Domanda Sicurezza per nextcloud

[Jokerdf00]

Salve a tutti ho recentemente tirato su da un raspberry un serverino con nextcloud, la mia curiosità era:
Quali sono le "best practice" per la sicurezza se volessi esporlo anche al di fuori della mia rete domestica?
Io ne ho pensate alcune ma vorrei dei vostri pensieri a riguardo.

Tunnel VPN: connettere il client in questione (ES. Telefono) fino alla rete di casa
Autenticazione a 2 fattori (penso sia scontata)
Mettere il rasp in DMZ
Mettere il rasp in una VLAN
Cifrare i dati lato server (poco versatile sopratutto sopra un rasp)

Ho buttato un po' di idee come si dice alla cazzus

Che ne dite? Cosa implementereste? Una sola? Due? Tutte insieme?
Grazie in anticipo delle risposte!

 

[DjCanigia]

Ciao!
Dipende da cosa vuoi proteggerti, puoi anche usare cloudfare

 

[Jokerdf00]

Ciao!
Dipende da cosa vuoi proteggerti, puoi anche usare cloudfare

Perdonami avevo risposto in maniera errata, riformulo la risposta. In realtà cercavo qualcosa per aumentare la sicurezza generale nulla di super specifico, perfettamente cosciente che sicuro al 100% non lo si é mai e tra l'altro sono sempre un signor nessuno quindi non penso di essere nel mirino dei "malviventi" informatici però preferisco prevenire

 

[DjCanigia]

Semplicissimo cloud fatto in casa per vari materiali, documenti foto e quant'altro

Sisi so cos'è nextcloud intendo te da cosa vuoi proteggerti da che tipo di attacco e per quale motivo

 

[Jokerdf00]

Sisi so cos'è nextcloud intendo te da cosa vuoi proteggerti da che tipo di attacco e per quale motivo

Sisi avevo letto male io la domanda ho modificato la mia risposta

 

[fennek]

Ciao!
Con un tunnel VPN ben impostato sei già al sicuro dal 99% dei problemi: il traffico è criptato, e l'istanza non è esposta a internet.
Come pensi di impostarla la VPN? Quale intendi usare?

Se invece l'istanza è esposta a internet, ti consiglio di eseguire https://scan.nextcloud.com/

 

[DjCanigia]

Sisi avevo letto male io la domanda ho modificato la mia risposta

Comunque mettere in DMZ non è mai una buona idea perché ti esponi completamente, come mai hai bisogno del DMZ?

 

[Jokerdf00]

Comunque mettere in DMZ non è mai una buona idea perché ti esponi completamente, come mai hai bisogno del DMZ?

Grazie inanzi tutto delle risposte. Non ho ancora eseguito nulla avevo solo buttato giu una lista di cose che potessero alzare la sicurezza del cloud in caso lo esponessi in esterno. Comunque penso che la scelta migliore sia un tunnel vpn

Messaggio unito automaticamente: 11 Marzo 2023

Ciao!
Con un tunnel VPN ben impostato sei già al sicuro dal 99% dei problemi: il traffico è criptato, e l'istanza non è esposta a internet.
Come pensi di impostarla la VPN? Quale intendi usare?

Se invece l'istanza è esposta a internet, ti consiglio di eseguire https://scan.nextcloud.com/

Grazie mille dello spunto. A livello pratico non ho mai tirato su un tunnel vpn quindi devo informarmi su come iniziare quale usare e come ma penso che comunque si la scelta migliore cosi evito anche di esporlo direttamente su internet esterno. Se tante volte hai qualche guida o qualche spunto da dove partire sono aperto a tutto

 

[JunkCoder]

Grazie inanzi tutto delle risposte. Non ho ancora eseguito nulla avevo solo buttato giu una lista di cose che potessero alzare la sicurezza del cloud in caso lo esponessi in esterno. Comunque penso che la scelta migliore sia un tunnel vpn

Messaggio unito automaticamente: 11 Marzo 2023

Grazie mille dello spunto. A livello pratico non ho mai tirato su un tunnel vpn quindi devo informarmi su come iniziare quale usare e come ma penso che comunque si la scelta migliore cosi evito anche di esporlo direttamente su internet esterno. Se tante volte hai qualche guida o qualche spunto da dove partire sono aperto a tutto

• OpenVPN
• Wireguard
• Tanti altri proprietari e non

 

[Netcat]

La miglior risposta alla tua sicurezza sei tu e la tua consapevolezza dell'utilizzo che fai dei tuoi dispositivi. Non c'è nessun antivirus e nessun software specifico che salva la giornata. Una vulnerabilità non coperta, un allegato sospetto aperto irresponsabilmente e puoi ritrovarti ad avere a che fare con malintenzionati. Per quanto riguarda la VPN, devi scegliere un provider che ha Zero Tollerance per cose come spamming o phishing, dato che qualora tu scelga inconsapevolmente una VPN "hacker-friendly", rischierai di ritrovati in molte blacklist, perché queste VPN vengono usate da gente che non sa quello che fa. Un Indirizzo IP in blacklist viene costantemente bloccato da Google e da qualunque provider che abbia un minimo di rispetto per la sicurezza di chi naviga su Internet.

 

[JunkCoder]

La miglior risposta alla tua sicurezza sei tu e la tua consapevolezza dell'utilizzo che fai dei tuoi dispositivi. Non c'è nessun antivirus e nessun software specifico che salva la giornata. Una vulnerabilità non coperta, un allegato sospetto aperto irresponsabilmente e puoi ritrovarti ad avere a che fare con malintenzionati. Per quanto riguarda la VPN, devi scegliere un provider che ha Zero Tollerance per cose come spamming o phishing, dato che qualora tu scelga inconsapevolmente una VPN "hacker-friendly", rischierai di ritrovati in molte blacklist, perché queste VPN vengono usate da gente che non sa quello che fa. Un Indirizzo IP in blacklist viene costantemente bloccato da Google e da qualunque provider che abbia un minimo di rispetto per la sicurezza di chi naviga su Internet.

Senza dubbio, ma qui si non si parla di VPN a pagamento per l'anonimato: vuole stabilire una rete privata in modo da non esporre il servizio http direttamente sul web pubblico, non gli serve per navigare sul resto di internet con un altro IP. In questo modo il sito non può essere trovato da cose come shodan nè attaccato direttamente senza prima che l'attaccante abbia accesso alla VPN.

 

[MiLimat]

Salve a tutti ho recentemente tirato su da un raspberry un serverino con nextcloud, la mia curiosità era:
Quali sono le "best practice" per la sicurezza se volessi esporlo anche al di fuori della mia rete domestica?
Io ne ho pensate alcune ma vorrei dei vostri pensieri a riguardo.

Tunnel VPN: connettere il client in questione (ES. Telefono) fino alla rete di casa
Autenticazione a 2 fattori (penso sia scontata)
Mettere il rasp in DMZ
Mettere il rasp in una VLAN
Cifrare i dati lato server (poco versatile sopratutto sopra un rasp)

Ho buttato un po' di idee come si dice alla cazzus

Che ne dite? Cosa implementereste? Una sola? Due? Tutte insieme?
Grazie in anticipo delle risposte!

È passato circa un mese da questa richiesta ma vorrei riportare la mia esperienza, visto che anch'io ho Nextcloud con Raspberry Pi.

Se non lo rendi accessibile a tutti all'esterno della tua rete locale (ergo, basta collegarsi ad un sito come si fa normalmente, come per esempio con gmail.com ) allora devi prestare più attenzione.
Se, come ti consiglio, lo rendi accessibile SOLO tramite VPN (ti consiglio personalmente Wireguard) all'esterno della tua rete locale, allora sei molto molto più tranquillo. Finché mantieni tutto aggiornato per me puoi dormire sonni tranquilli.

Altro consiglio: installa Wireguard direttamente sul Raspberry e non tramite docker. Trovi un video in italiano (di SDReview) in cui ti fa vedere passo passo come si fa