkeiten noch mal geringer.
Also dein Einsatz ist grundsätzlich richtig, aber wenn du weiter überlegst wie flexibel du es brauchst kommst du mit dem VPN an die grenze und dann machst du es lieber mit einem Reverse Proxy anstatt direkt eine Port Freigabe auf den Server X.
Das muss nicht mal nur die Vault sein, das kann auch jeder andere Webzugriff sein, deine Owncloud oder was auch immer.
Nextcloud zuhause hosten auf der NAS, Reverse Proxy vorschalten mit Authentifizierung und erst wenn du dich an dem Reverse Proxy angemeldet hast, wirst du zur NAS weitergeleitet und darfst dich da einloggen.
Damit schließt man auch direkt aus das des Böse Internet mit Port Scannern direkt deine NAS sieht.
Portscanner sind out? Tschuldigung, nicht bös gemein, aber witz des jahres?! haha
Wenn ich bei uns in der Firma eine neue IP Adresse bekomme und an der Firewall bekannt mache dauert es keine <1h und du hast Traffic aus aller welt auf der Firewall mit den typischen Port versuchen, wenn du dann noch IPS im Einsatz hast siehst du auch sofort die Typischen Angriffs Mechanismen weil direkt alles probiert wird, da ist gar nichts out das sind noch immer typische Methoden.
-
Das ist eben genau das grundsätzliche Einfallstor. Du weichst aus Bequemlichkeit von der Sicherheitsarchitektur ab. Die Frage ist eben wie und wie oft man das macht. Salamitaktik. Irgendwann passts dann eben und bei mir ist das spätestens mit Facebook und mit Whatsapp der Fall. Ein absolutes NOGo und deren Langzeitstrategie war ausserodentlich erfolgreich.
In Sachen Sicherheit in Unternehmen gibt es keine kompromisse und auch keine Bequemlichkeit.
-
Portscanner sind out? Tschuldigung, nicht bös gemein, aber witz des jahres?! haha
Jepp - erzähl mal unsere Firewall-Admins.
Erreichbare IPs -> offene Ports suchen - bekannte Schwachstellen darauf anwenden und schon ist die Schadsoftware im Netzwerk. Kann man gut automatisieren.
Ich sag nur Solarwinds letztes Jahr ( eine große Firma für Sicherheitssoftware ), die wurden gehackt und das hat weltweite Kreise gezogen, weil deren Software viel eingesetzt wird.
-
Jepp - erzähl mal unsere Firewall-Admins.
Genau mein Ding Anfragen für Server Freigaben und Ports am besten "any" oder man kriegt eine ganze Liste mit Ports obwohl nur einer verwendet wird, versuch dann den Anwendern zu erklären das dies so nicht geht, mein "daily doing"
Verwalte u.a. eine Firewall die eine Umgebung mit ca. 1.300 Servern schützt, aber man schweift ab, obwohl die ganze Security Thematik allgemein für PW Manager durchaus Interessant ist.
Sicherheit und Anwenderfreundlichkeit wird sich sowieso immer beißen, den Kompromiss gilt es zu finden und das wäre bei selfhosted dingen eben ein reverse proxy.
Auch steht der Reverse Proxy gut da bzgl Einrichtibarkeit etc. wir reden ja hier nicht von einer Investition und Wochenlangen aufbau, da rentiert sich das nicht.
Ich bin aber immer ein Fan davon das man mit einfachen Mitteln die Sicherheit erhöhen kann.
-
Portscanner sind out? Tschuldigung, nicht bös gemein, aber witz des jahres?! haha"
Das ist das was ich mit Kreativität bei so einem "nicht böse gemeint" meinte.
Ich hab Portscans nicht ausgeschlossen sondern nur gesagt dass sie out sind. Man muss die Menge einfach da auch mal im Blick halten. Wieviele Milliarden PCs gibts denn heute. Da mach ich mir um ein paar Tausend Portscans am Tag nicht in die Hose und für einen gezielten Angriff wüde ich sowas niemals anwenden. Ports per Zufall abklopfen ist einfach nur dumm, weil wenn sowas (ransomware) billiges zum Erfolg führt, dann gehörts dieser Firma auch nicht anders.
