Absicherung der eigenen Programme

[azzo]

Hallo Freunde,

ich denke, das könnte interessant sein und sehr viel Arbeit sparen!

Manchmal sieht man den Wald nicht vor lauter Bäumen: Wenn man eine HTML/PHP-Anwendung oder den RDP-Zugriff nur über Cloudflare zugänglich macht, könnte man in der Anwendung auf ein Login verzichten.

Cloudflare Access ist ein Teil von Cloudflare Zero Trust und bietet Funktionen wie Benutzer-Authentifizierung, Identitätsprüfung und Zugriffskontrolle auf Basis deiner Richtlinien.

Das bedeutet, dass nur Benutzer, die sich über Cloudflare Access authentifiziert haben, Zugriff auf die Anwendung erhalten.

Was meint ihr?

LG
Otto

[Jan]

Hallo Otto,

kann ich denn die Anmeldedaten abfragen? In den Programmen, die ich für meine Kunden schreibe, ist die Anmeldung auch dazu da zu erkennen, wer das ist. Und ihm entsprechende Rechte in verschiedenen Modulen im Programm zu gewähren - oder eben auch nicht.

Es geht also nicht einfach nur darum: Darfst Du das Programm überhaupt starten? Sondern auch darum: Was darfst Du dann im Programm so alles machen?

Jan

[azzo]

Hallo Jan,
Ich denke, das ist ein Ersatz für einen VPN und zusätzlich hast du ein State-of-the-Art-Login.
Zudem ist Cloudflare für die Volumina, die die meisten von uns haben, auch kostenlos.
Auch ist die ganze Sache SSL-verschlüsselt und läuft über TCP.
Ich hoffe, dass ich heute den ersten Tunnel für RDP testen kann.


Liebe Grüße
Otto

[azzo]

Hallo Feunde,

RDP und WEB arbeiten jetzt mit Cloudflare zusammen.

Lange habe ich nach einer einfachen Lösung gesucht.

Ich denke, ich habe die Lösung gefunden. In jedem Fall habe ich die Entscheidung getroffen und meine Teammitglieder informiert.

Ich hoffe, dass einige von uns hier ebenfalls Cloudflare nutzen und wir uns darüber austauschen können.

Sicherheit ist das wichtigste Thema, wenn es um das Web geht.

Da es keine Geschäftsgeheimnisse preisgibt, poste ich hier den Newsletter, den ich an mein Team geschickt habe. Es ist eine Erleichterung, eine gute Lösung für ein Problem zu finden.

LG
Otto

[Martin Altmann]

Ohne öffentliche IP hast du keinen Zugriff auf Cloudflare - mit einer privaten IP bist du nur innerhalb deines Netzes unterwegs, nicht aber im Internet. Sobald Du raus gehst ins Internet, tauchst Du dort mit einer öffentlichen IP auf! Das ist im Allgemeinen die IP des Gerätes, das den Zugang sicherstellt (z.B. Router, Firewall, Proxy - kann aber auch dein pc sein, wenn er mit einem Interface ins Internet „durchgestochen“ ist).

Viele Grüße
Martin

[ramses]

Es stellt sich bei Cloudflare schon lange die Frage nach dem Serverstandort und dem Datenschutz. Aus meiner Sicht ist Cloudflare für Klein- und Mittelgrosse Betriebe in jeder Hinsicht die schlechteste aller möglichen Lösungen ....

[azzo]

Hallo Martin, hallo Carlo,

Ich habe meine Lösung hier gepostet, um fachliches Feedback zu erhalten und freue mich über eure Antworten.

Ich habe lange nachgelesen und meine, dass die Lösung mit Cloudflare so funktioniert. Ich habe aber noch wenig Erfahrung damit!

Die beschriebene Vorgehensweise ist der gängige Sicherheitsansatz, wenn man Cloudflare als Schutzschild vor die eigene Infrastruktur stellt. Du nutzt die öffentliche IP weiterhin, setzt aber eine Barriere (Firewall), die nur Cloudflare-Quellen durchlässt. Alle anderen Anfragen werden von vornherein verworfen.

