Säkra upp server/nätverk (hjälp)

Permalänk

Säkra upp server/nätverk (hjälp)

Hejsan alla clockers!

Jag är helt ny inom nätverk mm så ha lite tålamod.

Då jag har delat ut mitt film-bibliotek till några i släckten är jag lite nojig över säkerheten mot min server/nätverk.
Jellyfin ligger på min externa IP och känner att jag behöver tips och hjälp för att få den så säker som möjligt för angrepp.

Så här ser mitt nätverk ut idag.

Permalänk
Medlem

Du ska inte lägga ut servern på DMZ.

Den ska ha intern IP och så öppnar du bara de portar som den behöver. Använd helst inte uPnp för portöppning.

Se till att allt är uppdaterat (server, programvaror och routers)

Besvärligare men säkrare

1. Sätt upp VPN, så de får VPN:a in till ditt nät - då behöver du inte exponera servern utåt
2. Sätt servern på eget subnät, så en hakkare får svårare att se/hakka resten av dit nät om han kommer in på servern.

Men VPN är enklast/bäst o kommer bli säkrast

Permalänk
Medlem

Gör bara port-forward på den porten som står i programvarans manual. Se till att programvaran Jellyfin är uppdaterad och även serverns operativsystem. Se till att alla användare i systemet har bra och säkra lösenord. Mer kan du inte göra utan att lägga på VPN, vilket kanske krånglar till det för de som kopplar upp sig

Permalänk

Tack för tipsen.

Jag har kört en port-forward till Jellyfin men skulle ett bra alternativ vara att fixa DDNS (Noip) i routern?

Gällande skapa eget subnät för servern, gör man det i routern eller i accesspunkten och skulle en USW Flex Mini vara säkrar att ha i stället för nuvarande TL-switchen?

Många frågor här

Permalänk
Medlem

Än bättre är om du kör en annan port än vad tjänsten du vill serva har som standard.

T.ex. remote desktop använder port 3389, kör då på port 51231 eller whatever externt, för att sedan internt peka den till 3389. Kräver att du hos alla klienter ändrar vilken port de ska ansluta till, men det säkrar upp det hela en hel del då du inte blir träffad av scanners som exempelvis hittar en bugg i remote deskop protokollet å då scannar alla ip adress på port 3389 för att hitta vilka som har tjänsten igång och då kan komma in via den buggen.

Permalänk
Medlem
Skrivet av SKYNET 84:

Tack för tipsen.

Jag har kört en port-forward till Jellyfin men skulle ett bra alternativ vara att fixa DDNS (Noip) i routern?

Gällande skapa eget subnät för servern, gör man det i routern eller i accesspunkten och skulle en USW Flex Mini vara säkrar att ha i stället för nuvarande TL-switchen?

Många frågor här

Dyndns-tjänst förenklar bara för användaren av tjänsten som inte behöver komma ihåg din ip-adress. Gör varken till eller från på säkerheten.

Byta port gör heller ingen skillnad eller mininal. Oftast söker man igenom alla portar, inte bara standard.

Subnät gör du först i routern och kopplar till ett vlan. Sedan en vlan-kapabel switch. I accesspunkten behöver du bara skapa ett ssid som är kopplat till vlanet om du vill komma in på subnätet trådlöst.

Sedan för att du ska ha nytta av ditt subnät så behöver du skapa brandväggsregler i routern som begränsar trafiken till ditt vanliga subnät. Så att du bara tillåter de tjänster som ska vara åtkomliga

Permalänk
Skrivet av Tea42BBS:

Du ska inte lägga ut servern på DMZ.

2. Sätt servern på eget subnät, så en hakkare får svårare att se/hakka resten av dit nät om han kommer in på servern.

Så... Vad tycker du skillnaden är mellan en DMZ och ett separat subnät som gör det svårare att attackera resten av ditt nät..?

Skrivet av SKYNET 84:

Jag har kört en port-forward till Jellyfin men skulle ett bra alternativ vara att fixa DDNS (Noip) i routern?

Gällande skapa eget subnät för servern, gör man det i routern eller i accesspunkten och skulle en USW Flex Mini vara säkrar att ha i stället för nuvarande TL-switchen?

