Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Owncloud op eigen NAS, hoe veilig openstellen naar buiten?  (gelezen 756 keer)

Offline MKe

  • Lid
  • Steunpunt: Nee
Owncloud op eigen NAS, hoe veilig openstellen naar buiten?
« Gepost op: 2015/07/19, 16:22:20 »
Hoi,

Een vraag voor de professionele webadmins onder ons.

Ik heb een owncloud installatie runnen op een NAS met apache. Ik wil die met een beperkt aantal mensen delen. Hoe doe ik dat veilig?
Ik heb het volgende gedaan:

1. De data directory buiten de door apache geserveerde mappen geplaatst.
2. genereren van een eigen certificaat voor SSL
3. Virtual host aangemaakt die een andere poort gebruikt dan wat de standard sites op de NAS gebruiken om owncloud te isoleren van de rest.

Als ik het goed heb, kan ik nu via port-forwarding in mijn router de nieuwe virtualhost openstellen aan de boze buitenwereld. Kan ik die beter naar een andere poort zetten dan de standaard 80,  443 of 8080 poorten of maakt dat niet uit?

Ben ik nog iets vergeten dat de veiligheid kan verhogen?

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Owncloud op eigen NAS, hoe veilig openstellen naar buiten?
« Reactie #1 Gepost op: 2015/07/19, 20:50:35 »
2. genereren van een eigen certificaat voor SSL
Technisch is dat mogelijk maar is een slechte zaak als je daarmee anderen toegang wil geven tot je server of bestanden delen met ownCloud.

Dit zal (zoals je weet) een veiligheidswaarschuwing geven in de browser. Je kan mensen vragen deze waarschuwingen te negeren maar dan loop je meer kans dat dit soort waarschuwing ook wordt genegeerd als er ooit echt problemen zijn met een (ander) certificaat.  :evil:

Een goedkoop certificaatje is een betere oplossing of wellicht kan je wachten tot september en een gratis certificaat aanvragen bij https://letsencrypt.org/

De data directory buiten /var/www plaatsen is niet nodig (als je configuratie verder op orde is) maar kan ook geen kwaad. Een afwijkend poortnummer gebruiken maakt het niet veiliger (alleen lastiger te vinden).
`Wie wil de Nederlandstalige Ubuntu documentatie wiki onderhouden? https://wiki.ubuntu-nl.org

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Owncloud op eigen NAS, hoe veilig openstellen naar buiten?
« Reactie #2 Gepost op: 2015/07/19, 21:11:54 »
Hoi  testcees,

Bedankt voor je antwoord. Je hebt zeker een punt w.b. dat certifikaat. In dit geval denk ik echter dat dat probleem nog wel te overzien is gezien het kleine aantal gebruikers. Ik zal zeker duidelijk maken dat dit normaal gesproken geen goed idee is om dat soort meldingen te negeren.  Maar in dit geval weet ik wel zeker dat het een goed certificaat is. Hoe veilig is dat letsencrypt.org?

Ik heb nu geremapped naar 443.
« Laatst bewerkt op: 2015/07/20, 06:35:57 door MKe »
Mijn blokkendoos blog: http://mke21.wordpress.com/

Offline jan11000

  • Lid
  • Steunpunt: Nee
Re: Owncloud op eigen NAS, hoe veilig openstellen naar buiten?
« Reactie #3 Gepost op: 2015/07/19, 22:20:09 »
Kijk of je nog "two way authentication" kunt gebruiken, bijv die van google, bedrijven gebruiken soortgelijke beveiligingen.
Of bijv hardware yubikey.

En misschien iets instellen van als iemand te vaak inloggen probeert, dat zijn ip geblokkeerd wordt, of voor altijd of voor bepaalde tijd.
« Laatst bewerkt op: 2015/07/19, 22:21:58 door jan11000 »

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Owncloud op eigen NAS, hoe veilig openstellen naar buiten?
« Reactie #4 Gepost op: 2015/07/20, 20:10:16 »
Kijk of je nog "two way authentication" kunt gebruiken, bijv die van google, bedrijven gebruiken soortgelijke beveiligingen.
Of bijv hardware yubikey.

En misschien iets instellen van als iemand te vaak inloggen probeert, dat zijn ip geblokkeerd wordt, of voor altijd of voor bepaalde tijd.
Er zijn apps die dit mogelijk maken (bijv. met fail2ban) maar dit vereist soms enig 'tweaken', is niet standaard en kan problemen geven bij een upgrade.

Dus wel een leuke aanvulling maar een sterk wachtwoord zal niet snel worden geraden dus kan je er ook voor kiezen af en toe een nieuw sterk (uniek) wachtwoord in te stellen.
`Wie wil de Nederlandstalige Ubuntu documentatie wiki onderhouden? https://wiki.ubuntu-nl.org

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Owncloud op eigen NAS, hoe veilig openstellen naar buiten?
« Reactie #5 Gepost op: 2015/07/20, 21:27:27 »
Okay, bedankt. Ik heb de boel nu opgezet en het lijkt te werken.

Nog een vraagje. Hoe kun je de owncloud-client vetellen dat hij het LAN ip adres kan gebruiken inplaats van het externe WAN adres als hij in hetzelfde netwerk is als de server? Of is dit niet mogelijk/nodig? Het lijkt mij dat interne synchronisatie binnen het netwerk een hogere performance zal geven, of heb ik dat mis?

Offline jan11000

  • Lid
  • Steunpunt: Nee
Re: Owncloud op eigen NAS, hoe veilig openstellen naar buiten?
« Reactie #6 Gepost op: 2015/07/20, 23:38:15 »
Als je een adres oproep in je pc, dan wordt er eerst gekeken naar je host file,
dan naar de internet(dns server),
probeer eens in  je host file, je server adres in te zetten, dan zou hij direct daar na toe moeten gaan.

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Owncloud op eigen NAS, hoe veilig openstellen naar buiten?
« Reactie #7 Gepost op: 2015/07/21, 05:37:45 »
Maar dan werkt het extern niet meer.  Dat is lastig met een laptop.

Ik heb inmiddels gevonden dat de client het niet ondersteund. De enige manier om  dit te laten werken is om een eigen, interne DNS server te runnen en je dezelfde hostnaam gebruiken maar dan naar de interne ip te laten verwijzen. Helaas heb ik geen interne DNS server.. Voorlopig gebruik ik alleen het externe ip adres, dat lijkt te werken, ook binnen het Lan van de server en de performance maar voor lief nemen.