Webserver mit Cloudflare absichern?

    Ich benötige einen Webserver zur Freigabe von spezifischen Dateien für Bekannte auf meinem Qnap.

    Nun bietet so ein Webserver per se ja theoretische Angriffsstellen die ein Sicherheitsrisiko für mein Netzwerk darstellen.

    Wäre es sinnvoll den Zugriff auf den Webserver nur per Cloudflare (mittels Whitelist auf der Firewall für das NAT) als eine Art Reverse Proxy zu erlauben?

    Wären damit die systembezogenen Angriffssflächen für die jeweilige Applikation wie z.B.: Nginx oder Apache eliminiert?

    Bevor Cloudflare genutzt und gezahlt wird..würd ich nen dropbox oder onedrive (etc)account anlegen.


    Kannste sogar nen sync vom qnap drauf machen


    Sicherheit liegt bei denen ..und nicht bei dir

    Ansonsten, Docker, VMs verwenden, diese in einer DMZ hart abschotten.


    Oder in einer DMZ einen Pi betreiben, das würde gehen, da es sogar als Hardware eigenständig läuft und bei Fehler im Docker die durchschlagen werden, nur der Pi selber geknackt werden kann.

    Dann sind die in deiner DMZ und könnten bei sauberem Regelwerk nix machen.


    Wird der Conti dann noch sauber gepflegt, ist das Risiko überschaubar.


    Wird er nicht gepflegt, bekommt der Pi halt 1 mal im Jahr einen neuen Admin.


    Aber nach der ganzen Scheiße die abging und auch wieder abgeht, würde ich keinen QTS Dienst mit nakigem Hinter ins WAN stellen.

    Cloudflare gibts ja in der Basisvariante gratis. Wie wärs mit einem Caddy Webserver als Docker Image und das ganze reverse über Cloudflare mit Cloudflare Only Whitelist am Router NAT.

    Wieviel GB willst du denn freigeben?

    Was soll Cloudlfare dir privat bringen? Eine DDoS Attacke, ja und? Ist für dich kein Weltuntergang. Andere Angriffe werden damit nicht abgewehrt. Wenn dein System nicht sicher ist, schützt dich Cloudflare auch nicht.


    Auf eine QNAP würde ich ein Webserver gar nicht setzen, weder direkt, noch als VM oder Docker oder sonst was.

    Der Webserver soll eigentlich der schnellen, unkomplizierten Freigabe von grösseren Zip Dateien zb. Gopro Videos für Freunde und Familie dienen. Es sollen auf dem Server als nur. zip Dateien und basale. html Dateien liegen. Damit sollten doch die Angriffsmöglichkeiten beschränkt sein... z.B. code injection ohne PHP oder?

    Meine Frage ging eher in die Richtung, ob man nicht mit einem Webhostingpaket bedient sein könnte, weil man bspw. max. 250GB Webspace (6 Euro pro Monat) braucht. Dann hätte man das Problem der Verwaltung, der Angriffe etc. nicht.


    Falls du es daheim haben willst, würde ich einen RaspberryPi nehmen, einen Webserver mit Firewall (iptables) und einer Zugriffsbeschränkung (fail2ban) darauf laufen lassen und diesen ans Internet als Exposed Host klemmen. Dann könnte man sogar mit dem Gedanken spielen eine Nextcloud darauf zu installieren.


    Auch ein Blick wert bspw Hetzner Storage Share, scheint eine Nextcloud zu sein, weiß ich aber nicht sicher, 500GB 6 Euro.

    Was wären denn denkbare Angriffssszenarien an einen Caddy Webserver in Docker der nur von Cloudflare IPs direkt erreicht werden kann und auf dem keine Scripte laufen?


    Und ja... 6x1TB könnte man sich zb über 365Family und Onedrive oft schon ab 50 Euro pro Jahr im Angebot holen.

    Zitat von Zappermaster

    Was wären denn denkbare Angriffssszenarien an einen Caddy Webserver in Docker der nur von Cloudflare IPs direkt erreicht werden kann und auf dem keine Scripte laufen?

    Es sollte dir bewusst sein, dass Cloudflare keine echte Ende zu Ende Verschlüsselung unterstützt. D.h. aller Traffic geht unverschlüsselt durch die Cloudflare Server. Wenn die einen Fehler machen, sind alle Daten frei, passiert natürlich nicht, sind ja Profis:

    https://www.heise.de/security/…-oeffentlich-3634075.html


    Ansonsten, da du Cloudflare als Proxy dazwischen geschalten hast wird es für andere Externe wenig Angriffsmöglichkeiten geben. Außer QNAP schlamppt und deren "Firewall", d.h. die Blockierung fremder IPs funktioniert nicht zuverlässig. Wenn du natürlich 6TB ins Internet stellen willst, dann musst du ja deine NAS ins Netz stellen. Wenn es ein paar hundert GB wären hättest du die Verwaltung/Pflege eben abgeben können.

    Zitat von Crazyhorse

    Aber nach der ganzen Scheiße die abging und auch wieder abgeht, würde ich keinen QTS Dienst mit nakigem Hinter ins WAN stellen.

    Das sehe ich auch so.


    Um welchen Datenmenge geht es denn (Mb, Gb, Tb)?

    Also die Daten die ich freigeben möchte müssen weder verschlüsselt übertragen werden noch sind Zugriffsbeschränkungen erforderlich. Geheime Inhalte in dem Sinn gibt es nicht wirklich. Es kann da schonmal um einige 100GB an Daten gehen die temporär schnell zur Verfügung gestellt werden sollen. Mir würde es reichen wenn der Webserver nur nicht als Eintrittskarte dienen kann um das Nas zu übernehmen oder auf andere nicht per Docker - Caddy freigegebene Daten auf dem Nas zuzugreifen. Die NAT Whitelist zu Cloudflare würde ich nicht über die QNAP Firewall sondern direkt über den Router - Unify USG realisieren.