"Rätt" svar på dina frågor och kommentarer du fått:
1. Använd en produkt med gott rykte säkerhetsmässigt. Jag har inte koll på Jellyfin, så den delen av hemläxan får du fixa själv. Har produkten i sig bra rykte och hög säkerhet, är resten av säkerheten upp till dina användare i stor utsträckning. Välskriven programvara bör man kunna presentera mot Internet utan (stor) ökning av säkerhetsriskerna i ditt nätverk.

Att "gömma" portar ger inte mycket till ökad säkerhet men ställer till det för alla dina användare. Skit i det.

2. VLAN är en bra grej.
Som du skriver behöver du byta din gamla switch för att få VLAN-stöd, och Flex Mini bör vara ett helt OK val givet att du ändå har Ubiquiti-prylar hemma.

Vad du vill uppnå är då ett separat VLAN med separat adresslängd från vad du använder i övriga huset. Sen behöver du brandväggsregler + NAT/port forwarding från Internet in mot servern över rätt port, samt möjlighet att komma åt servern (admininterface + Jellyfin) från ditt "vanliga" nätverk hemma, men begränsa trafiken från det DMZ du effektivt sett skapat in till ditt vanliga nätverk.

Sättet att få till VLAN, är att "tagga" det nya vlanet på den nätverksport på din router dit din nya switch är ansluten, samt på den port på din nya switch som är ansluten till routern, och sen ska du _un_-tagga detta VLAN (men inga andra) på den port som är kopplad till servern.

3. Dynamisk DNS har fördelar:
Först och främst: Om du köper en domän hos en registrar som har bra DDNS-stöd (exempelvis Namecheap, men det finns många fler), kan du presentera tjänster helt och hållet i ditt eget namn, vilket har bra nördfaktor. Sekundärt, gör detta det enkelt för programvara som stöder det att automatiskt skaffa och förnya certifikat via Let's Encrypt och en inbyggd eller tredjeparts ACME-klient. Många moderna programvaror har stöd för detta utan att man behöver lägga ner så mycket mer jobb än att berätta vilket DNS-namn man presenterar dem från.
Det betyder i förlängningen att a) dina kompisar/släktingar behöver inte veta din IP-adress utan bara ditt domännamn, b) om din IP-adress förändras (vilket händer då och då), kommer ditt domännamn automatiskt peka på den nya adressen inom loppet av max några minuter, c) dina vänner/släktingar behöver inte gång på gång "lita på" ett självsignerat certifikat du presenterar, eftersom din server automatiskt förnyar ett certifikat som signerats av en allmänt erkänd CA.

Permalänk
Medlem

Jag är absolut ingen expert på varken datorsäkerhet eller nätverk och har aldrig ens hört talas om Jellyfin innan, men det här är mina tankar iaf, någon mer insatt får gärna flika in vad som är rätt/fel respektive möjligt/opraktiskt.

Det känns långt ifrån osannolikt (jag skulle snarare säga troligt) att Jellyfin skulle innehålla säkerhetshål av olika slag som förr eller senare kommer utnyttjas, dvs någon kommer scanna internet efter Jellyfin och automatiskt hacka alla instanser som hittas. Som redan sagts är det av yttersta vikt att hålla den uppdaterad om du exponerar den mot internet.

För att minska risken att bli hackad kan du mha en brandvägg även göra någon slags nerlåsning av IP-adresser som får komma åt Jellyfin, t ex att blockera utländska IPn och/eller blocka kända problem-IPn (VPNer, Tor exit nodes etc).

Nästa grej är att tänka på vad som händer om (läs "när") den blir hackad. Du vill inte att det leder till t ex en ransomware-attack (krypterar din server och begär pengar för dekryptering), eller att de på något vänster lyckas använda det till att göra attacker på dina klientdatorer (där du troligtvis gör bankärenden och annat), och om du har känsliga filer på servern vill du inte att de kommer på vift.

Det verkar inte riktigt framgå hur din server är uppsatt. Kör du saker i VMar, eller någon slags halv-managed grej ala Unraid, eller i Docker, eller på "gammaldags" sätt tillsammans i Linux, eller i Windows eller något annat? Iaf skulle det vara fördelaktigt om användaren/VMen (eller motsvarande) som kör Jellyfin inte har tillgång att skriva över filerna du delar ut. Och se till att den inte kan läsa dina känsliga filer. Om den dessutom på ett eller annat sätt är på ett annat nät som redan föreslagits i tråden eller blockeras av en brandvägg kan den heller inte attackera dina klientdatorer. Blockerar du dessutom utgående trafik (förutom till uppdateringar etc) slipper du att den går med i botnets och annat som kan ställa till det för dig. Det här bygger dock på att OSet och annat på servern är uppdaterade, annars kan hackarna använda kända sårbarheter i dem för att ta sig vidare.

Permalänk
Skrivet av JBerger:

Än bättre är om du kör en annan port än vad tjänsten du vill serva har som standard.

T.ex. remote desktop använder port 3389, kör då på port 51231 eller whatever externt, för att sedan internt peka den till 3389. Kräver att du hos alla klienter ändrar vilken port de ska ansluta till, men det säkrar upp det hela en hel del då du inte blir träffad av scanners som exempelvis hittar en bugg i remote deskop protokollet å då scannar alla ip adress på port 3389 för att hitta vilka som har tjänsten igång och då kan komma in via den buggen.

Jag nämnde det i min post, men vill understryka att detta är ett farligt råd som bara kommer att skydda mot de mest naiva av attacker. Detta arbetssätt har namnet "security by obscurity" och är allmänt erkänt som en dålig idé.

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Jag nämnde det i min post, men vill understryka att detta är ett farligt råd som bara kommer att skydda mot de mest naiva av attacker. Detta arbetssätt har namnet "security by obscurity" och är allmänt erkänt som en dålig idé.

Är du go eller? Varför anser du att det är ett farligt råd? Oavsett vad så blir det inte sämre utav att göra så (Allt annat lika).
Sedan så har du fel, det är ju faktiskt användbart på flera sätt, men om du inte kan förstå det så får du antingen läsa på eller vara fortsatt ignorant.

Permalänk
Skrivet av JBerger:

Är du go eller? Varför anser du att det är ett farligt råd?

Det är ett råd som inte tillför något om du gör allt annat rätt vad gäller säkerhet, men som kan få någon som inte förstår säkerhet att vaggas in i falsk trygghet ifall de tror att elakingarna inte kan hitta dem.

Men du får gärna berätta varför det är bra på flera sätt.

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Det är ett råd som inte tillför något om du gör allt annat rätt vad gäller säkerhet, men som kan få någon som inte förstår säkerhet att vaggas in i falsk trygghet ifall de tror att elakingarna inte kan hitta dem.

Men du får gärna berätta varför det är bra på flera sätt.

En person hittar en bugg/exploit i apache denne vill utnyttja, så den drar igång portscan på port80 på samtliga IP adresser för att se vilka som har port80 öppen, för att därefter kolla om de kör apache och i så fall vilken version.
Du kör apache, på precis den utsatta versionen, meeeeeeeeeeeen du har varit smart och pekat om till port 53985 externt istället, så hackern hittar inte att du har den specifika versionen. Mao, du är lite säkrare.

Likväl, "omendå portscannar han alla portar på alla IP adresser", well då ser du i din brandvägg ett IP nummer som scannar flera hundra/tusentals portar hos dig, och har varit lite smart att du bannar det IP numret från att scanna. Hade du kört på port80 så hade det räckt att han scannat just specifikt den porten, och iomed du kör en tjänst på den porten så är det ju så klart inget du vill stoppa ingående trafik på.

Men du får gärna berätta hur det här inte höjer din chans att undvika att bli hackad och att det i de två scenariorna ovan hade varit lika stor chans att bli hackad om man kör på en randomport snarare än port80.

Permalänk
Skrivet av JBerger:

En person hittar en bugg/exploit i apache denne vill utnyttja, så den drar igång portscan på port80 på samtliga IP adresser för att se vilka som har port80 öppen, för att därefter kolla om de kör apache och i så fall vilken version.
Du kör apache, på precis den utsatta versionen, meeeeeeeeeeeen du har varit smart och pekat om till port 53985 externt istället, så hackern hittar inte att du har den specifika versionen. Mao, du är lite säkrare.

Likväl, "omendå portscannar han alla portar på alla IP adresser", well då ser du i din brandvägg ett IP nummer som scannar flera hundra/tusentals portar hos dig, och har varit lite smart att du bannar det IP numret från att scanna. Hade du kört på port80 så hade det räckt att han scannat just specifikt den porten, och iomed du kör en tjänst på den porten så är det ju så klart inget du vill stoppa ingående trafik på.

Men du får gärna berätta hur det här inte höjer din chans att undvika att bli hackad och att det i de två scenariorna ovan hade varit lika stor chans att bli hackad om man kör på en randomport snarare än port80.

Säkerhet är en balansakt. >99,99% av tiden finns det inte zero-day exploits under aktiv användning i servertjänsten, men alla mina existerande och potentiella kunder/användare behöver både känna till och acceptera och veta hur man använder min godtyckligt valda specialport som inte stämmer med någonting.
Driver jag en webbserver på port 53985 istället för 80+443 kommer den bra minoriteten av elakingar hitta mig ändå ifall jag är ett attraktivt nog mål, men jag kommer å andra sidan inte heller ha några andra gäster på den, så varför presenterar jag den över huvud taget mot Internet?

I den händelse det faktiskt finns pågående attacker mot en tjänst man driver behöver man fatta beslut om hur man hanterar dem: Har attacken en känd signatur kommer ett bra IDS/IPS-system blockera den sortens anrop och släppa genom andra. På hobbyistnivå kan balansakten istället handla om att exempelvis temporärt släcka tjänsten medan ett angrepp pågår tills utvecklaren har en lösning på det underliggande problemet på plats, eller att ha automatiserade regler som blockerar klienter som försöker anropa den drabbade ändpunkten, eller brandväggsregler som blockerar specifika klienter enligt givna regler.

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Så... Vad tycker du skillnaden är mellan en DMZ och ett separat subnät som gör det svårare att attackera resten av ditt nät..?
..

Man syftar på DMZ-funktionen som finns i vanliga hemmaroutrar. Som portforwardar alla portar på externa IP mot den IP man sätter som DMZ. Inte ett separat subnät/ben på brandväggen.

Skrivet av trudelutt:

..
För att minska risken att bli hackad kan du mha en brandvägg även göra någon slags nerlåsning av IP-adresser som får komma åt Jellyfin, t ex att blockera utländska IPn och/eller blocka kända problem-IPn (VPNer, Tor exit nodes etc).
..

Ett bra tips. Om du inte behöer komma åt den utomlands så räcker det med att tillåta svenka IP-adresser från en fördefinerad lista. Osäker om det går enklet i edgeroutern men borde finnas paket till linux som fixar det relativt enkelt.

Skrivet av Det Otroliga Åbäket:

Jag nämnde det i min post, men vill understryka att detta är ett farligt råd som bara kommer att skydda mot de mest naiva av attacker. Detta arbetssätt har namnet "security by obscurity" och är allmänt erkänt som en dålig idé.

Jag håller med. HTTP/HTTPS-tjänster finns på rätt måna portar. Så rätt så normalt att man scannar ett större port-intervall

Permalänk
Skrivet av jocke92:

Man syftar på DMZ-funktionen som finns i vanliga hemmaroutrar. Som portforwardar alla portar på externa IP mot den IP man sätter som DMZ. Inte ett separat subnät/ben på brandväggen.

Wow.
OK, då förstår jag rådet, men det är ju näst intill kriminellt att kalla något sådant för DMZ. 🙄
Har inte använt hemmaroutrar sen jag började få intresse för nätverk, därav min okunskap.

Permalänk
Medlem
Skrivet av JBerger:

Likväl, "omendå portscannar han alla portar på alla IP adresser", well då ser du i din brandvägg ett IP nummer som scannar flera hundra/tusentals portar hos dig, och har varit lite smart att du bannar det IP numret från att scanna. Hade du kört på port80 så hade det räckt att han scannat just specifikt den porten, och iomed du kör en tjänst på den porten så är det ju så klart inget du vill stoppa ingående trafik på.

Hur stor sannolikhet är det att "du ser i din brandvägg" att du scannas och hinner blockera avsändaren innan ett angrepp? Hur gör du vid en distribuerad scanning? Eller en långsam scanning?

