Netzwerk/Server absichern

[bacon]

nAbend zusammen,

folgendes Anliegen/Idee:

Ich möchte meinen Server von Windows auf Linux (Debian) umstellen.
Bisher läuft auf dem ein Datengrab und ein TV-Server.
Seit geraumer Zeit hostet er eine virtuelle Maschine mit Debian drauf.
Hier läuft im moment hauptsächlich eine Owncloud und noch ein paar Webanwendungen.

Ich lese recht interesiert hier mit auch im Netz habe ich so einige Anregungen gefunden, jedoch konnte ich noch nichts finden was man als
"eierlegende Wollmilchsau" bezeichnen könnte. Ich hoffe hier kann jemand noch Anregungen beitragen und auch aus eigender Erfahung berichten.

Momentan sieht es bei mir so aus:
KabelBW -> FritzBox -> Netzwerk

Folgende Überlegungne habe ich bisher getroffen:
Gerne würde ich den Aufwand was HW betrifft so gering wie möglich halten.

Eins wäre mit einem weiteren Router eine "DMZ" zu errichten. Sprich so was:
An die KabelBW Fritte kommt der Server dran und eine weitere Fritte mit Freetz bzw. alternativ irgendein Teil mit OpenWRT und dort mein interes Netz.

Oder ich baue mir mit zusätzlicher HW eine Sophos/IPfire auf.

Geht das auch einfacher?
Mal davon abgesehen das Rechtemanagement entsprechend zu nutzen.
Ich würde halt gerne die "öffentliche" Daten so gut wie möglich von meinen privaten Daten trennen.
Theoretisch könnte ich unter dem headless Debian auch wieder eine VM betreiben die eben wiederum nur den öffentlichen Teil abdecken soll.

Ich denke egal für was ich mich entscheide, es wird alles mit einem entsprechendem Aufwand verbunden sein.

Danke für die Hilfe.

 

[X5-599]

Vielleicht ist es auch einfach zu spät, aber ich verstehe nicht ganz was du willst.

Ich würde halt gerne die "öffentliche" Daten so gut wie möglich von meinen privaten Daten trennen.

Das ist das einzige was ich aus deinem Thread rauslese und da hätte ich gesagt Partitionier die Festplatte. Auf einer dann die privaten und auf der anderen dann die anderen Daten.
Aber ich denke das ist es nicht was du willst, doch mehr kann ich nicht aus deinem Thread herauslesen.

Oder geht es dir darum die Daten vor Zugriffen aus dem Internet zu schützen? Dann schützt du entweder dein gesamtes Netzwerk oder gar nichts. Denn was bringt es dir wenn dein Server 100000fach gesichert ist, dein PC aber offen steht wie ein Scheunentor?

Daher nochmals, was möchtest du genau und da ich die Richtung vermute, was ist dein Budget und eben noch alles was von interesse sein könnte.

 

[AliManali]

Hi

Wenn die zwei Router schon vorhanden sind, ist das die günstigste Variante, eine echte DMZ einzurichten, ja.

DMZ selbst gebaut | heise Netze

Der Artikel ist halt schon ein paar Jahre alt,...

Ansonsten eine kleine FW einrichten, die sollte im Minimum drei NIC's haben. Ich nutze eine Zywall. Eventuell wäre die USG 20W was für Dich? Ich hätte da nen Kumpel, der hätte eventuell eine übrig. Müsste ihn mal fragen. Bei einer dedizierten FW (bzw. der Zweirouterlösung) hast Du den Vorteil, dass Du das Cablemodem im bridge Mode betreiben kannst, und somit kein doppeltes NAT betreiben musst.

Ansonsten kannst Du die Aufteilung von DMZ und LAN auch im Server per FW VM vornehmen. Dabei solltest Du beim Cablemodem aber den Router eingeschaltet lassen. Den Server würde ich also nicht direkt an eine öffentliche IP hängen. In dem Fall würde ich einen Hypervisor als Basis nehmen. Dafür bräuchte der Server dann mindestens 3 NIC's.

Früher hatte ich die Lösung mit doppeltem NAT und einer virtualisierten FW. Das hatte den Vorteil, dass das WAN vom Server direkt am Router hing, und ich, wenn ich das LAN nicht benötigte, die Switches runterfahren konnte. Allerdings hatte ich kein LAN mehr, wenn der Server off war.

Heute habe ich mit der Zywall (ich habe eine 110er) den Vorteil, dass ich alle Netzwerke zur Verfügung habe, auch wenn der Server down ist. Dafür müssen die Switches immer on sein. Es gäbe da noch die Möglichkeit, die DMZ direkt von der FW zum Server zu fahren. Das werde ich wohl als nächstes einrichten, mit mehreren DMZ's getaged auf einer Strippe von der FW zum Server. So kannst Du z.B. eine interne (nur vom LAN erreichbar) und eine externe (vom WAN erreichbar) DMZ einrichten.

Am komfortabelsten ist also wohl die Lösung mit dedizierter FW und Hypervisor als Server. So habe ich das zumindest gelöst.

Falls Du eine physische oder virtuelle FW einsetzt, würde ich einen managed Switch mit vLAN dran hängen, sonst macht das wenig Sinn. Bei der Zweirouterlösung könntest Du darauf verzichten.

@X5-599: Er will sein LAN von der DMZ trennen. D.h., wenn der Server (dieser liegt in der DMZ) kompromitiert wird, sollen seine Daten im LAN geschützt sein. Es geht hier also nicht um eine Trennung der Daten auf irgendwelchen Datenträgern. Der TE sieht das schon richtig, und er hat sich klar ausgedrückt. Am besten liest Du Dir den von mir verlinkten Heise Artikel durch, dann verstehst Du, was er will.

 

[bacon]

Hallo ihr zwei,

danke mal soweit.

Ihr habt beide recht
Ich habe mich zu unpräzise ausgedrückt.

Hier mal mehr Details was ich mir vorgestellt habe.

Der Server verfügt über eine SSD und vier HDD sowie zwei LAN-Schnittstellen.
Auf der SSD soll nur das OS arbeiten und auch nur die dafür notwendigen Daten speichern. Alle anderen Daten sollen auf den HDDs liegen.

Zum einen sollen natürlich die Daten auf den HDDs bestmöglich geschützt sind.

Da der Server bedingt durch die Nutzung der Dienste dann 24/7 am Netz hängt wollte ich das restliche Netzwerk zusätzlich absichern.

Eine FW auf Basis einer VM unter ESXi und der restlichen Virtualisierung meines Datengrabs usw. hatte ich mal vor aber dann auch verworfen.

Meine weiteren bisherigen Überlegungen.
-Nutzung eines VPN welches mir die Fritte direkt bereitstellt.
-Aufbau einer DMZ und die zu Nutzenden Webapplikationen auf einen weiteren Server (evtl. Raspi) auszulagern

Ich hoffe jetzt weitere Infos geliefert zu haben. Ich würde ich über eine weitere anregende Diskussionen um die Bereich Systems und Netzwerksicherheit freuen.
Gerne auch links zu Bücher/Tuts/Vids usw.

Gesendet von meinem GT-I9305 mit der Hardwareluxx App