frosch2
Goto Top

Nextcloud sicheren zugriff erstellen

Hallo

wiedermal eine Frage, auf die mir jede Antwort weiterhilft.


Istzustand:
Glasfaseranschluss mit dürftigen 300/50 Mbit down-/Upload.
der geht zum Router
von dem Router zur Firewall

dann ist da eine nextcloud auf einem raspberry pi. unter https://192.168.xxx.xxx ist die nextcloud erreichbar.
Unsere Aussenmitarbeiter erlangen durch einen VPN-Zugang zugriff auf das Netz und somit auf die Nextcloud. Ausschliesslich mit den Geschäftlich zur Verfügung gestellten Geräten.
Alle im internen WindowsNetz sind per NextcloudClient verbunden.

Jetzt könnte ich die Nextcloud durch eine portweiterleitung in der Firewall mit der festen IP am Glasfaseranschluss erreichbar machen.

Damit könnten doch Hacker ohne grossen Aufwand in unser Netz. oder?
Stelle ich sie in die DMZ der Firewall ist die jetzige Anbindung und Konfiguration hinfällig. oder?
Die Anbindung der Clients stellen dann ein Sicherheitsrisiko da? oder

Klar, einen 100%igen Schutz gibt es nicht. Auch die VPN-Lösung ist nicht das 'Non plus Ultra'.

Die Frage zielt darauf ab, wie ist sie fuer uns am sichersten anzubinden , so dass auch Kunden als Gast eingeladen werden können, um sich freigegebene Dateien (gehostet im Windows Netzwerk) anzusehen.

Ich wäre für jeden Tipp oder jede Gedankenanregung dankbar.

Viele Dank im Voraus

Thomas

Content-Key: 884943136

Url: https://administrator.de/contentid/884943136

Printed on: February 8, 2023 at 21:02 o'clock

Member: it-fraggle
Solution it-fraggle Jul 02, 2021 updated at 15:25:09 (UTC)
Goto Top
Zitat von @frosch2:
Hallo
Istzustand:
Glasfaseranschluss mit dürftigen 300/50 Mbit down-/Upload.
der geht zum Router
von dem Router zur Firewall
Also eine Router-/Firewallkaskade?
dann ist da eine nextcloud auf einem raspberry pi. unter https://192.168.xxx.xxx ist die nextcloud erreichbar.
Unsere Aussenmitarbeiter erlangen durch einen VPN-Zugang zugriff auf das Netz und somit auf die Nextcloud. Ausschliesslich mit den Geschäftlich zur Verfügung gestellten Geräten.
Ok, klingt zunächst nicht dramatisch.
Alle im internen WindowsNetz sind per NextcloudClient verbunden.
Alle Clients sind mittels Nextcloud-Client mit der Nextcloud verbunden. Ich nehme an, dass es so ist.
Jetzt könnte ich die Nextcloud durch eine portweiterleitung in der Firewall mit der festen IP am Glasfaseranschluss erreichbar machen.
Warum solltest du? Ich finde die Lösung mit dem VPN ehrlich gesagt ziemlich gut.
Damit könnten doch Hacker ohne grossen Aufwand in unser Netz. oder?
Ne, wieso sollte? Es sei denn, dass du nie Updates machst. Weder den Pi noch die NC. Wenn du natürlich ziemlich schlampig bist und nichts härtest bzw. alles sehr weit öffnest, was zu öffnen geht inkl. mieser Passwörter und vorhersehbarer Benutzerkontennamen.... Dann darf man sich nicht wundern.
Stelle ich sie in die DMZ der Firewall ist die jetzige Anbindung und Konfiguration hinfällig. oder?
Verstehe nicht genau was du meinst.
Die Anbindung der Clients stellen dann ein Sicherheitsrisiko da? oder
Wieso denkst du das?
Klar, einen 100%igen Schutz gibt es nicht. Auch die VPN-Lösung ist nicht das 'Non plus Ultra'.
100 %ig gibt es nicht, aber das VPN gibt dem Ganzen schon ein ordentliches Plus.
Die Frage zielt darauf ab, wie ist sie fuer uns am sichersten anzubinden , so dass auch Kunden als Gast eingeladen werden können, um sich freigegebene Dateien (gehostet im Windows Netzwerk) anzusehen.

Die Nextcloud ist für den exponierten Einsatz konzipiert. Wenn du sie anständig härtest und auch den Webserver vernünftig härtest, dann sinkt die Wahrscheinlichkeit drastig.