Många som sitter och gissar i den här tråden...

Visa signatur

Bra, snabbt, billigt; välj två.

Ljud
PC → ODAC/O2 → Sennheiser HD650/Ultrasone PRO 900/...
PC → S.M.S.L SA300 → Bowers & Wilkins 607

Permalänk
Medlem
Skrivet av Phod:

Hur stor sannolikhet är det att "du ser i din brandvägg" att du scannas och hinner blockera avsändaren innan ett angrepp? Hur gör du vid en distribuerad scanning? Eller en långsam scanning?

Många som sitter och gissar i den här tråden...

Du sitter inte och manuellt blockar, vad klart. Du sätter upp regel för det. Likväl om det är en långsam scanning så är det ju markant bättre att ha en randomport och du ser ett IP som försöker på hundra-tusentals portar. Hade du kört defaultport hade angriparen hittat rätt direkt.

Frågan var inte om det var en direkt säker eller bra lösning, frågan var om det var bättre än att köra defaultport på tjänster, vilket det ju så självklart är och att påstå något annat är befängt. Sedan hur mycket bättre det är låter jag vara osagt, troligtvis relativt minimalt, men är ju inte som att det är jobbigt att sätta upp och ger ju trotsallt lite mer säkerhet.

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Säkerhet är en balansakt. >99,99% av tiden finns det inte zero-day exploits under aktiv användning i servertjänsten, men alla mina existerande och potentiella kunder/användare behöver både känna till och acceptera och veta hur man använder min godtyckligt valda specialport som inte stämmer med någonting.
Driver jag en webbserver på port 53985 istället för 80+443 kommer den bra minoriteten av elakingar hitta mig ändå ifall jag är ett attraktivt nog mål, men jag kommer å andra sidan inte heller ha några andra gäster på den, så varför presenterar jag den över huvud taget mot Internet?

I den händelse det faktiskt finns pågående attacker mot en tjänst man driver behöver man fatta beslut om hur man hanterar dem: Har attacken en känd signatur kommer ett bra IDS/IPS-system blockera den sortens anrop och släppa genom andra. På hobbyistnivå kan balansakten istället handla om att exempelvis temporärt släcka tjänsten medan ett angrepp pågår tills utvecklaren har en lösning på det underliggande problemet på plats, eller att ha automatiserade regler som blockerar klienter som försöker anropa den drabbade ändpunkten, eller brandväggsregler som blockerar specifika klienter enligt givna regler.

Jag pratade mer om tjänster för en själv/ens närhet snarare än tjänster för kunder. Inget i din text visade på något vis varför mina argument för att köra en randomport är fördelaktigt, om än minimalt.

Publika tjänster och liknande är det så klart relativt värdelöst då det kommer vara 999999999999gånger fler eventuella angripare på t.ex. Battle.net loginserver, jämfört med din whatevertjänst, men också ha flera dedikerade personer som jobbar just och enbart med säkerheten jämfört med din egna tjänst. Tråden var väl ändå om att säkra upp sitt egna nätverk och tjänster som man kanske kör utåt, t.ex. någon privat dropbox eller spelserver som är igång osv.

Permalänk
Medlem

Jag kör cloudflare tunnel, inga portar öppnade i routern.
https://www.cloudflare.com/products/tunnel/

Visa signatur

#1: Z370N ITX | i7 8700k | GTX 1080 | 32GiB
#2: P8Z77-M pro | i7 3770k | GTX 1050ti | 16GiB

Server: Z370-G | i5 8600T | 64GiB | UnRAID 6.9.2 | 130TB
Smartphone: Samsung Z Flip 5 | Android 13 | Shure SE535

Permalänk
Medlem
Skrivet av JBerger:

En person hittar en bugg/exploit i apache denne vill utnyttja, så den drar igång portscan på port80 på samtliga IP adresser för att se vilka som har port80 öppen, för att därefter kolla om de kör apache och i så fall vilken version.
Du kör apache, på precis den utsatta versionen, meeeeeeeeeeeen du har varit smart och pekat om till port 53985 externt istället, så hackern hittar inte att du har den specifika versionen. Mao, du är lite säkrare.

