Configurazione e connessione a VPS

[malatodihardware]

Ciao a tutti,
ho acquistato una piccola VPS per fare dei test e volevo sapere secondo voi qual'è il metodo più sicuro per collegarsi dall'esterno\proteggerla..

Attualmente ho bloccato tutte le porte per la gestione tramite IPTABLES e consentito l'accesso solo al mio IP pubblico.

Volevo installare sul server anche Samba per poterci caricare i file più rapidamente, è pericoloso utilizzare samba direttamente sull'ip pubblico (ma filtrato e ristretto alle connessioni solo dal mio IP)?

L'alternativa è implementare una soluzione OpenVPN con i due endpoint uno sulla VPS e l'altro sul mio firewall pfSense, cosa dite?

Voi come vi collegate alle VPS (se ne avete)?

[Tasslehoff]

Quote:

Originariamente inviato da malatodihardware

Ciao a tutti,
ho acquistato una piccola VPS per fare dei test e volevo sapere secondo voi qual'è il metodo più sicuro per collegarsi dall'esterno\proteggerla..

Attualmente ho bloccato tutte le porte per la gestione tramite IPTABLES e consentito l'accesso solo al mio IP pubblico.

Volevo installare sul server anche Samba per poterci caricare i file più rapidamente, è pericoloso utilizzare samba direttamente sull'ip pubblico (ma filtrato e ristretto alle connessioni solo dal mio IP)?

L'alternativa è implementare una soluzione OpenVPN con i due endpoint uno sulla VPS e l'altro sul mio firewall pfSense, cosa dite?

Voi come vi collegate alle VPS (se ne avete)?

Di per se il controllo tramite indirizzo ip non ti da poi molte certezze, considerando che basterebbe sniffare un po' di traffico e spoofare l'ip da cui accedi per essere autorizzati.
Per migliorare la cosa potresti aggiungere anche il controllo mediante utente e password, ma anche in questo caso non sarebbe poi molto sicuro dato che la login passerebbe in chiaro.

No, imho samba non è il protocollo adatto per fare una cosa del genere, imho sarebbe molto meglio usare webdav in https con un semplice certificato ssl self signed.

Per caso stai usando quel provider che fornisce vps a 1 € al mese?

[malatodihardware]

Grazie per la risposta, comunque alla fine penso che propenderò per la soluzione Vpn (non dovrebbe essere complicatissima e può sempre tornarmi utile).

Si uso quella da 1 euro al mese, considerato che prima pagavo hosting + dominio 35 euro alla peggio sono in pari (ovviamente non è ad uso lavorativo ma per test/sito domestico).
Comunque per ora non posso lamentarmi, prestazioni buone (forse i dischi un pò fiacchi ma per un web server ci può stare) così come la banda (arrivo a 20mb scaricando un'iso debian). Se ti servono altre info chiedimi pure..

Inviato dal mio MB525

[malatodihardware]

EDIT: Risolto, c'erano delle regole sbagliate su iptables..

[Kaya]

Quote:

Originariamente inviato da Tasslehoff

Di per se il controllo tramite indirizzo ip non ti da poi molte certezze, considerando che basterebbe sniffare un po' di traffico e spoofare l'ip da cui accedi per essere autorizzati.

Perdonate l'OT ma questa cosa mi interessa, anche se è pioù da networking:
Capisco che possano scoprire il mio IP, ma anche lo sostituissero nei pacchetti come campo SRC, cosa possono fare? Non avrebbero alcuna risposta indietro dal mio sistema...

[Tasslehoff]

Quote:

Originariamente inviato da Kaya

Perdonate l'OT ma questa cosa mi interessa, anche se è pioù da networking:
Capisco che possano scoprire il mio IP, ma anche lo sostituissero nei pacchetti come campo SRC, cosa possono fare? Non avrebbero alcuna risposta indietro dal mio sistema...

