PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Heimnetzwerk sicher aufbauen



cane
23.09.03, 15:17
Hallo!
Bin grade bei der Planung meines zukünftigen Home Netzwerks und würde gerne eure Meinung dazu hören:

Topologie:

\\Cip-file\F\dhalbe\Heimnetz.jpg

1.Den Apache habe ich einzeln installiert weil er über DynDNS zugänglich sein soll und so der einzigste öffentlich zugängliche Server sein wird. Auf die anderen Server werde ich jeweils ein eigenes Iptables Script laufen lassen dass keinen Zugriff von der Proxy IP aus gestattet. Ist das sicherheitsmäßig ok?

2. Würdet ihr das Netz überhaupt so aufbauen? Mehr als drei Server habe ich nicht...

3. Ich möchte remote auf mein Netzwerk zugreifen können.
Nutzen werde ich Freeswan oder OpenVPN - meine Entscheidung steht noch nicht fest. Wo würdet ihr den VPN Server installieren- auf dem Proxy?

Bin für jeden guten Tipp dankbar und werde die gesammte Projektdokumentation (dient vielleicht zusätzlich als mein Projekt in der Berufsausbildung) online bereitstellen.

mfg
cane

HangLoose
23.09.03, 15:28
moin

seh nur ich die grafik nicht?

Gruß HL

sepp2k
23.09.03, 15:31
LOL, is ja klar, dass die Grafik nicht angezeigt wird:

Original geschrieben von cane
IMG]\\Cip-file\F\dhalbe\Heimnetz.jpg[/IMG
Das is aber keine gültige Inet-Adresse :cool:

cane
23.09.03, 15:35
Ach so, ich dachte das Forum würd Sie hochladen:rolleyes: :rolleyes:

Bin auf der Firma und hab keinen webspace - würd Sie einer von euch auf freien Webspace stellen?
Dann bitte PN mit emailadresse an mich und ich schick das .jpg per Mail...

Wäre nett...
cane

PS. Dann muß ich mir wohl doch mal ein bisschen Free Webspace holen:)

sepp2k
23.09.03, 15:37
Wenn du willst, dass das Forum sie hochlädt musst du den Pfad unten in das "Datei anhängen"-Feld schreiben

Doh!
23.09.03, 15:45
Original geschrieben von cane


3. Ich möchte remote auf mein Netzwerk zugreifen können.
Nutzen werde ich Freeswan oder OpenVPN - meine Entscheidung steht noch nicht fest. Wo würdet ihr den VPN Server installieren- auf dem Proxy?


Das VPN-Gateway muss erstens auf eine Maschine mit öffentlicher IP (da IPSec nicht durch eine NAT/Masquerading durchgeht). Diese Maschine muss zweitens das Gateway für die Internen Maschinen sein. Zu deutsch: es muss auf das Gateway, dass Dich ins I-Net bringt.

cane
23.09.03, 16:07
Das VPN-Gateway muss erstens auf eine Maschine mit öffentlicher IP (da IPSec nicht durch eine NAT/Masquerading durchgeht).

Es gibt doch den NAT Traversal Patch (also dass Verpacken der ESP Pakete in UDP´s)
für Freeswan :)

Und OpenVPN läuft sowieso nicht über IPSEC sondern auf Basis von UDP over TLS...

Das sollte also kein Problem darstellen...

cane

HangLoose
23.09.03, 16:11
Hi


Original geschrieben von Doh!
Das VPN-Gateway muss erstens auf eine Maschine mit öffentlicher IP (da IPSec nicht durch eine NAT/Masquerading durchgeht). Diese Maschine muss zweitens das Gateway für die Internen Maschinen sein. Zu deutsch: es muss auf das Gateway, dass Dich ins I-Net bringt.

auch auf die gefahr hin, das ich mich jetzt zu weit aus dem fenster lehne. aber ich hab mir heute das Linux Magazin 10/2003 gekauft, in dem wird das thema vpn recht ausführlich behandelt und ich meine dort was über einen patch gelesen zu haben, der dieses *problem* behebt. allerdings habe ich die artikel bisher nur überflogen.

edit: argh to late :D


Gruß HL

cane
23.09.03, 16:27
@HangLoose

Hab das Mag vor mir liegen:D

Und seit letzte Woche im Abo - sehr gutes Mag finde ich...

cane

cane
23.09.03, 16:38
So, hier ist meine zukünftige Netzwerktopologie:

HangLoose
23.09.03, 17:27
Original geschrieben von cane
@HangLoose

Hab das Mag vor mir liegen:D

Und seit letzte Woche im Abo - sehr gutes Mag finde ich...

cane

ich finde die zeitschrift auch ganz gut und hol sie mir ab und an mal. für ein abo ist sie mir aber zu teuer. ;)


zu deinem netzwerk. das ist schon ok so, noch schöner wäre es natürlich, wenn du den apachen ins reservat stecken könntest. aber wenn du auf den anderen kisten eh ein iptablesscript laufen lassen willst und in diesem dafür sorgst, das diese keine NEW pakete von einem (eventuell gecrackten) webserver annehmen, dürftest du auf der sicheren seite sein.

zum thema vpn => freeswan scheint ja etwas aufwendiger zu sein und openvpn erfüllt ja auch seinen zweck. ich hab bei mir openvpn laufen, dient aber auch nur für mein wlan.