Likväl, "omendå portscannar han alla portar på alla IP adresser", well då ser du i din brandvägg ett IP nummer som scannar flera hundra/tusentals portar hos dig, och har varit lite smart att du bannar det IP numret från att scanna. Hade du kört på port80 så hade det räckt att han scannat just specifikt den porten, och iomed du kör en tjänst på den porten så är det ju så klart inget du vill stoppa ingående trafik på.

Men du får gärna berätta hur det här inte höjer din chans att undvika att bli hackad och att det i de två scenariorna ovan hade varit lika stor chans att bli hackad om man kör på en randomport snarare än port80.

Fast alla ens portar scannas hela tiden kontinuerligt och läggs upp bland annat här. Tror inte shodan är några genier när det kommer till nytänk utan demonstrerar enkelheten i det.

https://www.shodan.io/

Och det är ju relativt enkelt att sprida ut scanning så att man inte portscannar samma ip över alla portar i snabb takt från samma ip.

Så skulle nog inte säga att det tillför så mycket att byta portar på olika tjänster. Kan dock köpa att det tar bort en marginell del som inte orkar slå upp i en databas över portscans. Men de kanske man inte behöver oroa sig så mycket för heller. Vad är sannolikheten att de ska investera i att köpa en zero day?

Permalänk
Medlem
Skrivet av JBerger:

Du sitter inte och manuellt blockar, vad klart. Du sätter upp regel för det. Likväl om det är en långsam scanning så är det ju markant bättre att ha en randomport och du ser ett IP som försöker på hundra-tusentals portar. Hade du kört defaultport hade angriparen hittat rätt direkt.

Frågan var inte om det var en direkt säker eller bra lösning, frågan var om det var bättre än att köra defaultport på tjänster, vilket det ju så självklart är och att påstå något annat är befängt. Sedan hur mycket bättre det är låter jag vara osagt, troligtvis relativt minimalt, men är ju inte som att det är jobbigt att sätta upp och ger ju trotsallt lite mer säkerhet.

Men ärligt talat, du sitter ju bara och spånar. Sätter upp en regel, i vad? Hundratusentals portar?

Det kan verka jättelätt att implementera något sådant här om man inte vet hur det fungerar, men gör man det så inser man ganska snart att mödan är inte värt besväret. Som redan sagts, vill någon så scannar de alla dina portar på en liten stund och din hemliga port är inte så hemlig längre. Men att göra något som snabbt spärrar den porten vid alla sorters scanningar och inte ställer till problem för dig själv är långt mycket jobbigare och sämre än att säkra upp tjänsten i fråga.

Visa signatur

Bra, snabbt, billigt; välj två.

Ljud
PC → ODAC/O2 → Sennheiser HD650/Ultrasone PRO 900/...
PC → S.M.S.L SA300 → Bowers & Wilkins 607

Permalänk
Medlem

En fråga om setupen.
Behöver släkt och vänner kunna nå denna från mobilnät eller endast hemifrån? Du kan ju sätta upp brandväggsregler som endast tillåter vissa IP adresser om de endast behöver kunna nå det hemifrån. Inte en perfekt lösning på något sätt. Men förmodligen good enough.

Vpn är ett bra förslag med. Fast omständigt ifall användarna inte är så tekniskt insatta.

Permalänk
Medlem
Skrivet av Phod:

Men ärligt talat, du sitter ju bara och spånar. Sätter upp en regel, i vad? Hundratusentals portar?

Det kan verka jättelätt att implementera något sådant här om man inte vet hur det fungerar, men gör man det så inser man ganska snart att mödan är inte värt besväret. Som redan sagts, vill någon så scannar de alla dina portar på en liten stund och din hemliga port är inte så hemlig längre. Men att göra något som snabbt spärrar den porten vid alla sorters scanningar och inte ställer till problem för dig själv är långt mycket jobbigare och sämre än att säkra upp tjänsten i fråga.

Jag märker att du verkar inte ha jättebra koll på hur det fungerar. Nej du sätter inte upp regel för hundratusentals portar (Max är för övrigt 65535).
Du sätter upp t.ex. om ett IP nr försöker accessa fler än 20 portar på under en kvart, banna det IPt. Done. Eller 50 portar, eller 100, eller en halvtimme, whatever floats your boat. Lika enkelt som du sätter upp om ett IP nummer försöker accessa en specifik port men har fel credentials 3-4-5 gånger i följd så banna det IPt.

