bitwarten (Docker) über (Sub-) Domain zugreifbar machen

[LORDNIKON1]

Danke Dir für Deine Ausführungen, @Fusion. Muss das jetzt nochmal durchdenken. Was jedenfalls schon mal völlig richtig ist: PW sind ja offline auch da...

 

[blurrrr]

Naja, nur weil das eine da ist, muss das andere ja nicht "weg" - geht ja teils auch garnicht, wenn man etwas für externe bereitstellen möchte. Wobei man da halt wieder tiefe Löcher (zum Geld und Zeit versenken ) buddeln kann. Internes halt nur via VPN, externes auf einer extra Kiste, alles in eigenen VLANs, etc.

... hast sicher auch einen 12 Seiten Roman zu dem Thema parat? Hihi.

Nö - genutzt wird das ganze bei mir (und den Kunden) ausschliesslich mit iOS (der Android-Kram ist meines Erachtens auch einfach nicht business-tauglich, bei Apple gibt es immerhin ein paar Jahre lang Updates). Eine mobileconfig fertig machen, ans Handy pushen, Profil installieren, fertig. Android-User mussten glaube ich zusätzlich noch immer die App "tasker" verwenden, oder so... Das roch mir schon wieder nach viel zu viel Gehampel, Tablet ist derzeit Android - da hab ich aber kein on-demand - das reicht auch so ??

Am Ende des Tages sind die kritischen PW ohnehin welche, hinter denen 2 Faktor steht. Und wenn ich den zweiten nicht habe/bestätige, komme ich nicht weiter. Oder ist das zu kurz gedacht?

Das ist ein "bisschen" kurz gedacht. Kam schon öfter vor, dass die 2FA ausgehebelt wurde. Heisst jetzt aber auch nicht, dass das alles völlig unsicher ist. Punkt ist einfach: Verlass Dich einfach auf "nix" an irgendwelchen "Sicherheitsmechanismen", dann kannste auch nicht enttäuscht werden. Schau einfach mal die IT-News der letzten Tage, Wochen, Monate, Jahre... Hättest Du meinen Job, hättest Du schon keine Lust mehr ?

Ich stell mich mal kackfrech hin und behaupte: Früher war alles "unsicher", weil es einfach niemand "gerafft" hat (s. z.B. eingewählte Modems und Systemfreigaben ohne Passwörter, Blueboxing, und und und). Heutzutage stehen vor dem "unsicher" hunderttausende "Experten" die wichtig reden und wichtige Dinge machen. Dummerweise sind das mittlerweile auch alles soviele und komplexe Dinge, dass man schon längst den Überblick verloren hat. Also ist das halt auch wieder alles "unsicher", weil einfach ein GAU den nächsten jagt und das ist ja mittlerweile auch schon ein "bisschen" länger so... Ich mein - Synology ist ja auch nicht davor gefeit - aber (nein, das soll jetzt keine Hetze sein!) schaue man doch einfach mal in die Richtung QNAP... die waren Software-technisch eh noch nie so "dolle" (sind aber - was die Lizenzen angeht - schon 3 Welten weiter als der lahme Synology-Verein ?), aber irgendwie kommen die halt auch aus den (negativen) Schlagzeilen nicht mehr raus... Ist ja quasi "ständig" was neues.

On top kommt jetzt halt auch noch so ein... Fakt....: Normalerweise werden die Dinge an den Hersteller kundgetan und dieser hat jetzt X Tage/Wochen/Monate Zeit diese Lücke "stillschweigend" zu stopfen. In den Release-Notes steht dann wieder nur was von "div. Sicherheitsfixes" (ggf. mit ein paar Verweisen, die aber auch nicht "wirklich" brauchbare Infos enthalten, sondern nur "allgemeines" Geschwafel). Kurzum: Hersteller ist bemüht, immer schön den Deckel auf dem Topf zu behalten. Geht das halt völlig in die Hose und/oder reagiert der Hersteller nicht schnell genug mit den Fixes, geht das ganze an die Öffentlichkeit und die Suppe kocht hoch, so einfach ist das. Soll heissen: Das meiste kriegste eh nicht mit, Punkt.

