Skapa en säker server

Permalänk
Medlem

Skapa en säker server

Hej

Kör lite servrar och funderar på hur man får dem så säkra som möjligt. Portar i routern är öppna och vill undvika att få in ohyra helt enkelt. Plex som kör på port 32400 exempelvis eller någon annan server. Brandvägg i router samt brandvägg i operativsystemet samt Bitdefender som antivirus och malware. Kan man göra något mer?

Permalänk
Medlem

Om man har många tjänster utåt och en massa portar öppna och vill minimera det, så kan du hosta en egen vpn server som du får ansluta till när du villl använda alla tjänster du hostar, på så vis behöver du bara ha vpn öppet utåt, du ansluter och Bamm du får samma tillgång till grejer som att du sitter lokalt. Om det är bättre vet jag inte, men vet att många gör så. Nog vanligare inom större företag kan jag tänka mig, det är så jag får tillgång till grejer inom min organisation iaf.

Visa signatur

Ryzen 5800x @ 32gb 3200mhz @ 7tb ssd @ 3060ti Fractal r5 @ Arch
i5 4670k @ 24gb 1600mhz @ Fractal r3 @ 12tb ZFS @ Truenas Scale
Thinkpad T450 @ i5 5300u @ 16gb @ 512gb ssd @ 24+48wh batteri @ Debian

Permalänk
Medlem

Just det, ett alternativ förstås. Men det är generellt så man gör alltså? Inget magiskt hokus pokus som döljer portar eller så

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av MsSmith:

Just det, ett alternativ förstås. Men det är generellt så man gör alltså? Inget magiskt hokus pokus som döljer portar eller så

Skickades från m.sweclockers.com

Att inte använda standard portar hjälper nog lite också. På Plex använder jag 32400 internt och en 40000+ port externt.

Permalänk
Medlem

Sant, bra tänkt där. Är det någon port man inte ska använda, typ 80 minns jag var no-no förr i tiden

Skickades från m.sweclockers.com

Permalänk
Medlem

Egentligen finns det bara ett sätt att skydda sig och det är att inte exponera tjänsten mot internet. En portscan är snabbt gjord och avslöjar rätt mycket, även om du undviker standardportar. VPN för att komma åt ditt nät från utsidan är den bästa rekommendationen hittills.

Ska du ha tjänster utåt som andra kommer åt är det tyvärr nog enklast att använda standardportarna, annars blir det mycket strul med teknisk support om de som du ska dela tjänster med inte är så insatta i tekniken.

Visa signatur

WS: R7 2700x | RTX 2070S | Corsair AX860W | Lian Li PC-O11 Dynamic
Unraid: R7-2700X | GTX1050 | 3U chassi med 20 diskplatser
Servrar: 3x NUC 10 i5 ESX-kluster

Permalänk
Medlem
Skrivet av MsSmith:

Sant, bra tänkt där. Är det någon port man inte ska använda, typ 80 minns jag var no-no förr i tiden

Skickades från m.sweclockers.com

Är det en webbserver så är det nog bäst att använda standard portarna. Men SSH så är det bättre att använda något annat än port 22, och sen köra med key baserad login istället för ett vanligt lösenord.

Permalänk
Medlem

Akkurat, jag förstår. Men då låter det inte som att jag har gjort helt fel då

Permalänk
Medlem
Skrivet av whisky:

Egentligen finns det bara ett sätt att skydda sig och det är att inte exponera tjänsten mot internet. En portscan är snabbt gjord och avslöjar rätt mycket, även om du undviker standardportar. VPN för att komma åt ditt nät från utsidan är den bästa rekommendationen hittills.

Ska du ha tjänster utåt som andra kommer åt är det tyvärr nog enklast att använda standardportarna, annars blir det mycket strul med teknisk support om de som du ska dela tjänster med inte är så insatta i tekniken.

Skulle nog säga att använda sig utav ej standard portar mest är för att gömma sig från bottar, då dom oftast bara söker igenom standard portarna. Men är det en riktad attack så hjälper det inte så mycket

Permalänk
Inaktiv

DMZ is the shit, i DMZ servern öppnar du endast de portar utåt som ska vara öppna utåt.
Typ överallt jag ser används DMZ.

I privata sammanhang så har du väl inte så mycket på servern till att börja med, speciellt när man pratar om datakommunikation.

*edit*
Jag skulle nog påstå att det nästan enbart är nördar som aktivt använder DMZ i sina privata hemlösningar, så det är inte vanligt. Men det jag beskrev var det vanligaste nästa steg man brukar ta, har man en hårdvarurouter, bra koll på mjukvaran så kommer dmz näst.
Och för många (alla seriösa?) mjukvaror finns det färdiga gateways att använda, så programmet kan ligga på en "säker dator", men trafiken går skyddat genom gatewayen till en server i dmz som låter informationen komma vidare till nästa nät. som kan vara det administrativa eller t.om. internet. Vanligt är det administrativa, där man utifrån genom vpn kan komma åt datan från servern som var skyddad.
*edit2*
En 2 minuter youtube DMZ exempel
https://www.youtube.com/watch?v=rztA1D5h_Ec&t=5s
Som sagt ingen för Agda 106 eller Pelle 108 år att sätta upp hemma för de ska besöka deras barnbarns facebook sidor.

Permalänk
Medlem

En grej är att skaffa sig en vassare brandvägg som kan filtrera trafiken och se om något annat än tx plex-trafik börjar gå över den porten. Eller om servern eller någon annan enhet börjar prata med ett botnät och liknande.

Permalänk
Medlem

Både DMZ och bättre än hemmabrandvägg verkar vettigt. Toppen då är jag på rätt bana. Tackar

Skickades från m.sweclockers.com

Permalänk
Medlem

Du kan ju utöka en "vanlig" brandvägg med avancerad inspektion som IPS och applikationsanpassad L7-inspektering, men det är mycket jobb, speciellt det senare. Att slå igång t.ex. Snort är inte jättesvårt men man behöver lägga lite tid på att justera in rätt nivå av säkerhet. Dock behöver du terminera eventuell TLS innan servern isf.

Du kan kolla upp OpenDNS, jag tror det är tillgängligt gratis även för privatpersoner.

Visa signatur

ecce
#NATisNotASecurityFeature