Interne Anwendungen sicher extern erreichbar machen

Es gibt 12 Antworten in diesem Thema, welches 4.321 mal aufgerufen wurde. Der letzte Beitrag () ist von kleinp.

    Moin zusammen!


    Ich möchte gerne ein paar meiner Anwendungen im Netzwerk auch mobil erreichbar machen - gesichert selbstverständlich.


    Aktuell mache ich das über VPN on Demand über mein iPhone, aber so ganz zufrieden bin ich damit irgendwie nicht. Irgendwie will es nicht gelingen, dass nur die Verbindungen zu meiner Domain über das VPN laufen.


    Jetzt bin ich auf der Suche nach Alternativen.

    Unter anderem lese ich mich gerade über Cloudflare Zero Trust schlau - wenn ich es recht verstanden habe, wird da aber letztendlich auch nur eine Art VPN-Tunnel aufgebaut.


    Wie macht ihr eure Anwendungen sicher von außen erreichbar - abgesehen vom Klassiker VPN?


    Danke und Gruß,

    Alex

    Zb Klassiker wie passwortabfrage, adressfreigabe.. 😜

    Kenne zudem dein vpn on demand nicht, aber sicher, dass du das Thema vpn verstanden hast?

    "sicher" wäre ein eigenes vpn zwischen deinen Geräten. Das hat erstmal gar nichts mit irgendwelchen vpn Diensten zu tun, die deinen traffic über ihre Server anonymisierter.

    2 Mal editiert, zuletzt von ITadmin ()

    Also ich mache alle Anwendungen über einen SSL gesicherten Reverse Proxy verfügbar.

    Gerade in einem HomeLab ist es sinnvoll noch eine einheitliche Login Möglichkeit zu schaffen, zb mit Authelia

    Dabei greifst du über einen einzigen Port auf dein Reverse Proxy zu (Nginx, Traefic, ..) und schaltest vor diesem eine 2FA (authelia) davor.

    Nur nach diesem Zugriff Wirst du an den ReverseProxy weitergeleitet und kannst auf deine Anwendung zugreifen.

    Vorteil: Du brauchst dich nicht um unsicher abgesicherte Server oder garnicht abgesicherte Server Sorgen zu machen.

    Es gibt zahlreiche Anleitungen auf Youtube dazu, hier ein Beispiel:

    2 Factor Auth and Single Sign On with Authelia

    Danke 1
    Zitat von Alex1984

    Wie macht ihr eure Anwendungen sicher von außen erreichbar - abgesehen vom Klassiker VPN?


    Ich habe bis zu Beginn des Monats meine „Anwendungen“ (WordPress, Nextcloud, Matomo und einen Minecraft Server) via Portfreigabe in der FritzBox verfügbar gemacht. Die Anwendungen selbst laufen auf einem Linux-Host in Docker Containern mit Traefik Reverse Proxy und TLS mit Letsencrypt-Zertifikaten.


    Vor ca. 2 Wochen hab ich dann begonnen mit UniFi Komponenten die AVM Infrastruktur zu ersetzen und für obigen Rechner eine „echte“ DMZ einzurichten.


    VPN macht bei einem Blog und einer privaten Cloud, auf welche die ganze Familie zugreift und über die Daten mit Dritten geteilt werden keinen Sinn.

    Zitat von maxim.webster

    eine „echte“ DMZ

    Eine DMZ macht deinen Server auf allen Ports angreifbar und offen, man sollte die Ports beschränken auf die, welche nur wirklich benötigt werden.

    Wenn du schon Traefic hast, dann sollten das maximal Port 80&443 sein und wenn möglich auf 443 umgeleitet werden.

    Gefällt mir 1
    Zitat von maxim.webster

    Es sind natürlich die gleiche Portfreigaben wie vorher (80,443,25565), nur das der liefernde Rechner jetzt noch von Rest des Heimnetzes isoliert ist.

    Ok, dann ist es keine DMZ, sondern ein VLAN nur für deinen Server 😉

    Danke 1

    Danke, ich glaube das geht genau in die Richtung, die ich mir gedacht habe.

    Ist Authelia vergleichbar mit z.B. Keycloak?


    Das Video schaue ich mir auf jeden Fall einmal an.

    Auf der Seite von Authelia habe ich schon gelesen, dass noch ein LDAP o.ä. benötigt wird - ist das so korrekt?

    Also weil man kein bock hat den server sicher zu betreiben, setzt man ne extrasoftware/cloudkram auf, die es dann richten soll?

    Um was für Dienste geht es überhaupt und was spricht gegen das "echte vpn" oder normale vlan/firewallregeln und passwortschutz?

    Zitat von Alex1984

    Auf der Seite von Authelia habe ich schon gelesen, dass noch ein LDAP o.ä. benötigt wird - ist das so korrekt?


    Authelia stellt dir unterschiedliche Single Sign on Lösungen zur verfügung, du benötigst natürlich kein LDAP, könntest aber eins einbinden wenn du es möchtest. Ich nutze z.b den mit dem Google Authenticator als 2FA


    Und diese Lösung ist genau dafür da deine Server für Angriffe von aussen zu schützen, weil nur dieser Server erreichbar ist auf Port 80 / 443 und deine Systeme innerhalb des Netzwerkes blockst du nach aussen hin ab und sind unsichtbar!


