Posts by alhazred

    Wenn du doch eh schon einen VPN Server aufsetzen willst, dann nutze doch auch auf allen Clients die auf owncloud zugreifen wollen VPN. Platformübergreifend gibt es für alles OpenVPN und auch einen Softether VPN Server kann man (AFAIK mit allen Betriebsystemen) gut nutzen.

    Dann halt einfach VPN Verbindung aufbauen und gut ist.

    Es gibt inzwischen genug Möglichkeiten die Tabellen online anzuzeigen ohne auf google angewiesen zu sein. Google (AFAIK) sichtet jede Mail (ich glaube nicht, das dies sich geändert hat). Ich nutze z.B. seafile bzw. pydio auf meinen eigenen RS. Nextcloud ist auch noch eine Möglichkeit. Vielleicht ist ein Managed Server für dich eine Alternative.

    Dachte mir wenn das ganze dann als Docker Image läuft, ist es nochmal gekapselt und falls jemand auf die DB kommt, kann er nur dort was anrichten.


    Die DB muss im Endeffekt schon für alle IPs erreichbar sein- greife dort u.a. von daheim aus drauf zu und da ich keine feste IP habe, wäre das schwer einzugrenzen.


    Firewall war aktiv auf dem Windows Server- vieles aber auf den default-Settings gelassen und autom. Win-Updates deaktiviert, also einige Monate alt.

    Tjo, dann hast du schon die Ursache. Einige Monate alt.....

    Du hast dich mit Docker Sicherheit beschäftigt?

    Nutzt du SSL/TLS bei der DB?
    Was spricht gegen einen reinen VPN Zugriff auf die DB?

    Tjo, es kann auch sein, das man direkt über die bekannten RDP Bugs eingestiegen ist. Die Frage ist auch, hast du das System abgesichert gehabt? Firewall? ungenutzte Dienste abgeschaltet? Alle Updates usw.

    Warum willst du die Mysql DB als Docker laufen lassen? warum nicht nativ?

    Du kannst das System einmal ohne Netzwerk starten und dann die Firewall dicht machen und dann mal schauen.

    Sonst steht immer noch die Frage im Raum, muss die Datenbank komplett für alle erreichbar sein?

    Falls diese nicht entfernt wurden, schaue in den Eventlogs nach Logins nach. Weiterhin sollte man auch den RDP Versuch sehen können.

    https://www.ultimatewindowssec…securitylog/encyclopedia/

    Category: Logon/Logoff

    Ab ID 4624
    System ohne Netzwerk hochfahren und dann 3389 ausgehend sperren. Danach mittels Sysinternals usw. nach Prozessen suchen

    Angriffe auf RDP sind normal. Das ist immer ein Einfalltor. Deswegen nach Möglichkeit garnicht freigeben/VPN nutzen. Wichtig wäre in diesem Fall auch MFA und NLA.

    Was das System auf den aktuellen Stand? Wie ist RDP konfiguriert?

    Muss die DB frei im Netz sein oder kann man das auch über ein VPN nutzen. Brauchst du MySQL unter Windows oder ist vielleicht ein Linux Server (evtl auch eine Managed Lösung) eine Alternative?

    QNAP ist auch nicht schlecht. Habe hier ein QNAP als Storage stehen. Hot-Swap ist eine nützliche Funktion und die Möglichkeit das NAS um Apps zu erweiteren. EInbindung ins VPN, Iscsi etc

    Synology unterstützt auch OpenVPN iscsi usw. Ich glaube die unterscheiden sich nicht viel. Vorteil von QNAP war (als ich vor ein paar Jahren mich nach einem NAS umgeschaut habe) war etwas mehr Leistung und der Haube. ich nutze zuhause ein Synology DS415Play mit 4x 4TB. Primär für Backups (Time Machine und Synology Backup von Windows aus). Dazu richte ich das VPN ein um auf die Daten auch von extern (das Synology wird als Client eingebunden).

    Du kannst einstellen wo die IIS Logs gespeichert werden sollen. wie hast du die Pools eingestellt? Beim IIS kann man einiges machen. Wir haben einige IIS Server im Büro im Einsatz und haben da ein paar Einstellungen angepasst (bzgl. Speiche, worker Processes usw.). Leider bin ich im Urlaub.

    Ich nutze für meine RS netdata und speichere alles in einer InfluxDB. Netdata speichert halt nur im RAM für eine Stunde. dafür sind die ausgelesen Daten sehr umfangreich. Mittels Grafana habe ich dann eine Langezeitübersicht. Netdata kann auch andere Backends nutzen.

    Enden Vollmachten nicht üblicherweise mit dem Tod des Vollmachtgebers?

    Testieren?

    Nicht alle. Man muss die halt für den Todesfall ausstellen.


    Du solltest neben der Doku auch vielleicht ein Passwort Tresor mit den Zugängen usw. anlegen und an einem sicheren Ort aufbewahren. Vielleicht bietet sich hier ein Bankschließfach mit den Unterlagen an. Die Datei kannst du ggf. selber zuhause (da man diese ja auch ändert) auf einen Usb Stick mit sichern.

    Also alle Server (sind da Netze dahinter) sind mit 1 und 2 verbunden? Wenn da Netze hinter sind, dann brauchst du halt ein Routing Lösung wie von H6G.

    Wenn nur die Server verbunden sind, dann muss du in der Config Datei auf den VPN Servern die Route zu den jeweiligen anderen VPN Server mitgeben (oder halt bei die auf dem Client setzen). Dann muss aber auch der VPN Server eine Route zu dem anderen über einen Server oder anderen Hop haben Irgendwie muss man ja von Server 1 zu 2 kommen.

    Du kannst aber auch zwischen beiden Servern eine neue Verbidung aufbauen (anderer Port etc.)

    Du hast 2 getrennte VPN Server und verbindest deine Server immer mit beiden?

    Bei einer Site2Site Config hast du halt einen Server und verbindest dann die eine Site (oder halt mehrere) mittels einen als Client konfigurierten ovpn Client. Wenn du den ersten Server nicht von überall her erreichen kannst, dann machst du den 2ten zum Server und der 1. verbindet sich zum 2. Dann kannst du in der Server Config die Route pushen (nicht die 10er, sondern die reguläre Netz IP) und in den Netzwerken muss du dann (also z.B. auf dem ersten Server) dann die Route zu den anderen Netzen (und ins 10er) über den OVPN Client setzen (das machst du per DHCP Option oder halt auf dem Router direkt).