ComputerBase Menü
Aktuelles

Eine Maschine, zwei Netze, saubere Trennung möglich?

DFFVB

DFFVB

Commodore
Registriert
Dez. 2015
Beiträge
4.939
Hallo zusammen,

folgende Ausgangslage:

Eine Fritzbox, an welcher ein Asus-Router hängt, der auch gleichzeitig das Hauptnetz versorgt (WLAN; DHCP etc.) - damit hab eich zwar doppeltes NAT, aber auch zwei Firewalls, bisher keine Probleme festgestellt.

So nun habe ich einen Homeserver - der am Asus Router hängt, und da verschiedene Aufgaben hast (NAS, Plex, Nextcloud). Allerdings ist der Zugriff per VPN nicht so praktisch, daher die Idee eine zweite Nextcloud-Instanz mit unwichtigen Daten, die direkt aus dem Netz erreichbar sein soll, das als exposed host über die Fritzbox. Stellt sich die Frage nach der Realisierung - extra nen Raspi 4 holen und an die Fritte hängen oder einen extra NIC des Homeservers nehmen und an die Fritzbox schließen. Hier stellt sich die genrelle Frage nach der Sicherheit der VM, und inwiefern sich das "sauber" (will sagen sicher) trennen lässt. Als Hypervisor käme entweder Hyper-V oder Proxmox zum Einsatz.

Freue mich auf Feedback :-)
 
Also ich habe das im Prinzip mit meiner Nextcloundinstanz so realisiert (Routerkaskade), aber
  • keinen Exposed Host, sondern nur gezielte Portfreischaltungen machen.
  • Eine saubere Trennung ist bei der Verwendungen 1 Gerätes nicht möglich.
Ich unterscheide zwischen Cloud und Non-Cloud Netzwerkspeicher. Alles was nur intern im LAN brauche und haben will, liegt dort auf einem NAS. Die Nexctloud macht regelmäßig ein Backup dort hin (SSH Freischaltung für Nexctloud-Server zu NAS in 2. Router erlaubt). Adminstration wird aus dem LAN heraus auf den NExctlcoud Server gemacht - Ausgehende Verbindungen sind ja durch das NAT + Firewall (eigentlich ja PAT) nicht beroffen.

Durch die Nextcloud-Client-Software ist eine Synchronisierung von Dateien echt easy. Da braucht man keinen direkten Zugriff, der indirekte Zugriff reicht meist aus.
 
  • Gefällt mir
Reaktionen: DFFVB
Ich bin mir noch nicht ganz sicher, ob ich es komplett verstanden habe.
Du hast doch bereits einen Heimserver. Also sehe ich keine Notwendigkeit für weitere Hardware (Pi, etc.)

Ich persönlich würde eine neue VM starten und einem weiteren Subnetz / VLAN hinzufügen. Die Nextcloud-Instanz mit 2FA absichern und per Firewall weiteren Zugriff zu den restlichen LANs verbieten.

Und dann nur einen Port für Nextcloud gezielt freigeben oder sogar mit einem Reverse Proxy arbeiten,

Deine doppelte Firewall bringt dir eigentlich erstmal auch nicht mehr Sicherheit, sofern ich das aus dem Text richtig interpretiert habe. Eine korrekt konfigurierte Firewall reicht normalerweise aus.
 
  • Gefällt mir
Reaktionen: DFFVB
Die doppelte Firewall (Routerkaskade) ist für den Fall, dass der freigegebene Host infiltiert wurde und der Angreifer dann nicht gleich im LAN ist. Es soll das LAN und nicht den freigebenen Host schützen.
Die Routerkaskade ist da soe eine vereinfachte DMZ.
 
  • Gefällt mir
Reaktionen: DFFVB
Danke euch erstmal!

@conf_t Die Unterteilung in Cloud und Non-Cloudspeicher ist für mich nicht ganz praktikabel, da ich zum Teil wichtige Daten habe, auf welche ich dann per VPN zugreifen wollen würde - also schon eher zwei Instanzen.

conf_t schrieb:
Eine saubere Trennung ist bei der Verwendungen 1 Gerätes nicht möglich.
Zum Vergrößern anklicken....

Das ist halt die spannende Frage, ich fürchte es fast auch, dass man da mit zwei Geräten besser fährt. Aber kurze Frage: Sollte Deine Nextcloud infiltriert werden, und ggf Schadsoftware abgelegt werden, würdest Du die Dir doch mit dem Back-Up ins 2. LAN holen?

