Eigenen Linux Mirror im separaten Netz
Hallo liebe Mitadministratoren
Ich habe die Aufgabe einen Linux Mirror bei uns im Entwicklungsnetz einzurichten, sodass unsere Entwickler an die Debian Repos dran kommen. Jetzt gibt es mehrere Möglichkeiten, die mir als Lösung einfallen, keine ist aber so richtig schön, wie ich finde:
Bedingungen an alle Lösungen:
- Entwicklungsnetz und Internet sind niemals direkt miteinander Verbunden
- Ein Datentransfer aus dem Entwicklungsnetz raus soll unter allen umständen verhindert werden
- Ein Gerät, was regelmäßig umgehängt wird und sich die Daten aus dem Internet zieht um sie danach im Entwicklungsnetz bereitzustellen
- Zwei Geräte, das eine lädt alles runter und checkt es auf Viren, das zweite wird regelmäßig ans andere Gerät angeschlossen und synct von diesem aus
Beide Lösungen erfordern das wechseln von Netzen. Den Mirror ans Entwicklungsnetz und ans Internet anschließen ist keine Option. Bei der ersten Option bekommt ein Angreifer schnell seine Daten, sobald er auf dem Rechner ist, bei der zweiten Option müsste er zumindest zwei Rechner kompromittieren.
- Eine Datendiode (spezielle Firewall), die nur gewisse Paketee zulässt (Preislich keine Option)
- Mount des Laufwerks als Read-Only (wenn der Hacker eh mal drauf ist, dann ist das wohl das kleinste Problem)
Wie ist das bei euch? Wie macht ihr das? Ideen, was die beste Lösung ist?
Viele Grüße und thx 4 help schonmal
Ich habe die Aufgabe einen Linux Mirror bei uns im Entwicklungsnetz einzurichten, sodass unsere Entwickler an die Debian Repos dran kommen. Jetzt gibt es mehrere Möglichkeiten, die mir als Lösung einfallen, keine ist aber so richtig schön, wie ich finde:
Bedingungen an alle Lösungen:
- Entwicklungsnetz und Internet sind niemals direkt miteinander Verbunden
- Ein Datentransfer aus dem Entwicklungsnetz raus soll unter allen umständen verhindert werden
- Ein Gerät, was regelmäßig umgehängt wird und sich die Daten aus dem Internet zieht um sie danach im Entwicklungsnetz bereitzustellen
- Zwei Geräte, das eine lädt alles runter und checkt es auf Viren, das zweite wird regelmäßig ans andere Gerät angeschlossen und synct von diesem aus
Beide Lösungen erfordern das wechseln von Netzen. Den Mirror ans Entwicklungsnetz und ans Internet anschließen ist keine Option. Bei der ersten Option bekommt ein Angreifer schnell seine Daten, sobald er auf dem Rechner ist, bei der zweiten Option müsste er zumindest zwei Rechner kompromittieren.
- Eine Datendiode (spezielle Firewall), die nur gewisse Paketee zulässt (Preislich keine Option)
- Mount des Laufwerks als Read-Only (wenn der Hacker eh mal drauf ist, dann ist das wohl das kleinste Problem)
Wie ist das bei euch? Wie macht ihr das? Ideen, was die beste Lösung ist?
Viele Grüße und thx 4 help schonmal
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 285355
Url: https://administrator.de/contentid/285355
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
1 Kommentar
Ein Proxyserver (es gibt APT-Proxies) zwischen Entwicklernetz und Internet wäre wohl die einfachste Option.
Der APT-Proxy ist ab Werk so konfiguriert, dass dieser nur Verbindungen zu Debian-Mirrors zulässt und lässt sich per iptables zusätzlich so abschotten, dass tatsächlich keine Verbindungen woandershin gehen.
Der APT-Proxy ist ab Werk so konfiguriert, dass dieser nur Verbindungen zu Debian-Mirrors zulässt und lässt sich per iptables zusätzlich so abschotten, dass tatsächlich keine Verbindungen woandershin gehen.