Absicherung von UCS

german
ucs-4-2

#1

Hallo,

welche Möglichkeiten bestehen noch zur Absicherung von UCS, außer sichere Kennworter, regelmäßige Systemupdates und entfernen nicht benötigter Apps und Pakete?


#2

Hallo Uwe,

es gibt ja diese Überlegungen vom Support UCS and security hardening
Insgesamt kommt es wohl bei Sicherheitsfragen sehr auf das Szenario an - wer hat überhaupt Zugang zum System? Welche Dienste laufen wo? Etc.

Grüße,
Bernd


#3

Hallo @Bernd,

danke für den Hinweis.

Werde ich mir mal bei Gelegenheit anschauen. Ist es empfehlenswert eine komplette UCS Domäne auf Servern mit öffentlichen IPs zu betreiben?


#4

Hallo Uwe,

ich bin kein Sicherheitsspezialist, als solcher würde ich sagen: nein, nicht empfehlenswert. Eine andere Sache ist es evtl. mit Cloud Servern und Zugriff auf umfangreiche Netzwerk/Firewall-Konfigurationen.
Desweiteren kommt es wohl auf das Monitoring insgesamt an und auf das Wissen über die ganzen Dienste, die dann eben auf einer öffentlichen IP Adresse laufen würden.

Grüße,
Bernd


#5

Hallo,

wie sieht es denn aus, wenn nur der Memberserver mit einer Portfreigabe, also 443 für https, 25/465/587 für SMTP, 143/993 für IMAP und ggf. POP3 über eine öffentliche IP im Netz erreichbar ist?
In weit sind die Loginseiten von UCS selbst und Apps wie Kopano, KIX, SuiteCRM etc. gegen Angriffe aus dem Netz geschützt?


#6

Die UCS-Loginseite ist naturgemäß nicht weiter geschützt, denn ihre Aufgabe ist es ja gerade, Systemadministration per UMC zu ermöglichen.
Für die Apps ist das z.T. unterschiedlich aber bei den von Dir genannten gehe ich auch davon aus, dass sie sicher sind- die sind ja dafür ausgelegt, ihre Dienste z.T. im Internet zu erbringen.

Dennoch stimme ich lebernd zu, dass ich das nur mit einer vorgeschalteten Firewall machen würde. Du kannst UCS sichern und diverse Dienste nur auf localhost laufen lassen, aber das ist für eine evtl. nötige Fehlersuche schwierig.

/KNEBB


#7

Du meinst, dass ich in der Apache Config nur notwendige Apps freigebe und der Rest ausschließlich intern aufrufbar ist? Oder gibt es noch eine andere Möglichkeit?


#8

Nein, das meinte ich nicht.
Du kannst Apache ja grundsätzlich so konfigurieren, dass er nicht auf allen Netzwerkinterfaces “lauscht”. Also könntest Du ihm sagen, dass er z.B. nur auf dem VPN-Interface lauschen soll. Damit wäre Apache vom Internet nicht erreichbar. Und das geht auch mti den vielen anderen Diensten beim UCS.

Allerdings ist das wohl definitiv eine “unsupported configuration” und ich würde darauf wetten, dass so einiges dann nicht mehr sauber läuft…deshalb lieber Finger weg.


#9

Hallo Uwe,

Du kannst Dir meinen Kampf mit openvpn hier anschauen: Openvpn Site to Site - Ports nur für vpn Verbindung öffnen
Mittlerweile funktioniert das Setup jedoch wirklich ganz gut. Wichtig war nochmal der Hinweis auf die Möglichkeit mit iptables -I die nicht öffentlich notwendigen Ports zu schließen.

Grüße,
Bernd