Und genau "jetzt" ist der Zeitpunkt gekommen, wo man das ggf. wieder aus einer anderen Sicht sehen muss, denn: "Das meiste kriegste eh nicht mit" trifft nur zu, wenn es Dich nicht schon erwischt hat ? Ich persönlich war auch schon mal von sowas betroffen, war ein Bug im Firefox damals (ist irgendwo 15+ Jahre her, da war der FF noch "jung")... Zack, einmal Rechner verseucht... Bug wurde 2 Tage später gefixt, hat für den Exploit auf meinem Rechner noch gereicht, happy birthday... Will damit sagen: Niemand ist sicher, kannste machen was Du willst (und das lässt sich auch auf die analoge Welt beziehen). Wo ein Wille, da ein Weg, so einfach ist das. Man kann nix "verhindern", aber man kann es doch noch um einiges verkomplizieren und genau das ist es, was man so macht ??

Gibt mir einfach mal Deine Adresse und dann warten wir mal 5 Jahre (bis die Adressübergabe in Vergessenheit geraten ist). Vielleicht kommt ja irgendwann ein Werbegeschenk einer unbekannten Firma in Form eines USB-Sticks oder so. An Deine Daten kommt man früher oder später sowieso - ganz egal auf welchem Wege (und davon gibt es mehr als genug)... Btw. deswegen "lügen" solche "Filme" auch nicht (auch wenn teils schon übertrieben oder "zu visionär"), der "Kern" stimmt nämlich irgendwo (s. heute - autonom fahrende Tanker und so, meisten Behörden im Netz unterwegs, etc.))

So, genug Angst gemacht (???), die Theorie und die praktische Faulheit und so (trifft übrigens i.d.R. auf "beide" Seiten zu ). Was für ein "Maß" Du für Dich anlegst, ist genau "Dein" Bier. Frage ist halt immer, was "praktisch" ist. Ich seh das halt recht einfach (für mich)... Ich habe "einen" Internetanschluss, dahinter kann ich aufteilen und trennen wie ich lustig bin (und auch das ist im Zweifel kein 100%iger Schutz). Wenn ich die Möglichkeit habe, bedeutet es erstmal Arbeit und späteren Wartungsaufwand. Da steigen die meisten jetzt übrigens schon wieder aus... ? Wenn Du es für Dich richtig machen willst - überleg Dir erstmal, ob Du überhaupt aufteilen willst oder nicht. Wenn nicht, musste mit gegebenen Mitteln arbeiten (und die Risiken in Kauf nehmen): Wenn Du trennen kannst/willst, kostet es 'ne Mark mehr (da brauchste auch was, was sowas überhaupt kann)... schnapp Dir einen Zettel und einen Stift und "mal" es Dir auf. Netze, Wege, Datenfluss-Regeln, usw.

hast sicher auch einen 12 Seiten Roman zu dem Thema parat? Hihi.

Da sind wir ja schon wieder... der Unterschied ist nur 1 Buchstabe... "Dein" und "sein" Thema, bei Dir langt es leider noch immer nicht zu einem 12-Seiter, aber vielleicht gehen wir da noch ins Detail, da können es dann auch schnell 12 Seiten werden ?

P.S.: War schon ne geile Zeit früher... besonders als die Telefonkarten kamen

 

[LORDNIKON1]

Auch hier noch eine Nachfrage: Tatsächlich überlege ich, ob ich nicht für die Tresor Subdomain nur über VPN gehen soll, oder noch besser: Wäre es denkbar nur einen Synch anzustoßen, wenn ich im Heim-Netzwerk bin? Mit der Subdomain klappt das jetzt ganz gut auch mit dem Zugriff über die App - alles sehr komfortabel. Befürchte das wird viel steiniger, wenn ich VPN und oder letztere Lösung wähle...

