Zusätzliche IP - Wie Programmen zuweisen? Sicherheitsaspekte

  • Servus


    ich überlege ein, zwei zusätzliche Anwendungen auf meinen VPS bzw. RS zu packen, die über eine eigene IP angesprochen werden. Konkret sind es eine Datenbank (Postgres) und ein Team Speak Server. Dazu habe ich ein paar Fragen.


    1. Wie läuft die Konfiguration der Programme unter Linux. Kannst ich dem Postgres Server bzw. dem Team Speak Server direkt so konfigurieren, dass die zusätzliche virtuelle Netzwerkkarte verwendet wird?

    2. Können Dritte anhand der zusätzlichen IP releativ easy den IP Bereich des Rechenzentrums feststellen in dem mein Server sitzt und diesen abscannen? Die eigentliche IP ist für Dritte nicht sichtbar, da sonst nur der Website Kontakt mit der Öffentlichkeit hat und davor dann Cloudflare sitzt. Wäre über die zusätzliche IP auch alle Ports die auf der HauptIP offen sind auf der zweiten IP offen bzw. die Programmere darüber erreichbar (pingbar?).

    3. Sehe ich es richtig, dass es die Sicherheit des ganzen Servers deutlich erhöhen würde wenn ich die zusätzlichen IPs und Programme auf Docker Images packe? Falls da mal jemand eine Sicherheitslücke ausnutzt, wäre er nur im Docker des einen Anwendung und nicht im eigentlichen System. Korrekt?

    4. Alternative hatte ich überlege irgendwo einen kleinen VPS zu holen und dort einen Reverse Proxy zu konfiguieren.


    Was meinst Ihr macht am meisten Sinn?

  • 1. Wie läuft die Konfiguration der Programme unter Linux. Kannst ich dem Postgres Server bzw. dem Team Speak Server direkt so konfigurieren, dass die zusätzliche virtuelle Netzwerkkarte verwendet wird?

    Eine zusätzliche IP erzeugt (zumindest hier bei Netcup) keine virtuelle Netzwerkkarte, sondern wird auf deine inklusive IPv4 Adresse geroutet. Du kannst sie dann zusätzlich in deiner normalen Netzwerkkarte einrichten.

    Ich denke die Frage, wie du unter Linux Programme auf IP Adressen binden kannst, solltest du dir als Administrator eines Servers mit 1 GBit/s Anbindung ans Internet selbst beantworten können... im Zweifel: lies doch einfach mal die Dokumentationen der Anwendungen und teste es mal in einer geschützten Umgebung in einer VM. Ein Server am freien Internet ist und bleibt KEINE Testumgebung - du solltest genau wissen, was du dort tust, da du dafür haftest und dich mit vielen anderen in gemeinsam in einem IP Subnetz befindest.


    2. Können Dritte anhand der zusätzlichen IP releativ easy den IP Bereich des Rechenzentrums feststellen in dem mein Server sitzt und diesen abscannen? Die eigentliche IP ist für Dritte nicht sichtbar, da sonst nur der Website Kontakt mit der Öffentlichkeit hat und davor dann Cloudflare sitzt. Wäre über die zusätzliche IP auch alle Ports die auf der HauptIP offen sind auf der zweiten IP offen bzw. die Programmere darüber erreichbar (pingbar?).

    1. Cloudflare ist Snakeoil

    2. Was ist das denn für ein Schwachsinn? Natürlich ist die für andere sichtbar, die ist global. Der gesamte IPv4 Adressspace ist mit Tools wie massscan innerhalb kurzer Zeit komplett durchscannbar... Security by Obscurity funktioniert nicht, das ist sinnlos.

    3. Da du als Administrator eines Linux Servers am freien Internet ja sicher weißt, wie du die von dir betrieben Software an IP Adressen binden kannst und wie du die Firewall deines Betriebssystems korrekt einrichtest, sollte das für dich unproblematisch sein.


    3. Sehe ich es richtig, dass es die Sicherheit des ganzen Servers deutlich erhöhen würde wenn ich die zusätzlichen IPs und Programme auf Docker Images packe? Falls da mal jemand eine Sicherheitslücke ausnutzt, wäre er nur im Docker des einen Anwendung und nicht im eigentlichen System. Korrekt?

    Docker ist eine Container "Virtualisierung". Ich setze das in Anführungszeichen, weil alle Programme nach wie vor den selben Kernel nutzen. Eigentlich ist es nur eine Sandbox. Aber man sollte Docker nicht einsetzen, wenn man sich nicht ordentlich damit auskennt. Das ist nämlich in Puncto Firewall heftiger Pain in the Ass.


    I.d.R. kann man aber festhalten, dass ein Großteil der Docker Images, welche im Umlauf sind, unsicher sind (da falsch konfiguriert oder veraltet oder whatever). Ich rate dir, die Software direkt aus den Original Repos (entweder vom OS oder vom Entwickler) zu installieren und Sie dann händisch sicher zu konfigurieren. Hierbei ist dann natürlich immer die Dokumentation der Entwickler der Software hilfreich (Stichwort Primärquelle).


    4. Alternative hatte ich überlege irgendwo einen kleinen VPS zu holen und dort einen Reverse Proxy zu konfiguieren.

    Wegen weil? Was erhoffst du dir davon?

    RS Rentier 2019 | VPS 200 G8 | VPS Karneval 2020


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Hallo,


    Zu Punkt 1: zusätzliche IP Adressen musst du dem Betriebsystem hinzufügen. Wenn du nun möchtest, dass eine Anwendung nur auf einer bestimmten IP Adresse lauscht, dann musst du den entsprechenden Listener der Anwendung anpassen. Wie das geht, musst du bei der jeweiligen Anwendung in der Dokumentation nachschauen.


    Zu Punkt 2: eine zusätzliche IP bringt dir grundsätzlich nicht mehr Sicherheit. Welche Anwendung bzw. Ports über welche IP erreichbar ist, hängt auf die Firewall Konfiguration oder auf die Listener Konfiguration deines Dienstes drauf an.

    Quote

    I.d.R. kann man aber festhalten, dass ein Großteil der Docker Images, welche im Umlauf sind, unsicher sind (da falsch konfiguriert oder veraltet oder whatever).

    Deshalb sollte man niemals fremde Images aus Docker Hub verwenden. Ausnahme stellen die verifizierten Docker Images dar z.B. Gitlab. ;)

    Wenn der TO sein eigenes Docker Image erstellt sehe ich da kein Problem.

    Quote

    Wegen weil? Was erhoffst du dir davon?

    Vermutlich wird er diesen als Application Firewall nutzen. Verwende ich ebenfalls bei manchen Anwendungen. ;)


    MfG

  • Ich will auch noch etwas meinen Senf dazu geben!


    Wegen Teamspeak: Dort trägst du beispielsweise einfach die IP in die ts3server.ini Datei ein. Fertig.


    Wegen IP Sicherheit: Steck nicht so viel Energie in die Verschleierung deiner IPs, bringt dir am Ende nichts. Konfiguriere dir eine Firewall, mach sie schön restriktiv und erlaube wirklich nur explizit das, was du willst und brauchst. (Stichwort ufw/iptables)


    Wegen Docker: Wenn du darauf stehst, kannst du das gerne machen. Rein wegen Sicherheit aber eher nicht.


    Dein Server wird vermutlich alle paar Sekunden mit irgendwelchen Anfragen aus China/Russland/Brasilien oder aber auch Deutschland zugeballert. Die wissen schon längst, dass du existierst ^^ Deshalb fein eine Firewall einrichten, sichere Authentifizierungsmethoden verwenden und dann ist eigentlich alles gut.