Die meisten Kunden haben an ihren Anschlüssen feste IPs. Wie wäre es, wenn du die NC in einer DMZ betreibst, dass sie von allen Netzen getrennt ist und dann gibst du nur die Kunden-IPs frei? Die Kollegen verbinden sich trotzdem per VPN, weil sie vermutlich sich mobil verbinden müssen. Eine weitere Möglichkeit wäre bspw. ausländische Netze auszusperren, falls keine Zugriffe von dort zu erwarten sind.
Member: aqui
Solution aqui Jul 02, 2021 updated at 15:36:12 (UTC)
Goto Top
Damit könnten doch Hacker ohne grossen Aufwand in unser Netz. oder?
Ja und nein. "Aufwand" ist immer ein relativer Begriff. Fakt ist aber bei Port Weiterleitungen immer das man damit einen Port ungeschützt in sein lokales LAN öffnet. Ist immer ein Sicherheitsloch und normal ein NoGo.
Deine jetztige VPN Lösung ist wie Kollege @it-fraggle oben schon sagt ideal. Zumindesten für die Mitarbeiter.

Wenn du den direkten Zugang freigeben willst per Port Forwarding dann solltest du das, wie du schon richtig selber erkannt hast, natürlich niemals direkt im Produktivnetz machen sondern immer in eine DMZ wo du die Nextcloud dann plazierst mit entsprechendem Regelwerk durch die Firewall. Ggf. mit IP Geofencing wie oben angesprochen.
Den Zugang dann rein nur auf HTTPS begrenzt und fail2ban aktiv hätte man dann Gefahren weitestgehend minimiert und kann sie so problemlos auch Gästen ohne VPN zugänglich machen. Mitarbeitern natürlich auch.
Theoretisch könnte man dann, zumindestens nur was die Nextcloud angeht, aufs VPN verzichten.
Member: frosch2
Solution frosch2 Jul 03, 2021 at 07:33:06 (UTC)
Goto Top
Hallo


danke fuer eure Mithilfe.
eure Hinweise und Tipps sind für mich hervorragend . Auch bestätigen sie mich.
Was ich noch nicht ganz von mir nachvollziehbar ist - mir fehlt einiges an Wissen bezgl. Firewall und DMZ - was passiert mit der jetzigen VPN und deren Zugriff auf die Nextcloud.
Bekommt die Nextcloud eine neue IP in der DMZ 192.xxx.???.xxx also 192.168.xxx.xxx wird zu 192.168.yyy.yyy ?
Muss ich oder kann ich dann auf das VPN bezüglich Nextcloud verzichten?

Gruss Thomas
Member: aqui
Solution aqui Jul 03, 2021 updated at 08:13:29 (UTC)
Goto Top
was passiert mit der jetzigen VPN und deren Zugriff auf die Nextcloud.
WIE realisierst du denn den VPN Zugriff ?
Idealerweise macht man es IMMER über die Peripherie also Router oder Firewall selber wie z.B. hier mit dem OS bordeigenen VPN Clients:
https://administrator.de/wissen/pfsense-opnsense-client-vpn-l2tp-protoko ...
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Oder Router:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
Da musst du dann nur mit einem einzigen, simplen Mausklick die VPN Adressierung etwas anpassen in der Konfig das das Client VPN den Zugriff auf die DMZ zulässt und nicht mehr auf das lokale Produktiv LAN.

Aber das ist dann mit der o.a. Umstellung ja dann so oder so alles obsolet, denn die Mitarbeiter oder Gäste brauchen durch das direkte Port Forwarding auf die NC in die DMZ das VPN ja gar nicht mehr !! Alles geht dann direkt über HTTPS ohne VPN. Also auch vom Handling etwas einfacher.
Das VPN kann dann aber weiter für den Admin bzw. Management von remote o.ä. bestehen bleiben oder du deaktivierst es. Je nach Anforderung. Du bist der Netzwerk Admin nicht wir..! face-wink
Member: frosch2
frosch2 Jul 11, 2021 at 11:40:02 (UTC)
Goto Top
Hallo,

Danke für die Info, da über das VPN auch HomeOffice betrieben wird (RDP), ist es gut die NC autark in der DMZ zu betreiben und via Port Weiterleitung anzusprechen.
Danke für eure Hinweise und Tipps.

LG Thomas