Känner att med tanke på din bristande kunskap och inställning att jag inte har något att hämta från att fortsätta den här diskussionen, tack för mig.

Permalänk
Skrivet av JBerger:

Jag pratade mer om tjänster för en själv/ens närhet snarare än tjänster för kunder. Inget i din text visade på något vis varför mina argument för att köra en randomport är fördelaktigt, om än minimalt.

Publika tjänster och liknande är det så klart relativt värdelöst då det kommer vara 999999999999gånger fler eventuella angripare på t.ex. Battle.net loginserver, jämfört med din whatevertjänst, men också ha flera dedikerade personer som jobbar just och enbart med säkerheten jämfört med din egna tjänst. Tråden var väl ändå om att säkra upp sitt egna nätverk och tjänster som man kanske kör utåt, t.ex. någon privat dropbox eller spelserver som är igång osv.

Men även i denna kontext kvarstår faktum att du gör det jobbigare för legitima användare samtidigt som du bara skyddar dig mot de sämsta av script kiddies och de mest naiva brute force-botarna om du inte också har bra säkerhetsrutiner, och därför är rådet att gömma sig ett dåligt råd att ge nybörjare som riskerar att tro att detta gör relevant skillnad.

Gör rätt först: Stoppa all trafik som inte ser ut som den du vill tillåta och begränsa attackytan. Håll servern uppdaterad. Ha tillräckliga backuper för dina behov. Konfigurera tjänsterna du kör för härdighet. Isolera servrar efter behov och skydda ditt övriga nätverk. Ha tvingande lösenordspolicies som premierar längre lösenfraser. Kräv multifaktor-autentisering överallt där så är möjligt - välj aktivt bort tjänster som inte stöder detta idag om vi pratar webbtjänster då de i så fall troligen suger i övrigt också vad gäller säkerhet. Samla och analysera dina loggar och larma för anomalier. Sätt om möjligt och tillämpligt upp aktiva brandväggs- och/eller proxyserverregler som automatiskt blockerar källan för uppenbara brute force-försök. Med det i ryggen är användning av icke-standardport inte något som kommer att öka din säkerhet på ett relevant sätt.

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Men även i denna kontext kvarstår faktum att du gör det jobbigare för legitima användare samtidigt som du bara skyddar dig mot de sämsta av script kiddies och de mest naiva brute force-botarna om du inte också har bra säkerhetsrutiner, och därför är rådet att gömma sig ett dåligt råd att ge nybörjare som riskerar att tro att detta gör relevant skillnad.

Gör rätt först: Stoppa all trafik som inte ser ut som den du vill tillåta och begränsa attackytan. Håll servern uppdaterad. Ha tillräckliga backuper för dina behov. Konfigurera tjänsterna du kör för härdighet. Isolera servrar efter behov och skydda ditt övriga nätverk. Ha tvingande lösenordspolicies som premierar längre lösenfraser. Kräv multifaktor-autentisering överallt där så är möjligt - välj aktivt bort tjänster som inte stöder detta idag om vi pratar webbtjänster då de i så fall troligen suger i övrigt också vad gäller säkerhet. Samla och analysera dina loggar och larma för anomalier. Sätt om möjligt och tillämpligt upp aktiva brandväggs- och/eller proxyserverregler som automatiskt blockerar källan för uppenbara brute force-försök. Med det i ryggen är användning av icke-standardport inte något som kommer att öka din säkerhet på ett relevant sätt.

Ånyo, frågan var om det förbättrar säkerheten, och det gör det ju, utan att direkt vara nämnvärt mer komplicerat. Även om det så bara enligt dig skyddar mot de sämsta av script kiddies och de mest naiva brute force-botarna. End of discussion.