Ein Portscan muss auch nicht immer eine böse Absicht sein. Aber da kommen wir auf ein stastistisches Fahrwasser und das kann täuschen wenn man die nicht richtig interpretieren kann.
Wie mein Lehrer aber immer sagte... Es fliegen Mücken um ein stück Scheisse, das heisst noch lange nicht dass Scheisse gut schmeckt.
-
Wie würden jetzt hier definitiv weiter abschweifen daher noch abschließen zum Thema Ports/Security.
Und ich sage weiter Portscans sind nicht out, es kommen immer wieder Sicherheitslücken die gewisse Software betrifft die weitverbreitet ist und entsprechend auch Offene Ports hat.
Webserver die Apache oder NGINX nutzen haben offene Ports für ihre WEbseite port 80/443, default einfach.
Wenn sich dann dort eine Lücke befindet wie vielleicht auch jüngst die log4j lücke ist man dann selbst schuld ?
Selbst wenn es nur 1.000 Scans oder 100 Scans sind, ein einziger kann den Unterschied ausmachen, allgemein gesprochen, jetzt nicht zuhause.
Als die Log4j Lücke aufkam hatten wir im IPS einige anfragen gesehen die alle unsere Webserver abgeklopft haben um die Lücke auszunutzen, da hat man auch schön gesehen welche Ziel IPs dann versucht worden wären zu erreichen um den Schadcode auszuführen, erfolg hatte der Angreifer nicht.
Deine gezielter Frage war aber ja wovor man sich schützen will, behörden oder ähnlichem, und da ist die antwort einfach, einfach vor dem typischen grundrauschen.
Denn das typische grundrauschen kann auch schaden verursachen wenn es eine lücke ausnutzt die man ggfs. noch nicht kannte oder neu ist.
Interessant wäre, wenn hier jemand in seinem normalen Home Anschluss eine entsprechende Firewall hat, was da so die Log Einträge sagen, wieviel klopft da von außen an und testet Ports...auch du wirst sicherlich bei dir immer wieder anfragen sehen, der Security Gedanke macht dann erst gar nichts auf, wenn es aber nicht anders geht sucht man den besten kompromiss, das gilt im Privat. wie auch im Firmen gebrauch.
Im Business Bereich bieten sich dann auch gern etwas "mächtigere" Reverse Proxys an, wie ich finde ist da Netscaler was recht schönes.
-
Vielleicht interessiert es ja noch jemanden.
Hatte vorher ein LXC Container auf dem ich direkt Bitwarden Installiert hatte.
Dieser wurde jetzt gelöscht und gegen eine Portainer LXC getauscht auf dem jetzt nginx proxy manager + bitwarden bzw. vaultwarden läuft, man sieht hier in der historie noch die Auslastung mit flat bitwarden und jetzt die portainer installation mit vaultwarden und proxy manager, interessant wie die auslastung sich verändert hat.
Danke auch an jkasten für die Anleitung, an 1-2 Punkten war sie zwar kurz unklar aber es läuft :]
-
Gerne Verbesserungsvorschläge machen zur Anleitung, dann ändere ich das. 👍😎
-
Hallo Zusammen,
was würdet ihr denn im Business bzw. im "Team" bereich empfehlen?
Nutze ja jetzt Bitwarden bzw. Vaultwarden, wenn es richtig verstanden habe ist Vaultwarden so eine Kopie von Bitwarden?!
Aktuell verwendeten wir im ~10er Team Keepass...ist aber nicht so geschmeidig und flexibel, daher soll jetzt eine richtige Lösung her.
Ggfs. auch mit bisschen mehr Guppenverwaltung, audit logs etc.
Sehe ich das richtig das es dann Bitwarden in der Enterprise Version braucht? Mit den X$ per Month?
Kann man nicht auch "Vaultwarden" nutzen oder ist das beschränkt?
Hat jemand andere alternative?
Die Bedingung muss halt sein das es On Prem läuft, keine Cloud.