Archiv verlassen und diese Seite im Standarddesign anzeigen : Heimnetzwerk sicher aufbauen
Hallo!
Bin grade bei der Planung meines zukünftigen Home Netzwerks und würde gerne eure Meinung dazu hören:
Topologie:
\\Cip-file\F\dhalbe\Heimnetz.jpg
1.Den Apache habe ich einzeln installiert weil er über DynDNS zugänglich sein soll und so der einzigste öffentlich zugängliche Server sein wird. Auf die anderen Server werde ich jeweils ein eigenes Iptables Script laufen lassen dass keinen Zugriff von der Proxy IP aus gestattet. Ist das sicherheitsmäßig ok?
2. Würdet ihr das Netz überhaupt so aufbauen? Mehr als drei Server habe ich nicht...
3. Ich möchte remote auf mein Netzwerk zugreifen können.
Nutzen werde ich Freeswan oder OpenVPN - meine Entscheidung steht noch nicht fest. Wo würdet ihr den VPN Server installieren- auf dem Proxy?
Bin für jeden guten Tipp dankbar und werde die gesammte Projektdokumentation (dient vielleicht zusätzlich als mein Projekt in der Berufsausbildung) online bereitstellen.
mfg
cane
moin
seh nur ich die grafik nicht?
Gruß HL
LOL, is ja klar, dass die Grafik nicht angezeigt wird:
Original geschrieben von cane
IMG]\\Cip-file\F\dhalbe\Heimnetz.jpg[/IMG
Das is aber keine gültige Inet-Adresse :cool:
Ach so, ich dachte das Forum würd Sie hochladen:rolleyes: :rolleyes:
Bin auf der Firma und hab keinen webspace - würd Sie einer von euch auf freien Webspace stellen?
Dann bitte PN mit emailadresse an mich und ich schick das .jpg per Mail...
Wäre nett...
cane
PS. Dann muß ich mir wohl doch mal ein bisschen Free Webspace holen:)
Wenn du willst, dass das Forum sie hochlädt musst du den Pfad unten in das "Datei anhängen"-Feld schreiben
Original geschrieben von cane
3. Ich möchte remote auf mein Netzwerk zugreifen können.
Nutzen werde ich Freeswan oder OpenVPN - meine Entscheidung steht noch nicht fest. Wo würdet ihr den VPN Server installieren- auf dem Proxy?
Das VPN-Gateway muss erstens auf eine Maschine mit öffentlicher IP (da IPSec nicht durch eine NAT/Masquerading durchgeht). Diese Maschine muss zweitens das Gateway für die Internen Maschinen sein. Zu deutsch: es muss auf das Gateway, dass Dich ins I-Net bringt.
Das VPN-Gateway muss erstens auf eine Maschine mit öffentlicher IP (da IPSec nicht durch eine NAT/Masquerading durchgeht).
Es gibt doch den NAT Traversal Patch (also dass Verpacken der ESP Pakete in UDP´s)
für Freeswan :)
Und OpenVPN läuft sowieso nicht über IPSEC sondern auf Basis von UDP over TLS...
Das sollte also kein Problem darstellen...
cane
Hi
Original geschrieben von Doh!
Das VPN-Gateway muss erstens auf eine Maschine mit öffentlicher IP (da IPSec nicht durch eine NAT/Masquerading durchgeht). Diese Maschine muss zweitens das Gateway für die Internen Maschinen sein. Zu deutsch: es muss auf das Gateway, dass Dich ins I-Net bringt.
auch auf die gefahr hin, das ich mich jetzt zu weit aus dem fenster lehne. aber ich hab mir heute das Linux Magazin 10/2003 gekauft, in dem wird das thema vpn recht ausführlich behandelt und ich meine dort was über einen patch gelesen zu haben, der dieses *problem* behebt. allerdings habe ich die artikel bisher nur überflogen.
edit: argh to late :D
Gruß HL
@HangLoose
Hab das Mag vor mir liegen:D
Und seit letzte Woche im Abo - sehr gutes Mag finde ich...
cane
So, hier ist meine zukünftige Netzwerktopologie:
Original geschrieben von cane
@HangLoose
Hab das Mag vor mir liegen:D
Und seit letzte Woche im Abo - sehr gutes Mag finde ich...
cane
ich finde die zeitschrift auch ganz gut und hol sie mir ab und an mal. für ein abo ist sie mir aber zu teuer. ;)
zu deinem netzwerk. das ist schon ok so, noch schöner wäre es natürlich, wenn du den apachen ins reservat stecken könntest. aber wenn du auf den anderen kisten eh ein iptablesscript laufen lassen willst und in diesem dafür sorgst, das diese keine NEW pakete von einem (eventuell gecrackten) webserver annehmen, dürftest du auf der sicheren seite sein.
zum thema vpn => freeswan scheint ja etwas aufwendiger zu sein und openvpn erfüllt ja auch seinen zweck. ich hab bei mir openvpn laufen, dient aber auch nur für mein wlan.