Welche Lösungen könnt ihr vorschlagen. Ob es neben der oben beschriebenen Sicherheitsvorgehensweise eventuell noch bessere Ansätze gibt, die insbesondere auch den Datenschutz- und Standortbedenken gerecht werden. Gibt es praktikable Alternativen oder Best Practices, die gerade für kleinere Betriebe besser passen?

Wichtig ist nur, dass man unabhängig von den Hardwarehändlern und Sysadmins ist.

LG
Otto

[azzo]

Hallo Martin,

eigentlich funktioniert alles schon recht gut mit Cloudflare.

Ich habe mich nochmals mit deinen Bedenken beschäftigt.
Ich denke, wenn ich Cloudflare Tunnel als Lösung nehme, dass deine Bedenken damit zerstreut sind.

Mit einem Cloudflare Tunnel ist die öffentliche IP des Routers irrelevant, weil:
Dein Server initiiert eine ausgehende Verbindung zu Cloudflare.
Solange dein Server über das Internet kommunizieren kann (über NAT/Router), bleibt der Tunnel aktiv.
Du brauchst keine Portweiterleitung oder eine feste IP auf dem Router.

Kannst du dem zustimmen, oder übersehe ich hier etwas?

LG
Otto

[Martin Altmann]

Nochmal: dein Router hat in das Internet eine öffentliche IP-Adresse. Ohne dieser könntest du nicht in das Internet. Mit dieser tauchst du auch auf Cloudflare auf - der Tunnel wird zwischen dieser öffentlichen IP und der Cloudflareinfrastruktur gebaut.
Dein Server/PC braucht natürlich keine eigene öffentliche IP - aber das bräuchte er auch nicht, wenn du über deinen Router aus dem Internet erreichbar sein wolltest (Stichwort NAT / Portforwarding).

Viele Grüße
Martin

[azzo]

Hallo Martin,
danke. Ich habe dein Posting falsch verstanden. Ich glaubte, du meinst, ich würde damit zusätzlich ein Sicherheitsrisiko aufmachen.
Schönen Sonntag.
lg
Otto

[ramses]

.... ich würde damit zusätzlich ein Sicherheitsrisiko aufmachen.

Ja, Otto, das machst du vermutlich durchaus. Denn du hast keine Ahnung wohin und zu welchen IP-Adressen der Cloudflare Client (den du zwingend Installieren musst) auf deinem Rechner Verbindung aufnimmt und zu welcher Adresse der Client die Verbindung weiterleitet und Tunnels öffnet. Geschweige denn was der Client in deinem Netzwerk alles macht.

Bitte bedenke eines: Cloudflare mag wohl auf den ersten Blick kostenlos sein, aber mit irgendetwas musst du den Service bezahlen.
Bei Kostenlosen Internetdiensten bezahlst du ja meistens mit deinen Daten .........

Ich bin der Meinung mit einer guten Hardware-Firewall mit einigen zusätzlich Möglichkeiten die über die 0815 Möglichkeiten der billigen Provider Firewalls hinausgehen bist du weit besser bedient ...... und wenn sich der Admin vor Ort querstellt (dein grösstes Bedenken) bist du da eh für alle Zeit auf verlorenem Posten.....

Dazu kommt noch das Risiko eines Ausfalls oder plötzlichem Abo-Zwang bei Cloudflare ..... stell dir mal vor deine Kunden können plötzlich alle nicht mehr Arbeiten ... du hast mit den kostenlosen Diensten keinerlei Garantien von Cloudflare ....

[azzo]

Hallo Carlo,

Vielen Dank für die Rückmeldung und die kritischen Punkte zu Cloudflare.

Es wäre tatsächlich vermessen von mir, nach nur wenigen Tagen Nutzung hier Pros und Cons anzuführen.

Ich habe gerade erst begonnen, mich intensiver mit Cloudflare zu beschäftigen und werde weiterhin Informationen sammeln.

Du hast sicherlich recht, dass Cloudflare – wie alle kostenlosen Internetdienste – irgendwo bezahlt werden muss.
Natürlich bleibt das Risiko, bei Cloudflare abhängig zu werden oder bei einem plötzlichen Abo-Modell Probleme zu bekommen.

Es wird spannend sein, eine Balance zwischen zuverlässiger Hardware und modernen Cloudlösungen zu finden.

Nochmals danke für die Perspektive – ich werde das in meine Überlegungen einfließen lassen!

Nachdem du, wenn ich mich richtig erinnere, in der Hauptsache große Firmen als Kunden hast, ist es etwas anderes bei uns. Wir haben eher kleine bis zu wirklich kleinen Einmann-/Frau-Betrieben. Dort hat der EDV-Betreuer einen Stellenwert, und meist vertreiben oder kennen die EDV-Betreuer schon ein Programm mit ähnlichem Leistungsumfang wie dem unseren und wollen dann "ihres" installieren und verkaufen.

Es ist dann besser, wenn man selbst ein "geschlossenes System" anbietet, das unabhängig arbeitet.

LG
Otto

[azzo]

Ihr Server. Ihre Daten. Ihre Freiheit – Sicher geschützt wie eine Festung

Hallo Freunde,

Die gesamte Installation ist so perfekt, dass ich immer wieder denke, ich muss etwas übersehen haben.
Jetzt habe ich einen USB-Stick, den ich per Copy-and-Paste auf das Zielsystem kopiere.
Dann registriere ich die Domain – ca. 10 $ –, führe die Einrichtung auf der Website durch und passe die `config.yml` auf dem Zielserver an.
Und dann läuft alles bereits.

Wir arbeiten aktuell an der Werbung für die Cloud-Lösung:

Ihr eigenes Hosting, Ihre Cloud und Ihr Remote-Zugriff – alles in einem.

Auf jedem Desktop ein Webserver in greifbarer Nähe


Sicherheit

- Nutzung von Cloudflare Tunnel und Zero-Trust-Technologie für sicheren Zugriff.
- Kein direkter externer Zugang – Angriffe auf offene Ports werden ausgeschlossen.
- Integrierte Schutzmechanismen gegen DDoS- und Brute-Force-Angriffe.

Flexibilität

- **Webhosting:** Stellen Sie Ihre eigene Website öffentlich bereit, wie bei einem herkömmlichen Webhoster.
- **Tunnelgesicherte Webanwendungen:** Nutzen Sie interne Anwendungen wie CRM, Nextcloud oder eigene Dashboards sicher über Cloudflare Tunnel.
- **Remote-Desktop:** Greifen Sie von überall sicher per RDP auf Ihren PC oder Server zu.

Kostenersparnis

- Keine teuren Hosting- oder Cloud-Speicher-Abonnements.
- Effiziente Nutzung vorhandener Hardware.
- Einmalige Einrichtungskosten statt wiederkehrender monatlicher Gebühren.

Datenhoheit

- Alle Daten bleiben lokal und vollständig unter Ihrer Kontrolle.
- Keine Abhängigkeit von externen Cloud-Anbietern wie OneDrive, Google Drive oder Dropbox.

Beste Grüße,
Otto

[azzo]

Ich habe diesen Beitrag entfernt, da er nicht mehr relevant war.

[Tom]

Auch merkt man einen Trend, dass die Anwender ihre Daten im Haus möchten.

