14
Unternehmensnetzwerk aufbauen
Moin zusammen,
erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde!
Aktuelle Situation:
-> 5 VMs bei Netcup
-> 1xVM mit pfSense und WAN
-> 4xVM (DC, Kassenserver etc) via Netcup vLAN untereinander mit pfSense verbunden und nur hinter der pfSense betrieben ohne eigenes WAN-Interface
Meine Idee:
Würde gerne alles von Netcup wegholen und habe mir deshalb testweise einen dedicated Server gemietet zum ausprobieren.
Ich habe allerdings gerade irgendwo einen Knoten im Kopf. Wie könnte ich das am besten realisieren?
Ich kann nicht die pfSense und eine Virtualisierungssoftware auf dem Server installieren.
Wenn ich die pfSense als VM laufen lassen will, brauche ich eine zweite IPv4 und die Angriffsfläche z.B. auf Proxmox ist sehr groß oder sehe ich das falsch?
Wäre nicht als erster Anlaufpunkt die FW besser?
Sollte ich vielleicht dem Server selbst das Interface deaktivieren und die IP zur pfSense durchrouten und dafür den Server nur per KVM steuern?
Ich bin ein bisschen ratlos gerade.
Liebe Grüße
Simon
erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde!
Aktuelle Situation:
-> 5 VMs bei Netcup
-> 1xVM mit pfSense und WAN
-> 4xVM (DC, Kassenserver etc) via Netcup vLAN untereinander mit pfSense verbunden und nur hinter der pfSense betrieben ohne eigenes WAN-Interface
Meine Idee:
Würde gerne alles von Netcup wegholen und habe mir deshalb testweise einen dedicated Server gemietet zum ausprobieren.
Ich habe allerdings gerade irgendwo einen Knoten im Kopf. Wie könnte ich das am besten realisieren?
Ich kann nicht die pfSense und eine Virtualisierungssoftware auf dem Server installieren.
Wenn ich die pfSense als VM laufen lassen will, brauche ich eine zweite IPv4 und die Angriffsfläche z.B. auf Proxmox ist sehr groß oder sehe ich das falsch?
Wäre nicht als erster Anlaufpunkt die FW besser?
Sollte ich vielleicht dem Server selbst das Interface deaktivieren und die IP zur pfSense durchrouten und dafür den Server nur per KVM steuern?
Ich bin ein bisschen ratlos gerade.
Liebe Grüße
Simon
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1292436689
Url: https://administrator.de/contentid/1292436689
Printed on: May 5, 2024 at 06:05 o'clock
14 Comments
Latest comment
EDIT: Standort A ist mit F!B 7590 (jaja ich weiß, APU Board ist besser) per VPN an die pfSense angebunden.
Moin,
wenn du den Hypervisor entsprechend absicherst ist das schon möglich. Ich hatte die pfSense auch lange Zeit als VM unter Proxmox laufen.
Sicherer ist natürlich eine dedizierte pfSense, das kostet aber dann entsprechend.
VG
wenn du den Hypervisor entsprechend absicherst ist das schon möglich. Ich hatte die pfSense auch lange Zeit als VM unter Proxmox laufen.
Sicherer ist natürlich eine dedizierte pfSense, das kostet aber dann entsprechend.
VG
(jaja ich weiß, APU Board ist besser)
Die Aussage ist so nicht richtig. Sinnvoller wäre alles andere als FB ist besser... 
Spaß beiseite... FB ist ja durchaus legitim, wenn man wenig bis keine Ansprüche an die VPN Performance stellt.
Das (und den Rest bei dem es ja eher um popelige WAN Anbindungen geht) dann allerdings mit dem hochtrabendem Threadnamen "Unternehmensnetzwerk" zu betiteln ist dann aber doch schon etwas frech zumindestens aber irreführend...
Zitat von @aqui:
Spaß beiseite... FB ist ja durchaus legitim, wenn man wenig bis keine Ansprüche an die VPN Performance stellt.
Das (und den Rest bei dem es ja eher um popelige WAN Anbindungen geht) dann allerdings mit dem hochtrabendem Threadnamen "Unternehmensnetzwerk" zu betiteln ist dann aber doch schon etwas frech zumindestens aber irreführend...
(jaja ich weiß, APU Board ist besser)
Die Aussage ist so nicht richtig. Sinnvoller wäre alles andere als FB ist besser... Spaß beiseite... FB ist ja durchaus legitim, wenn man wenig bis keine Ansprüche an die VPN Performance stellt.
Das (und den Rest bei dem es ja eher um popelige WAN Anbindungen geht) dann allerdings mit dem hochtrabendem Threadnamen "Unternehmensnetzwerk" zu betiteln ist dann aber doch schon etwas frech zumindestens aber irreführend...
