Zusätzliche IP - Wie Programmen zuweisen? Sicherheitsaspekte

Zitat von HansPeter

1. Wie läuft die Konfiguration der Programme unter Linux. Kannst ich dem Postgres Server bzw. dem Team Speak Server direkt so konfigurieren, dass die zusätzliche virtuelle Netzwerkkarte verwendet wird?

Eine zusätzliche IP erzeugt (zumindest hier bei Netcup) keine virtuelle Netzwerkkarte, sondern wird auf deine inklusive IPv4 Adresse geroutet. Du kannst sie dann zusätzlich in deiner normalen Netzwerkkarte einrichten.

Ich denke die Frage, wie du unter Linux Programme auf IP Adressen binden kannst, solltest du dir als Administrator eines Servers mit 1 GBit/s Anbindung ans Internet selbst beantworten können... im Zweifel: lies doch einfach mal die Dokumentationen der Anwendungen und teste es mal in einer geschützten Umgebung in einer VM. Ein Server am freien Internet ist und bleibt KEINE Testumgebung - du solltest genau wissen, was du dort tust, da du dafür haftest und dich mit vielen anderen in gemeinsam in einem IP Subnetz befindest.

Zitat von HansPeter

2. Können Dritte anhand der zusätzlichen IP releativ easy den IP Bereich des Rechenzentrums feststellen in dem mein Server sitzt und diesen abscannen? Die eigentliche IP ist für Dritte nicht sichtbar, da sonst nur der Website Kontakt mit der Öffentlichkeit hat und davor dann Cloudflare sitzt. Wäre über die zusätzliche IP auch alle Ports die auf der HauptIP offen sind auf der zweiten IP offen bzw. die Programmere darüber erreichbar (pingbar?).

1. Cloudflare ist Snakeoil

2. Was ist das denn für ein Schwachsinn? Natürlich ist die für andere sichtbar, die ist global. Der gesamte IPv4 Adressspace ist mit Tools wie massscan innerhalb kurzer Zeit komplett durchscannbar... Security by Obscurity funktioniert nicht, das ist sinnlos.

3. Da du als Administrator eines Linux Servers am freien Internet ja sicher weißt, wie du die von dir betrieben Software an IP Adressen binden kannst und wie du die Firewall deines Betriebssystems korrekt einrichtest, sollte das für dich unproblematisch sein.

Zitat von HansPeter

3. Sehe ich es richtig, dass es die Sicherheit des ganzen Servers deutlich erhöhen würde wenn ich die zusätzlichen IPs und Programme auf Docker Images packe? Falls da mal jemand eine Sicherheitslücke ausnutzt, wäre er nur im Docker des einen Anwendung und nicht im eigentlichen System. Korrekt?

Docker ist eine Container "Virtualisierung". Ich setze das in Anführungszeichen, weil alle Programme nach wie vor den selben Kernel nutzen. Eigentlich ist es nur eine Sandbox. Aber man sollte Docker nicht einsetzen, wenn man sich nicht ordentlich damit auskennt. Das ist nämlich in Puncto Firewall heftiger Pain in the Ass.

I.d.R. kann man aber festhalten, dass ein Großteil der Docker Images, welche im Umlauf sind, unsicher sind (da falsch konfiguriert oder veraltet oder whatever). Ich rate dir, die Software direkt aus den Original Repos (entweder vom OS oder vom Entwickler) zu installieren und Sie dann händisch sicher zu konfigurieren. Hierbei ist dann natürlich immer die Dokumentation der Entwickler der Software hilfreich (Stichwort Primärquelle).

Zitat von HansPeter

4. Alternative hatte ich überlege irgendwo einen kleinen VPS zu holen und dort einen Reverse Proxy zu konfiguieren.

Wegen weil? Was erhoffst du dir davon?

Hallo,

Zu Punkt 1: zusätzliche IP Adressen musst du dem Betriebsystem hinzufügen. Wenn du nun möchtest, dass eine Anwendung nur auf einer bestimmten IP Adresse lauscht, dann musst du den entsprechenden Listener der Anwendung anpassen. Wie das geht, musst du bei der jeweiligen Anwendung in der Dokumentation nachschauen.

Zu Punkt 2: eine zusätzliche IP bringt dir grundsätzlich nicht mehr Sicherheit. Welche Anwendung bzw. Ports über welche IP erreichbar ist, hängt auf die Firewall Konfiguration oder auf die Listener Konfiguration deines Dienstes drauf an.

Zitat

I.d.R. kann man aber festhalten, dass ein Großteil der Docker Images, welche im Umlauf sind, unsicher sind (da falsch konfiguriert oder veraltet oder whatever).

Deshalb sollte man niemals fremde Images aus Docker Hub verwenden. Ausnahme stellen die verifizierten Docker Images dar z.B. Gitlab.

Wenn der TO sein eigenes Docker Image erstellt sehe ich da kein Problem.

Zitat

Wegen weil? Was erhoffst du dir davon?

Vermutlich wird er diesen als Application Firewall nutzen. Verwende ich ebenfalls bei manchen Anwendungen.

MfG

Zitat von Exception

Deshalb sollte man niemals fremde Images aus Docker Hub verwenden. Ausnahme stellen die verifizierten Docker Images dar

https://www.heise.de/news/Stud…heitsluecken-4785175.html

Bei docker gibt es, was Sicherheit angeht für mich mittlerweile eigentlich nur noch ein Kriterium:

Vertraue ich den Maintainern?

Ich will auch noch etwas meinen Senf dazu geben!

Wegen Teamspeak: Dort trägst du beispielsweise einfach die IP in die ts3server.ini Datei ein. Fertig.

Wegen IP Sicherheit: Steck nicht so viel Energie in die Verschleierung deiner IPs, bringt dir am Ende nichts. Konfiguriere dir eine Firewall, mach sie schön restriktiv und erlaube wirklich nur explizit das, was du willst und brauchst. (Stichwort ufw/iptables)

Wegen Docker: Wenn du darauf stehst, kannst du das gerne machen. Rein wegen Sicherheit aber eher nicht.

Dein Server wird vermutlich alle paar Sekunden mit irgendwelchen Anfragen aus China/Russland/Brasilien oder aber auch Deutschland zugeballert. Die wissen schon längst, dass du existierst Deshalb fein eine Firewall einrichten, sichere Authentifizierungsmethoden verwenden und dann ist eigentlich alles gut.

Zusätzlich zu Valkyrie

Wenn du deine Firewall einrichtest, überlege vllt ob du nicht den SSH Standard Port von der 22 weglegst.

Das hat meinem Fail2Ban 99% der Arbeit erspart. Dann hast du wenigstens Ruge vor den 0815 Botnetzen