    VPN funktioniert auch nicht von überall, bei mir auf der Firma z.b. sind solche Ports grundsätzlich gesperrt, da wählt man gerne andere sichere Lösungen, wichtig ist auch hier auf SSL Verschlüsselung zu setzen

    Zitat von ITadmin

    Zb Klassiker wie passwortabfrage, adressfreigabe.. 😜

    Kenne zudem dein vpn on demand nicht, aber sicher, dass du das Thema vpn verstanden hast?

    "sicher" wäre ein eigenes vpn zwischen deinen Geräten. Das hat erstmal gar nichts mit irgendwelchen vpn Diensten zu tun, die deinen traffic über ihre Server anonymisierter.

    Moin,


    auf iOS Geräten kann man ein sogenanntes VPN on demand einrichten. Das bedeutet, dass die VPN-Verbindung automatisch im Hintergrund aufgebaut wird, wenn definierte Bedingungen erfüllt sind, z.B. wenn man sich mit einem WLAN verbindet oder mit dem Mobilnetz verbunden ist.

    Da ist schon ne ganze Menge möglich, allerdings möchte ich nicht meinen gesamten mobilen Traffic durch mein VPN schleusen, sondern eigentlich nur den, der direkt auf meine private Domain zielt. Das kann man sicher auch konfigurieren, das habe ich bisher aber nicht hinbekommen.


    Zitat von ITadmin

    Also weil man kein bock hat den server sicher zu betreiben, setzt man ne extrasoftware/cloudkram auf, die es dann richten soll?

    Um was für Dienste geht es überhaupt und was spricht gegen das "echte vpn" oder normale vlan/firewallregeln und passwortschutz?

    Um Bock geht es da nur teilweise. Ich würde einem Cloudanbieter in der Größenordnung definitiv eine höhere Kompetenz bei Security-Themen zusprechen als mir selbst. Das Charmante an der Lösung ist, dass man dafür keine Ports öffnen muss und so nach außen natürlich eine geringere Angriffsfläche bietet, als wenn man die Ports für die Anwendungen direkt exponieren würde.


    Zitat von uboot21

    Authelia stellt dir unterschiedliche Single Sign on Lösungen zur verfügung, du benötigst natürlich kein LDAP, könntest aber eins einbinden wenn du es möchtest. Ich nutze z.b den mit dem Google Authenticator als 2FA


    Und diese Lösung ist genau dafür da deine Server für Angriffe von aussen zu schützen, weil nur dieser Server erreichbar ist auf Port 80 / 443 und deine Systeme innerhalb des Netzwerkes blockst du nach aussen hin ab und sind unsichtbar!


    VPN funktioniert auch nicht von überall, bei mir auf der Firma z.b. sind solche Ports grundsätzlich gesperrt, da wählt man gerne andere sichere Lösungen, wichtig ist auch hier auf SSL Verschlüsselung zu setzen

    Danke, das schaue ich mir auf jeden Fall genauer an, danke für den Tipp!

    Da wir von genauen Diensten immer noch nichts wissen, kann man weiter nur spekulieren.

    Aber wenn du von vpn im Sinne von Dienste absichern sprichst, denke ich an die Lösung: eigenes vpn, in das die Geräte reinkommen, die Zugriff haben sollen - fertig.


    Und vergiss diese vpn Dienste. Hat zwar auch irgendwo seine Anwendung, aber hat mit deinem Thema hier eigentlich nichts zu tun.

    Das Problem bei der Sicherheit ist eigentlich immer, dass es "benutzerunfreundlich" wird.


    Beispiel zuhause:


    Wenn ich eine gute Absicherung zuhause möchte, muss ich ggfs. die Tür abschließen und die Einbruchmeldeanlage schärfen.

    Wenn ich nach Hause komme, der selbe Weg rückwärts.


    Ja, es wäre toll, einfach durch die angelehnte Tür zu gehen :winking_face:

    Will aber keiner wirklich. Zumindest in der Stadt. Auf dem Land sieht das noch anders aus :grinning_squinting_face:


    So ist das mit privaten Clouds etc.


    Erst muss man sich prinzipielle Fragen beantworten:


    - Traue ich einem Cloudanbieter?

    - Nehme ich den Umweg VPN-auf eigenen Server? Der kostet Geld und Zeit bzgl. Absicherung.

    - Fahre ich ggfs. mit einem "namhaften" Anbieter besser?


    Denn ich kann nicht rufen, ich möchte alles Sicher, dafür jederzeit verfügbar. Aber meinen VPN möchte ich nicht jedesmal aufbauen müssen.


    btw. Man kann die meisten VPN-Softwaren so einstellen, dass sie nur die internen Geräte per VPN aufrufen, den Rest ohne.

    Dazu muss ggfs die Netzadresse (192.168.178.0) angegeben werden.


    Dann läuft nur alles, was im Netz 192.168.178.xxx ist, über den VPN.


    Aber auch hier muss man sich damit beschäftigen.


    Komfort und Sicherheit schließt sich manchmal aus bzw. kommt sich manchmal in die Quere...

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Gefällt mir 1