@NikoHa@ kirjoitti:
Hei,
Taloyhtiöömme on tullut valokuitukaista (kaapeliantennin kautta).
Onko näillä liittymillä mahdollista (ja sallittua) pitää pientä palvelinta pystyssä? Esimerkiksi kotisivut lähinnä portfolio - käyttöön pienellä liikenteellä, portissa 80 tai edes jossain muussa.
Löytyykö asiasta jostain tarkempaa tietoa?
Kiitos!
Katso liittymän toimitusehdoista, mutta mielestäni nykyään ei Telialla ole enää mitään tällaisia rajoitteita. Muilla operaattoreilla sensijaan voi olla! Joskus näin jonkun tuttavan liittymässä sellaisen rajoitteen että yleistä palvelinta ei saanut olla mutta yksityiseen käyttöön tarkoitettu sai olla.
Kun itse otin ekan ADSL-liittymäni joskus vuonna 2004 niin kysyin, saako laittaa BBS:n (telnet) ja se oli silloin OK. Myös erilaisia muita viritelmiä ja etenkin VPN:t ovat olleet kautta aikojen, eikä niistä ole koskaan tullut mitään sanomista. Näissähän liikenne on erittäin vähäistä. Nykyään on mm. levypalvelin siten että pääsen webbiselaimella siirtelemään tiedostoja kotiin myös ilman VPN:n virittämistä. Tässä on kuitenkin rajattu pääsy palomuurista ainoastaan suomalaisiin IP-osoitteista ja lisäksi tuota ei ajeta vakioporteilla eli pitää tietää se hyvin eksoottinen portti. Tällaisella rajauksella välttää oikeastaan suurimman osan ongelmista.
Jos laitat webbipalvelimen koko maailmalle näkyviin niin huomaat pian että kaikenlaista skannaajaa ja yrittäjää siellä on. Jos palvelimella sattuu pyörimään esim. phpmyadmin, wordpress yms. tunnettja "helppoa" alustoja, niin voit olla varma että niitä yritetään hakkeroida. Omalla kohdalla näistä ei ollut käytössä mitään, mutta silti noita skannattiin jatkuvasti ja niistä jäi merkinnät lokiin. Suomen sisältä ei tällaisia skannauksia tehdä, siksi IP-rajaus on tehokas tapa välttää ongelmia.
Lisäksi sellainen vinkki, että ping kannattaa estää julkisissa IP:ssä. Mulla se oli sallittuna muutaman viikon ajan, koska käytin ulkopuolista palvelua latenssien pidempiaikaiseen monitorointiin. Testin loputtua unohdin blokata pingin ja tilanne oli näin parisen viikkoa. Nyt sitten sataa jotain outoa liikennettä porttiin UDP 389 (LDAP) USA:n suunnalta, todennäköisesti joku hakkerointiyritys. Sinänsä tuo ei aiheuta mitään haittaa/häriötä mihinkään, liikenne on erittäin vähäistä ja koska kyseinen portti ei minulla ole avoinna.
Kylläpä siinä keinot olisi aika vähäisiä noin juridisesti operaattorin puolelta kieltää liittämästä viestintäverkkoon asetuksen mukainen hyväksytty päätelaite.. Esim jos operaattori kieltäsi minua prolianttia kytkemästä vdsl2 yhteyteeni. Eipähän tätä yksikään operaattori koskaan ole kieltänytkään varmaan, mutta siitä voi tehdä tarvittaessa kovinkin hankalaa tuosta palvelimen pidosta mm. ip leasing time sopivan lyhyeksi, blokataan portteja jne..
Telia ei näitä temppuja ole kuitenkaan koskaan harrastanut, nämä stuntit kuuluu sinne sinisen operaattorin harrastamiin toimiin. Siitä en tiedä onko palvelimen pito kielletty sopimusehdoissa erikseen silloin, jos kuluttajalaajakaistan sopijana on yritys ts. tuote on myyty yritykselle. Tietoturvasta kannattaa huolehtia, ja mitä se on siihen kannattaa tutustua jo ennen sitä palvelimen kytkemistä tietoverkkoon. :)
Kiitos vastauksista ja hyvistä vinkeistä! Pistän korvan taakse. Tosiaan Telia mulle uusi operaattori, siksi mietin onko sopimuksen mukaista. Ainakaan heti en sopimusehdoista löytänyt mitään joka tämän kieltäisi ja olisihan se aika kummallista.
Eipä siinä kauaa mennyt että alkoi botit selailla haavoittuvaisuuksia :smileyhappy:
Perehdyn paremmin tietoturvaan ja luultavasti estän kaikki ulkomaiset IP:t alkuun, uusin koko käyttiksen välissä ja aloitan puhtaalta pöydältä. Vähän uutta tämä backend - touhu mutta sitäkin mielenkiintoisempaa.
Kyllä näitä Suomen sisälläkin tapahtuu mutta onneksi yhteistyöllä saadan hakkeroidut reitittimet linjoilta suhteellisen nopeasti ja parannetaan näin verkkomme tieturvaa. Mutta kyllä IP-rajoituksilla esim voi skannereilta hyvin välttää mutta ei se takaa. Olen tätä IP-rajoitusta harrastanut ja nyt tässä tämän vuoden puolelta murrot tapahtuvat kyllä suomalaisten reitittimiin murtaen ensin ja sieltä käytten sitä välityspalvelimena tms.
Eli tärkeintä on korostaa että omassa systeemissä on suojassa. Phpmyadmininia ei kannata edes välttämättä julkisessa verkossa suoraan olla ellei sitä erityisesti tarvitse. Harvoinka kantaa tarvitse kaikkialla käpistellä. WordPress on itsesään aika turvallinen kylläkin, ongelmana tuottaa huonot laajennukset ja teemat joiden kautta murtaudutaan sivustolle. Tietysti usein nämä vielä päivittämättömiä. Koskee myös muitakin sisällönhallintaohjelmistoja tai mitä tahansa -> Eli päivityksen ajantasalle.
Taisivat @SINAD etsiä sinulta vain avointa LDAP-palvelinta. LDAP kun on se käyttäjätietokannoissa käytössä niin siinä oiva kohde. Toinen kohde on SSH-tietysti, eli portti 22/TCP mutta se nyt on hyvin turvallinen ja kyllä itsellä vakiossa on. Siihen iskee kiinalaiset SSH-skannerilla pääasiassa.
--
Palvelimen käyttö kotikäyttöön on sallittua kaikissa liittymissä pääasiassa. Tärkeintä on että huolehdit tällöin itse palvelimen tietoturvasta niin ettei siitä ole haittaa muille. Suosittelen kuitenkin usein verkkosivulle jotakin webhotellia, esimerkiksi Kapsi https://www.kapsi.fi/ tarjoaa hyvään hintaan perus sivulle omaan käyttöön valmista alustaa. Kotikäytössä mm. dynaamisella IP-osoitteella voi tulla haasteita vaikka DynDNS:llä sitä voi yrittää ratkaista.
@NikoHa@ kirjoitti:
Eipä siinä kauaa mennyt että alkoi botit selailla haavoittuvaisuuksia :smileyhappy:
Perehdyn paremmin tietoturvaan ja luultavasti estän kaikki ulkomaiset IP:t alkuun, uusin koko käyttiksen välissä ja aloitan puhtaalta pöydältä. Vähän uutta tämä backend - touhu mutta sitäkin mielenkiintoisempaa.
Tutun näköistä lokia postasit.. Juuri tämän tämmöisen saa pois kun rajaa pääsyn vain suomesta. Mulla menee nämä reitittimen palomuurin läpi (EdgeRouter ERpro8) joten siinä kohtaa onnistuu "suomi IP blokkaus" näppärästi vaikka useammallekin palvelimelle yhdellä kertaa. Sitten jos tarvitsee itse joskus käyttää ulkomailta käsin, onnistuu se joko VPN:llä tai sitten ottamalla suomi-rajaus pois matkan ajaksi.
@olkitu@ kirjoitti:
välttää mutta ei se takaa. Olen tätä IP-rajoitusta harrastanut ja nyt tässä tämän vuoden puolelta murrot tapahtuvat kyllä suomalaisten reitittimiin murtaen ensin ja sieltä käytten sitä välityspalvelimena tms.