:P
Zitat von @BirdyB:
Moin,
wenn du den Hypervisor entsprechend absicherst ist das schon möglich. Ich hatte die pfSense auch lange Zeit als VM unter Proxmox laufen.
Sicherer ist natürlich eine dedizierte pfSense, das kostet aber dann entsprechend.
VG
Moin,
wenn du den Hypervisor entsprechend absicherst ist das schon möglich. Ich hatte die pfSense auch lange Zeit als VM unter Proxmox laufen.
Sicherer ist natürlich eine dedizierte pfSense, das kostet aber dann entsprechend.
VG
Was schlägst du denn da konkret bzgl. Absicherung vor?
Vor dem Server ist natürlich auch noch eine Firewall, die ich zumindest mit Regeln steuern kann.
Zitat von @aqui:
Spaß beiseite... FB ist ja durchaus legitim, wenn man wenig bis keine Ansprüche an die VPN Performance stellt.
Spaß beiseite... FB ist ja durchaus legitim, wenn man wenig bis keine Ansprüche an die VPN Performance stellt.
Und selbst da hat AVM mit Updates erheblich nachgebessert, so dass durchaus bei kleinen Einheiten, bei denen aus Kostengründen einfach nichts anderes drin ist, weil es ja ausreicht - zumindest aus Sicht der Kaufleute - vier bis fünf gleichzeitige Verbindungen mit RDP durchaus einigermaßen performant sind. Klar, andere sind immer noch besser. Aber die Fritte ist deutlich besser als ihr Ruf.
Zitat von @bluelight:
Was schlägst du denn da konkret bzgl. Absicherung vor?
Vor dem Server ist natürlich auch noch eine Firewall, die ich zumindest mit Regeln steuern kann.
z.B. Über die Firewall nur den SSH-Port zulassen, anderen Port für SSH wählen, Login nur mit Key und ggf 2FA, Fail2Ban installieren. Zugriff auf das Webinterface dann nur per SSH-Tunnel…Zitat von @BirdyB:
Moin,
wenn du den Hypervisor entsprechend absicherst ist das schon möglich. Ich hatte die pfSense auch lange Zeit als VM unter Proxmox laufen.
Sicherer ist natürlich eine dedizierte pfSense, das kostet aber dann entsprechend.
VG
Moin,
wenn du den Hypervisor entsprechend absicherst ist das schon möglich. Ich hatte die pfSense auch lange Zeit als VM unter Proxmox laufen.
Sicherer ist natürlich eine dedizierte pfSense, das kostet aber dann entsprechend.
VG
Was schlägst du denn da konkret bzgl. Absicherung vor?
Vor dem Server ist natürlich auch noch eine Firewall, die ich zumindest mit Regeln steuern kann.
Moin,
Da stellt sich mir die Frage: Warum willst Du von Netcup weg und Dir das Absichern der virtuellen Umgebung selbst aufhalsen? Bist Du unzufrieden mit Netcup? Dann würde ich mir erstmal einen Wechsel des Dienstleisters überlegen. Oder hat es finanzielle Gründe? Dann würde ich versuchen der Geschäftsleitung klar zu machen, dass das mehr kostet, wenn man das selbst macht. Und wenn dann doch mal was passiert, weil die virtuelle Umgebung nicht hinreichen abgesichert war, dann haftet der Dienstleister und nicht man selbst. Nur mal so als Denkanstoß.
Wie der Kollege @BirdyB schon sagte, siehst Du das prinzipiell falsch. Allerdings weiß ich nicht, wie hoch die Sicherheitsansprüche sein müssen. Aber was denkst Du, wie Netcup das macht? Da hast Du ja auch die pfSense als VM laufen. Also liegt darunter ja auch ein Virtualisierer, der entsprechend abgesichert sein muss. Es geht also. Die Frage ist halt, ob sich der Aufwand lohnt.
Wenn ich das richtig verstehe, überlegst Du, dem Virtualisierer, wenn alles fertig ist, die Verbindung ins Internet zu kappen und ihn von einer VM aus zu steuern. Wenn's geht, ist das sicherlich ein guter Ansatz. Allerdings sollte dann eine Backdoor vorhanden sein, über die man auf die Konsole des Hosts kommt. Ansonsten hast Du, wenn es doch nicht geht oder nicht mehr geht, verloren.
