Sicherheitsüberlegungen

XV1100 · 11. Mai 2025 um 16:18

Hallo,
ich verwende einen (Strato) VPS um über das Internet auf mein Heimnetz zuzugreifen (HTTP und Mail). Dazu verbindet sich die heimische OpnSense mit dem VPS. Das funktioniert soweit auch alles wie gewünscht.
Ich habe die Strato-Firewall aktiv und auch die entsprechenden Regeln im Wireguard Tunnel.
Nun bin ich am überlegen ob es noch nötig ist und Sinn macht, auf dem (Debian) VPS eine Firewall (ufw) zu instalieren. Es laufen ja schon 2? Wie ist hierzu die Meinung der Experten?
Danke. Manfred

The_eagle · 12. Mai 2025 um 07:12

Wo siehst du denn zwei Firewalls? Alles was du an Traffic durch den Wireguard Tunnel zwischen Strato und deiner heimischen OPNsense schickst, wird doch seitens der OPNsense nicht mehr geprüft, sondern gemäß der definierten regeln weitergeleitet in dein Heimnetz.

Wenn sich nun jemand Zugriff auf den VPS bei Strato verschafft, dann kommt dieser Angreifer auch weiter in dein Heimnetz. Da wird dich die OPNsense bei dir Zuhause dann nicht vor bewahren.

Also schützt dich derzeit davor nur eine Firewall, nämlich die Strato-Firewall. Ob dir das reicht und wie gut die Strato-Firewall ist, musst du bewerten, denn ich bin kein Kunde bei Strato.

Und auf eine meiner Meinung nach diesbezüglich sehr wichtige Frage bist du eh mit keiner Silbe eingegangen. SSH. Ich vermute mal sehr stark du administrierst den VPS per SSH. Wie gut ist das denn gesichert?

nur Nutzername / Passwort oder
Nutzername / Public-Key-Authentifizierung oder
Nutzername / Public-Key-Authentifizierung und 2FA (TOTP)

zudem: welcher Port wird verwendet? Standardport 22 oder ein abweichende?
Das wären für mich eigentlich die Fragen die ich mir zuerst stellen würde. Und ich würde es nicht unter Nutzername / Public-Key-Authentifizierung mit 2FA (TOTP) machen.

XV1100 · 12. Mai 2025 um 18:09

@The_eagle:
Nun ja. Ich zähle das so: Zuerst müssen die Pakete durch die Strato-Firewall und dann müssen sie auch noch die Tunnel-Regeln passieren. Aber vielleicht ist das wirklich nur als eine Art Weiterleitung zu sehen und nicht wirklich eine Firewall. Es gibt jedenfalls keine „default allow all“ Regel im Tunnel.

SSH-Zugriff gönne ich mir (es ginge aber auch ohne) per Name und Key über den Wireguard-Tunnel, also von innen nach aussen und auch nicht über den Standardport. Ich denke des bassd scho.

Vielleicht erziehe ich aber auch iptables noch etwas…
Habe beim Herrn Schröder noch folgende Zeilen gesehen, die ich nicht aktiv habe.

###################
# IPTables bereinigen
###################
PreUp    = iptables -t nat -F
PreUp    = iptables -F

###################
# Erstelle IPTables INPUT Regeln
###################
PreUp    = iptables -A INPUT -i enp1s0 -p tcp --dport sshport -j ACCEPT
PreUp    = iptables -A INPUT -i enp1s0 -p udp --dport 51xxx -j ACCEPT
PreUp    = iptables -A INPUT -p icmp -j ACCEPT
PreUp    = iptables -P INPUT DROP

So, aber jetzt muss ich erst mal schauen, ob sich das CDN-Gedös beruhigt hat und ich da etwas löschen kann…