Wie arbeitet Ihr mit euren Daten - direkt auf unRaid Server oder lokal?


Pixelpaule

Recommended Posts

1 hour ago, Anym001 said:

Was haltest du davon, wenn man bestimmte Länder mittels einer solchen Datei freigibt?

Eine so dermaßen aufgeblähte .htaccess kann meiner Ansicht nach nicht so schnell sein, wie maximal 3 Checks ob die Datei XYZ.ip existiert, denn wenn man 10.000 IPs in die .htaccess packt, müssen die ja alle abgeglichen werden. Und das bei jedem Seitenaufruf.

 

Müsste man mal messen.

 

Man kann so eine Liste ja herunterladen und daraus ein Paket mit .ip Dateien machen, die man sich ins Firewall Verzeichnis legt. Ich baue dazu mal ein kleines Conversion Tool.

 

1 hour ago, Anym001 said:

Wie kann man den aktuellen IP Bereich herausfinden?

Ich glaube das geht nur mit einer Rückwärtsanalyse aller existierender IPs.

Link to comment
9 hours ago, mgutt said:

Man kann so eine Liste ja herunterladen und daraus ein Paket mit .ip Dateien machen, die man sich ins Firewall Verzeichnis legt. Ich baue dazu mal ein kleines Conversion Tool.

 

Ich glaub das ist doch keine so gute Idee gewesen. 

Hab mir mal die Liste für AT runter geladen und alle eindeutigen Sätze für die ersten 3 Stellen gesucht. 

Da bleiben dann immer noch 3906 .ip Dateien über. 

 

9 hours ago, mgutt said:
11 hours ago, Anym001 said:

Wie kann man den aktuellen IP Bereich herausfinden?

Ich glaube das geht nur mit einer Rückwärtsanalyse aller existierender IPs.

 

Ich werde jetzt mal händisch einige Tage mitschreiben und schauen wie sich die IP-Bereiche so verändern. 

 

Mir geht es nur darum, da meine Frau und Ich hauptsächlich mit der mobilen Variante von Nextcloud (Apps Clients) arbeiten, bekommen wir nicht wirklich mit wenn es mal nicht funktioniert. Außer man beobachtet zB das die automatische Synchronisierung nicht mehr gelaufen ist. 

Dann müsste man sich auf der Website wieder anmelden und eine aktuelle .ip Datei erstellen lassen. 

Wäre für mich selbst kein Problem, nur für meine Frau soll das einfach funktionieren wenn sie es braucht. 

Darum die Idee mit IP-Bereichen zu arbeiten, weil man nichts bzw. nur sehr wenig nachtragen muss und die Angriffsfläche im Vergleich zu allen existierenden IP`s doch deutlich minimiert wird. 

Link to comment
23 minutes ago, mgutt said:
2 hours ago, Anym001 said:

Ich glaub das ist doch keine so gute Idee gewesen

Warum nicht? 

 

12 hours ago, mgutt said:

denn wenn man 10.000 IPs in die .htaccess packt, müssen die ja alle abgeglichen werden. Und das bei jedem Seitenaufruf.

 

Naja weil er dann immer noch diese ca. 4.000 Dateien abchecken müsste. (Thema Performance)

Allerdings immerhin besser als 10.000 

 

Gerade erst gefunden. -> Es gibt sogar bereits eine IP Geoblocking App innerhalb von Nextcloud, bei der man gewünschte Länder freischalten kann. 

https://apps.nextcloud.com/apps/geoblocker

Link to comment
1 minute ago, Anym001 said:

Naja weil er dann immer noch diese ca. 4.000 Dateien abchecken müsste. (Thema Performance)

Allerdings immerhin besser als 10.000 

Das hast du missverstanden. Mein Code prüft nur die Existenz von 3 Dateien. In dem Verzeichnis können daher problemlos 1 Millionen .ip Dateien liegen. Ich meinte, wenn man diese 4000 Regeln in die .htaccess packt, wie es die Website vorsieht. Das dürfte dann langsam sein, da dann wirklich alle 4000 IPs abgeglichen werden.

 

3 minutes ago, Anym001 said:

Es gibt sogar bereits eine IP Geoblocking App innerhalb von Nextcloud, bei der man gewünschte Länder freischalten kann. 

