iCal-Server über Port 8443 ein zu großes Sicherheitsrisiko?

M

mounty02

Registriert
Thread Starter
Dabei seit
02.03.2011
Beiträge
4
Reaktionspunkte
1
Hallo liebes Forum,
seit letztem Jahr bin ich Besitzer eines Mac mini Servers, der gerne im Heimnetz als Fileserver für private Daten, Musik, Filme etc. genutzt wird. Beruflich wäre für mich als einziger Dienst der iCal-Server interessant. Zu diesem Zweck habe ich mir bei dyndns eine Adresse geholt und den Webserver entsprechend konfiguriert, da es mir praktisch schien auch über ein Web-Interface auf die Kalender zugreifen zu können. Bereits 48h nach Öffnen der Ports 80 und 443 waren bereits viele dieser Meldungen im Sicherheitsprotokoll des Servers zu lesen:

Mar 1 04:36:15 macminiserver sshd[11215]: Invalid user admin from 85.25.153.106
Mar 1 04:36:15 macminiserver sshd[11221]: reverse mapping checking getaddrinfo for tango117.server4you.de [85.25.153.106] failed - POSSIBLE BREAK-IN ATTEMPT!

Nachdem auf dem Server natürlich alle persönlichen Dateien lagern habe ich den Webserver wieder vom Netz genommen und die Ports wieder geschlossen, da mir das Risiko dabei zu groß ist.
Und nun meine Frage: Der reine iCal-SSL-Serverdienst läuft ja über Port 8443 und kann darüber zumindest mit iPhone, iPad oder einen anderes WebCal-Programm abgefragt werden. Ist es nun vom Sicherheitsgedanken her weniger unsicher wenigstens diesen Port offen zu lassen (da darüber vielleicht weniger häufig Attacken stattfinden), ist es sicherer stattdessen einen Port zB. in den 50000ern zu wählen und diesen intern umzuleiten auf den Port 8443 des Servers oder ist es ein absolutes NoGo bei einem Homeserver mit persönlichen Daten überhaupt einen Port nach draußen zu öffnen und vom Web her zugänglich zu machen (was ich wohl eher befürchte...)?
Als Passwörter werden duchweg starke verwendet mit mindestens 20 Zeichen, Buchstaben, Zahlen und Sonderzeichen.

Da mich die Funktionen des iCal-Servers bisher sehr überzeugt haben und mir 79€/Jahr für einen MobileMe-Account unverhältnissmäßig erscheinen nur um diese Funktion nutzen zu können (alles andere würde ich eh nicht brauchen...) würde ich mich natürlich nur ungern von diesem Serverdienst trennen. Allerdings will ich meine privaten Dateien auch nicht jedem Kriminellen zugänglich machen...:eek:
 
Jeder Server der nach außen mit dem Netz kommuniziert hat zwangsläufig zumindest einen Port offen. Meistens ist dies Port 80. Über diesen Port werden inzwischen alle möglichen Dienste angeboten, die eigentlich nichts auf 80 zu suchen haben. Daher arbeitet eine moderne Firewall nicht mehr nur nach dem "Port-Prinzip" sondern analysiert auch den dahinterstehenden "Traffic". Daher ist das einzige was Dich schützt, eine gute Firewall, die idealerweise im Router schon integriert ist, so daß die bösen Jungs gar nicht auf Deinen Server kommen. Ich selber benutze eine Firewall der Firma "SonicWall"; für mein dafürhalten sehr gut, aber leider nicht preisgünstig!
 
Ich habe auch einen Homeserver-mini und stand vor dem gleichen Problem.

Je nach anzahl der Nutzer und der zu nutzenden Geräte ist ein VPN eine gute Alternative.
Vorteil: du brauchst verschiedenste Dienste nach Aussen nicht mehr einzeln absichern/freigeben und hast nur noch den VPN Tunnel offen.

Lange habe ich überlegt mit OSX Server zu kaufen, was aber bei reiner vpn nutzung viel zu teuer ist.
Aber: das normale OSX hat schon einen VPN Server an Bord der nur aktiviert werden muss.
Ich habe ich die Software iVPN im Einsatz die ist mit 15 euro vergleichsweise günstig und rüstet einfach die bei normalem OSX fehlende VPN Benutzeroberfläche nach.
Aber man kann das VPN mit einiger Terminalarbeit auch ohne Software konfigurieren/aktivieren.

