Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Ich hab zu Hause eine DSL Flatrate die ich mit einem 1und1 Wlan Router benutze.

Das heißt der Router ist ständig im Internet und alle PCs verbinden sich über WLAN (oder Kabel) mit dem Router und können sich untereinander sehen.

Wie hänge ich da jetzt am sichersten einen Server mit dabei? Am liebsten wäre es mir ja wenn der Server physikalisch von den restlichen Geräten getrennt wäre damit falls sich da mal jemand einhakt der von da aus nicht weiter kommt.

Aber da die sich ja spätestens am Router alle wieder sehen ist das ja nicht möglich.

Kann ich die trotzdem sicher von einander trennen?

Geschrieben
hört sich nach vmware an, oder?

Ich sehe dass Wort VMware nicht im Eingangsposting, OP hat vielmehr ein allgemeines Netzwerkproblem, dass er meiner Meinung nach nur durch einen zweiten Router lösen kann.

Beispiel

DSL-Router hat öffentli. IP: 55.66.77.88 und LAN-IP: 192.168.5.1/24.

Alle Geräte (z.B. PCs) im Netz 192.168.5/24 können einander sehen und angreifen/ausspionieren/was-auch-immer.

Angenommen, 192.168.5.5 ist ein NAT-Router, IP1=192.168.5.5, IP2=172.16.5.1/24, der Server hängt dann hinter dem zweiten Router und hat IP 172.16.5.2 und hat als Default-Router den NAT-Router. Dem DSL-Router muss man halt erzählen, dass 172.16.5/25 auf der LAN-Seite liegt und der NAT-Router muss alle Pakete, die an 192.168.5/24 gehen, verwerfen.

Fertig.

Oder halt einen DSL-Router kaufen, der zwei unterschiedliche LAN-Segmente bedienen kann. Dürfte eher selten und teuer sein.

Geschrieben

Ja so in der Richtung habe ich auch schon gedacht. Aber gehen wir das mal Gedanklich durch.

Ich würde ja versuchen diesen Server so sicher wie Möglich zu halten (ServicePacks, Updates, Firewall, Virenscanner usw) wodurch es ja schwer(er) wäre da einzudringen. Mal angenommen es schafft aber trotzdem mal jemand, dann würde das ja bedeuten das er eine gewisse Ahnung von dem hat was er da tut.

Was würde den denn dann davon abhalten über den Server in den Router einzudringen und da was schädliches zu hinterlegen oder von da dann an den anderen Router bzw. das andere Netzwerk dran zu kommen?

Geschrieben

Wenn man einen zusätzlichen Rechner übrig hat, den Strom bezahlen will und es "wie die Großen" absichern will

kommt da in meinen Augen nur IPCop.org :: The bad packets stop here! in Frage.

IPCOP ist eine kleine Linux-Firewall, die komfortabel über eine Web-GUI gesteuert wird. IPCop wird auf einem extra dedizierten PC installiert (ein alter PC ab 300Mhz, oder ein Mini-ITX)..

Je nachdem wieviele Netze man hat baut man Netzwerkkarten in den alten PC.

Grünes Netz = intern

Rotes Netz = Internet

Gelbes Netz = DMZ (wo dein Server kommt)

Blau = WLAN

IPCop steuert dann die Zugriffe zwischen den einzelnen Netzen.

Selbst wenn jemand dann die Steuerung deines Servers übernimmt, kann er sich nur im Gelben Netz austoben, ins Grüne kommt der Angreifer erstmal nicht. Bei IPCOP handelt es sich bei der DMZ übrigens um eine richtige DMZ, und nicht um einen "Exposed Host", wie z.Bsp. bei so ziemlich jeden DSL-Router....

Geschrieben

Nur mal so eine Überlegung:

Deine Rechner ganz normal an den Router hängen. Zusätzlich einen 2. Router an den Router hängen (ein ganz billiger, hab meinen (nicht WLAN) Router damals für 1 Euro bei ebay verkauft).