Permalänk
Medlem
Skrivet av JBerger:

Jag märker att du verkar inte ha jättebra koll på hur det fungerar. Nej du sätter inte upp regel för hundratusentals portar (Max är för övrigt 65535).
Du sätter upp t.ex. om ett IP nr försöker accessa fler än 20 portar på under en kvart, banna det IPt. Done. Eller 50 portar, eller 100, eller en halvtimme, whatever floats your boat. Lika enkelt som du sätter upp om ett IP nummer försöker accessa en specifik port men har fel credentials 3-4-5 gånger i följd så banna det IPt.

Du påstod ju alldeles nyss att det var hundratusentals portar. Det faktum att du inte vet var du "sätter upp" och att du sitter och gissar på en lämplig strategi tyder ju på att du egentligen inte vet hur man implementerar det här. Ditt första förslag för en blockningsstrategi är ju inte helt osannolikt att det leder till att du låser ute dig själv, t.ex., detsamma gäller att banna ett IP efter tre inloggningsförsök.

Men framför allt är security-by-obscurity, som redan påpekats i tråden, en erkänt dålig strategi.

Skrivet av JBerger:

Känner att med tanke på din bristande kunskap och inställning att jag inte har något att hämta från att fortsätta den här diskussionen, tack för mig.

Salta toner när argumenten tar slut?

Visa signatur

Bra, snabbt, billigt; välj två.

Ljud
PC → ODAC/O2 → Sennheiser HD650/Ultrasone PRO 900/...
PC → S.M.S.L SA300 → Bowers & Wilkins 607

Permalänk
Skrivet av JBerger:

Ånyo, frågan var om det förbättrar säkerheten, och det gör det ju, utan att direkt vara nämnvärt mer komplicerat. Även om det så bara enligt dig skyddar mot de sämsta av script kiddies och de mest naiva brute force-botarna. End of discussion.

Ånyo: Nej, detta i sig förbättrar inte säkerheten. Att enbart byta port gör inte tjänsten säkrare utan andra åtgärder: Du är precis lika öppen för angrepp som om du hade lyssnat på standardporten, men det tar aningen längre tid för en angripare att hitta dig - tid som är irrelevant eftersom du utan andra åtgärder inte vet att du slösar bort den.

Och ånyo: Om du vidtar relevanta åtgärder i övrigt är ett portbyte onödigt eftersom det inte i sig gör tjänsten säkrare mot angripare som hittar dig (vilket ändå kommer att vara de som har en chans att ta sig in - de andra är bara brus i loggarna).

Så ånyo: Detta är helt enkelt inte ett bra råd att ge någon som ber om hjälp med att säkra sin webbtjänst, om du inte följer upp rådet med att förklara vad det innebär och framförallt vad det inte innebär.

Permalänk
Medlem
Skrivet av Manarky:

En fråga om setupen.
Behöver släkt och vänner kunna nå denna från mobilnät eller endast hemifrån? Du kan ju sätta upp brandväggsregler som endast tillåter vissa IP adresser om de endast behöver kunna nå det hemifrån. Inte en perfekt lösning på något sätt. Men förmodligen good enough.

Jag tycker att detta är det mest rätta förslaget i tråden. Övriga tips är bra eller OK, men det är här man börjar. För de portar som är öppna brandväggar man helt sonika bort så mycket av internet som är praktiskt möjligt. I praktiken har många ”fast IP” trots att det är tilldelat med DHCP - så länge man har routern igång utan längre avbrott får man i praktiken samma IP i åratal i sträck. I det läget kan man begränsa till att öppna för enstaka IP och hantera byten de få gånger de händer.

Mobilnät och CG-NAT ställer till det, men då kan man köra med större IP-nät tillåtna (så små som praktiskt är möjligt). Jag kör OpenWrt som har ett paket som heter ipset[*] som tar hand om att hålla reda på vilka IP som tillhör vilket land. Det funkar så klart inte perfekt, men att brandvägga bort ”the usual suspects” (i praktiken allt utom sverige) kommer göra en hel del mot oönskade anslutningsförsök. Jo, jag fattar att det också är ”security by obscurity”, eftersom man som elaking kan VPN:a eller på annat sätt se till att trafiken kommer från Sverige, men i praktiken kommer det göra skillnad.

[*] ipset fungerar tyvärr inte ännu i senaste stabila versionen på grund av att OpenWrt håller på med övergång mellan brandväggsramverk i Linux-kärnan.