Gruß HL

linuxhanz
23.09.03, 18:38
Original geschrieben von HangLoose
ich finde die zeitschrift auch ganz gut und hol sie mir ab und an mal. für ein abo ist sie mir aber zu teuer. ;)

Seh ich auch so.


zum thema vpn => freeswan scheint ja etwas aufwendiger zu sein und openvpn erfüllt ja auch seinen zweck. ich hab bei mir openvpn laufen, dient aber auch nur für mein wlan.



Kannste da mal näheres berichten. :D

HangLoose
23.09.03, 20:18
Original geschrieben von linuxhanz
Kannste da mal näheres berichten. :D

wenn ich mal zuviel zeit haben sollte, warum nicht :D


Gruß HL

cane
24.09.03, 08:06
@ linuxhanz

Mach ich gerade!
Poste das ganze im Laufe des Tages...

mfg
cane

Temp
24.09.03, 08:33
hab auch ein Openvpn am laufen....

hat auch ein paar nette features (bandbreitenmanagement, reconnect on disconect auch bei wechselnder ip - im sinne mit dyndns) und kannst durch nen nat/masq gw bringen sowie ein einfachere Konfiguration.

Freeswan zieht da schon etwas rein.... die Konfig is dooof :)

Gruß Temp

cane
24.09.03, 08:48
Interessant ist in diesem Zusammenhang auch die neue IPsec Implementierung in Kernel 2.6.x.
Hier der Link zu einem sehr guten Bericht der sich auch mit den zugrundeliegenden Protokollen beschäftigt:
IPsec in Kernel 2.6 (http://www.spenneberg.com/linux-magazin/060-066_kernel-ipsec.pdf)

malburg
24.09.03, 10:55
Also ich würde den Apache, wenn er von aussen erreichbar sein soll, an eine 3. netzwerkkarte an den router hängen und somit eine DMZ aufmachen.

dann musst du bloss noch regeln schreiben, welche dem apache den zugriff auf mysql erlaubt)

Das ist IMHO besser.

M. Alburg

cane
24.09.03, 11:50
@all
Hier eine teilweise Fassung meines VPN Vergleichs - ist noch nicht fertig weil ich
a)am FTP Server zu tun hatte
und
b)bei den verschiedenen Verschlüsselungen nicht durchblicke...

Was interessiert euch überhaupt?
- Session Authentification
- Key-Exchange
- Tunnel-Data-Encryption
- Tunnel-Data-Authentification
oder die ganzen anderen Sachen von wegen


offering certificate-based authentication, public key encryption, and TLS-based dynamic key exchange

[QUOTE]Open VPN is using TLS-based session authentication, the Blowfish cipher, SHA1 authentication for the tunnel data, and tunneling an FTP session with large, precompressed files, OpenVPN achieved a send/receive transfer rate of 1.455 megabytes per second of CPU time (combined kernel and user time).[QUOTE]

Ich muß erst mal zusehen dass ich verstehe welche Verschlüsselung / Signierung etc auf welcher OSI Schicht arbeitet - ist ja zum ko***n...
Damit hab ich auch die meisten Probleme bei meinem VPN-Vergleich...

Naja, dafür bin ich froh wenn ichs verstanden hab...

Guckt euch das .pdf an und macht Verbesserungsvorschläge - ich kanns auch als .doc posten dann könnt ihr mir helfen!

[QUOTE]Also ich würde den Apache, wenn er von aussen erreichbar sein soll, an eine 3. netzwerkkarte an den router hängen und somit eine DMZ aufmachen.[QUOTE]
Wieso ist das sicherer als wenn ich dem Apache den Zugriff auf alles andere als den mysqlport verbiete?

cane
24.09.03, 11:51
So, hier mein VPN Vergleich_pre_1.pdf

HangLoose
24.09.03, 12:08
moin moin


Original geschrieben von cane

Wieso ist das sicherer als wenn ich dem Apache den Zugriff auf alles andere als den mysqlport verbiete?

wenn der apache gecrackt wird und der angreifer rootrechte erlangt, dürfte es für ihn kein problem sein auch die firewall(auf dem apachen) auszuhebeln. die regeln auf dem apache helfen dir dann nicht viel. steht der apache dagegen in einer DMZ, müßte der angreifer um ins lan zu gelangen, erstmal die firewall zum lan hin *knacken*.

da du aber nur zwei weitere kisten laufen hast, kannst du auf diesen ein entsprechende iptablescripte laufen lassen. sowas ist aber in einem firmennetzwerk mit zig clients nicht praktikabel, da konzentriert man sich auf einen bzw. zwei *punkte*.

btw. das geht aus deiner *zeichnung* nicht ganz hervor, hängen die 3 rechner jeweils an einer eigenen netzwerkkarte?


Gruß HL

cane
24.09.03, 12:21
da du aber nur zwei weitere kisten laufen hast, kannst du auf diesen ein entsprechende iptablescripte laufen lassen.

Genauso hatte ich das vor - einfach alles blocken außer mysql...


btw. das geht aus deiner *zeichnung* nicht ganz hervor, hängen die 3 rechner jeweils an einer eigenen netzwerkkarte?

Kann man zwei Rechner an eine Netzwerkkarte hängen? ;)

HangLoose
24.09.03, 12:28
Original geschrieben von cane

Kann man zwei Rechner an eine Netzwerkkarte hängen? ;)

nö eigentlich nicht ;). ich hatte da an einen switch gedacht, den hättest du dann aber wohl eingezeichnet.


Gruß HL