Guybrush Threepwood Geschrieben 6. Juli 2007 Teilen Geschrieben 6. Juli 2007 Ich hab zu Hause eine DSL Flatrate die ich mit einem 1und1 Wlan Router benutze. Das heißt der Router ist ständig im Internet und alle PCs verbinden sich über WLAN (oder Kabel) mit dem Router und können sich untereinander sehen. Wie hänge ich da jetzt am sichersten einen Server mit dabei? Am liebsten wäre es mir ja wenn der Server physikalisch von den restlichen Geräten getrennt wäre damit falls sich da mal jemand einhakt der von da aus nicht weiter kommt. Aber da die sich ja spätestens am Router alle wieder sehen ist das ja nicht möglich. Kann ich die trotzdem sicher von einander trennen? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bigredeyes Geschrieben 7. Juli 2007 Teilen Geschrieben 7. Juli 2007 hört sich nach vmware an, oder? Webserver und Firewall mit VMware auf einem Server betreiben - Einer für Alles - Internet Professionell virtuelle Maschinen mit VMware und Virtual PC - Tips, Tricks, HowTos zur Virtualisierung habe ich aber auch noch nicht getestet... nutze vmware nur lokal im netz... bigredeyes Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jens.ebinger Geschrieben 7. Juli 2007 Teilen Geschrieben 7. Juli 2007 hört sich nach vmware an, oder? Ich sehe dass Wort VMware nicht im Eingangsposting, OP hat vielmehr ein allgemeines Netzwerkproblem, dass er meiner Meinung nach nur durch einen zweiten Router lösen kann. Beispiel DSL-Router hat öffentli. IP: 55.66.77.88 und LAN-IP: 192.168.5.1/24. Alle Geräte (z.B. PCs) im Netz 192.168.5/24 können einander sehen und angreifen/ausspionieren/was-auch-immer. Angenommen, 192.168.5.5 ist ein NAT-Router, IP1=192.168.5.5, IP2=172.16.5.1/24, der Server hängt dann hinter dem zweiten Router und hat IP 172.16.5.2 und hat als Default-Router den NAT-Router. Dem DSL-Router muss man halt erzählen, dass 172.16.5/25 auf der LAN-Seite liegt und der NAT-Router muss alle Pakete, die an 192.168.5/24 gehen, verwerfen. Fertig. Oder halt einen DSL-Router kaufen, der zwei unterschiedliche LAN-Segmente bedienen kann. Dürfte eher selten und teuer sein. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Guybrush Threepwood Geschrieben 9. Juli 2007 Autor Teilen Geschrieben 9. Juli 2007 Ja so in der Richtung habe ich auch schon gedacht. Aber gehen wir das mal Gedanklich durch. Ich würde ja versuchen diesen Server so sicher wie Möglich zu halten (ServicePacks, Updates, Firewall, Virenscanner usw) wodurch es ja schwer(er) wäre da einzudringen. Mal angenommen es schafft aber trotzdem mal jemand, dann würde das ja bedeuten das er eine gewisse Ahnung von dem hat was er da tut. Was würde den denn dann davon abhalten über den Server in den Router einzudringen und da was schädliches zu hinterlegen oder von da dann an den anderen Router bzw. das andere Netzwerk dran zu kommen? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 10. Juli 2007 Teilen Geschrieben 10. Juli 2007 Was würde den denn dann davon abhalten über den Server in den Router einzudringen... Ein gutes Passwort für den Router Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thombo Geschrieben 10. Juli 2007 Teilen Geschrieben 10. Juli 2007 Wenn man einen zusätzlichen Rechner übrig hat, den Strom bezahlen will und es "wie die Großen" absichern will kommt da in meinen Augen nur IPCop.org :: The bad packets stop here! in Frage. IPCOP ist eine kleine Linux-Firewall, die komfortabel über eine Web-GUI gesteuert wird. IPCop wird auf einem extra dedizierten PC installiert (ein alter PC ab 300Mhz, oder ein Mini-ITX).. Je nachdem wieviele Netze man hat baut man Netzwerkkarten in den alten PC. Grünes Netz = intern Rotes Netz = Internet Gelbes Netz = DMZ (wo dein Server kommt) Blau = WLAN IPCop steuert dann die Zugriffe zwischen den einzelnen Netzen. Selbst wenn jemand dann die Steuerung deines Servers übernimmt, kann er sich nur im Gelben Netz austoben, ins Grüne kommt der Angreifer erstmal nicht. Bei IPCOP handelt es sich bei der DMZ übrigens um eine richtige DMZ, und nicht um einen "Exposed Host", wie z.Bsp. bei so ziemlich jeden DSL-Router.... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jens.ebinger Geschrieben 10. Juli 2007 Teilen Geschrieben 10. Juli 2007 Ein gutes Passwort für den Router Oder ein Router, der sich nicht übers gewöhnliche Netz administrieren lässt, sondern nur über dazu spezielle Buchsen. Nicht billig, aber machbar. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 10. Juli 2007 Teilen Geschrieben 10. Juli 2007 Nur mal so eine Überlegung: Deine Rechner ganz normal an den Router hängen. Zusätzlich einen 2. Router an den Router hängen (ein ganz billiger, hab meinen (nicht WLAN) Router damals für 1 Euro bei ebay verkauft). WWW ------------------ | x.x.x.x | | | | R1 | | | | 192.168.0.1 | ------------------ | | | Deine Rechner (192.168.0.3-xxx) | ------------------ | 192.168.0.2 | | | | R2 | | | | 192.168.1.1 | ------------------ | Dein Server (192.168.1.2) R1 bekommt eine statische Routing Tabelle mit 192.168.1.0 -> Gateway 192.168.0.2 Und ein Forwarding für Port 80 (wenn du nur einen http-Server willst) auf 192.168.1.2 Ist nur so ne Idee, keine Ahnung ob das so geht. EDIT: Der rechte Rand bei den Router-Boxen oben is n bissl verhaun... will wohl nicht so wie die der Editor hier... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Guybrush Threepwood Geschrieben 10. Juli 2007 Autor Teilen Geschrieben 10. Juli 2007 Ein gutes Passwort für den Router Naja ich weiß ja nicht was der Router so an Sicherheitslücken oder Bugs aufzuweisen hat. Ist ja im Prinzip kein großer Unterschied zu nem PC. Aber so wie ich das sehe kann ich das drehen und wenden wie ich will, wenn der Router eine Lücke hätte durch die man auch in ihn eindringen könnte dann wäre ja der einzige Weg um sein restliches Netzwerk zu sichern eine zweite getrennte Internetanbindung zu schaffen..was mir etwas zu teuer wäre Mal kurz zu der Idee von Thombo..Theoretisch müsste man den dedizierten Server doch auch auf einer virtuellen Machine aufsetzen können welche auf dem Server läuft oder? Bin mir aber nicht sicher ob das sinnvoll ist... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thombo Geschrieben 10. Juli 2007 Teilen Geschrieben 10. Juli 2007 Mal kurz zu der Idee von Thombo..Theoretisch müsste man den dedizierten Server doch auch auf einer virtuellen Machine aufsetzen können welche auf dem Server läuft oder? Bin mir aber nicht sicher ob das sinnvoll ist... Das ganze nennt sich dann "UN-Ipcop" Wird nicht empfohlen... Aber aus eigener Erfahrung weiß ich dass es funktioniert Mittlerweile hab ich mir dafür n Mini-PC geholt... der zieht 11 Watt. Und da läuft IPCOP drauf. Mit dem Mini-PC hab ich 3 Sachen erreicht: 1.) Ich mag die Teile einfach und wollte schon immer einen haben 2.) Das Aufsetzen des IPCOP hat einfach Spaß gemacht, es gibt immer was zu tunen 3.) Ne richtige Firewall mit richtiger DMZ... Und wenn ich keine Firewall mehr brauche, dann installier ich einfach Windows auf dem Mini und mach da n kleinen Fileserver raus... Oder n Videorekorder... oder oder oder Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 10. Juli 2007 Teilen Geschrieben 10. Juli 2007 Naja ich weiß ja nicht was der Router so an Sicherheitslücken oder Bugs aufzuweisen hat. Ist ja im Prinzip kein großer Unterschied zu nem PC. Der Unterschied ist so groß, dass auf dem Router fast nix läuft, außer das was wirklich gebraucht wird (Eine der Grundregeln was Sicherheit angeht, nur noch viel stärker als auf einem PC ausgelebt. Weil es hier viel besser geht). Und weiter läuft auf den meisten Routern auch kein Standardbetriebssystem. Das kannst du so gar nicht vergleichen mit deinem Rechner, bei dem du sonst was mit machst. Astaro-Security-Gateway z.B. läuft mit "normaler" Software unter Linux (z.B. Squid als Proxy). Die Software ist dort aber im Gegensatz zu einem Rechner den du hinstellen würdest fix zusammen gelinkt und kompiliert etc. Da kannst du nicht mal einfach irgendwas austauschen oder ein Root-Kit einspielen o.ä. Also deinen Router kannst du mit nem PC nicht wirklich vergleichen (in dem Fall). Klar kann der Sicherheitslücken haben, aber nicht weil ein PC welche hat hat ein Router die automatisch auch. Und die Standardlücken wird er sowieso nicht haben. Wenn da jemand über eine Lücke reinkommt, wusste der schon genau was er tat und an was. Mein Router bietet zum Zugriff 3 Möglichkeiten an: Telnet, ssh und Http. Die meisten oft nur 2. Das PW Brutforcen ist da meist die "beste" Lösung (von Remote) EDIT: Wie "einfach" es ist eine Lücke in einem Router auszunutzen hat man ja beim "Fonera-Hack" gesehen. Da ging es nur darum, dem Fonera-Router eine eigene Firmware bzw eine geänderte unterzuschieben. Das war auch möglich, aber nur, weil der Fonera sich von woanders Einstellungen holen musste. (und einfach war es dennoch nicht. Und viel tun konnte man dann auch nicht, was dir unbemerkt schaden würde) Fonera bietet kostenlos WLan-Router an, Dafür musst du dann deinen WLan Zugang auch anderen Foneras zur Verfügung stellen. EDIT2: Siehe: La Fonera - Wikipedia und besonders: La Fonera - Wikipedia Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Guybrush Threepwood Geschrieben 16. Juli 2007 Autor Teilen Geschrieben 16. Juli 2007 Ok dann schließen wir eine Sicherheitslücke im Router mal aus, denn was dagegen machen kann man ja eh nicht. Was wäre denn jetzt die effektivere Lösung? Die mit den 2 Routern oder eine DMZ wo eine Firewall jeweils zwischen Internet/Webserver und Webserver/Lan hängt? Wie würden die Rechner bei der DMZ Lösung eigentlich ins Internet kommen? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 16. Juli 2007 Teilen Geschrieben 16. Juli 2007 DMZ mit 2 Firewalls, die von unterschiedlichen Herstellern stammen. Damit erhoeht sich die Chance, dass eine gefundene Luecke nicht ein zweites Mal ausgenutzt werden kann. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Guybrush Threepwood Geschrieben 16. Juli 2007 Autor Teilen Geschrieben 16. Juli 2007 Ok, das würde ja dann so aussehen das nach dem Router eine Firewall kommt, dann der Server, dann wieder eine Firewall und dann das restliche LAN. Aber wie würde das LAN denn dann ins Internet kommen? Über den Server oder irgendwie direkt durch den Router (würde das nicht die DMZ ad absordum führen?)? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 17. Juli 2007 Teilen Geschrieben 17. Juli 2007 Die Rechner haben als Gateway die innenliegende Firewall. Die innenliegende Firewall hat sehr restriktive Einstellungen, es sind oft keine eingehende Verbindungen erlaubt. Z.B. brauchst Du fuer HTTP, HTTPS und FTP keine eingehenden Verbindungen. Die innenliegende Firewall kennt die aussenliegende Firewall als Gateway. Auf dieser sind zusaetzlich zu den Clientrichtlinien von der innenliegenden Firewall auch Richtlinien für den Zugriff auf den Server in der DMZ drauf. Die Verbindung zwischen den beiden Firewalls ist entweder direkt oder geht ueber einen Switch, nicht ueber Server in der DMZ. Server in der DMZ sind oft Webserver, Mail-Relays, VPN-Server oder Proxy-Server, die dann ueber eigene Filterregeln (z.B. iptables) und gehaertete Konfigurationen nochmal gesichert sind. Ein Server mit einer produktiv genutzten, zentralen Userdatenbank (Samba, DC, SBS) hat in der DMZ nichts zu suchen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Guybrush Threepwood Geschrieben 17. Juli 2007 Autor Teilen Geschrieben 17. Juli 2007 Verstehe, danke schonmal. Aber wie sieht es denn jetzt damit aus die DMZ als virtuelle PCs auf dem Server der in der DMZ steht anzulegen. Also das auf dem Server 2 virtuelle PCs laufen die jeweils eine Firewall wiederspiegeln. Wäre das sinnvoll (von der Performance mal abgesehen). Bzw denke ich mir gerade beim Schreiben das zumindest die innere Firewall keinen Sinn da machen würde weil man sie ja dann einfach umkonfigurieren könnte wenn man in den Server eindringt. Aber wie sieht es mit der Firewall zwischen Internet und Server aus? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
claudekenni Geschrieben 19. Juli 2007 Teilen Geschrieben 19. Juli 2007 ich hab jetzt zwar nicht alles gelesen aber eine möglichkeit wäre evtl einen WRT54gl Router von Linksys zu kaufen und dort VLANs einzurichten. Hab so einen Router aber kann leider nicht genau sagen wie das mit dem VLAN funktioniert, da ic das noch nicht ausprobiert habe. Du muss dafür dann die Firmware DD-WRT auf den Router spielen. hier mal ein paar infos. VLAN Detached Networks (Separate Networks With Internet) - WRT Wiki Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.