Ja, das stimmt. Während einige lautstark verkünden, dass Web-Anwendungen, die vollständig anbietergehostet sind, das absolut große und unvermeidliche und alle betreffende Ding der Zukunft sein werden, suchen sie (und andere) händeringend nach Lösungen dafür, das vor allem bei kritischen Anwendungen und vor dem Hintergrund neuester gesetzlicher Vorgaben (etwa Zertifizierungen wie C5) irgendwie auf die Kette zu kriegen. Einige Systematiken wie etwa die Anbindung an die Telematik-Infrastruktur im Gesundheitswesen lassen sich nur mit sehr hohem technischen (Zusatz-)Aufwand in Web-Anwendungen realisieren, und damit wächst, was in solchen Topologien ohnehin ein Problem ist, die Kette der voneinander abhängigen technischen Instanzen um zwei, drei weitere, von denen jede einzelne alles zum Erliegen bringen kann, und das nicht selten für einen ganzen Haufen Nutzer auf einmal. Zugangskontrollen und außerhäusige Datenhaltung sind nur zwei Aspekte von ziemlich vielen. Diese Schlacht hat noch keinen Sieger, und möglicherweise dauert sie noch einige weitere Jahre. All diese Probleme habe ich nicht bei einem eigenen Netzwerk mit einer klassischen On-Prem-Software, die lokal ihre eigene Datenhaltung macht. Dafür hat diese Lösung andere gravierende Nachteile.

[RolandG]

Otto - wenn Du über RDP zugreifst ist vermutlich alles Inhouse.
Und Deine eigene Cloud ist die Web-Oberfläche für die Ein-/Ausgaben.
Die User müssten sich ja an der MS-Domäne anmelden und CloudFlair wäre eine zweite Authentifizierungsebene.
Wie kommen die User an die RDP-Anmeldung?
Hast Du dann die Ports für RDP und für Deine Cloud am Router geöffnet?

[azzo]

Hallo Roland,
vom PC, mit dem du zugreifen möchtest, musst du zuerst Cloudflared Access starten. Dabei erfolgt die Zwei-Faktor-Authentifizierung (2FA) über Cloudflare: Du gibst Benutzername und Passwort ein und bestätigst anschließend die Anmeldung mit dem Code, den du auf dein Handy geschickt bekommst. Danach startest du die mstsc.exe (Remote Desktop Verbindung) und verwendest anstelle der IP-Adresse localhost:PortNr, wobei die Portnummer derjenigen entspricht, die du in Cloudflare Access konfiguriert hast.

LG
Otto

[RolandG]

Die von Dir aufgezeigte Situation zeigt schon eine mehrstufige Absicherung (4):
- Cloudflare Passwort
- Cloudflare 3FA (SMS?)
- Cloudflare VPN
- MS Domain Login RDP
Aber wie man sieht hat man nur zwei Schutz-Anbieter in der Verbindung: 3x Cloudflare und 1x MS.
Und Cloudflare muss vermutlich auf dem In-House Web-Server installiert werden (und hat damit Zugriff auf den Web-Server).
So viel Vertrauen in einen Anbieter?

[Tom]

Es gibt andere Möglichkeiten, Server für RDP-Situationen abzusichern. Der einfachste und eigentlich zwingend zu nutzende ist ein VPN. Außerdem kann man den Standardport wechseln, um die üblichen Attacken etwas zu unterdrücken, und selbst mit Bordmitteln ließen sich nutzbare IP-Adressen (oder Adresskreise) filtern. Inzwischen lässt sich auch eine minimale Passwortstärke vorgeben. Was bei Standard-Windows-RDP leider noch nicht geht, das ist MFA. Wenn man einen RD-Gateway-Server einrichtet, hat man das aber dabei. Zusätzlich sollte man die Zugriffe protokollieren und beobachten, und RDP ohnehin mit den minimal nötigen Rechten ausstatten. Denn alle Absicherung nutzt nichts, wenn jemand eine RDP-Sitzung geöffnet lässt und eine böswillige Person Zugriff auf diesen Rechner erhält. Hundertprozentige Sicherheit ist ein Oxymoron.

[RolandG]

MS bietet für RDP auch eine 2FA, das scheint mir aber recht kompliziert zu konfigurieren.

[Tom]

Wenn Du ein VPN verwendest, hast Du im Prinzip Deinen zweiten Faktor.