arsn86
Goto Top

Eigenen Linux Mirror im separaten Netz

Hallo liebe Mitadministratoren face-smile

Ich habe die Aufgabe einen Linux Mirror bei uns im Entwicklungsnetz einzurichten, sodass unsere Entwickler an die Debian Repos dran kommen. Jetzt gibt es mehrere Möglichkeiten, die mir als Lösung einfallen, keine ist aber so richtig schön, wie ich finde:

Bedingungen an alle Lösungen:
- Entwicklungsnetz und Internet sind niemals direkt miteinander Verbunden
- Ein Datentransfer aus dem Entwicklungsnetz raus soll unter allen umständen verhindert werden

- Ein Gerät, was regelmäßig umgehängt wird und sich die Daten aus dem Internet zieht um sie danach im Entwicklungsnetz bereitzustellen
- Zwei Geräte, das eine lädt alles runter und checkt es auf Viren, das zweite wird regelmäßig ans andere Gerät angeschlossen und synct von diesem aus
Beide Lösungen erfordern das wechseln von Netzen. Den Mirror ans Entwicklungsnetz und ans Internet anschließen ist keine Option. Bei der ersten Option bekommt ein Angreifer schnell seine Daten, sobald er auf dem Rechner ist, bei der zweiten Option müsste er zumindest zwei Rechner kompromittieren.

- Eine Datendiode (spezielle Firewall), die nur gewisse Paketee zulässt (Preislich keine Option)
- Mount des Laufwerks als Read-Only (wenn der Hacker eh mal drauf ist, dann ist das wohl das kleinste Problem)

Wie ist das bei euch? Wie macht ihr das? Ideen, was die beste Lösung ist?

Viele Grüße und thx 4 help schonmal face-smile

Content-ID: 285355

Url: https://administrator.de/contentid/285355

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

LordGurke
Lösung LordGurke 12.10.2015, aktualisiert am 19.01.2016 um 14:57:38 Uhr
Goto Top
Ein Proxyserver (es gibt APT-Proxies) zwischen Entwicklernetz und Internet wäre wohl die einfachste Option.
Der APT-Proxy ist ab Werk so konfiguriert, dass dieser nur Verbindungen zu Debian-Mirrors zulässt und lässt sich per iptables zusätzlich so abschotten, dass tatsächlich keine Verbindungen woandershin gehen.