       WWW

------------------

|      x.x.x.x       |

|                       |

|         R1           |

|                       |

|  192.168.0.1     |

------------------

      |       |

      |        Deine Rechner (192.168.0.3-xxx)

      |

------------------

|   192.168.0.2    |

|                       |

|         R2           |

|                       |

|  192.168.1.1     |

------------------

           |

Dein Server (192.168.1.2)

R1 bekommt eine statische Routing Tabelle mit 192.168.1.0 -> Gateway 192.168.0.2

Und ein Forwarding für Port 80 (wenn du nur einen http-Server willst) auf 192.168.1.2

Ist nur so ne Idee, keine Ahnung ob das so geht.

EDIT: Der rechte Rand bei den Router-Boxen oben is n bissl verhaun... will wohl nicht so wie die der Editor hier...

Geschrieben
Ein gutes Passwort für den Router ;)

Naja ich weiß ja nicht was der Router so an Sicherheitslücken oder Bugs aufzuweisen hat. Ist ja im Prinzip kein großer Unterschied zu nem PC.

Aber so wie ich das sehe kann ich das drehen und wenden wie ich will, wenn der Router eine Lücke hätte durch die man auch in ihn eindringen könnte dann wäre ja der einzige Weg um sein restliches Netzwerk zu sichern eine zweite getrennte Internetanbindung zu schaffen..was mir etwas zu teuer wäre ;)

Mal kurz zu der Idee von Thombo..Theoretisch müsste man den dedizierten Server doch auch auf einer virtuellen Machine aufsetzen können welche auf dem Server läuft oder?

Bin mir aber nicht sicher ob das sinnvoll ist...

Geschrieben

Mal kurz zu der Idee von Thombo..Theoretisch müsste man den dedizierten Server doch auch auf einer virtuellen Machine aufsetzen können welche auf dem Server läuft oder?

Bin mir aber nicht sicher ob das sinnvoll ist...

Das ganze nennt sich dann "UN-Ipcop"

Wird nicht empfohlen... Aber aus eigener Erfahrung weiß ich dass es funktioniert :)

Mittlerweile hab ich mir dafür n Mini-PC geholt... der zieht 11 Watt.

Und da läuft IPCOP drauf. Mit dem Mini-PC hab ich 3 Sachen erreicht:

1.) Ich mag die Teile einfach und wollte schon immer einen haben

2.) Das Aufsetzen des IPCOP hat einfach Spaß gemacht, es gibt immer was zu tunen :)

3.) Ne richtige Firewall mit richtiger DMZ...

Und wenn ich keine Firewall mehr brauche, dann installier ich einfach Windows auf dem Mini und mach da n kleinen Fileserver raus... Oder n Videorekorder... oder oder oder

Geschrieben
Naja ich weiß ja nicht was der Router so an Sicherheitslücken oder Bugs aufzuweisen hat. Ist ja im Prinzip kein großer Unterschied zu nem PC.

Der Unterschied ist so groß, dass auf dem Router fast nix läuft, außer das was wirklich gebraucht wird (Eine der Grundregeln was Sicherheit angeht, nur noch viel stärker als auf einem PC ausgelebt. Weil es hier viel besser geht). Und weiter läuft auf den meisten Routern auch kein Standardbetriebssystem.

Das kannst du so gar nicht vergleichen mit deinem Rechner, bei dem du sonst was mit machst.

Astaro-Security-Gateway z.B. läuft mit "normaler" Software unter Linux (z.B. Squid als Proxy). Die Software ist dort aber im Gegensatz zu einem Rechner den du hinstellen würdest fix zusammen gelinkt und kompiliert etc. Da kannst du nicht mal einfach irgendwas austauschen oder ein Root-Kit einspielen o.ä.

Also deinen Router kannst du mit nem PC nicht wirklich vergleichen (in dem Fall).

Klar kann der Sicherheitslücken haben, aber nicht weil ein PC welche hat hat ein Router die automatisch auch. Und die Standardlücken wird er sowieso nicht haben. Wenn da jemand über eine Lücke reinkommt, wusste der schon genau was er tat und an was.

Mein Router bietet zum Zugriff 3 Möglichkeiten an: Telnet, ssh und Http. Die meisten oft nur 2. Das PW Brutforcen ist da meist die "beste" Lösung (von Remote) ;)

EDIT:

Wie "einfach" es ist eine Lücke in einem Router auszunutzen hat man ja beim "Fonera-Hack" gesehen. Da ging es nur darum, dem Fonera-Router eine eigene Firmware bzw eine geänderte unterzuschieben. Das war auch möglich, aber nur, weil der Fonera sich von woanders Einstellungen holen musste. (und einfach war es dennoch nicht. Und viel tun konnte man dann auch nicht, was dir unbemerkt schaden würde)

Fonera bietet kostenlos WLan-Router an, Dafür musst du dann deinen WLan Zugang auch anderen Foneras zur Verfügung stellen.

EDIT2:

Siehe:

La Fonera - Wikipedia

und besonders:

La Fonera - Wikipedia

Geschrieben

Ok dann schließen wir eine Sicherheitslücke im Router mal aus, denn was dagegen machen kann man ja eh nicht.

Was wäre denn jetzt die effektivere Lösung? Die mit den 2 Routern oder eine DMZ wo eine Firewall jeweils zwischen Internet/Webserver und Webserver/Lan hängt?

Wie würden die Rechner bei der DMZ Lösung eigentlich ins Internet kommen?

Geschrieben

Ok, das würde ja dann so aussehen das nach dem Router eine Firewall kommt, dann der Server, dann wieder eine Firewall und dann das restliche LAN.

Aber wie würde das LAN denn dann ins Internet kommen? Über den Server oder irgendwie direkt durch den Router (würde das nicht die DMZ ad absordum führen?)?

Geschrieben

Die Rechner haben als Gateway die innenliegende Firewall.

Die innenliegende Firewall hat sehr restriktive Einstellungen, es sind oft keine eingehende Verbindungen erlaubt. Z.B. brauchst Du fuer HTTP, HTTPS und FTP keine eingehenden Verbindungen.

Die innenliegende Firewall kennt die aussenliegende Firewall als Gateway.

Auf dieser sind zusaetzlich zu den Clientrichtlinien von der innenliegenden Firewall auch Richtlinien für den Zugriff auf den Server in der DMZ drauf.

Die Verbindung zwischen den beiden Firewalls ist entweder direkt oder geht ueber einen Switch, nicht ueber Server in der DMZ.

Server in der DMZ sind oft Webserver, Mail-Relays, VPN-Server oder Proxy-Server, die dann ueber eigene Filterregeln (z.B. iptables) und gehaertete Konfigurationen nochmal gesichert sind.

Ein Server mit einer produktiv genutzten, zentralen Userdatenbank (Samba, DC, SBS) hat in der DMZ nichts zu suchen.;)

Geschrieben

Verstehe, danke schonmal.

Aber wie sieht es denn jetzt damit aus die DMZ als virtuelle PCs auf dem Server der in der DMZ steht anzulegen.

Also das auf dem Server 2 virtuelle PCs laufen die jeweils eine Firewall wiederspiegeln. Wäre das sinnvoll (von der Performance mal abgesehen).

Bzw denke ich mir gerade beim Schreiben das zumindest die innere Firewall keinen Sinn da machen würde weil man sie ja dann einfach umkonfigurieren könnte wenn man in den Server eindringt. Aber wie sieht es mit der Firewall zwischen Internet und Server aus?

Geschrieben

ich hab jetzt zwar nicht alles gelesen aber eine möglichkeit wäre evtl einen WRT54gl Router von Linksys zu kaufen und dort VLANs einzurichten.

Hab so einen Router aber kann leider nicht genau sagen wie das mit dem VLAN funktioniert, da ic das noch nicht ausprobiert habe.

Du muss dafür dann die Firmware DD-WRT auf den Router spielen.

hier mal ein paar infos. VLAN Detached Networks (Separate Networks With Internet) - WRT Wiki

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...