Gruß HL
Original geschrieben von HangLoose
ich finde die zeitschrift auch ganz gut und hol sie mir ab und an mal. für ein abo ist sie mir aber zu teuer. ;)
Seh ich auch so.
zum thema vpn => freeswan scheint ja etwas aufwendiger zu sein und openvpn erfüllt ja auch seinen zweck. ich hab bei mir openvpn laufen, dient aber auch nur für mein wlan.
Kannste da mal näheres berichten. :D
Original geschrieben von linuxhanz
Kannste da mal näheres berichten. :D
wenn ich mal zuviel zeit haben sollte, warum nicht :D
Gruß HL
@ linuxhanz
Mach ich gerade!
Poste das ganze im Laufe des Tages...
mfg
cane
hab auch ein Openvpn am laufen....
hat auch ein paar nette features (bandbreitenmanagement, reconnect on disconect auch bei wechselnder ip - im sinne mit dyndns) und kannst durch nen nat/masq gw bringen sowie ein einfachere Konfiguration.
Freeswan zieht da schon etwas rein.... die Konfig is dooof :)
Gruß Temp
Interessant ist in diesem Zusammenhang auch die neue IPsec Implementierung in Kernel 2.6.x.
Hier der Link zu einem sehr guten Bericht der sich auch mit den zugrundeliegenden Protokollen beschäftigt:
IPsec in Kernel 2.6 (http://www.spenneberg.com/linux-magazin/060-066_kernel-ipsec.pdf)
Also ich würde den Apache, wenn er von aussen erreichbar sein soll, an eine 3. netzwerkkarte an den router hängen und somit eine DMZ aufmachen.
dann musst du bloss noch regeln schreiben, welche dem apache den zugriff auf mysql erlaubt)
Das ist IMHO besser.
M. Alburg
@all
Hier eine teilweise Fassung meines VPN Vergleichs - ist noch nicht fertig weil ich
a)am FTP Server zu tun hatte
und
b)bei den verschiedenen Verschlüsselungen nicht durchblicke...
Was interessiert euch überhaupt?
- Session Authentification
- Key-Exchange
- Tunnel-Data-Encryption
- Tunnel-Data-Authentification
oder die ganzen anderen Sachen von wegen
offering certificate-based authentication, public key encryption, and TLS-based dynamic key exchange
[QUOTE]Open VPN is using TLS-based session authentication, the Blowfish cipher, SHA1 authentication for the tunnel data, and tunneling an FTP session with large, precompressed files, OpenVPN achieved a send/receive transfer rate of 1.455 megabytes per second of CPU time (combined kernel and user time).[QUOTE]
Ich muß erst mal zusehen dass ich verstehe welche Verschlüsselung / Signierung etc auf welcher OSI Schicht arbeitet - ist ja zum ko***n...
Damit hab ich auch die meisten Probleme bei meinem VPN-Vergleich...
Naja, dafür bin ich froh wenn ichs verstanden hab...
Guckt euch das .pdf an und macht Verbesserungsvorschläge - ich kanns auch als .doc posten dann könnt ihr mir helfen!
[QUOTE]Also ich würde den Apache, wenn er von aussen erreichbar sein soll, an eine 3. netzwerkkarte an den router hängen und somit eine DMZ aufmachen.[QUOTE]
Wieso ist das sicherer als wenn ich dem Apache den Zugriff auf alles andere als den mysqlport verbiete?
So, hier mein VPN Vergleich_pre_1.pdf
moin moin
Original geschrieben von cane
Wieso ist das sicherer als wenn ich dem Apache den Zugriff auf alles andere als den mysqlport verbiete?
wenn der apache gecrackt wird und der angreifer rootrechte erlangt, dürfte es für ihn kein problem sein auch die firewall(auf dem apachen) auszuhebeln. die regeln auf dem apache helfen dir dann nicht viel. steht der apache dagegen in einer DMZ, müßte der angreifer um ins lan zu gelangen, erstmal die firewall zum lan hin *knacken*.
da du aber nur zwei weitere kisten laufen hast, kannst du auf diesen ein entsprechende iptablescripte laufen lassen. sowas ist aber in einem firmennetzwerk mit zig clients nicht praktikabel, da konzentriert man sich auf einen bzw. zwei *punkte*.
btw. das geht aus deiner *zeichnung* nicht ganz hervor, hängen die 3 rechner jeweils an einer eigenen netzwerkkarte?
Gruß HL
da du aber nur zwei weitere kisten laufen hast, kannst du auf diesen ein entsprechende iptablescripte laufen lassen.
Genauso hatte ich das vor - einfach alles blocken außer mysql...
btw. das geht aus deiner *zeichnung* nicht ganz hervor, hängen die 3 rechner jeweils an einer eigenen netzwerkkarte?
Kann man zwei Rechner an eine Netzwerkkarte hängen? ;)
Original geschrieben von cane
Kann man zwei Rechner an eine Netzwerkkarte hängen? ;)
nö eigentlich nicht ;). ich hatte da an einen switch gedacht, den hättest du dann aber wohl eingezeichnet.
Gruß HL
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.