Premetto che non sono un esperto di sicurezza e personalmente, a parte qualche esperimento in un ormai remoto passato (parliamo dell'epoca 56k ), non sarei nemmeno in grado di riprodurre quello di cui stiamo parlando

Quello che dici è corretto ma solo per uno spoofing basilare, che cmq può portare ad altri problemi, es DoS.
In realtà con qualsiasi protocollo basato su tcp/ip è possibile iniziare un attacco mediante spoofing e poi continuare e accedere ai sistema remoto utilizzando tecniche di sequence number prediction riuscendo ad avere risposta direttamente sull'ip dell'attaccante.

Quote:

Originariamente inviato da malatodihardware

Grazie per la risposta, comunque alla fine penso che propenderò per la soluzione Vpn (non dovrebbe essere complicatissima e può sempre tornarmi utile).

Si uso quella da 1 euro al mese, considerato che prima pagavo hosting + dominio 35 euro alla peggio sono in pari (ovviamente non è ad uso lavorativo ma per test/sito domestico).
Comunque per ora non posso lamentarmi, prestazioni buone (forse i dischi un pò fiacchi ma per un web server ci può stare) così come la banda (arrivo a 20mb scaricando un'iso debian). Se ti servono altre info chiedimi pure..

Inviato dal mio MB525

Giusto dimenticavo la VPN che avevi citato, ovviamente OpenVPN sarebbe la panacea di tutti i mali in questo caso, massima comodità e sicurezza totale

Mi interessa parecchio questa offerta, ora per alcuni servizi in hosting sto su OVH ma onestamente non sono per nulla soddisfatto, soprattutto in termini di performance tramite php.
Non sto usando cose esoteriche, giusto i classici Wordpress, Gallery e qualche altro servizietto base, ma le performance sono ridicole, addirittura peggiori di Aruba

Se riuscissi a fare una prova veloce con Wordpress o Drupal o Ajaxplorer (te lo consiglio anche per l'accesso remoto al filesystem) te ne sarei molto grato

[malatodihardware]

Ci devo trasferire sopra un piccolo sito basato su Joomla, quindi appena ho completato ti faccio sapere..

PS: Ajaxplorer lo uso da un pò ed è veramente ottimo!

[Tasslehoff]

Quote:

Originariamente inviato da malatodihardware

Ci devo trasferire sopra un piccolo sito basato su Joomla, quindi appena ho completato ti faccio sapere..

PS: Ajaxplorer lo uso da un pò ed è veramente ottimo!

Ottimo grazie

[malatodihardware]

Quote:

Originariamente inviato da Tasslehoff

Ottimo grazie

Hai MP

[Kaya]

Quote:

Originariamente inviato da Tasslehoff

Premetto che non sono un esperto di sicurezza e personalmente, a parte qualche esperimento in un ormai remoto passato (parliamo dell'epoca 56k ), non sarei nemmeno in grado di riprodurre quello di cui stiamo parlando

Quello che dici è corretto ma solo per uno spoofing basilare, che cmq può portare ad altri problemi, es DoS.
In realtà con qualsiasi protocollo basato su tcp/ip è possibile iniziare un attacco mediante spoofing e poi continuare e accedere ai sistema remoto utilizzando tecniche di sequence number prediction riuscendo ad avere risposta direttamente sull'ip dell'attaccante.

Ok però questo è un tipo di attacco che funziona solo se
a) conosci il mio ip (ok vabbè)
b) c'è una comunicazione TCP/IP in corso
c) sai esattamente quali dati spedire al DST e far si che "ti torni utile".
d) non sia traffico crittografato

Mi sembra che sia altamente improbabile oggi come oggi, no?

[Tasslehoff]

Quote:

Originariamente inviato da Kaya

Ok però questo è un tipo di attacco che funziona solo se
a) conosci il mio ip (ok vabbè)
b) c'è una comunicazione TCP/IP in corso
c) sai esattamente quali dati spedire al DST e far si che "ti torni utile".
d) non sia traffico crittografato

Mi sembra che sia altamente improbabile oggi come oggi, no?