Was nützt dir diese App, wenn Nextcloud oder eine App eine Sicherheitslücke besitzt? Innerhalb von PHP/MySQL zu blockieren ist meiner Ansicht nach "zu spät".

 

Durch die .htaccess blockiert ja der Webserver selbst den Zugriff.

 

Wobei ich bei der App nicht mal sicher bin, ob sie überhaupt den allgemeinen Zugriff sperrt. Ich glaube die nimmt nur Einfluss auf die Login-Seite.

Link to comment
42 minutes ago, mgutt said:
59 minutes ago, Anym001 said:

Naja weil er dann immer noch diese ca. 4.000 Dateien abchecken müsste. (Thema Performance)

Allerdings immerhin besser als 10.000 

Das hast du missverstanden. Mein Code prüft nur die Existenz von 3 Dateien. In dem Verzeichnis können daher problemlos 1 Millionen .ip Dateien liegen.

 

Okay das hab ich leider falsch verstanden. 

Dann dürfte es kein Problem sein. 

 

Man könnte die gewünschte Datei sogar automatisiert downloaden lassen: 

https://www.ip2location.com/free/downloader

wget "https://www.ip2location.com/download?token={DOWNLOAD_TOKEN}&file={DATABASE_CODE}" -O {LOCAL_FILE_NAME}

 

ODER 

 

Abfrage hier nach IP Ranges. 

https://www.countryipblocks.net/acl.php

 

image.png.eb907b0987e41b32207acaa284e58889.png

 

42 minutes ago, mgutt said:

Was nützt dir diese App, wenn Nextcloud oder eine App eine Sicherheitslücke besitzt? Innerhalb von PHP/MySQL zu blockieren ist meiner Ansicht nach "zu spät".

 

Kenne mich in dieser Thematik leider nicht wirklich aus. 

Deine Lösung ist dann bestimmt sicherer, weil es früher "ansetzt". 

Edited by Anym001
Link to comment
46 minutes ago, Anym001 said:

Man könnte die gewünschte Datei sogar automatisiert downloaden lassen: 

Ja, aber nur gegen Bares:

https://www.ip2location.com/web-service/ip2location

 

46 minutes ago, Anym001 said:

Deine Lösung ist dann bestimmt sicherer, weil es früher "ansetzt". 

Ja, ist jetzt nicht "meine" Lösung. Der Code von ip2location macht ja ähnliches. Auf jeden Fall würde ich immer IPs vom Server selbst sperren lassen. Man kann so eine Firewall auch mit einer Blacklist umsetzen, dann wäre der Server sogar sicher gegen DoS Attacken. Ich nutze das auf meinen Websites aber nur gegen "Schnüffler". Also Bots, die nach Sicherheitslücken suchen. Dazu habe ich "Honeypots" verteilt wie zb ein leeres phpmyadmin/ oder wp-admin/ Verzeichnis und wenn das aufgerufen wird, wird die IP direkt gesperrt. Das aber eigentlich nur, damit diese Bots nicht meinen Server mit unsinnigen Anfragen bombardieren.

 

Ich erstelle als nächstes ein Paket mit den IP-Ranges.

 

Was ich gerade überlege: Man könnte auch eine E-Mail an den Admin senden lassen, wenn jemand die remote.php aufruft. Der könnte dann einen Freischaltungslink anklicken um eine IP freizuschalten. Vielleicht wäre das eine zusätzliche Lösung für mobile Clients. Die Frage ist dann nur wie viele Angreifer die remote.php öffnen. Weil sonst platzt das Postfach ^^

Link to comment
16 minutes ago, mgutt said:

Ich erstelle als nächstes ein Paket mit den IP-Ranges.

 

Das wäre super, weil da kann man schon mal sein Land "Whitelisten". 

Die Angriffsfläche ist somit ziemlich eingegrenzt und der Wartungsaufwand auch nicht sonderlich groß. (Bin mir nicht sicher wie oft diese IP-Ranges wechseln können)

 

17 minutes ago, mgutt said:

Man könnte auch eine E-Mail an den Admin senden lassen, wenn jemand die remote.php aufruft.

 

Wäre eine Möglichkeit, aber ob es dann noch notwendig ist? 

Mit der Freigabe von IP Ranges ist man denke ich schon auf einem guten Weg. 

Link to comment
2 hours ago, Anym001 said:

Bin mir nicht sicher wie oft diese IP-Ranges wechseln können)

Bei IPv4 denke ich so gut wie gar nicht. Die sind doch bestimmt sehr wertvoll. Die Telekom würde vermutlich alle nehmen, wenn sie könnte.

 

2 hours ago, Anym001 said:

Wäre eine Möglichkeit, aber ob es dann noch notwendig ist? 

Weiß man erst wenn es eingerichtet ist ^^ Halt für den Fall, dass deine Frau in einer Range ist, die noch nicht im Paket drin ist. Dann musst du der nicht erklären "geh auf die Seite bla bla".

Link to comment
1 hour ago, mgutt said:

Bei IPv4 denke ich so gut wie gar nicht. Die sind doch bestimmt sehr wertvoll. Die Telekom würde vermutlich alle nehmen, wenn sie könnte.

 

Dann dürfte das kein Problem sein. 

 

1 hour ago, mgutt said:

Weiß man erst wenn es eingerichtet ist ^^ Halt für den Fall, dass deine Frau in einer Range ist, die noch nicht im Paket drin ist. Dann musst du der nicht erklären "geh auf die Seite bla bla".

 

Man könnte es ja optional hinzufügen. (per 0 und 1 schaltbar)

Die Mail Adresse wird ja bereits verwendet, die könnte man hier dann auch wiederverwenden. (Würde die andere Benachrichtigungsfunktion auch noch mit 0 und 1 schaltbar machen -> Wenn 1 Dann greift er die hinterlegte Email ab)

Link to comment
On 4/7/2021 at 2:56 PM, Anym001 said:

Hast du eine Ahnung warum die Email Benachrichtigungsfunktion nicht funktioniert?

Gute Frage. Eventuell fehlt in dem Docker das Modul "Sendmail"?! Muss ich mal recherchieren.

 

Hier warum ich immer sage, dass man nie sicher sein kann, dass es nicht doch eine Lücke gibt:

https://www.heise.de/news/Gehackt-Windows-Ubuntu-Exchange-Teams-Zoom-Chrome-Safari-und-Edge-6010171.html

 

Link to comment
  • 2 weeks later...

Möchte hier kurz meine Erfahrungen der letzten Tage mitteilen:

 

Leider hat die erstellte Firewall von @mgutt das letzte Container Update nicht überstanden. 

 

Bin daraufhin zu SWAG gewechselt. 

 

Folgende Vorteile gegenüber NPM:

- Fail2ban          -> Schutz gegen Brute Force Attacken

- Geoblock         -> Möglichkeit der regionalen Blockierung von IP-Adressen (Ich habe zB aktuell nur IP-Adressen aus AT zugelassen)

X-Robots-Tag   -> Vermeidung, dass die Websiten von Suchmaschinen gefunden werden

 

Nachteil: 

- keine grafische Oberfläche

 

Habe folgende Anleitung umgesetzt: https://gist.github.com/quietsy/58590a640dd4f7a89696c68b0e6a8691

  • Like 2
Link to comment

Noch ein Tipp am Rande für SWAG: 

 

Normalerweise liegen die .conf Dateien für die proxy-confs in folgendem Ordner:

/mnt/user/appdata/swag/nginx/proxy-confs

 

Unbenannt1.png.26d37aab46eb198dafc3cedf50c9eaad.png

 

Habe hier keine Datei "aktiviert", sondern die default Datei im folgenden Verzeichnis bearbeitet und den Inhalt der vorgeschlagenen proxy-confs Dateien eingefügt. -> Somit befinden sich die Einstellungen für alle Proxyweiterleitungen in einer Datei und sind damit bei weitem übersichtlicher. 

/mnt/user/appdata/swag/nginx/site-confs

 

Unbenannt2.png.4f974de84e700fcd25b095780fafae15.png

Link to comment

Bei der Bearbeitung von solchen Config Dateien sollte man darauf achten daß man einen guten Editor wie Notepad++ benutzt und keinen Texteditor. Es kann sonst passieren daß Zeilenumbrüche falsch "interpretiert" werden und eine config nicht tut.

War bei mir auch schon so und dieselbe Bearbeitung hat mit Notepad++ funktioniert und mit einem anderen Programm aber nicht.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.