Halli, Hallo,

ich habe hier ein kleines Netzwerk mit überwiegend Windows-Clients, einem Linux-Samba-Server (Print-/Fileserver) und einem Linux GW/FW+OpenVPN und alles mit statischen IPs.

Nun möchte ich aber eine dynamische IP Verteilung, also sprich DHCP und Bind und bei der OpenVPN möchte ich das Ethernet Bridging aktivieren.
Soweit so gut, nur bin ich momentan beim Netzwerkdesign hin und hergerissen und wollte hier mal um eure Meinung fragen:

Soll ich
1. ... DHCP auf dem Samba-Server installieren oder
2. DHCP und OpenVPN auf dem Samba-Server installieren oder
3. DHCP auf das Gateway/Firewall mit OpenVPN installieren oder
4. ist es völlig egal oder
4. gern auch andere Anregungen.

Oder ist es vielleicht besser sich noch einen zusätzlichen Rechner hinzustellen auf dem dann DHCP, Bind und OpenVPN läuft, aber diese Variante möchte ich aus verschiedenen Gründen möglichst meiden.

CW

ich würde versuchen, auf dem Rechner, der direkt am ZwischenNetz hängt, nur das Allernotwendigste zu installieren...

Daher also z.B. DHCP auf den Samba-Server

Danke für deine Antwort und wohin würdest du den OpenVPN- Server installieren?

CW

naja, das wird jetzt philosophisch ;-)

auf dem Router ist es eine Anwendung, die evtl. Lücken aufreisst, auf dem Samba ist man schon im Netz drin ;-)

ich denke, _ich_ würde ihn auf den Router/FW/GW packen und versuchen, noch sowas wie eine DMZ/chroot/jail drumrumzubasteln...

Zitat von marce
auf dem Router ist es eine Anwendung, die evtl. Lücken aufreisst, auf dem Samba ist man schon im Netz drin
Genau DAS ist mein Problem, welches mich beschäftigt und ich oben darstellen wollte, aber bei genauerer Betrachtung glaube ich auch, dass es besser sein wird die VPN auf dem GW zu lassen und in 'ner chroot läufts eh schon.

Danke dass wir mal darüber geredet haben, hat mir ein paar schlaflose Nächte erspart :)

Viele Grüsse
CW

Da es zumindest in ällteren chroot-Versionen möglich ist, vielleicht auch in den neueren, aus dem chroot auszubrechen könnte man die Rechte des openvpn und aller anderen Dienste per systrace oder einer Implementierung a la SELinux noch weiter angreifen.

Zusätzlich kann man das system mittels Kernelpatches wie PAX oder ähnlichem vor Buffer Overflows und anderen Exploits schützen.

Dann existieren auch noch Patches die den IP-Stack von Linux so anpassen das ARP-Spoofing und verwandte Techniken abgewehrt werden.

In der Linkliste dieses Unterforums gibts einiges zu stöbern...

mfg
cane

Einen Portknocking-Daemon auf der FW, die den entsprechenden Port zu OpenVPN auf dem Samba weiterleitet? Koennte man das auch so machen?

Hi,

danke für die Anregungen.
Hatte mich schon einige Zeit nicht mehr mit Portknocking beschäftigt, hab aber gesehen, dass es inzwischen auch Knocker gibt, die dynamische Sequenzen erzeugen oder auch zusätzlich mit verschlüsselten Packeten arbeiten, weil man statische Sequenzen ja ersniffen kann.
Werde es mir mal Montag genauer anschauen.

Ich weiss nicht inwieweit es bekannt ist, um einen chroot Ausbruch zu erschweren, kann man mit dem grsecurity Patch einige Restriktionen setzen.


Na denn noch nen schönen Sonntag,
CW