Mulla kun ei webbipalvelimella pyöri mitään muuta kuin itse toteutetun sensoriverkon lämpötilasivusto, niin nyt kun katsoin lokeja suomi-rajoituksen laittamisen jälkeen niin eipä siellä enää näy kuin oikeastaan lähiverkon liikennettä. Ne muutamat kerrat toki löytyy ulkoverkosta, kun olen itse sattunut työmatkalla yms. vilkaisemaan esimerkiksi lämmityskattilan tilaa. Hyvin on saanut olla rauhassa. Joskin eipä noista skannauksista aiemminkaan ollut muuta haittaa kuin että loki oli niin täynnä roskaa ettei sieltä tahtonut asiaa löytyä.
@olkitu@ kirjoitti:
Taisivat @SINAD etsiä sinulta vain avointa LDAP-palvelinta. LDAP kun on se käyttäjätietokannoissa käytössä niin siinä oiva kohde. Toinen kohde on SSH-tietysti, eli portti 22/TCP mutta se nyt on hyvin turvallinen ja kyllä itsellä vakiossa on. Siihen iskee kiinalaiset SSH-skannerilla pääasiassa.
Koska SSH on mulla käytössä ainoastaan työjutuissa niin siellä on vieläkin tiukemmat rajat; pääsee sisään ainoastaan ennalta sovituista IP-osoitteista. Ja tähän liittyen mulla on omakin tarve kiinteille IP-osoitteille, koska myös itse voin ottaa yhteyksiä samalla tavalla whitelistattuihin juttuihin, joihin ei mennä edes toisesta saman operaattorin IP:stä.
Suosittelen kuitenkin usein verkkosivulle jotakin webhotellia, esimerkiksi Kapsi https://www.kapsi.fi/ tarjoaa hyvään hintaan perus sivulle omaan käyttöön valmista alustaa. Kotikäytössä mm. dynaamisella IP-osoitteella voi tulla haasteita vaikka DynDNS:llä sitä voi yrittää ratkaista.
Kapsi on hyvä, siellä mullakin on kaikki julkiseksi tarkoitetut jutut.
Joo, tuo IP - rajoitus olisikin lähinnä HTTP - pyyntöjen vähentämiseen / lokien siivoamiseen eikä varsinaista turvallisuutta varten vaikka siihenkin parempi kuin ei mitään.
Kapsi näyttää mielenkiintoiselta kyllä, laitoin kirjanmerkkeihin.
Tämä mun raspberry pi - projekti onkin lähinnä opettelua ja testailua, mielenkiinnosta miten vähällä raudalla saa palvelimen pyörimään ja mihin asti taipuu. Mikäli lähden oikeita kotisivuja toteuttamaan niin tuo Kapsi on varmasti hyvä vaihtoehto.
Kun tuo palvelin on kiinni sillatussa ethernet - portissa, pitääkö ottaa huomioon mahdollisuuksia hyökkääjälle päästä käsiksi itse modeemiin ja/tai lähiverkkoon ja voiko palvelimen tietoturva-aukko sallia tällaisen? Käytössä Sagemcomin FAST3284 DC, alunperin DNA:lta ja softaversiona näkyykin DNA_2.89.0. Itse palvelimelle en aio laittaa mitään mikä olisi yksityistä tai tärkeää.
@NikoHa@ kirjoitti:
Kun tuo palvelin on kiinni sillatussa ethernet - portissa, pitääkö ottaa huomioon mahdollisuuksia hyökkääjälle päästä käsiksi itse modeemiin ja/tai lähiverkkoon ja voiko palvelimen tietoturva-aukko sallia tällaisen? Käytössä Sagemcomin FAST3284 DC, alunperin DNA:lta ja softaversiona näkyykin DNA_2.89.0. Itse palvelimelle en aio laittaa mitään mikä olisi yksityistä tai tärkeää.
Ei siitä pitäisi päästä kumpaankaan, voithan toki helposti kokeilla saatko Pi:ltä mihinkään yhteyttä niin saat vielä varmistuksen siihen. Oletan toki että olet estänyt hallintayhteyden WAN-puolelta tuohon kaapelimodeemiin.
WAN blocking on tosiaan päällä modeemista (tehdasasetusten mukaisesti) mutta pääsen kyllä Pi:llä käsiksi modeemin asetuksiin (oikealla salasanalla, SSH:n kautta ainakin lähiverkossa). Onko tämä asia jota kannattaa tutkia tarkemmin ja estää ko. ethernet - portista?
Suuret kiitokset vielä kaikista vastauksista, tutkin asioita itsekin mutta tämä ketju on auttanut paljon ja oikeaan suuntaan.
@NikoHa@ kirjoitti:
Tämä mun raspberry pi - projekti onkin lähinnä opettelua ja testailua, mielenkiinnosta miten vähällä raudalla saa palvelimen pyörimään ja mihin asti taipuu.
Raspberry Pi on kyllä ihan pätevä moneen juttuun ja etenkin etähallintahommiin. Pyöriihän noita omassakin verkossa tälläkin hetkellä 8 kpl, joista 3 kpl. on erilaisia servereitä. Näistä yksi näkyy myös julkisen verkon puolella.
Noista asetuksista kun kyselit, niin minulla tuo julkisessa verkossa näkyvä raspi on conffattu siten, että julkiseen verkkoon on avoinna vain ja ainoastaan yksi tarvittava palveluportti, eikä laite vastaa edes pingeihin. Ja varsinkaan SSH ei ole avoinna julkiselle puolelle lainkaan. SSH:lla pääsee ainoastaan lähiverkon kautta. Normaalin iptablesin lisäksi tässä on sovellettu VLAN-tekniikkaa, jonka ansiosta laite voi liittyä sen ainokaisen Ethernet-porttinsa kautta kahteen ihan erilliseen verkkoon ja laittella on kaksi eri IP-osoitetta. Toinen on lähiverkon kiinteä IP ja toinen tulee DHCP:llä Telialta. Kumpikin virtuaalinen portti näkyy Linuxissa omina erillisinä interfaceina, vaikka ne jakavatkin saman fyysisen portin.
Tällainen järjestely vaatii toki VLANeja tukevan kytkimen. Kaikki oman verkon kytkimet ovat tällaisia ja niinpä saan ohjattua tarvittaessa julkisen verkon mille tahansa laitteelle tai voi myös rakentaa systeemejä missä yksi laite on yhteydessä useampaan verkkoon.
Pistän tähän vielä linkin YouTube-videoon viimeisimmästä Raspi-projektistani, eli PiHole DNS-serveri. Mulla on verkkokaapissa käytännössä DIN-kisko näitä varten ja kun Raspberry Pi3+:aan saa PoE-tuen niin onpas näppärää pistää sinne näitä purkkeja, kun ne ottavat myös virran Ethernetin kautta!
Raspin kanssa yksi tärkeimmistä huomioonotettavista jutuista on se, ettei MicroSD kortti kestä kirjoittamista rajattomasti, vaan kortti kuluu jokaisesta kirjoituskerrasta. Siksi, jos serveri tallentaa koko ajan jotain lokeja tai tietokantaa, ei sitä kannata ajaa MicroSD-kortin varassa. Mulla tämä on ratkaistu siten, että nuo Raspit boottaavat itsensä pystyyn verkon kautta iSCSI-tekniikalla levypalvelimelta, ja kaikki tiedontallennus tapahtuu sinne. Tästä viritelmästä kertoo myös tämä video:
Raspberry Pi3+ boot over Ethernet with power over ethernet
Toinen vaihtoehto on pistää Raspberyyn fyysinen USB:lla toimivan verkkokortin niin saa ihan fyysisenä ettei tarvitse VLANilla tehdä... En tiedä miten aloittajalla on verkot hallussa niin fyysinen voi olla helpompi ymmärtää ennen kuin hankkii hallittavan kytkimen mihin sitten alkaa laittamaan VLANeja ja sitten vaatisi vielä reitittimen ellei tämä kyseinen kytkin ole L3-kytkin melkeinpä... Ellei sitten aio oikein viritellä tätä verkkoa toisiin ulottuvuuksiin kuluttajareitittimien kanssa.