Passwort Manager Empfehlungen

Du meinst warum nicht lieber VPN statt Reverse Proxy?

Naja stell dir selbst die Frage.

Willst du immer ein VPN aufbauen zu dir ins Heimnetz wenn du ein Passwort z.b. benötigst?

Was ist wenn du an einem Fremd PC gerade bist und kein VPN Client hast, ein VPN ist halt immer etwas komplexer und nicht flexibler gerade wenn es unterwegs und dynamisch sein soll.

Um da dann ggfs. ein Kompromiss zu erhalten wäre dann ein Reverse Proxy wieder gut der entsprechend mit Login geschützt ist und dich erst dann durch lässt.

Aber ja, ein VPN wäre am ende die sicherste varriante, aber auch die wenigst flexibelste.

Das ist korrekt, aber was machst du wenn du an einem PC bist z.b. bei der familie, bekannte, arbeit und du brauchst eines deiner Kennwörter?

Handy raus, VPN verbinden, tresor öffnen, passwort suchen am besten mit 20-30 zeichen und sonderzeichen und dann musst es abtippen :D.

So ein PW Manager soll ja auch dazu dienen von jedem Gerät direkt zugriff drauf zu haben, wenn du die Kennwörter nur an deinem PC brauchst und am Handy, dann brauchst auch nicht mal das VPN weil du durch ein Sync zuhause sowieso dein Tresor dabei hast

Daher dann lieber alles bei 1password oder lastpass in der cloud

Also ich sehe es so:

Bitwarden ist an sich verschlüsselt ( Encryption | Bitwarden Help & Support )

Bitwarden uses AES-CBC 256-bit encryption for your Vault data

Masterpasswort enthält Buchstaben (groß & klein), Sonderzeichen und Zahlen.

Davor den reverseproxy.

So hat man das bestmögliche getan. VPN wäre machbar, jedoch entfällt so der Komfort z.B. von jedem Browser aufrufen etc.

Zitat von mbe

Du kannst doch VPN anschalten und dann per Browser drauf zugreifen. Ich tu mir schlicht extrem schwer damit, irgendwas aufzumachen an der FW was nicht VPN ist. Kann aber nur ein Bauchgefühl sein und/oder ich bin zu alte für den neumodischen Kram

Damit hat du natürlich recht, wie ja auch schon gesagt hatte.

ABER, dieser Plan hat lücken wenn du an einem Fremd PC dein Vault brauchst oder den Zugriff...bist wie erwähnt bei bekannten, musst, warum auch immer, dich irgendwo anmelden oder neu registrieren und brauchst dein Vault an diesem PC da hast du kein Schalter mit "VPN" ;).

Wenn du dir sicher bist du brauchst den Vault nur an deinem Heim PC + Handy mit VPN ist das vollkommen ausreichend.

Ich z.b. würde aber ggfs. den Vault dann auch mal vom Arbeits PC brauchen, vielleicht muss ich mich von der Arbeit aus in einem Portal einloggen mit einem Kennworter aus meiner Vault, was dann?

Das über Handy zu tippen macht kein sinn, ein Firmen PC mit VPN Software austatten? Ähm ja..nein, abgesehen davon das es womöglich blockiert ist.

Wenn du dann noch im Zeiten des Home Office und ggfs. Dynamische Arbeitsplätze nicht immer am gleichen PC bist sind die möglichkeiten noch mal geringer.

Also dein Einsatz ist grundsätzlich richtig, aber wenn du weiter überlegst wie flexibel du es brauchst kommst du mit dem VPN an die grenze und dann machst du es lieber mit einem Reverse Proxy anstatt direkt eine Port Freigabe auf den Server X.

Das muss nicht mal nur die Vault sein, das kann auch jeder andere Webzugriff sein, deine Owncloud oder was auch immer.

Nextcloud zuhause hosten auf der NAS, Reverse Proxy vorschalten mit Authentifizierung und erst wenn du dich an dem Reverse Proxy angemeldet hast, wirst du zur NAS weitergeleitet und darfst dich da einloggen.

Damit schließt man auch direkt aus das des Böse Internet mit Port Scannern direkt deine NAS sieht.

Portscanner sind out? Tschuldigung, nicht bös gemein, aber witz des jahres?! haha

Wenn ich bei uns in der Firma eine neue IP Adresse bekomme und an der Firewall bekannt mache dauert es keine <1h und du hast Traffic aus aller welt auf der Firewall mit den typischen Port versuchen, wenn du dann noch IPS im Einsatz hast siehst du auch sofort die Typischen Angriffs Mechanismen weil direkt alles probiert wird, da ist gar nichts out das sind noch immer typische Methoden.

Zitat von Tuxtom007

Jepp - erzähl mal unsere Firewall-Admins.

Genau mein Ding Anfragen für Server Freigaben und Ports am besten "any" oder man kriegt eine ganze Liste mit Ports obwohl nur einer verwendet wird, versuch dann den Anwendern zu erklären das dies so nicht geht, mein "daily doing"

Verwalte u.a. eine Firewall die eine Umgebung mit ca. 1.300 Servern schützt, aber man schweift ab, obwohl die ganze Security Thematik allgemein für PW Manager durchaus Interessant ist.

Sicherheit und Anwenderfreundlichkeit wird sich sowieso immer beißen, den Kompromiss gilt es zu finden und das wäre bei selfhosted dingen eben ein reverse proxy.

Auch steht der Reverse Proxy gut da bzgl Einrichtibarkeit etc. wir reden ja hier nicht von einer Investition und Wochenlangen aufbau, da rentiert sich das nicht.

Ich bin aber immer ein Fan davon das man mit einfachen Mitteln die Sicherheit erhöhen kann.

Wie würden jetzt hier definitiv weiter abschweifen daher noch abschließen zum Thema Ports/Security.

Und ich sage weiter Portscans sind nicht out, es kommen immer wieder Sicherheitslücken die gewisse Software betrifft die weitverbreitet ist und entsprechend auch Offene Ports hat.

Webserver die Apache oder NGINX nutzen haben offene Ports für ihre WEbseite port 80/443, default einfach.

Wenn sich dann dort eine Lücke befindet wie vielleicht auch jüngst die log4j lücke ist man dann selbst schuld ?

Selbst wenn es nur 1.000 Scans oder 100 Scans sind, ein einziger kann den Unterschied ausmachen, allgemein gesprochen, jetzt nicht zuhause.

Als die Log4j Lücke aufkam hatten wir im IPS einige anfragen gesehen die alle unsere Webserver abgeklopft haben um die Lücke auszunutzen, da hat man auch schön gesehen welche Ziel IPs dann versucht worden wären zu erreichen um den Schadcode auszuführen, erfolg hatte der Angreifer nicht.

Deine gezielter Frage war aber ja wovor man sich schützen will, behörden oder ähnlichem, und da ist die antwort einfach, einfach vor dem typischen grundrauschen.

Denn das typische grundrauschen kann auch schaden verursachen wenn es eine lücke ausnutzt die man ggfs. noch nicht kannte oder neu ist.

Interessant wäre, wenn hier jemand in seinem normalen Home Anschluss eine entsprechende Firewall hat, was da so die Log Einträge sagen, wieviel klopft da von außen an und testet Ports...auch du wirst sicherlich bei dir immer wieder anfragen sehen, der Security Gedanke macht dann erst gar nichts auf, wenn es aber nicht anders geht sucht man den besten kompromiss, das gilt im Privat. wie auch im Firmen gebrauch.

Im Business Bereich bieten sich dann auch gern etwas "mächtigere" Reverse Proxys an, wie ich finde ist da Netscaler was recht schönes.

Vielleicht interessiert es ja noch jemanden.

Hatte vorher ein LXC Container auf dem ich direkt Bitwarden Installiert hatte.

Dieser wurde jetzt gelöscht und gegen eine Portainer LXC getauscht auf dem jetzt nginx proxy manager + bitwarden bzw. vaultwarden läuft, man sieht hier in der historie noch die Auslastung mit flat bitwarden und jetzt die portainer installation mit vaultwarden und proxy manager, interessant wie die auslastung sich verändert hat.

Danke auch an jkasten für die Anleitung, an 1-2 Punkten war sie zwar kurz unklar aber es läuft :]

Gerne Verbesserungsvorschläge machen zur Anleitung, dann ändere ich das. 👍😎

Hallo Zusammen,

was würdet ihr denn im Business bzw. im "Team" bereich empfehlen?

Nutze ja jetzt Bitwarden bzw. Vaultwarden, wenn es richtig verstanden habe ist Vaultwarden so eine Kopie von Bitwarden?!

Aktuell verwendeten wir im ~10er Team Keepass...ist aber nicht so geschmeidig und flexibel, daher soll jetzt eine richtige Lösung her.

Ggfs. auch mit bisschen mehr Guppenverwaltung, audit logs etc.

Sehe ich das richtig das es dann Bitwarden in der Enterprise Version braucht? Mit den X$ per Month?

Kann man nicht auch "Vaultwarden" nutzen oder ist das beschränkt?

Hat jemand andere alternative?

Die Bedingung muss halt sein das es On Prem läuft, keine Cloud.