Se esponi una share tramite samba tutte queste condizioni si avverano, o quantomeno ci vai vicino.
Usa il protocollo tcp/ip, il tipo di protocollo lo rilevi al volo con una semplice scansione di nmap, il processo di autenticazione e autorizzazione è in chiaro e pure il traffico.

E' un esempio limite ovviamente, nessuno si sognerebbe di esporre una share di rete (anche perchè si tratta di un protocollo povero di features per il trasferimento di dati via wan, pensiamo anche solo a una interruzione di rete, via ftp o http potresti sempre riprendere il trasferimento, via share non credo proprio), ma se uno dovesse farlo le premesse per un attacco di questo tipo imho ci sarebbero tutte.

[malatodihardware]

Adesso che ho visto che funziona tutto si pone il problema backup

Come lo affronteresti nel caso di una VPS? Preferirei evitare di dover fare backup locali visto lo lo spazio limitato su disco, manderei tutto direttamente via VPN.
La soluzione "standard" ovviamente prevede rsync, ho però letto sul web anche di DRBD, lo conosci? Potrebbe tornarmi utile?

Altrimenti pensavo di fare il mount sulla VPS di uno share (Windows o Linux poco importa) che sta a casa mia e lanciare lì i backup..

Non mi interessa avere uno snapshot anche dei file attivi (come mysql) in quanto per quello prevederò un backup a parte.

[Tasslehoff]

Quote:

Originariamente inviato da malatodihardware

Adesso che ho visto che funziona tutto si pone il problema backup

Come lo affronteresti nel caso di una VPS? Preferirei evitare di dover fare backup locali visto lo lo spazio limitato su disco, manderei tutto direttamente via VPN.
La soluzione "standard" ovviamente prevede rsync, ho però letto sul web anche di DRBD, lo conosci? Potrebbe tornarmi utile?

Altrimenti pensavo di fare il mount sulla VPS di uno share (Windows o Linux poco importa) che sta a casa mia e lanciare lì i backup..

Non mi interessa avere uno snapshot anche dei file attivi (come mysql) in quanto per quello prevederò un backup a parte.

DRDB non l'ho mai usato, da quanto vedo però è una sorta di filesystem distribuito, per i backup non credo sia lo strumento adatto nel senso che se succede un disastro (supponiamo la cancellazione di un file importante) questo si replica sul nodo che funge da mirror.
Dovrei approfondire, magari prevede anche features extra (es snapshot) che possono tornare utili per il backup, però per questo imho verrebbe più semplice gestire il tutto con lvm.

Per come la vedo io le soluzioni più agevoli possono essere:
- rsync via ssh, puoi usare tranquillamente dei certificati e porte non standard passando le opzioni di ssh tra doppi apici (rsync -e "ssh -p <PORTA> -i <CHIAVE PRIVATA>" etc etc etc...).
- VPN usando NFS o Samba incapsulati nel canale VPN.
- Bacula usando SSL per la comunicazione tra client vps e server dove risiedono i backup

Una possibile alternativa potrebbe essere cryptcat (una sorta di netcat criptato) oppure netcat incapsulato via ssh, però le vedo più come soluzione una tantum e non come modalità di backup schedulabile.

[malatodihardware]

Considerando che la VPN con casa mia è già su, perfettamente funzionante e non intendo aprire altre porte inutili verso l'esterno andrò su una soluzione via NFS\Samba.. Per il software non conoscevo Bacula, potrebbe essere la volta buona per provarlo!

[John - K]

Consiglio caldamente bacula, lo uso da un paio di anni. Ha bisogno di un certo studio iniziale per una configurazione corretta, ma una volta configurato correttamente, non ci ho più messo le mani da due anni che lo uso.

[antenore]

Io per i backup attualmente uso rsnapshot, in pratica è uno script che tramite rsync fa dei backup incrementali. E' abbastanza semplice da utilizzare e configurare.