@memmex Die Notwendigkeit für weitere Hardware ergibt sich, wie conf_t sagt, durch die Frage der zusätzlichen Sicherheit. Ich würde die 2. Nextcloud zwar härten, aber dadurch, dass sie direkt erreichbar ist, gehe ich schon davon aus, dass ich ihr nicht unbedingt trauen kann, was auch der Grund ist warum ich dort eher unwichtige Daten reinlegen würde (Fotos, Musik).

memmex schrieb:
Ich persönlich würde eine neue VM starten und einem weiteren Subnetz / VLAN hinzufügen. Die Nextcloud-Instanz mit 2FA absichern und per Firewall weiteren Zugriff zu den restlichen LANs verbieten.
Zum Vergrößern anklicken....

Ja das ist die Theorie, ich frage mich halt wie sicher das mit VLAN ist. Hängt natürlich davon ab, a) sind Ausbrüche aus der VM möglich b) wenn extra virtueller Switch, kann das getrennt werden...
 
Ausbruch aus VLANs als solches mWn nicht möglich, ein Ausbruch aus einer VM schon und auf OS-Ebene ist eben auch dann der Ausbruch aus dem VLAN möglich doch möglich, da der Zugriff auf den phy. NIC-Treiber so besteht.
DFFVB schrieb:
Sollte Deine Nextcloud infiltriert werden, und ggf Schadsoftware abgelegt werden, würdest Du die Dir doch mit dem Back-Up ins 2. LAN holen?
Zum Vergrößern anklicken....
Kommt auf die Art des Codes an, aber solang er nicht ausgeführt/geladen wird, ist er erstmal ungefährlich. Die Backupdaten "fasse" ich auch nicht weiter an, sondern werden wenn nur von dem Nextcloudserver auch wieder eingespielt. Also wenn da z.B. eine infizierte Worddatei läge wäre das erstmal ziemlich egal.
 
  • Gefällt mir
Reaktionen: DFFVB
Ich halte die virtuelle Trennung per VLAN und geeigneter Firewallkonfiguration für ausreichend.
Wenn man VLAN alleine nicht vertraut, kann man auch (vorausgesetzt dein Heimserver hat zwei LAN-Ports) jeweils physisch verschiedene Netze aufbauen.

Solange dein Router/Firewall ausreichend konfigurierbar ist, sehe ich kein Problem.

EDIT: Mir persönlich reicht es, dass ich nur lesend auf meine Nextcloud zugreifen, wenn ich nicht zu Hause bin. Dann lade ich im Zweifel ein Dokument runter und spiele es zurück, wenn ich wieder zu Hause bin.
Meine Nextcloud Instanz (mit 2FA) läuft auf einer VM hinter einem Reverse Proxy (SSL) und hat nur lesenden Zugriff auf die NAS.
Vielleicht reicht dir das auch.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DFFVB
Ich glaube nicht, dass ein pöhser Hacker sich für eure oder auch meine Dokumente interessiert. Ich sehe die Motivation zum Schutz einfach darin, dass dort nicht ein Malware-Zombie entsteht. So private Serverchen werden als Spam-Schleuder, Botnetz usw. genutzt, aber nicht um die für einen persönlich wichtigen Dokumente zu durchforsten. Ich sehe eine deutlich größere Wahrscheinlichkeit darin, dass jemand unbemerkt einen Command-Server für eine Botnetz oder eben einen BotnetzClient auf meinem Server versucht zu implemenitieren, als die dreiunzibigfantastiliarden Fotos und und Kündigungsschreiben von irgendwelchen Verträgen, Abschlussarbeiten o.ä. zu ergaunern.

@memmex Wenn du eine echte Firewall meinst und nicht eine iptables im gleichen VM-Guest wie der Nextcloudserver gebe ich dir Recht, da kann man das auch per VLAN Lösen. Idealerweise sollten Firewalls transparent sein, weil sie so am wenigsten Angriffsfläche bieten. Das wäre bei einer Softwarefirewall auf dem gleichen VM-Guest eben nicht der Fall.
 
Also, einerseits hast du bewusst eine Routerkaskade aus Gründen der Sicherheit, wie @conf_t schon sagte, eine Art DMZ. Nun willst du aber einen Server, mit einem Bein ins Asus-Netzwerk, hinter 2 Firewalls geschützt, und mit dem anderen Bein ins Fritzbox-Netzwerk stellen, direkt via Portweiterleitung erreichbar? Das hebelt das komplette Sicherheitskonzept der Quasi-DMZ aus. Ungeachtet der Intention eines Angreifers baust du dir einen weiteren Angriffsvektor, eine Umgehung der zweiten Firewall (Asus) ins Netzwerk ein. Das halte ich für wenig zweckmäßig. Prinzipiell kannst du dir den Asus dann sparen bzw. ihn als reinen AP+Switch betreiben und dann gleich den Server als Router/Firewall zwischen den Netzwerken verwenden, dann gibt's wenigstens wieder nur einen Angriffsvektor.

Zwischen zwei Netzwerken sollte es grundsätzlich nur ein Gateway geben und dieses wird dann gehärtet. Baut man zusätzliche Übergänge ein, bietet man einem Eindringling schlicht und ergreifend mehr Angriffsfläche, weil man an zwei Fronten kämpfen muss.

