Vaultwarden+ (Nginx Alternative) wegen Standartports

[Marotti]

Hallo Zusammen,

ich hatte vor kurzer Zeit auf meinem Raspi Vaultwarden installiert.
nach 5min hatte sich mein USG erstmal gemeldet, dass versucht wurde auf die forwarding Ports 80, 443 zuzugreifen.
Innerhalb von 24h waren das so viele Zugriffsversuche aus allen möglichen Ländern, dass ich die Ports erstmal wieder geschlossen hatte.
Nun braucht aber Nginx Reverse Proxy meines Wissens die Ports 80 und 443. Daher wollte ich mal nach ner guten Alternative fragen, die auch andere Ports mitmacht. Wenns geht sollte die Konfig genau so einfach sein, wie bei Nginx.
Über Traefik finde ich dazu leider nichts. Vorallem muss ich das mit meiner DuckDNS Domain zum laufen bekommen.

Grüße Marotti

 

[Rego]

Hallo,

im Grunde ist es egal welche Ports du öffnest. IP-Adressen werden ständig nach jegliche offenen Ports gescannt.

Gruß
Rego

 

[kamanu]

Andere Ports sind nicht des Rätsels Lösung. Das ist für den Angreifer zwar ein Hindernis, aber sicherlich kein Grund es auf den anderen Ports nicht auch zu versuchen. Wenn du eh nen Pi laufen hast, denk eher darüber nach ein Wireguard VPN laufen zu lassen. Mit dem VPN greifst du dann von außen gesichert auf dein internes Netzwerk und damit deine Vaultwarden Instanz zu.

 

[OMGWTFBBQ]

Hinter dem Port muss auch erstmal ein Dienst laufen der angreifbar ist. Im Falle von nginx muss der schon wirklich dubios eingerichtet werden.

 

[h00bi]

Nun braucht aber Nginx Reverse Proxy meines Wissens die Ports 80 und 443.

Nginx Reverse Proxy braucht genaugenommen gar keine Portforwardings.
Port 80 braucht der integrierte Certbot um das Letsencrypt Zertifikat zu erstellen.
Das kannst du umgehen, in dem du das Zertifikat per DNS Challenge machst. Das ist aber im jc21/nginx-proxy-manager Image für den RasPi aktuell broken, es geht aber im amd64 Image einwandfrei.
Port 443 braucht der Vaultwarden für externen Zugang. Willst du nicht von extern zugreifen, einfach dicht lassen.

Aber wie bereits gesagt wurde: es gibt Millonen Webserver mit offenen Ports. Solange du die Software aktuell hältst und gescheite Passwörter + 2FA benutzt, sind offene Ports kein Problem.

 

[Belgeron]

Wie andere schon erwähnt haben, es ist egal welche Ports du nutzt, ich hab auch Nextcloud und Vaultwarden seit Jahren nach extern offen auf 443, einfach weil die Familie verteilt ist das aber alle seit Jahren als Private Cloud nutzen, das ganze dann mit Fail2Ban noch gekoppelt ist das schon eine relativ sichere Sache solang man kein 123456 Passwort nutz.

Ich hab aber an der UDR auch noch Intrusion prevention aktiviert.
Ich halte alles aktuell und hab http auf https strict drin sowie nur TLS 1.3 inkl 2FA für Nextcloud und Vaultwarden. Wenn das dann einer knackt - Hut hab oder es was social Engineering und dem muss echt langwelig gewesen sein für unsere Familienfotos :-)

 

[madmax2010]

Hinter dem Port muss auch erstmal ein Dienst laufen der angreifbar ist. Im Falle von nginx muss der schon wirklich dubios eingerichtet werden.

Findest du?
Ich meine, einen Dienst aufsetzen, nginx als reverse proxy einsetzen und den Dienst oeffentlich erreichbar machen ist doch eigentlich Standard. Ob ein Dienst dahinter nun angreifbar ist oder nicht kommt doch eher darauf an, wie dieser eingerichtet wurde und ob gerade Sicherheitsluecken dazu aktiv ausgenutzt werden

Wuerde aber in jedem Fall sagen: DIenste die oeffentlich sein sollen, kann man schon so betreiben. 2x die WOche alles durchpatchen und gut ist
Sollen sie nicht oeffentlich sein, alles ins VPN legen. Das USG kann ipsec, oder wireguard auf den Raspi

 

[Paddy0293]

@Marotti warum nicht über VPN ohne irgendwelche Ports zu öffnen ?
Hab da mal ne Anleitung zu geschrieben, eventuell hilft sie dir ->Anleitung

 

[spcqike]

Findest du?
Ich meine, einen Dienst aufsetzen, nginx als reverse proxy einsetzen und den Dienst oeffentlich erreichbar machen ist doch eigentlich Standard. Ob ein Dienst dahinter nun angreifbar ist oder nicht kommt doch eher darauf an, wie dieser eingerichtet wurde und ob gerade Sicherheitsluecken dazu aktiv ausgenutzt werden

Im Falle von NGinx antwortet ja aber beim Portscan nicht der Dienst, sondern die IP. also der nginx selbst.

Zum Dienst wird ja erst weitergeleitet, wenn die Anfrage an Domain XYZ gestellt wurde.

Nginx selbst ist eigentlich sicher. sofern da nicht ein Zero-Day Exploit bekannt wird, sollte nichts passieren. und wenn der bekannt, haben wir im Internet und im modernen Alltag ganz andere Probleme, da das wohl ziemlich viele Systeme betreffen würde.

 

[Marotti]

Wow, ihr seit aber fix im Antworten.

dann werde ich mich erstmal an die Fail2ban Absicherung machen. Wenn das läuft, versuche ich es mal lokal über VPN. Danke schonmal für die Anleitung.

Aber vollkommen richtig, ein gutes starkes PW und nen 2FA (bei mir der Nitrokey) stellen schon eine große Hürde bzw. gute Absicherung dar. Dann wird dem Raspi noch ein eigenes Vlan spendiert.

Hoffe, ich darf euch dann ggf. um Rat fragen, wenns Probleme gibt.

Grüße aus dem Süden Deutschlands

 

[Paddy0293]

Hoffe, ich darf euch dann ggf. um Rat fragen, wenns Probleme gibt.

Immer frag, dafür sind wir da