 

[LORDNIKON1]

nicht für die Tresor Subdomain nur über VPN gehen soll,

Mit anderen Worten: Ist es denkbar, die (Sub-) Domain nur über VPN ansprechbar zu machen und dann mit VPN On Demand zu arbeiten?

 

[LORDNIKON1]

Wenn der Server bsp. nur lokal LAN/WLAN erreichbar ist (ich hab auch lokal DNS und Zertifikate), und mit den Daten der Sync angelegt ist, funzt das wunderbar. Wenn du unterwegs bist ist der Tresor in letztem Stand auch auf dem Mobile dabei. Änderungen werden halt erst wieder zum Server und auf andere Geräte synchronisiert, wenn der wieder erreichbar ist. Habe das allerdings noch nicht auf die Spitze getrieben und Konflikte produziert in dem ich auf mehreren "offline" Geräten gleichzeitig identische Einträge bearbeitet habe und dann zu sehen was das Ergebnis ist.

Ich glaube das dürfte der "Königsweg" sein. Außerhabl des Netzes eigentlich nur über iPhone. Und völlig richtig ist: Wie oft füge ich mit dem neue Passwörter/ Inhalte insgesamt hinzu?! Nur händisch anstoßen möchte ich das auch nicht immer.

 

[Kachelkaiser]

Aber da stellt sich mir die Frage, wie ich den Bitwarden intern ans Laufen bekomme? Zum Login benötigt er ein gesicherte Verbindung, die ich momentan nur per subdomain und LE-Zertifikatne von Extern hinbekomme. Wenn es hier irgendwie ein recht einfache Anleitung gibt. Bin ic hdankbar.

 

[blurrrr]

Mit dem iPhone klappt das on-demand jedenfalls ganz gut - mit Android brauchste schon wieder extra Apps

 

[Kachelkaiser]

ok das habe ich verstanden. Allerdings komme ich auf den Web-Vault nicht ohne SSL verbindung. Hab es bishe rnoch nicht geschafft, hier eine Lösung zu finden, die rein intern funktioniert. Damit wäre mein setup komplett.

 

[LORDNIKON1]

Habe das nochmal nachvollzogen und finde auch keine Lösung.
Die interne Verbindung (192.169.x) ist automatisch nicht verschlüsselt. Bekommt man die irgendwie verschlüsselt, damit man die Idee mit VPN on demand weiterverfolgen kann?

Wie Kachelkaiser richtig anmerkt lässt bitwarden den Zugriff unverschlüsselt nicht zu.

 

[blurrrr]

Najo, das mit der verschlüsselten Verbindung ist halt so eine Sache, allerdings kann man dort auch einfach ein selbst-generiertes Zertifikat nutzen. Sieht dann halt nicht so "hübsch" aus (aufgrund der Warnmeldung, welche man dann aber ignorieren kann), kommt aber auch auf das "Konstrukt" als solches an. Geht man über den Syno-Reverse-Proxy würde es prinzipiell erstmal so aussehen:

Client <--https--> Reverse-Proxy <--http--> Container

Der Client selbst spricht "nur" mit dem Reverse-Proxy und bekommt auch das entsprechende Zertifikat von diesem zugeschoben. Der RP seinerseits redet dann mit dem Container. Die Syno kann den Container allerdings über "localhost : Port" ansprechen, somit ist keinerlei "externe" Netzwerkkonnektivität erforderlich (Host spricht hier ja "quasi" mit sich selbst, sprich, die Pakete verlassen das Gerät nicht), von daher wäre zwischen RP und Container eine unverschlüsselte Verbindung auch nicht hochdramatisch. Wenn es aber so sein "muss", wäre ein einfaches selbst-signiertes Zertifikat innerhalb des Containers vermutlich die einfachste Lösung