Heimserver Webservices - Sicherheit

I

IntercoolerTurbo

0
Hallo zusammen,

ich habe einen FreeNas Server auf dem ich Owncloud installieren möchte. Ich frage mich wie es damit um die Sicherheit steht. Wie ich Owncloud selber absichere weiß ich grob, aber mir gehts halt darum ob es reicht. Ist z.B. eine DMZ "Pflicht"? Oder reicht es wenn ich im Router Ländersperren etc. einrichte. Oder sollte ich das ganze nur über einen VPN machen (würde ich eigentlich ungern, da auch Familien mitglieder ohne IT-Kenntisse das Dingen nutzten sollen).

Bin mit dem Thema Sicherheit nicht mehr ganz so fit. Was würdet ihr empfehlen?

lg

EDIT: Was noch zu sagen wäre, auf dem Freenas liegen auch alle meine Backup daten. Owncloud ist aber in einer eigenen Instanz (jail).
 
Zuletzt bearbeitet:
Geh doch einfach mal analytisch an die Sache heran: Wer (Benutzerkonten, Adminkonten, Dienstkonten?) greift von wo (IP-Restriktionen auf bestimmte Länder, Provider, IP-Adressen, Geräte-Restriktionen, ...) wie (Passwortrichtlinien, Multi-Faktor-Authentisierung, ...) auf was (Content-Restriktionen (z.B. Zugriff nur auf OC, nicht auf Backups), Protokolle (Nur http von außen, im Netzwerk auch WebDAV), Betriebssystemsicherheit (Patches, ...) ...) zu? Sind diese Verbindungen vertrauenswürdig (Verschlüsselung, VPN, ...)? Wenn nein, wie könnte ein möglicher Angreifer aussehen (NSA, Russen, Chinesen, Skript-Kiddies, Interne Angreifer im Netzwerk (z.B. Malware),...)? Wie könnte er vorgehen (Router angreifen, Serversoftware angreifen, OwnCloud angreifen, DDoS, APTs, ...)? Wenn es zu einem Sicherheitsvorfall kommt, wie entdeckst du ihn (SIEM, Logfiles, ...)? Was passiert, wenn ein Angreifer im Netzwerk ist, auf welche Daten kann er noch zugreifen (DMZ ;))?

Usw... ;)
 
Zuletzt bearbeitet:
Hey,

Zugriff: 3x eingeschränkte Benutzerkonten von außerhalb

Länder: Deutschland, England -> alle anderen Länder sperren

Passwortrichtlinie: 14 Zeichen+, vermutlich nur PasswortAuthentisierung

Content-Restriktionen: Zugriff nur auf OC möglich, restliche Daten bzw. Installierte Software laufen in einer anderen Instanz von FreeBSD. Angreifbar wäre hier ohne DMZ, das interne Netzwerk aus dem Jail heraus.

Protokolle: Https zu Owncloud, evtl. zu anderen Serverinstanz via ssh

OS: Ist spätestens 1 Woche nach veröffentlich des Patches installiert.

Vertrauenswürdigkeit der Verbindung: Aktuell nur aus privaten oder bekannten Netzwerken. Später über ein Wlan auf das ca. 200 weitere Studierende Zugriff haben

Möglicher Angreifer: 90% Skript-Kiddies (per automatisieren Port-Scan) -> Angriff von außerhalb

Vorgehensweise: Vermutlich Owncloud installtion angreifen (ZeroDay oder so)

Bemerken eines Sicherheitsvorfalls: Vermutlich nicht, da ich keine Ahnung habe, wie man sowas merkt!


weitere Geplante Absicherungsmaßnahmen:

FreeBSD-Instanz (wo OC installiert ist) bekommt noch eine Firewall

Port über den OC erreichbar seien wird <49152

Ländersperre

Nur eingeschränkte Benutzerkonten herausgeben (gilt auch für mich)


So inetwa habe ich mir das gedacht. Und ich frag mich jetzt halb ob das reicht oder ob Ihr von einer NICHT-VPN Nutzung abraten... etc.

Will eigentlich nur, dass mir ein paar sorgen durch fachliche Aussagen genommen werden, da ich mich das letzte mal mit IT-Sicherheit vor 5 Jahren beschäftigt habe. :)
 
Hier findest du von Owncloud eine Auflistung aller Schwachstellen, die so sicherheitskritisch sind, dass sie dafür ein Advisory rausgegeben haben:
Advisories | ownCloud.org

Auf der einen Seite ist ihre Transparenz in dem Punkt natürlich lobenswert, auf der anderen Seite muss man sich bei der Vielzahl an bekannt gewordenen Lücken natürlich ernsthafte Gedanken darüber machen wie man sowas sicher betreiben kann.

Kommt natürlich auch darauf an, welche Daten man über Owncloud verfügbar machen will. Bei sehr privaten Daten würde ich die Messlatte höher legen, als wenn ich nur ein paar unwichtige Dateien mit Freunden austauschen will.

So lange du aber die Zugriffsmöglichkeit von außen für jedermann nicht unterbindest, verkleinerst du nur den möglichen Täterkreis und damit die Wahrscheinlichkeit eines Angriffs. Aber auch bei einem sehr eingeschränkten Täterkreis entscheidet i.d.R. der Zufall ob es einen nun trifft oder nicht.

Von daher, im Zweifel lieber etwas zuviel als zu wenig, sofern einem die Daten oder die Betriebssicherheit wichtig genug sind. ;)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben