Ist mein Netzwerk bzw. Server sicher?

[-eraz-]

Hi all

Mein Netzwerk wird demnächt etwas gröber umgekrempelt, u.a. möchte ich einen kleinen Server als FTP, DNS, DHCP, SUS, RAS und Router, 24Stunden 7Tage die Woche laufen lassen. Unten am Bild habe ich Domkumentiert wie das Zukünftig aussehen sollte, nun habe ich aber ein paar fragen weil ich so manche Schwierigkeiten auf mich zukommen sehe z.b.:

o Kann ich die Port Forwarding funktion an meinen Router überhaupt durch den Server Routen? Z.b. per VNC aus den Internet auf "PC-Thomas" zugreifen?
o Bisher habe ich keine Erfahrung mit V-Lan Switches, kann ich dort einzelne Ports freigeben?
o Sind meine Geräte (Drucker, Ext. Festplatte) auch sicher wenn Sie am Server hängen, dieser hängt ja wiederum als FTP im Internet!? *Angst vor bösen Hackern hab*

Grundsätzlich mache ich mir am meisten Gedanken um die Sicherheit, ich möchte keinen öffentlichen FTP machen sondern nur einen der für mich zugänglich ist. Für Verbesserungsvorschläge, Fragen und Antworten wäre ich sehr Dankbar

 

[MetalKing]

Über folgenden Link kannst Du die Konfiguration bzw. deinen Server überprüfen: www.port-scan.de !
Ich selbst nutze einen Software-Router. Bei ist virtualGateland von www.com2-net.de am Start. Läuft seit 2,5 Jahren ohne Probleme. Schau es dir an. Es kann auch als free Version mit einigen Einschrängkungen genutzt werden.
Weiterhin viel Spass bei deinem Projekt.

Gruss,
Metal.

 

[The Prophet]

Das Modell schaut soweit recht ordentlich aus. Handelt es sich dabei um einen wirklichen DMZ oder nur einen Exposed Host? Viele Router werden zwar mit DMZ Feature verkauft, dies ist allerdings nur die halbe Wahrheit. Die Port Forwarding Einstellungen solltest du auch durch den Server leiten können.

 

[-eraz-]

Das Modell schaut soweit recht ordentlich aus. Handelt es sich dabei um einen wirklichen DMZ oder nur einen Exposed Host? Viele Router werden zwar mit DMZ Feature verkauft, dies ist allerdings nur die halbe Wahrheit. Die Port Forwarding Einstellungen solltest du auch durch den Server leiten können.

Nun ich dachte mir ich schotte mein LAN mit einem V-Lan ab und lege Server und LAN in ein jeweils seperates Subnetz. Allerdings hab ich keine Praktische Erfahrung mit V-Lans's darum bin ich da ein wenig unsicher. Interessant wäre ob V-Lan Switches einzelne Ports Sperren bzw. freigeben können?

@The Prophet
Was hälts du von folgender Idee: Nur mein FTP soll aus dem Internet erreichbar sein und sonst nichts. Wenn ich nun auf dem DSL Router Port 21 auf die IP Adresse des Servers Forwarde sollte das eigentlich 1. Sicherer? und 2. auch leichter zu Konfigurieren sein. Was denkst du?

/edit: Auf dem Plan sieht man wie ich meine

 

[The Prophet]

Mit VLAN`s kannst du Netzteile sehr gut voneinander abtrennen, allerdings brauchst du dafür meist teure VLAN Switche welche die Pakete mit einem Tag versehen können. In deinem Falle würde ich bei normalen Router bleiben. Entweder du bringst den Server über die "DMZ Option" --> (Exposed Host (alle Pakete werden über den Paketfilter von außen weiter geleitet, sichere Server Konfiguration zwigend notwendig)) oder das Portmapping in das Internet. Dabei würde ich maximal Port 20/21 und die Ports für passives FTP (wählbare IP Range) freischalten. Für eine echte physikalische Trennung deines Servers vom Rest deines LAN´s brauchst du wohl noch einen Netzwerkanschluss (Internetanschluss) am Router. Ansonsten lies hier nochmal nach dem DMZ Problem: http://de.wikipedia.org/wiki/DMZ

 

[-eraz-]

Ok, Danke für die Infos Ich denke ich werde wohl den FTP forwarden, scheint mir wohl die beste Lösung zu sein.

 

[The Prophet]

So mache ich das auch funktioniert ohne Probleme