Missbrauchsbeschwerden beim Betrieb eines VPN-Diensts reduzieren

Den Betrieb eines VPN oder Proxy-Diensts auf einem Server sind mit verschiedenen Risiken verbunden. Zum Beispiel
der Inhaber der IP-Adresse – Ihre Nutzer sind für jeglichen Missbrauch oder illegale Aktivitäten verantwortlich
Aktivitäten, die über Ihren Dienst durchgeführt werden. Um sich davor zu schützen
Problem vor, müssen Sie aktiv Maßnahmen ergreifen, um Ihre
reputation.

Strict Mode:
Whitelisting

Eine Möglichkeit, Missbrauch auf deinem Server zu verhindern, ist es, nur bestimmte Verbindungen zuzulassen
bestimmte Aktivitäten. Dieser Ansatz, der als Whitelisting bezeichnet wird, funktioniert jedoch nicht
Missbrauch lässt sich nie vollständig verhindern; Ihre Nutzer könnten dennoch andere angreifen und damit
zur Sperrung Ihres Servers führen. Es kann jedoch den Missbrauchsprozess
deutlich schwieriger – und schreckt Missbraucher wahrscheinlich ab von Ihrer
Dienste (und leider auch einige legitime Nutzer).

Was wir hier vorschlagen, ist, den gesamten ein- und ausgehenden
Pakete von Ihrem Server blockiert werden, außer den absolut notwendigen.
So gehen Sie dabei vor.

Beachten Sie vor der Umsetzung dieser Anleitung nur eines:
Auf Ihrem Server sollte keine andere Firewall aktiv sein.
Diese Anleitung beschreibt den Prozess auf Ubuntu, aber Sie müssen dieses
Betriebssystem nicht verwenden. Die Vorgehensweise ist bei anderen Betriebssystemen dieselbe,
well.

1. Installing UFW

Zuerst müssen Sie UFW installieren.

sudo apt install ufw

2.
Alle ein- und ausgehenden Verbindungen blockieren

Stellen Sie sicher, dass UFW deaktiviert ist, da die folgenden Befehle
Ihre Verbindung zum Server unterbrechen können:

sudo ufw disable

Die folgenden Befehle verwerfen jeden Datenverkehr, der versucht,
Ihren Server zu betreten oder zu verlassen. Danach erlauben wir nur die Verbindungen, die
unsere Nutzer benötigen:

sudo ufw default deny incoming

sudo ufw default deny outgoing

3. Allowing
sich selbst mit dem Server zu verbinden

Jetzt erlauben wir eingehende Verbindungen auf Port 22, dem Port,
der für SSH-Verbindungen verwendet wird. Es empfiehlt sich zwar generell,
den SSH-Port auf einen anderen Wert zu ändern:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Obwohl ausgehende Verbindungen bereits gesperrt sind, blockieren wir
gezielt alle ausgehenden Pakete, deren Ziel Port 22 ist (für den Fall,
dass Sie die Standardrichtlinie später ändern). Damit können weder
Sie noch Ihre Nutzer über SSH auf Port 22 eine Verbindung zu anderen Servern herstellen.
Das klingt zunächst unpraktisch, löst aber eines der häufigsten
Probleme, die zur Sperrung Ihres Servers führen. Mit diesem
Befehl kann kein Nutzer mehr SSH-Brute-Force-Angriffe von Ihrem Server aus starten.
your server:

sudo ufw deny out 22/tcp comment “Stops SSH brute force”

Nachdem Sie eingehende Verbindungen auf Port 22 erlaubt haben, können Sie Ihre
Firewall, ohne die Verbindung zu Ihrem Server zu unterbrechen:

sudo ufw enable

Falls Sie die Verbindung zu Ihrem Server verlieren, können Sie
VNC nutzen, um wieder Zugriff zu erhalten und die Firewall zu deaktivieren.

4.
Ihren Nutzern den Zugriff auf den Proxy/VPN-Dienst Ihres Servers ermöglichen
Dienste

Ihre Nutzer müssen sich mit dem Proxy-Dienst Ihres Servers verbinden und ihn verwenden können.
Wenn alle eingehenden Verbindungen blockiert werden, ist das für sie nicht möglich.
Daher müssen wir die Proxy/VPN-Ports freigeben, die Ihre Nutzer benötigen.
Angenommen, Sie möchten den Zugriff auf Port 1194 erlauben,
der üblicherweise für OpenVPN verwendet wird. Geben Sie dazu folgenden Befehl ein:

sudo ufw allow in 1194/tcp comment “OpenVPN port for users”

Oder wenn Sie OpenVPN über UDP betreiben:

sudo ufw allow in 1194/udp comment “OpenVPN port for users”

Für andere VPN- und Proxy-Server gilt dieselbe Logik:
Finden Sie heraus, welchen Port Ihre Nutzer benötigen, und geben Sie eingehende Verbindungen frei.
connections to it.