Diese Systemeigene ipsec Lösung hat gegenüber openvpn und konsorten auf jeden fall den vorteil dass du verschiedenste Systeme (osx/windows/ios/linux) ohne installation einer zusätzlichen software direkt ins vpn integrieren kannst.
 
Zuletzt bearbeitet:
Erstmal vielen Dank für die Antworten. VPN ist eine gute Idee. Leider klappt die Einrichtung nicht so ganz:
Ich verwende eine Fritzbox 3270 die auf Modembetrieb (PPPoE-Passthrough) geschaltet ist. Dahinter klemmt eine Airport Extreme als Router. An der AE hängt über LAN der Server.
Auf der AE sind die VPN-Ports UDP 500, 1701 und 4500 freigegeben, ebenso auf der Firewall des Servers, dort zusätzlich noch das ESP-Protokoll.
Die AE hat eine dort auch hinterlegte dyndns-Adresse. Die Internetverbindung in der AE steht auf PPPoE, wobei die Zugangsdaten des Providers in der AE hinterlegt sind.
Leider scheint bei dieser Konstellation in der AE der DHCP-Server (der auf dem Mac-Server eingerichtet ist) nicht direkt angegeben werden zu können, so dass die AE den DHCP-Dienst übernimmt und der Server in die Röhre guckt.
Alle Geräte haben zudem feste IPs.
Die VPN-Einwahl erfolgt über L2TP/IPsec mit Schlüssel und Kennwort. Die VPN-Einwahl über einen internen Client mit o.g. Einstellungen klappt gut.
Versuche ich mich aber über iPhone oder iPad über 3G (also von außerhalb des privaten Netzes) einzuloggen, ist der "VPN-Server nicht erreichbar".
Kann es sein, dass die Fritzbox - obwohl als Modem eingerichtet - da was abblockt? Oder kann es daran liegen, dass der Macminiserver nicht als DHCP-Dienst angegeben werden kann?
Für Hilfe bin ich dankbar, da mir langsam die Ideen ausgehen...
 
mounty02 schrieb:
Mar 1 04:36:15 macminiserver sshd[11215]: Invalid user admin from 85.25.153.106
Mar 1 04:36:15 macminiserver sshd[11221]: reverse mapping checking getaddrinfo for tango117.server4you.de [85.25.153.106] failed - POSSIBLE BREAK-IN ATTEMPT!
Zum Vergrößern anklicken....
Du scheinst Port 22 auf Deinen Server umgeleitet zu haben, nicht nur Port 8443
 
Ja, das stimmt, der ist mittlerweile aber auch geschlossen.
 
mounty: Kannst du mal kurz schreiben, welches "Sicherheitsprotokoll" du meinst? Ich kann dergleichen nämlich weder in der Konsole noch in den Servereinstellungen/Protokolle finden...

fox78
 
Ich leite über meine FritzBox ausschließlich Port 8443 an DAViCal auf meinem alten iMac G3 weiter. Bisher keine Probleme.
 
@fox78: gemeint ist die /var/log/secure.log. Zu erreichen über Server-Admin - Protokolle
@Rupp: vielen Dank für den Hinweis, das ist schon mal beruhigend.
 
  • Gefällt mir
Reaktionen: fox78
ich vermute du hast "back to my mac" auf dem Server und/oder in der Airport Extreme aktiviert - dann klappt das mit dem VPN nicht da der mini dann die ports dafür verwendet...
Das war bei mir anfangs das Problem.

Das Modem darf nix blocken.
DHCP hat mit dem VPN erstmal nix zu Tun.
DHCP macht bei mir auch die Fritzbox (im Routerbetrieb). Trotzdem komme ich auf den Server mit der Festen IP ;)
 
Also ich habe ebenfalls die Ports 8443 und 8843 (iCal- und Adressbuch-Server) weitergeleitet und habe keine Probleme. Port 22 sollte man nie von außen zugänglich machen, nur über VPN
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten