Hallo liebes T-B,
vor kurzem habe ich mich mit einer Cloud auf dem Raspberry Pi beschäftigt. Dabei habe ich Owncloud, Seafile und BT Sync getestet. Nachdem ich das alles gemacht habe kam mir eine Frage auf: Muss ich meine Ports schützen (80 und 443 für ssl)?
Also habe ich mich auf die Suche bei Google begeben und einen IRC Chat zum Thema Raspi besucht. Die vom IRC haben dann gemeint das ich die Ports unbedingt schützen muss um vor Bot angriffen geschützt zu sein (Ein wenig Panik macht sich breit)
Unterm Strich sind einige Schlagwörter wie: htaccess, IP Blocklists, fail2ban, IP Tables, geoip Filter und noch ein paar die vergessen habe.
Da ich dem T-B ziemlich vertrauen schenke, aber Google und (vorallem) dem IRC Chat nicht. Was habt ihr in dem Punkt für Tipps? Was habt ihr für Lösungen bei euch?
Sind vielleicht schon einige Sachen durch die FritzBox oder die DynDns geschützt.
Mein Raspberry ist vorerst vom Netz um sicher zu sein.

Vielen Dank

Du kannst die Ports nicht "schützen".

Entweder sie sind erreichbar, dann sind sie offen und angreifbar, oder sie sind nicht aus dem Netz erreichbar, dann brauchst du dir auch keine Sorgen zu machen.

Wenn sie erreichbar sind musst du eben darauf achten dass nur die Ports die erreichbar sein sollen von der FB auf den Raspi weitergeleitet werden, und dass sich von außen niemand auf dem Raspi einloggen kann. Außerdem musst du dann eben dafür sorgen dass auf den Raspi Sicherheitsupdates zeitnah eingespielt werden.

Das ist das was ich tun würde. Im Gegensatz zu einem Root Server im Netz der immense Bandbreiten bereitstellt dürfte dein Raspi für Angreifer nicht so interessant sein, daher müssten diese Maßnahmen ausreichen.

Alternativ: die FritzBoxen bieten VPN. Du könntest den Raspi nur von innerhalb des LAN zugänglich machen und die Fritz Box VPN nutzen um von extern in dein LAN zu kommen. Dann brauchst du dir über die Sicherheit nur noch halb so viele Gedanken zu machen, AVM scheint recht zeitnah zu patchen.

Das hat auch den Vorteil dass du deine Dienste dann unverschlüsselt im LAN anbieten kannst. Owncloud unverschlüsselt übers Internet würde ich mir zum Beispiel nicht antun. Über VPN ist dann jede Verbindung die du mit deinem Server aufnimmst automatisch sicher verschlüsselt.

Die Ports wohl nicht, aber er meinst wohl die Dienste besser absichern. fail2ban oder denyhosts kenn ich eher, um ssh abzusichern. Für iptables braucht es doch ziemliche Einarbeitung, das ist nicht mal eben so gemacht.

Große Geschütze ich für den Raspi jetzt wohl auch nicht ausfahren. Wenn du weiß wer sich damit verbinden will aus welchem IP-Adressbereich dann kannst auch auch einfach die Datei hosts.allow und hosts.deny nutzen, dann können sich bekannte Botnetze schonmal nicht mit deinen Diensten verbinden. Wenn du richtig alles fein abstimmen willst, wirst du um sowas wie iptables nicht herumkommen. Da musst du dich aber richtig einlesen und dir vorher überlegen was du eigentlich willst, dann demnach Regeln entwerfen.

Naja für gewöhnlich befindet sich deine Owncloud hinter einem Router. Ein Kollege von mir hat sein NAS im lokalen Netzwerk angeschlossen und kann darauf von der Ferne per VPN zugreifen und remote starten usw.

Eine Lösung per VPN zum lokalen Netzwerk ist denke ich recht sicher.

Die owncloud läuft doch direkt auf dem Raspi
Wie auch immer, ich denke BeRealm will die Dienste etwas besser absichern, damit nicht gleich der erstbeste Einbruchsversuch auch gelingt. Da gibt es ja vielfältige Möglichkeiten, zB dass nach einer bestimmten Anzahl von Möglichkeiten die IP-Adresse von dem der fehlgeschlagene Auth-Versuch ausging gesperrt wird (fail2ban oder denyhosts) oder man gleich mit iptables typische Angriffsfilter von vornherein wegfiltert.

Die tage werde ich mich mal hinsetzen und einen seafile server am raspi installieren. Danach versuch ich das mit dem VPN der FritzBox mal. Ist das eigentlich kostenlos und hat jmd Erfahrungen wie ich das am besten einstelle für mein raspi?
Alle anderen Geräte die an die Fritzbox angeschlossen sind möchte ich nicht über das VPN der Fritzbox laufen lassen, da ich am Desktop Rechner zeitweise cyberghost nutze.

AVM bietet (kostenlos) einen DynDNS Dienst an über den du dich von überall im www mit deiner Fritz Box verbinden kannst. Um eine sichere Übertragung zu gewährleisten tust du das über VPN.

Das heißt [dein Gerät irgendwo im WWW] - VPN -> Fritz Box -> dein LAN.

Das VPN betrifft nur dein externes Gerät das per VPN mit deinem LAN verbunden wird. Dein Raspi kann also so eingestellt werden dass er seine Dienste (seafile, owncloud etc...) nur im LAN anbietet und du kannst sie dann über das Fritz Box VPN von überall her nutzen. Hat den Vorteil dass du dich nicht mit Internet Sicherheit (raspi absichern etc.) beschäftigen musst, das tun die Leute von AVM für dich.