Klar, die Wahrscheinlichkeit für eine aggressive und vor allem zielgerichtete Attacke ist im privaten Umfeld überschaubar, aber es gibt genug Skript-Kiddies, die das nur just4fun machen. Es werden ja auch nicht nur Privatfotos von Promis geleakt, sondern etliche der Werbebanner von dubiosen Seiten aus dem XXX Bereich werden mit Bildern aus unbekannten Quellen gefüllt - ggfs auch das heiße Bikini-Foto deiner Freundin.

Wenn die Daten, die du in der ungeschützten Nextcloud-Instanz ablegen willst, wirklich so unwichtig sind, kannst du sie doch genauso gut auch in einer Dropbox, o.ä. ablegen. Wird dieser Server kompromittiert, steht wenigstens nicht gleich dein ganzes Netzwerk offen.
 
  • Gefällt mir
Reaktionen: memmex, DFFVB und conf_t
@memmex Ja es wäre über einen separaten NIC - und ich bin mir sicher irgendwie ließe es sich konfigurieren, allerdings bin ich mir nicht sicher, ob ich dazu in der Lage wäre 😄

@conf_t Ich denke, wenn man sich Dokumente wie Steuererklärung, Bankunterlagen etc. anschaut, dann kann man schon ungefähr abschätzen, inwiefern ein Ziel lohnenswert ist, also in den richtigen Angriff einsteigen... Das wäre mir die größere Sorge als ein Control-Server zu sein, da meldet sich dann schon die Telekom, wenn da zuviel Traffic ist 😅

conf_t schrieb:
und nicht eine iptables im gleichen VM-Guest wie der Nextcloudserver gebe ich dir Recht, da kann man das auch per VLAN Lösen.
Zum Vergrößern anklicken....

Könntest Du das ggf. etwas ausführen ? Ich meine die Konfiguration wäre auf Windows Server / proxmox mit einem dedizierten NIC

@Raijin
Raijin schrieb:
Nun willst du aber einen Server, mit einem Bein ins Asus-Netzwerk, hinter 2 Firewalls geschützt, und mit dem anderen Bein ins Fritzbox-Netzwerk stellen, direkt via Portweiterleitung erreichbar? Das hebelt das komplette Sicherheitskonzept der Quasi-DMZ aus.
Zum Vergrößern anklicken....


Das ist ja gerade die Frage, die ich evaluieren will - gewissermaßen pro und contra. Sicherer wäre extra Hardware allemal - kostet aber natürlich auch extra ;-) Daher einfach die Frage nach Aufwand / Nutzen. Wenn man es mit halbwegs Aufwand (1 Wochenende) sauber getrennt bekommt, würde es sich ggf lohnen, ansonsten halt doch der Raspi...
 
@conf_t genau, ich sprach von einer dedizierten Firewall.

Wenn du zwei Netze über die dedizierten NICs baust, kannst du dir sogar VLAN sparen.
Du könntest einfach zwei vSwitche erstellen und denen jeweils ein NIC zuordnen. Auf dem Router/Firewall kannst du jeglichen Traffic von Port1/vSwitch1 nicht an die weiteren Ports weiterleiten, sondern nur WAN-Traffic erlauben. Das ist gewissermaßen deine DMZ.
Port2/vSwitch2 ist dem LAN zugeordnet.
Danach alle VMs jeweils den entsprechenden vSwitches zuordnen.

Willst du beide NICs benutzen und gegenseitig als Failover konfigurieren, musst du zwei VM-Netzwerke erstellen, die über einen vSwitch gehen, der beide NICs enthält. Die VM-Netzwerke haben aber jeweils eine andere VLAN-ID. In der Firewall wird dann einfach VLAN1 als DMZ und VLAN2 als LAN konfiguriert - analog wie oben.

Erste Möglichkeit löst das Problem auf Netzwerkschicht 2 und zweite Möglichkeit auf Schicht 3. Hat beides Vor- und Nachteile
 
  • Gefällt mir
Reaktionen: DFFVB
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Grimba
Nextcloud: VPN vs. Portforwarding + Routerkaskade
Antworten
11
Aufrufe
531
qiller
Q
W
OPNsense Firewall: Hardwareberatung
2
Antworten
34
Aufrufe
2.208
Rassnahr
Rassnahr
Erbsenkönig
WLAN-Abdeckung eines EFH (135qm) verbunden mit einer Abkehr von AVM
2
Antworten
21
Aufrufe
12.387
Erbsenkönig
Erbsenkönig
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
310
Mickey Mouse
Mickey Mouse
R
Aufbau Heimnetzwerk // Ideensammlung
2
Antworten
22
Aufrufe
5.137
rolemodel
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz