Kategorie: IT Security

Kategorien
Firewall IT Security Server Sophos

Pre-Authentication Sophos UTM Webserver Protection

Auswahl des Authentifizierungsprofiles

Grundsätzlich stehen 2 Default-Profile zur Verfügung. Basic und das Advanced Form. Basic ist die Standard Authentifizierung des Browsers. Im Google Chrome sieht das Formular folgendermaßen aus:

Das Form kann Frei angepasst werden und sieht im Default wie folgt aus:

Zuweisen des Authentifizierungsprofiles

Im Site-Path Routing die Route für den richtigen Virtuellen Webserver auswählen und auf Editieren klicken.

An dieser Stelle kann das Authentifizierungsprofil ausgewählt werden.

Es ist außerdem möglich eine Passthrough-Authentifizierung einzurichten, sodass nur ein einmaliges Anmelden nötig ist.

Kategorien
Firewall IT Security Server Sophos

Sophos Webserver Protection | Reverse Proxy | Web Application Firewall

Anlegen des echten Webservers

Hier muss der echte Webserver angegeben werden, der veröffentlicht werden soll. Ich habe hier zur Demo meinen CheckMK Server verwendet. Dieser ist auf Port 443 erreichbar. Um den Server von extern via https erreichen zu können ist das an dieser Stelle aber noch nicht zwingend notwendig. Hier reicht http aus.

Anlegen Virtueller Webserver

Hier muss bei Interface das Interface gewählt werden über das der Virtuelle Webserver erreichbar sein soll. In meinem Fall das WAN-Interface. Bei Typ kannst du entscheiden, ob du http oder https verwenden möchtest. Ich empfehle hier https mit Umleitung von http.

Als Port kannst du hier ganz frei wählen. Wenn du noch weitere Anwendungen veröffentlichen willst und nur eine Domain zur verfügung hast macht es Sinn hier den Port anzupassen. Sonst kannst du alles auf 443 laufen lassen und über die Domäne erkennt die Sophos welcher Webserver angesprochen wurde. Auch, wenn alle auf die gleiche IP-Adresse zeigen.

Ein Zertifikat ist für https erforderlich. Hier kannst du ein selbst signiertes nehmen, eins hochladen oder einfach eins über Let’s Encrypt ausstellen. https://tech-base.club/ausstellen-von-lets-encrypt-zertifikaten-in-sophos-utm-9

Die Domain in dem Zertifikat bestimmt automatisch, welche Domain auf den Webserver zeigt.

Nun den echten Webserver auswählen.

Firewall Profile werden von Sophos viele als Presets vorgegeben. von Basic und Advanced Protection bis hin zu Profilen für MS Exchnageserver owa und Autodiscover.

Für CheckMK ist ein eigenes Profil erforderlich. Die Konfiguration sieht folgendermaßen aus:

Das wars auch schon, nun ist der Webserver über die Sophos abgesichert erreichbar.

Kategorien
Firewall IT Security Let's Encrypt Sophos

Ausstellen von Let’s Encrypt Zertifikaten in Sophos UTM 9

Vorbereitung

Als erstes das verwenden von Let’s Encrypt zulassen:

Ausstellen des Zertifikates

Anschließend in der Zertifikatsverwaltung unter Zertifikate ein neues Zertifikat erstellen:

Hier ist bei Methode Let’s Encrypt auszuwählen. Bei Schnittstelle muss das Interface der Sophos verwendet werden, das über das Internet erreichbar ist und auf das die DNS-Einträge der Domäne zeigen auf die du das Zertifikat ausstellen möchten.

Die Domäne oder bei Bedarf auch mehrere können im Reiter Domänen hinzugefügt werden. Wichtig ist, dass die IP-Adressen auf die die Domänen verweisen via Port 80 auf die Sophos zeigen. Sonst kann kein Zertifikat ausgestellt werden.

Häufiger Fehler

Ein häufiger Fehler ist, dass das Ausstellen des Zertifikates fehlschlägt da Country Blocking für eingehende Anfragen aktiviert ist. Dieses blockt natürlich dann auch die Let’s Encrypt Server, da diese zur Zeit noch nicht in Europa stehen.