Ich habe bei Deinem Beitrag so ein wenig das Gefühl, dass Du noch gar nicht so recht weißt, was Du willst. Das ist nicht böse gemeint. In der Situation sind wir alle immer wieder, dass wir wissen, dass sich was ändern muss, aber noch nicht so recht wie eigentlich. Sollte ich mich irren, entschuldige ich mich. Wenn nicht, dann diskutiere ich das Thema gerne weiter.
Liebe Grüße
Erik
Zitat von @bluelight:
Aktuelle Situation:
-> 5 VMs bei Netcup
[...]
Würde gerne alles von Netcup wegholen und habe mir deshalb testweise einen dedicated Server gemietet zum ausprobieren.
Aktuelle Situation:
-> 5 VMs bei Netcup
[...]
Würde gerne alles von Netcup wegholen und habe mir deshalb testweise einen dedicated Server gemietet zum ausprobieren.
Da stellt sich mir die Frage: Warum willst Du von Netcup weg und Dir das Absichern der virtuellen Umgebung selbst aufhalsen? Bist Du unzufrieden mit Netcup? Dann würde ich mir erstmal einen Wechsel des Dienstleisters überlegen. Oder hat es finanzielle Gründe? Dann würde ich versuchen der Geschäftsleitung klar zu machen, dass das mehr kostet, wenn man das selbst macht. Und wenn dann doch mal was passiert, weil die virtuelle Umgebung nicht hinreichen abgesichert war, dann haftet der Dienstleister und nicht man selbst. Nur mal so als Denkanstoß.
Wenn ich die pfSense als VM laufen lassen will, brauche ich eine zweite IPv4 und die Angriffsfläche z.B. auf Proxmox ist sehr groß oder sehe ich das falsch?
Wie der Kollege @BirdyB schon sagte, siehst Du das prinzipiell falsch. Allerdings weiß ich nicht, wie hoch die Sicherheitsansprüche sein müssen. Aber was denkst Du, wie Netcup das macht? Da hast Du ja auch die pfSense als VM laufen. Also liegt darunter ja auch ein Virtualisierer, der entsprechend abgesichert sein muss. Es geht also. Die Frage ist halt, ob sich der Aufwand lohnt.
Wäre nicht als erster Anlaufpunkt die FW besser?
Sollte ich vielleicht dem Server selbst das Interface deaktivieren und die IP zur pfSense durchrouten und dafür den Server nur per KVM steuern?
Sollte ich vielleicht dem Server selbst das Interface deaktivieren und die IP zur pfSense durchrouten und dafür den Server nur per KVM steuern?
Wenn ich das richtig verstehe, überlegst Du, dem Virtualisierer, wenn alles fertig ist, die Verbindung ins Internet zu kappen und ihn von einer VM aus zu steuern. Wenn's geht, ist das sicherlich ein guter Ansatz. Allerdings sollte dann eine Backdoor vorhanden sein, über die man auf die Konsole des Hosts kommt. Ansonsten hast Du, wenn es doch nicht geht oder nicht mehr geht, verloren.
Ich bin ein bisschen ratlos gerade.
Ich habe bei Deinem Beitrag so ein wenig das Gefühl, dass Du noch gar nicht so recht weißt, was Du willst. Das ist nicht böse gemeint. In der Situation sind wir alle immer wieder, dass wir wissen, dass sich was ändern muss, aber noch nicht so recht wie eigentlich. Sollte ich mich irren, entschuldige ich mich. Wenn nicht, dann diskutiere ich das Thema gerne weiter.
Liebe Grüße
Erik
Moin,
Na das wage ich mal zu bezweifeln, dass vor dem dedizierten Server noch einen FW ist, auf die man Einlfluss hat. Aber das ist auch egal. Man sorgt einfach dafür, dass auf dem Server Richtung Internet kein Port offen ist als der für ssh.
Nö. Bringt nichts als Ärger. Mit einem simplen Portscan finde ich innerhalb von Sekunden heraus, welche Ports offen sind. Standardport ist schon ok.
Auf jeden Fall und nur als eingeschränkter User. Auch hier wieder: Es muss eine Backdoor geben, über die man auf die Konsole der Maschine kommt. Man muss ja evtl. auch mal einen Schlüssel zurückziehen. Oder man vergisst das Passwort.
Gute Idee.
Und je nach Sicherheitsbedürfnis noch andere Watchdogs.
Nö. Ich würde den Zugriff nur von einer der VMs aus erlauben. Voraussetzung ist da natürlich, dass man zur Not den Virtualisierer von der Konsole aus zu bedienen.
Liebe Grüße
Erik
Zitat von @BirdyB:
Zitat von @bluelight:
Vor dem Server ist natürlich auch noch eine Firewall, die ich zumindest mit Regeln steuern kann.
z.B. Über die Firewall nur den SSH-Port zulassen,Vor dem Server ist natürlich auch noch eine Firewall, die ich zumindest mit Regeln steuern kann.
Na das wage ich mal zu bezweifeln, dass vor dem dedizierten Server noch einen FW ist, auf die man Einlfluss hat. Aber das ist auch egal. Man sorgt einfach dafür, dass auf dem Server Richtung Internet kein Port offen ist als der für ssh.
anderen Port für SSH wählen,
Nö. Bringt nichts als Ärger.
Mit einem simplen Portscan finde ich innerhalb von Sekunden heraus, welche Ports offen sind. Standardport ist schon ok.Login nur mit Key
Auf jeden Fall und nur als eingeschränkter User. Auch hier wieder: Es muss eine Backdoor geben, über die man auf die Konsole der Maschine kommt. Man muss ja evtl. auch mal einen Schlüssel zurückziehen. Oder man vergisst das Passwort.
ggf 2FA,
Gute Idee.
Fail2Ban installieren.
Und je nach Sicherheitsbedürfnis noch andere Watchdogs.
Zugriff auf das Webinterface dann nur per SSH-Tunnel…
Nö. Ich würde den Zugriff nur von einer der VMs aus erlauben. Voraussetzung ist da natürlich, dass man zur Not den Virtualisierer von der Konsole aus zu bedienen.
Liebe Grüße
Erik
anderen Port für SSH wählen,
Nö. Bringt nichts als Ärger.
Mit einem simplen Portscan finde ich innerhalb von Sekunden heraus, welche Ports offen sind. Standardport ist schon ok.Bist du dir mal sicher? Im kleinen 1x1 der Serverabsicherung steht ein Wechsel des SSH-Ports eigentlich immer ganz oben. Und wer scannt denn bitte die Ports oberhalb von 10000... und das auch noch innerhalb von Sekunden?!
Zitat von @incisor2k:
Nö. Bringt nichts als Ärger. Mit einem simplen Portscan finde ich innerhalb von Sekunden heraus, welche Ports offen sind. Standardport ist schon ok.
Bist du dir mal sicher? Im kleinen 1x1 der Serverabsicherung steht ein Wechsel des SSH-Ports eigentlich immer ganz oben. Und wer scannt denn bitte die Ports oberhalb von 10000... und das auch noch innerhalb von Sekunden?!
anderen Port für SSH wählen,
Nö. Bringt nichts als Ärger.
Mit einem simplen Portscan finde ich innerhalb von Sekunden heraus, welche Ports offen sind. Standardport ist schon ok.Bist du dir mal sicher? Im kleinen 1x1 der Serverabsicherung steht ein Wechsel des SSH-Ports eigentlich immer ganz oben. Und wer scannt denn bitte die Ports oberhalb von 10000... und das auch noch innerhalb von Sekunden?!
Nach meiner Erfahrung nimmt die Rate der Standard-Angriffe bei einem anderen Port deutlich ab. Wenn ich natürlich gezielt dich und deinen SSH-Server attackieren möchte, bringt es nicht viel. Da hat @erikro schon recht.
Ich würde es trotzdem machen...
Ja, so sehe ich das auch. Nur fällt ein Portscan auf der Suche nach einem anderen als dem Standardport schon auf würd ich meinen. xD
Zitat von @bluelight:
Meine Idee:
Würde gerne alles von Netcup wegholen und habe mir deshalb testweise einen dedicated Server gemietet zum ausprobieren.
Meine Idee:
Würde gerne alles von Netcup wegholen und habe mir deshalb testweise einen dedicated Server gemietet zum ausprobieren.
Ein dedicated Server hat immer IPMI und dazu Web, SSH oder RDP (je nach Technologie).
Auch bekommst Du meist nur eine IP-Adresse.
Diesen Server abzusichern ist schon fummelig weil Du nicht einfach eine Firewall oder ähnliches davor schalten kannst.
Bei Wortmann im RZ ist immer eine Firewall von Securepoint dabei.
Oder Du nimmst doch virtuelle Server von Profitbricks (Iaas).
Du könntest auch einen 2. Server mieten auf dem eine Firewall läuft und dem 1. Server nur Verbindungen von diesem annehmen lassen. Würde ich aber nicht machen.
Shodan listet für viele IPs deren Services auf.
Mit meinem Vertrag kann ich alle meine Kundensysteme sehen. Alle untypischen Ports sind dort aufgelistet. Egal ob SMTP, RDP oder Web.
Viel Erfolg
TO: Wenn's das denn nun war bitte dann nicht vergessen diesen Thread zu schliessen:
How can I mark a post as solved?
How can I mark a post as solved?
