Infrastruktur

Autonomes System

Wir betreiben AS 208323.

Server

Informationen zu unseren Tor Server findest du auf dieser Seite.

Sicherheit

Sicherheit ist uns wichtig. Hier ein paar ausgewählte Dinge die wir in dem Bereich machen:

  • Zugriff auf unsere Server (SSH) erfordert 2-Faktor Authentifizierung (Pubkey und Passwort)
  • authorisierte SSH Schlüssel werden in Hardware (Yubikey) ausgegeben
  • wo dies unterstützt wird, werden Software Updates automatisch installiert (inkl. automatischem Reboot wenn nötig)
  • unsere Domains sind DNSSEC signiert
  • unsere Email Domain unterstützt DANE
  • unsere Domain ist mit DMARC (p=reject) Policy versehen
  • unsere Webseite ist statisch generiert
  • es kommt HSTS mit Preloading zum Einsatz
  • wo dies möglich ist verwenden wir 2-Faktor Authentifizierung für alle externen Services (njal.la, desec.io, Stripe, Github, Mastodon, ...)
  • um BGP Hijacking Angriffe zu erschweren, werden /24 (IPv4) und /48 (IPv6) Prefixe bekanntgegeben
  • unsere BGP Router setzen RPKI Route Origin Validation um und verwerfen "INVALID" BGP Announcements
  • alle unsere Dienste befinden sich in IP Prefixes die durch RPKI ROAs abgedeckt sind
  • um BGP Hijacking Angriffe zu erkennen monitoren wir unseren IP Adress Breich mittels BGPalerter
  • wir verwenden CAA, TLSA und SSHFP DNS Records
  • wir verwenden Certificate Transparency Logs um Zertifikate zu erkennen die unauthorisiert für unsere Domains ausgestellt wurden

Auf unserer Wunschliste

  • DNSSEC für IPv6 Reverse Zonen

Verwendete Dienste von Drittanbietern

Primär aus Verfügbarkeitsgründen (wir haben kein 24/7 Team) werden einige Infrastruktur Dienste (DNS und Email für die Domain applied(-)privacy.net) nicht direkt von uns auf unseren eigenen Servern betrieben, aber wir versuchen unsere Anbieter sorgfältig auszuwählen. Die Anbieter sind hier erwähnt um anderen praktische Unterstützung zu bieten die ähnliche Anforderungen haben.

DNS (Authoritative)

Hier geht es um die Nameserver die "applied(-)privacy.net" servieren, dies ist nicht zu verwechseln mit unserem DNS Privacy Dienst der von uns betrieben wird.

Wir verwenden njal.la in Kombination mit deSEC.io für DNS da sie:

  • DNSSEC und sicherheitsrelevante DNS Records (CAA, TLSA and SSHFP) unterstützen
  • 2-factor Authentifizierung unterstützen (TOTP, Yubikey)
  • Tor-freundlich sind
  • leistbar/kostenlos sind

Email

Wir verwenden mailbox.org als Emails Provider da sie:

  • generell datenschutzfreundlich sind (z.B. minimale Informationen beim Erstellen des Accounts erforderlich)
  • Tor-freundlich sind und sogar einen kleinen Tor Exit Server betreiben
  • einen Onion Service für ihre Email Server anbieten
  • DKIM unterstützen
  • DANE unterstützen
  • 2-Faktor Authentifizierung unterstützen
  • leistbar sind