M
mounty02
Registriert
Thread Starter
- Dabei seit
- 02.03.2011
- Beiträge
- 4
- Reaktionspunkte
- 1
Hallo liebes Forum,
seit letztem Jahr bin ich Besitzer eines Mac mini Servers, der gerne im Heimnetz als Fileserver für private Daten, Musik, Filme etc. genutzt wird. Beruflich wäre für mich als einziger Dienst der iCal-Server interessant. Zu diesem Zweck habe ich mir bei dyndns eine Adresse geholt und den Webserver entsprechend konfiguriert, da es mir praktisch schien auch über ein Web-Interface auf die Kalender zugreifen zu können. Bereits 48h nach Öffnen der Ports 80 und 443 waren bereits viele dieser Meldungen im Sicherheitsprotokoll des Servers zu lesen:
Mar 1 04:36:15 macminiserver sshd[11215]: Invalid user admin from 85.25.153.106
Mar 1 04:36:15 macminiserver sshd[11221]: reverse mapping checking getaddrinfo for tango117.server4you.de [85.25.153.106] failed - POSSIBLE BREAK-IN ATTEMPT!
Nachdem auf dem Server natürlich alle persönlichen Dateien lagern habe ich den Webserver wieder vom Netz genommen und die Ports wieder geschlossen, da mir das Risiko dabei zu groß ist.
Und nun meine Frage: Der reine iCal-SSL-Serverdienst läuft ja über Port 8443 und kann darüber zumindest mit iPhone, iPad oder einen anderes WebCal-Programm abgefragt werden. Ist es nun vom Sicherheitsgedanken her weniger unsicher wenigstens diesen Port offen zu lassen (da darüber vielleicht weniger häufig Attacken stattfinden), ist es sicherer stattdessen einen Port zB. in den 50000ern zu wählen und diesen intern umzuleiten auf den Port 8443 des Servers oder ist es ein absolutes NoGo bei einem Homeserver mit persönlichen Daten überhaupt einen Port nach draußen zu öffnen und vom Web her zugänglich zu machen (was ich wohl eher befürchte...)?
Als Passwörter werden duchweg starke verwendet mit mindestens 20 Zeichen, Buchstaben, Zahlen und Sonderzeichen.
Da mich die Funktionen des iCal-Servers bisher sehr überzeugt haben und mir 79€/Jahr für einen MobileMe-Account unverhältnissmäßig erscheinen nur um diese Funktion nutzen zu können (alles andere würde ich eh nicht brauchen...) würde ich mich natürlich nur ungern von diesem Serverdienst trennen. Allerdings will ich meine privaten Dateien auch nicht jedem Kriminellen zugänglich machen...
seit letztem Jahr bin ich Besitzer eines Mac mini Servers, der gerne im Heimnetz als Fileserver für private Daten, Musik, Filme etc. genutzt wird. Beruflich wäre für mich als einziger Dienst der iCal-Server interessant. Zu diesem Zweck habe ich mir bei dyndns eine Adresse geholt und den Webserver entsprechend konfiguriert, da es mir praktisch schien auch über ein Web-Interface auf die Kalender zugreifen zu können. Bereits 48h nach Öffnen der Ports 80 und 443 waren bereits viele dieser Meldungen im Sicherheitsprotokoll des Servers zu lesen:
Mar 1 04:36:15 macminiserver sshd[11215]: Invalid user admin from 85.25.153.106
Mar 1 04:36:15 macminiserver sshd[11221]: reverse mapping checking getaddrinfo for tango117.server4you.de [85.25.153.106] failed - POSSIBLE BREAK-IN ATTEMPT!
Nachdem auf dem Server natürlich alle persönlichen Dateien lagern habe ich den Webserver wieder vom Netz genommen und die Ports wieder geschlossen, da mir das Risiko dabei zu groß ist.
Und nun meine Frage: Der reine iCal-SSL-Serverdienst läuft ja über Port 8443 und kann darüber zumindest mit iPhone, iPad oder einen anderes WebCal-Programm abgefragt werden. Ist es nun vom Sicherheitsgedanken her weniger unsicher wenigstens diesen Port offen zu lassen (da darüber vielleicht weniger häufig Attacken stattfinden), ist es sicherer stattdessen einen Port zB. in den 50000ern zu wählen und diesen intern umzuleiten auf den Port 8443 des Servers oder ist es ein absolutes NoGo bei einem Homeserver mit persönlichen Daten überhaupt einen Port nach draußen zu öffnen und vom Web her zugänglich zu machen (was ich wohl eher befürchte...)?
Als Passwörter werden duchweg starke verwendet mit mindestens 20 Zeichen, Buchstaben, Zahlen und Sonderzeichen.
Da mich die Funktionen des iCal-Servers bisher sehr überzeugt haben und mir 79€/Jahr für einen MobileMe-Account unverhältnissmäßig erscheinen nur um diese Funktion nutzen zu können (alles andere würde ich eh nicht brauchen...) würde ich mich natürlich nur ungern von diesem Serverdienst trennen. Allerdings will ich meine privaten Dateien auch nicht jedem Kriminellen zugänglich machen...