WAN IP von einzelnem PC ändern.

[Friedemann]

Das bringt mich jetzt iwie nicht weiter.
Aber trotzdem danke?
Confusement

 

[AliManali]

Du kannst den Verkehr vom LAN zur DMZ direkt beregeln (Interzoneregel), oder Du gehst vom LAN direkt über die öffentliche IP wieder rein. Die Verbindung verhält sich dann leicht anders.

Eine zweite öffentliche IP brauchst Du für das definitiv nicht. Ich dachte Du willst eine zweite IP, um Dein LAN vom Server zu anonymisieren.

 

[Friedemann]

Das war die Idee, aber wenn diese Alternative gleich sicher ist würde ich es natürlich der zweiten IP vorziehen weil billiger.
Deswegen habe ich ja oben gefragt wie einfach es ist das zu umgehen. Wenn das Risiko nämlich relativ hoch ist nimm ich natürlich ne zweite IP.
Das würde dann so aussehen wenn es so funktionieren kann.

 

[BlueEnni]

Hi

DMZ aufbauen kann man mit verschiedenen Methoden. Das ALIX Board z.B. hat drei NIC’s, das wär dann eine für WAN, eine für DMZ und eine für LAN. Auf dem Alix Board installierst Du eine Firewall Distribution Deiner Wahl. Dann hast Du quasi einen mehrbesseren Router mit eigener Schnittstelle für Deine DMZ. Oder Du kaufst einen Router mit dedizierter DMZ Schnittstelle. Ich habe eine Zywall 110 hinter meinem Modem, die macht das alles für mich. Gibts auch kleiner, ist aber recht aufwändig in der Konfiguration die Zyxel. Wenn Du eine Firewall (z.B. das Alix Board) hast, brauchst Du aber wahrscheinlich noch einen Switch, sofern Du mehr als ein Gerät ans LAN hängen möchtest.

Des Weiteren ist eine echte DMZ auch mit zwei normalen Routern möglich.

Lies dazu Mal den Heise Artikel. Ist zwar schon etwas älter, aber immer noch gültig:

DMZ selbst gebaut

Wenn Du einen Server hast, wo Du die Dienste (Game-, VoIP, Web- Server, o.ä.) laufen lässt, dann klemmst Du den an die DMZ. Wenn Du kein LAN am Server benötigst, brauchst Du auch keine zweite NIC an dem Gerät. Falls Du gescheite Hardware hast, kannst Du die VM’s auf einem Bare Metal Hypervisor wie vSphere (ESXi), Proxmox, HyperV o.ä. aufsetzen. Da hast Du dann mehr Funktionen, gerade auch was Netzwerk anbelangt. Ich weiss jetzt nicht, was Dein Gameserver für Ressourcen braucht. Ab 8 GB bist Du dabei für ESXi, besser wären 16.

Des weiteren wäre es auch denkbar, dass Du am Server eine virtuelle Firewall aufsetzt. Bin ich aber kein FAN von, aus verschiedenen Gründen. Einer ist z.B., dass wenn der Server down ist, das gesammte Netzwerk still steht.

Wenn Du die VM’s aber auf Deinem normalen Desktop Rechner ausführen willst, und Windows als OS einsetzt, geht das mit der DMZ leider nicht. Auch nicht, wenn Du zwei NIC’s hast. Allenfalls etwas mit einer USB NIC könnte man basteln, die an Deine VM durchgereicht wird. Aber das ist echt Murks.

Kannst ja auch Mal in folgenden Thread reinschauen, und das verlinkte PDF anschauen. Den VPN Teil kannst Du Dir weg denken, aber der Rest des Netzwerk sollte da etwas Licht ins Dunkel bringen:

VPN Gateway Enigmabox - virtualisiert auf dem Prüfstand

Seite 4 ist da interessant, da siehst Du den Ethernet Aufbau. So sieht mein Netzwerk aus. Zum Zeitpunkt, wo ich das geschrieben habe, hatte ich auch noch 2 öffentliche IP's.
 


Das ist aber Quatsch mit Sauce. Auch bei einer DMZ brauchst Du NAT, und hast dieselben Firewall Funktionen, wie am LAN auch. LAN und DMZ sind einfach getrennte Zonen, die einander nicht sehen, sofern das nicht beregelt ist.

Sehe ich auch so DMZ ist durchaus sinnvoll.
Würde dir aber nahelegen eine dedizierte FW dazwischen zu klemmen anstelle der AllinOne Lösungen, z.B eine ASA

 

[Friedemann]

Danke für den Tipp aber das ganze kostet ja auch nochmal mind. 100€, dann ist es für mich ja billiger und sicherer einfach ne zweite ip anzuschaffen oder sehe ich das falsch?

 

[BlueEnni]

Die zweite IP bringt keine Sicherheit - sie ist nur nach außen hin logisch getrennt von deinem Heimnetz - d.h. jene Geräte die von außen erreichbar sind sind nach wie vor jeglichen Attacken ohne Schutzmechanismus ausgesetzt.

Gute Firewalls hingegen erkennen Angriffe als solche und unterbinden sie.

 

[AliManali]

Wenn Du eine zweite IP hast, wird der Hardwareaufwand eher grösser als kleiner. In meinem verlinkten Dokument siehst Du, dass ich da eine FW mit zwei WAN Ports eingesetzt hatte. Wenn Du nur einen WAN Port hast, brauchst Du zwingend zwei fixe IP's, damit Du das SNAT konfigurieren kannst.

 

[TCM]

Ob eine oder mehrere IP-Adressen, ist doch völlig unabhängig davon, wohin ich welche Ports dieser Adresse weiterleite. Ich kann von einer IP-Adresse mehrere Ports in jeweils separate DMZ leiten oder zwei Adressen im gleichen physischen Segment haben. Das sind orthognoale Sachverhalte.

Und bitte DMZ nicht mit dieser völlig verwaschenen Definition von Plasteroutern vermischen. Eine DMZ heißt nicht, dass alle Ports offen sind. Eine DMZ ist ein Ethernet-Segment, das durch einen Router/Paketfilter von anderen Segmenten getrennt ist.

 

[h00bi]

Heutzutage kann man auch als Privater für ein paar Euro ne zweite Ip Adresse vom ISP bekommen. (Ah, bereits erwähnt, wie ich sehe.)

erwähnt ja, aber nicht erklärt. Wäre jemand mal so nett zu erklären wie und bei welchen ISPs das geht?

 

[noobsKiLLed]

Mach Portforwarding, reicht für deine Zwecke.

 

[kozfogel]

Absolut - mit einem DynDNS service und einem NAT fähigen router (was eigentlich jeder hat) kann man Gameserver hosten. Das macht nur Probleme wenn du DS-Lite hast (neuere Verträge haben das meistens) - lässt sich aber eigentlich immer mit einem Anruf beim Internet Anbieter lösen (Begründe es am besten damit das du keine VPN zur arbeit aufbauen kannst - private Gameserver sind nicht immer gern gesehen).

Die Funktionsweise ist folgende.

Du konfigurierst im Router unter "Port weiterleitung" / forwarding / NAT / etc (irgendwie so wird es heißen) einen Eintrag der besagt - "Alles was auf Port X an der WAN Adresse ankommt, leitest du an PC-A weiter".
Nach außen hin hast du weiterhin deine Normale IP, die Clients verbinden sich auch damit und für sie verhält es sich so als wäre dein Router der Gameserver (obwohl er es natürlich nur Intern durchreicht). Auf diese Art und weise kannst du auch mehr als einen Server haben - einzige Einschränkung ist das jeder Port nur auf einen Rechner verweisen aknn.

 

[Shutterfly]

Kleine Anmerkung von mir im Abgang: Wenn man so etwas macht, sollte man es am Ende auch kontrollieren. Nicht das man versehentlich alle Ports auf macht.

Bequem kann man das mit Scannern aus dem Netz machen, z.B. TCP Port Scan with Nmap | Pentest-Tools.com

 

[Friedemann]

Kann mir keiner eine Einschätzung geben wie risikobehaftet das ganze ist?
Mir geht es ja auch nicht wirklich um die Sicherheit meines game/websiteservers viel mehr um die von meinem restlichen Netzwerk, wie viel unsicherer oder sicherer ist das als eine zweite Ip mit eigener Netzwerkkarte für die VMs?
Weil so (wie in meiner Zeichnung) sollte es ja eig. unmöglich sein auf den Rest des Netzwerks und sogar auf den Server mit den persönlichen Dateien zugreifen zu können, oder?

 

[kozfogel]

An einem Privat Anschluss habe ich bisher noch nie verdächtige Aktivitäten gesehen - in Rechenzentren deren IP-Bereich bekannt ist sieht die Sache anders aus. Aber angenommen einem potentiellen Angreifer fällt dein IP (ob ein oder zwei ist egal) in die Hände und der möchte jetzt "was machen", würde er wahrscheinlich einen Port-Scan laufen lassen um zu ermitteln was antwortet. Hast du jetzt eine Öffentliche IP an dem Gameserver oder hast ALLE! Ports deiner einzelnen IP an diesen weitergeleitet (was übrigens dazu führt das keiner außer diesem PC Internet hat - also aus Versehn stellt man das da nicht ein) - würden Sämtliche Netzwerkanwendungen reagieren. Das ist an sich erstmal nicht schlimm, erhöht nur die Angriffsfläche - das eigentliche Problem sind nämlich diese Anwendungen. Angenommen es läuft ein Apache Webserver in alter Version - dann guckt der Angreifer zb hierhin: Apache Http Server : List of security vulnerabilities und prüft was so möglich wäre. Im schlimmsten Fall findet er eine Möglichkeit Code auszuführen, und du hast den Apache mit Admin-rechten gestartet ... dann ist das System Quasi offen und wenn dem Angreifer das nicht reicht kann er von dem Infizierten Rechner den Rest das Netwerkes von innen herraus "in Angriff" nehmen.

Was Tut man dagegen?

1. Die erste Station ist der Router - hier kommen alle Anfragen an. Allgemein ist eine aktuelle Firmware anzuraten, da der Router natürlich auch selbst zum Opfer werden kann.
2. Anwendungen nur mit den Rechten laufen lassen die sie Benötigen (insbesondere die Spiele-server! bei Minecraft reicht schon eine fehlerhafte Mod oder ähnliches und man kann viel Schabernack treiben)
3. Nur Anwendungen nach außen hin Freigaben die es unbedingt brauchen (ist mit Port-forwarding aber recht einfach, da man es sowieso manuell freischalten muss)
4. Am besten nur Anwendungen installieren die notwendig sind (Abstand von irgendwelchen all-in-one Paketen etc)
5. Um im Fall der Fälle Schaden zu minimieren sollte der Gameserver nur beschränkten Zugriff auf den Rest vom Netzwerk haben. Also selbst wenn er Gehackt wird, das man nicht ohne weiteres auf alle Freigaben im LAN kommt und das NAS löschen kann.

Ich hab schon seit vielen Jahren zuhause Server gehostet und hatte übrigens nie ein Probelm mit sowas. Poste deine Adresse nicht unnötig auf irgendwelche Websites, und beachte die fünf Punkte. Falls jemand es versucht ist es sicher einer deiner Freunde der ein wenig Unfug treibt.

 

[Friedemann]

Danke für die schnelle Antwort,
wenn ich jetzt aber eine Website hoste schmier ich ja meine Adresse überall rum und möchte ja auch das so viele Leute wie möglich zugreifen und diese auch bei Google so weit oben wie möglich steht.
Und es ist also nicht unbedingt sicherer eine zweite IP zu benutzen mit dem beschriebenen Aufbau bei dem die VMs keinen dir. Zugriff (nur über den Host) auf mein priv. Netzwerk haben.
Und kann man eigentlich wenn man die Kontrolle über eine VM erlangt auch iwie dem Host schaden, das ist nicht so einfach möglich, weil viele Leute benutzen ja VMs um potenziell schädliche Software etc. auszutesten, oder?

- - - Updated - - -

erwähnt ja, aber nicht erklärt. Wäre jemand mal so nett zu erklären wie und bei welchen ISPs das geht?

Das fände ich auch interessant, weil soweit ich das gesehen hab geht das nur über einen Business Anschluss.

 

[Friedemann]

Hat keiner Lust mehr?

 

[AliManali]

Wurde alles gesagt dazu.

 

[Friedemann]

Aber dazu ob man eine VM übernehmen kann und so auch die Ethernet Ports benutzen kann die man ihr nicht zugewiesen hat oder auch den Host übernehmen kann wurde noch nichts gesagt.

 

[kozfogel]

Normalerweise kann eine Infizierte VM dem Host nicht viel anhaben, das war allerdings vor Meltdown/Spectre - die beiden ermöglichen sowas. Aber hier gibts ja auch schon Fixes, und selbst ohne ist eine solche Attake auf einem Heimrechner mehr als unwahrscheinlich.

 

[Friedemann]

Es ist ja kein Heimrechner (also er steht noch daheim aber dann weiß ja jeder meine IP) mehr wenn ich auf der ersten Seite von Google sein will/muss.

- - - Updated - - -

Und bin ich mit einem Linux Server nicht sowieso sicher vor Spectre auch wenn eine ein win VM darauf läuft?

 

[kozfogel]

Du bist trotzdem nicht auf "der Liste". Angriffe laufen zu 99,99% Automatisiert ab - und das beinhaltet nicht "irgendwas" zu Googlen und dann etwas anzugreifen, sondern IP-Listen von Rechenzentren abzuklappern - einfach weil es da viel mehr zu holen gibt als bei Heimanwendern, bei geringerem Aufwand. Solltest du angegriffen werden ist das äußerst Wahrscheinlich etwas persönliches - dazu zählten natürlich auch, solltest du eine gewissen Bekanntheit erlangen, Gegner in deinem Geschäftsfeld. Im Übrigen wird dein Google Rank auch von der Seitengeschwindigkeit beeinflusst - mit einer Heimleitung wirst du da also eher nicht weit oben landen. Und Falls es doch dazu kommt, würde ein DoS Angriff das einfachste sein - dagegen kannst du dich nicht wehren, und bei einer Heimleitung reicht ein einzelner gut angebundener PC als Angreifer schon aus. Sofern du nicht in jedem Forum deine IP mit dem Hinweiß Postest dass auf dem Rechner Bitcoin-wallets, Bankzugangsdaten oder eine Half-Life 3 Beta liegen - wirst du keinem Ernsten Angriff ausgesetzt (das bedeutet nämlich immer enormen Aufwand von Leuten die die mit ihren Fähigkeiten sich eher um lukrative Ziele "kümmern").

Um das mal in Zahlen zu verdeutlichen - ich betreibe wie schon erwähnt einen kleinen "server" zuhause. Früher waren da Gameserver / TS usw am laufen - beides Listet übrigens die IP öffentlich, hatte anfangs oft genug das irgendwelche Fremden auf dem TS oder CS servern waren. Und ab und an guck ich mal in die Logs, und bisher ist die Anzahl der Anmeldeversuche oder ähnliche Aktivitäten: 0

Ich habe ebenfalls Server im Rechencenter, darauf hatte ich schon am ersten Tag - ohne das da irgend eine Software installiert war - Angriffe. Auch heute noch habe ich ca 200-1000 Anmeldeversuche pro TAG! 80% davon aus China, 20% aus Russland, allesamt Bots.


Eine absolute Sicherheit gibt es natürlich nie.

 

[Friedemann]

OK gut vielen Dank,

dann hab ich ja jetzt alles was ich brauche, ich schaue Mal nach Anbietern von Servern und wie viel das ganze kostet wenn ich es selber mache.
Was bräuchte man denn für einen Uplink damit man von Google nicht gleich rausgeschmissen wird?

- - - Updated - - -

Und das müsste ich ja eigentlich trotzdem hinkriegen wenn die Dateien klein bleiben so kann ich die Ladezeiten ja auch verringern.

 

[kozfogel]

Ja - er misst nicht die Bandbreite direkt, sondern den Seitenaufbau. Also Latenz, Bandbreite, Größe des Inhalts, Komplexität des Scripts (wenn vorhanden), parsing-zeit auf Serverseite - das zusammen spielt da mit rein.