Erneuern des Zertifikates

Grundsätzlich verlängert sich das Zertifikat automatisch. Falls dies fehlschlägt wird das Verlängern nach 24 Stunden erneut versucht. Du kannst das Erneuern des Zertifikates aber auch jederzeit selber anstoßen:

Kategorien
IT Security Linux Server Ubuntu VPN

OpenVPN-Client Linux OS mit Autostart

Installation des OpenVPN-Clients:

# Pakete aktualisieren

apt update

# OpenVPN-Client aktualisieren

apt install openvpn

Nun muss die Konfigurations-Datei heruntergeladen werden. Diese kannst du via FTP oder SCP auf das System kopieren oder direkt mit wget oder curl auf dem System herunterladen.

Verschieben der Konfigurations-Datei:

cp /pfad/zu/deiner/config.ovpn /etc/openvpn/client.conf

Eine Datei erstellen die den Benutzername und das Passwort des VPN-Benutzers enthält:

nano /etc/openvpn/creds

# Beispiel des Inhalts:

peter
Dhsu/ast/2!7Ish

Nun die client.conf Datei bearbeiten und angeben das die Zugangsdaten aus der grade angelegten Datei verwendet werden sollen:

 nano /etc/openvpn/client.conf

# Die Zeile "auth-user-pass" muss in "auth-user-pass creds" geändert werden.

Um die Zugangsdaten in der Datei zu schützen müssen die Berechtigungen angepasst werden:

chmod 400 /etc/openvpn/creds

Aktivieren vom Autostart des VPN-Clients:

nano /etc/default/openvpn

# Hier den Hashtag(#) vor 'AUTOSTART="all"' entfernen.

Nun den Dienst aktivieren und starten:

systemctl enable openvpn@client.service
systemctl daemon-reload
service openvpn@client start

Nun sollte der VPN-Client gestartet sein und eine VPN-Verbindung hergestellt worden sein. Diese baut sich automatisch nach jedem Systemstart wieder auf.

Der status des VPN-Clients kann mit folgendem Befehl abgerufen werden:

service openvpn@client status
Kategorien
IT Security Linux Nextcloud Server Ubuntu

Absichern einer Apache2 Linux Installation

Wir sichern unseren Apache2 Webserver ab in dem wir folgende Einstellungen anpassen:

  • Apache Haeder
  • Apache Signatur
  • Trace

Diese Funktionen geben Informationen des Webservers preis die nicht im Internet bekannt sein müssen, wie beispielsweise die Server Version. Wenn diese Informationen öffentlich verfügbar sind, sind Sicherheitslücken einfacher auszunutzen.

Folgende Änderungen müssen an der Konfiguration gemacht werden:

nano /etc/apache2/apache2.conf

#Folgende Werte an des Ende der Konfiguration anfügen:

Servertoken Prod
ServerSignature off
TraceEnable off
Kategorien
IT Security Let's Encrypt Linux Nextcloud Raspberry Pi

Nextcloud mit kostenfreien Let’s Encrypt Zertifikat

Um unsere Nexcloud noch besser zu schützen können wir den „http“-Traffic verschlüsseln. Dafür bedarf es nicht mehr als ein paar befehlen und einer Einstellung.

Grundsätzlich benötigst du für die SSL Absicherung deiner Nextcloud nur eine Domain, dessen A und/oder AAA Record auf die IP-Adresse deiner Nextcloud zeigt. Sonst wird das nichts 😉

## Certbot installieren
apt-get install certbot python3-certbot-apache

## Certbot konfigurieren (Hier fragt er nur ein paar werte ab, ob ihr ein redirect von http auf https wollt, auf welche Domain das Zertifikat laufen soll, wie der web admin erreichbar ist usw.)

certbot --apache

## Das wars schon mit dem Zertifikat, jetzt müsst Ihr nur noch in der Nextcloud Config erlauben das auf diese über die Domain zugegriffen werden darf

nano /var/www/nextcloud/config/config.php

## Das sieht dann so aus:

 'trusted_domains' =>
  array (
    0 => '<Hier steht schon deine IP-Adresse des Servers>',
    1 => '<Hier muss deine Domain rein>',
  ),

## Das ganze noch speichern und dann bist du durch.