peternunaber
Goto Top

KVM HowTo? VM im LAN, Host isoliert

Hallo liebe Kollegen,

zum Schutz vor Ransom & Co möchte ich etwas ausprobieren. Diverse Anleitungen haben nicht zum Erfolg geführt, bzw. ich habe nicht das Passende gefunden.

Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server). Der Host - als Schicht darunter - soll mit einem administrativen "Verwaltung-LAN" verbunden werden, so dass die Möglichkeit besteht, Snapshots o.ä. anzufertigen und diese im "Verwaltungs-LAN" z.B. auf einem NAS zu speichern. Der Host wie auch das NAS im "Verwaltungs-LAN" bekommt keinen Internetzugang und wird ausschließlich vor Ort per Maus/Tastatur verwaltet.

Wie muss ich das Netzwerk im Virtual Network Manager konfigurieren und wie reiche ich eine der beiden Netzwerkkarten so durch, dass der VServer das vorhandene LAN bedienen kann, den Host aber nicht sieht?

Vielen Dank für Eure Anregungen!

Peter

Content-Key: 1474035162

Url: https://administrator.de/contentid/1474035162

Printed on: April 22, 2024 at 06:04 o'clock

Mitglied: 148848
148848 Nov 06, 2021 at 09:04:00 (UTC)
Goto Top
Hallo,

Wie muss ich das Netzwerk im Virtual Network Manager konfigurieren und wie reiche ich eine der beiden Netzwerkkarten so durch, dass der VServer das vorhandene LAN bedienen kann, den Host aber nicht sieht?

Konfiguriere eine Bridge, welche die VM mit dem "Arbeits-Netzwerk" verbindet. Der Host darf natürlich nicht Teil der Bridge sein, also keine IP Adresse dort konfigurieren.

Abschließend noch eine Bemerkung: eine VDI schützt dich nur beschränkt vor Ransomware, besonders wenn diese auf das "Arbeits-Netzwerk" zugreifen darf. Ein Snapshot ist kein Backup!

MfG
Member: it-fraggle
it-fraggle Nov 07, 2021 at 12:41:35 (UTC)
Goto Top
Zitat von @peternunaber:
Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server).
Gib der VM einfach per Pass-Through die 2. Netzwerkkarte und häng sie in deine DMZ.

Der Host - als Schicht darunter - soll mit einem administrativen "Verwaltung-LAN" verbunden werden, so dass die Möglichkeit besteht, Snapshots o.ä. anzufertigen und diese im "Verwaltungs-LAN" z.B. auf einem NAS zu speichern.
Dem Host selbst gibst du einfach die erste Netzwerkkarte und hängst sie in dein Management-Netz.

Der Host wie auch das NAS im "Verwaltungs-LAN" bekommt keinen Internetzugang und wird ausschließlich vor Ort per Maus/Tastatur verwaltet.
Nette Idee, aber wie willst du dann an Updates kommen? Du wirst zu diesem Zweck zumindest für den Updatevorgang einen Internetzugang geben müssen.

zum Schutz vor Ransom & Co möchte ich etwas ausprobieren. Diverse Anleitungen haben nicht zum Erfolg geführt, bzw. ich habe nicht das Passende gefunden.
Inwiefern soll dich das vor Verschlüsselung von Festplatten schützen? Ich würde dann eher über LVM oder besser ZFS und Snapshots setzen, um auf einen brauchbaren Punkt zurückzuspringen, falls du Opfer von Ramsom & Co geworden bist.
Member: peternunaber
peternunaber Nov 09, 2021 updated at 15:06:05 (UTC)
Goto Top
Hallo Kollegen,

vielen Dank an @148848 und @it-fraggle für die Denkanstöße.

Ich habe das KVM-Thema letztlich lösen können, indem ich KEIN virtuelles Netzwerk verwendet habe, dh. das automatisch angelegte Netzwerk "default" gelöscht und kein Neues angelegt. Weiterhin haben die VMs eine Bridge zu der Netzwerkkarte bekommen, die mit dem Arbeitsnetz verbunden ist. Nun sind die VMs im Arbeitsnetz sichtbar, das darunterliegende Hostsystem nicht erreichbar.

Ransomware: Mir ist klar, dass ein Snapshot kein Backup ist, aber eine Kopie der VM ist ein Backup. Dazu die Idee mit dem NAS im "Verwaltungs-Netz". Ich will erreichen, wenn "oben" alles verschlüsselt wird, das trotzdem automatisiert Backups erzeugt werden, die aber nicht ohne physische Anwesenheit zugreifbar sind. Die Backups müssen dann noch offline liegen usw.

Ich freue mich über Eure Anregungen.