MarkusReisser
Registered User
Hallo,
ich habe mir einen VServer gemietet und möchte dieses als VPN Server nutzen. Als OS nutze ich Debian 4.0 32 Bit. VPN funktioniert bereits einwandfrei. Ich habe nur den Server immer offline, bis ich diesen erdendlich abgesichert habe.
Ich habe mir folgendes gedacht:
- OpenVPN und OpenSSL habe ich installiert und wird immer aktualisiert
- SSH brauche ich für die Administration
- ein FTPd wird NICHT installiert
- Apache, PHP oder MySQL wird auch NICHT installiert
Der Server soll eben so wenig wie möglich Angriffsläche für ScriptKiddies bieten
Folgendes habe ich bereits gemacht:
- OpenVPN habe ich unter eingeschränkten Rechten laufen. Falls also jmd per Buffer Overflow sich Zugang verschaffen könnte, sollte er nicht gleich Root Zugriff haben, sondern nur die eingeschränkten Rechte. Logisch halt
- Kernel aktualisiert (Plublic Local Root Exploits haben somit keine Wirkung), gegen die Non Public Exploits habe ich da wohl schlechte Karten
- SSH habe ich auf einen anderen Port verlegt. Script Kiddie BruteForce Angriffe auf Port 22 haben somit erstmal keine Wirkung. Dann habe ich den Root Login über SSH deaktiviert. Falls jmd doch den Port scannt und sich denkt den Login bruten zu wollen. Und ich habe halt noch die max Anzahl der fehlgeschlagenen Logins auf drei gesetzt.
Was ich mir noch vorstelle (wo ich auch gerne Hilfe annehme oder Tipps annehme):
- Ich würde vllt gerne noch den Kernel weiter vor Local Root Exploit Angriffen schützen... Gibt da ja glaub ich Sicherheitsmaßnahmen.
- Eine Firewall auf iptables Basis. Weil ohne diese will und werde ich den Server nicht dauerhaft online nehmen. Wäre ja eine Gefahr für mich und andere!
Nur in Sachen Firewall habe ich ein paar Fragen: Ich habe mir gedacht, ich setze ein restriktives Firewall Script ein. Alles per default blocken und nur bestimmte Sachen zulassen. Ich habe 2 Interfaces... Einmal das eth0, welches ja dauerhaft mit dem WWW verbunden ist (über eine feste IP). Das andere ist ja das TAP/TUN Device was eben die VPN Clients über den VPN Server mit dem Internet (eth0) verbindet.
Ich tue mich nur gerade in meiner Überlegung schwer, was ich alles erluaben soll...
Habt ihr Tipps für mich, was ich alles umsetzen sollte, bevor ich den Server online nehme?
Danke schonmal im Vorraus an alle, die mir helfen wollen Mein erster Beitrag hier, aber ich habe schon vorher fleißig gelesen und finde den Support hier sehr gut
Mfg Markus
ich habe mir einen VServer gemietet und möchte dieses als VPN Server nutzen. Als OS nutze ich Debian 4.0 32 Bit. VPN funktioniert bereits einwandfrei. Ich habe nur den Server immer offline, bis ich diesen erdendlich abgesichert habe.
Ich habe mir folgendes gedacht:
- OpenVPN und OpenSSL habe ich installiert und wird immer aktualisiert
- SSH brauche ich für die Administration
- ein FTPd wird NICHT installiert
- Apache, PHP oder MySQL wird auch NICHT installiert
Der Server soll eben so wenig wie möglich Angriffsläche für ScriptKiddies bieten
Folgendes habe ich bereits gemacht:
- OpenVPN habe ich unter eingeschränkten Rechten laufen. Falls also jmd per Buffer Overflow sich Zugang verschaffen könnte, sollte er nicht gleich Root Zugriff haben, sondern nur die eingeschränkten Rechte. Logisch halt
- Kernel aktualisiert (Plublic Local Root Exploits haben somit keine Wirkung), gegen die Non Public Exploits habe ich da wohl schlechte Karten
- SSH habe ich auf einen anderen Port verlegt. Script Kiddie BruteForce Angriffe auf Port 22 haben somit erstmal keine Wirkung. Dann habe ich den Root Login über SSH deaktiviert. Falls jmd doch den Port scannt und sich denkt den Login bruten zu wollen. Und ich habe halt noch die max Anzahl der fehlgeschlagenen Logins auf drei gesetzt.
Was ich mir noch vorstelle (wo ich auch gerne Hilfe annehme oder Tipps annehme
):- Ich würde vllt gerne noch den Kernel weiter vor Local Root Exploit Angriffen schützen... Gibt da ja glaub ich Sicherheitsmaßnahmen.
- Eine Firewall auf iptables Basis. Weil ohne diese will und werde ich den Server nicht dauerhaft online nehmen. Wäre ja eine Gefahr für mich und andere!
Nur in Sachen Firewall habe ich ein paar Fragen: Ich habe mir gedacht, ich setze ein restriktives Firewall Script ein. Alles per default blocken und nur bestimmte Sachen zulassen. Ich habe 2 Interfaces... Einmal das eth0, welches ja dauerhaft mit dem WWW verbunden ist (über eine feste IP). Das andere ist ja das TAP/TUN Device was eben die VPN Clients über den VPN Server mit dem Internet (eth0) verbindet.
Ich tue mich nur gerade in meiner Überlegung schwer, was ich alles erluaben soll...
Habt ihr Tipps für mich, was ich alles umsetzen sollte, bevor ich den Server online nehme?
Danke schonmal im Vorraus an alle, die mir helfen wollen
Mein erster Beitrag hier, aber ich habe schon vorher fleißig gelesen und finde den Support hier sehr gut Mfg Markus
--
Nur wegen der Default Policy geht da natürlich nix raus. Ist klar. Nur wie erlaube ich den kompletten VPN Traffic, sodass die VPN_Clients über den VPN Server surfen können?