WireGuard VPN zur SSH Absicherung?

  • Habe jetzt mehrfach gelesen, dass einige von euch hier den SSH-Zugang hinter WireGuard VPN setzen und somit den Zugriff erlauben.

    Ich überlege derzeit, ob ich meine Server ebenfalls so absichern sollte.

    Nutzt ihr für WireGuard einen eigenen Server oder lasst ihr das auf dem jeweiligen Server laufen? Hat vielleicht auch jemand ein gutes Tutorial, um das Ganze einzurichten?

  • Ich würde jetzt mal behaupten, dass es der begehrteste Server von Netcup ist :D


    RS mit 1 Core, 2GB RAM für 2,17€/Monat.

    Ich denke den Unterschied von RS zu VPS muss ich nicht erklären

  • Viele nutzen den als Jump Host, um von da über VLANs auf die eigentliche Infrastruktur zuzugreifen. Ein kleiner Host mit viel Bandbreite.


    Ich nutze übrigens SSH direkt, aber auf mystischen Ports und gut abgesichert (keine Passwort-Authentifizierung, kein Root Zugriff, Fail2Ban, etc,).

  • Und wo gibt es den?

    Das längste Thema - netcup Kundenforum
    Zu meinem 100. Jubiläum in diesem Forum dieser Spaßthread :p Finde ich immer wieder lustig wie schnell man auf 0 kommt. Lustiger ist es aber neben der Zahl…
    forum.netcup.de


    Aber für den von dir vorgesehenen Zweck reicht der kleinste Server, den du finden kannst, und gegen Wireguard auf dem Host selbst spricht auch nichts, wenn das System das unterstützt. Für Tutorials müsstest du uns verraten, welches System du einsetzen möchtest. Für Debian gibt es drei Varianten im Debian Wiki.

  • Und wo gibt es den? Habe ich auf der Seite gar nicht gesehen.

    Den RS Cyber Quack gab es mal als Dankeschön für Engagement in der Community. Übrigens eine sehr schöne Wertschätzung seitens netcup, finde ich!


    Ähnliche Server gab es bereits auf Community-Events zu erwerben.

    [RS] 2000 G11 | 2000 G9 | 500 G8 | 2x Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Like 1 Happy Duck 1
  • Na super jetzt weis ich wieder nicht was ich tun soll und ob es sich lohnt WireGuard für den SSH Zugang zu nutzen.

    Derzeit nutze ich für SSH nur einen passkey und der root ist abgeschalten sowie nutze ich einen anderen Port.. Zusätzlich habe ich noch knockd als Dienst eingerichtet.

  • Derzeit nutze ich für SSH nur einen passkey und der root ist abgeschalten sowie nutze ich einen anderen Port.. Zusätzlich habe ich noch knockd als Dienst eingerichtet.

    Das passt schon. Mach dich nicht verrückt. Insbesondere das Port Knocking schützt dich vor Pre-Authentication Angriffen, und wenn du Passwort-Login abgeschaltet hast, brauchen dich die Brute-Force Angriffe darauf nicht mal ohne Port-Knocking zu interessieren.

  • logingracetime Ding

    CVE-2024-6387 ist eine Preauth Verwundbarkeit. Dagegen hilft das Port Knocking. Das hilft auch gegen die Brute-Force und Dictionary Angriffe, aber gegen die ist man mit Abschalten von Passwort-Login alleine schon ausreichend abgesichert. Port Knocking hält außerdem die Logs still, so dass ich da keinen Grund für noch eine Schicht mit Wireguard sehe. Ich würde Wireguard statt Port Knocking verwenden, denn immerhin kann man die Anklopfsequenz an geeigneter Stelle im Netz mitlesen, aber da Port Knocking hier nur als zusätzliche Schicht und nicht als alleinige Zugangskontrolle verwendet wird, geht das auch in Ordnung.

  • Wenn man den SSH Port entsprechend ändert, haben die Logs auch nichts zu tun. PW-Login ist bei mir ebenso verboten, root sowieso.

    Das Grundrauschen ist "normal", allerdings taucht es bei mir trotzdem auf keinem meiner Server auf. Setze als SSH-Port einen 5-stelligen, welcher nicht auf der folgenden Liste auftaucht, und dein fail2ban hat nichts zu tun: https://nullsec.us/top-1-000-tcp-and-udp-ports-nmap-default/

    [RS] 2000 G11 | 2000 G9 | 500 G8 | 2x Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Wenn man den SSH Port entsprechend ändert, haben die Logs auch nichts zu tun.

    Ernst gemeinte Frage: bringt das denn auch dauerhaft etwas? Ich meine, in Zeiten von Censys und Shodan ist das eigentlich nur eine Frage der Zeit, bis du wieder in entsprechenden Listen auftauchst? Zumindest die Bots bedienen sich solcher Tools und haben nach meiner Beobachtung wahrscheinlich auch interne target lists. Ich habe hier durch das Forum vor kurzem ein Script zum Geoblocking gefunden, das ist bisher das Einzige, was hier sehr zuverlässig hilft. Whitelist auf DE für SSH und die Zugriffe sind von täglich 400–800 auf maximal 3 zurückgegangen. Bisher hatte ich auch Crowdsec und diverse IP-Listen ausprobiert, die ich über ipset eingebunden hatte.

  • Ernst gemeinte Frage: bringt das denn auch dauerhaft etwas?

    Ernst gemeinte Antwort: Ja. Oder wie genau definierst du „dauerhaft“?

    Das ganze funktioniert so gut, dass ich hier im Forum sogar mal nachgefragt hatte, wo der Fehler in meiner Konfiguration liegt, da mein Monitoring gar nichts angezeigt hat. Bis ich den Port eines Servers testweise auf 22 zurückgelegt habe...


    Die vier Server im Spoiler laufen so seit über 1,5 Jahren ohne einen einzigen fail2ban-Ausschlag, alle anderen Server übrigens auch ;)

    [RS] 2000 G11 | 2000 G9 | 500 G8 | 2x Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Like 1