Ihre Nutzer können sich nun mit dem Server und dem VPN verbinden, aber
ausgehende Verbindungen ins Internet sind noch nicht möglich. Genau das ist der
Zweck der Whitelist: Nutzer können sich nur mit Ports verbinden,
die explizit freigegeben wurden. So lässt sich das Risiko von
Missbrauchsmeldungen deutlich reduzieren.

5.
Ihren Nutzern den Zugriff auf Websites und weitere Dienste ermöglichen
applications

Jetzt geben wir ausgehenden Datenverkehr auf den Ports frei, die zum Surfen im Web
und für API-Anfragen an Webserver benötigt werden. Dazu erlauben Sie
den TCP-Port 80 und den TCP-Port 443. Die Freigabe von UDP-Port 443 ermöglicht
Ihren Nutzern zusätzlich HTTP3-Verbindungen:

sudo ufw allow out 80/tcp comment “HTTP connections”

sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”

6. Allowing
weitere Dienste nach Bedarf

In den meisten Fällen reicht die Freigabe der Ports 80 und 443 aus. Für den vollen
Funktionsumfang bestimmter Anwendungen oder Software müssen Sie jedoch möglicherweise weitere Ports freigeben.
Ihren Nutzern die Verwendung weiterer Ports zu erlauben.

Es wird grundsätzlich empfohlen, eigene Recherchen anzustellen und Ports nur dann
freizugeben, wenn sie unbedingt erforderlich sind. Jede wichtige Anwendung verfügt über eine
Netzwerkdokumentation mit Informationen für Netzwerkadministratoren
wie Sie. In diesen Dokumenten finden Sie die Ports, die die
Anwendungen verwenden, und können diese ebenfalls in die Whitelist aufnehmen. Im Folgenden listen wir einige verbreitete
ones as examples.

WhatsApp
(Kein Video- oder Sprachanruf):

sudo ufw allow out 443/tcp comment “WhatsApp”

sudo ufw allow out 5222/tcp comment “WhatsApp”

Git:

sudo ufw allow out 9418/tcp comment “Git”

Einige Dienste wie Discord,
Zoom,
oder WhatsApp-Sprach- und Videoanrufe benötigen einen weiten Bereich von UDP-Ports. Diese
können Sie nach eigenem Ermessen öffnen.

Lenient Mode:
Blacklisting

Beim Whitelisting blockieren Sie alles und geben bestimmte Ports frei. Beim
Blacklisting erlauben Sie alles und blockieren bestimmte Ports.

1. Installing UFW

Zunächst müssen Sie UFW installieren

sudo apt install ufw

2. Blocking the
incoming connections

Stellen Sie sicher, dass UFW deaktiviert ist, da die folgenden Befehle
Ihre Verbindung zum Server unterbrechen können:

sudo ufw disable

Es ist sinnvoll, alle eingehenden Verbindungen zu blockieren, sofern keine
bestimmten Dienste bereitgestellt werden. Blockieren wir also den gesamten eingehenden Datenverkehr:

sudo ufw default deny incoming

Beachten Sie, dass Sie diesmal nicht alle ausgehenden Verbindungen blockieren.
Dadurch können Ihre Nutzer eine Verbindung zu einem beliebigen Port herstellen. Das ist
nicht empfehlenswert, es sei denn, Sie vertrauen Ihren Nutzern uneingeschränkt.

3.
Sich selbst den Zugriff auf Ihren Server erlauben

Jetzt erlauben wir eingehende Verbindungen auf Port 22, dem Port,
der für den Aufbau von SSH-Verbindungen zu Ihrem Server verwendet wird. Es ist
immer ratsam, Ihren SSH-Port auf einen anderen Wert zu ändern:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Wenn Sie den SSH-Port sperren möchten, um Missbrauchsmeldungen durch SSH-Brute-Force-Angriffe zu vermeiden,
können Sie den folgenden Befehl verwenden:

sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”

4. Block BitTorrent

Nach demselben Prinzip müssen Sie Ports blockieren, die für
BitTorrent. Da es hierfür jedoch mehrere Ports gibt, solltest du die öffentlichen Tracker-IPs sowie die üblicherweise für BitTorrent verwendeten Ports recherchieren und blockieren.
die öffentlichen Tracker-IPs sowie die üblicherweise für BitTorrent verwendeten Ports recherchieren und blockieren.
die üblicherweise für BitTorrent verwendet werden.

Bei weiteren Fragen kannst du uns jederzeit kontaktieren: submitting a
ticket.