bluelight
Goto Top

Unternehmensnetzwerk aufbauen

Moin zusammen,

erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde!

Aktuelle Situation:
-> 5 VMs bei Netcup
-> 1xVM mit pfSense und WAN
-> 4xVM (DC, Kassenserver etc) via Netcup vLAN untereinander mit pfSense verbunden und nur hinter der pfSense betrieben ohne eigenes WAN-Interface

Meine Idee:
Würde gerne alles von Netcup wegholen und habe mir deshalb testweise einen dedicated Server gemietet zum ausprobieren.

Ich habe allerdings gerade irgendwo einen Knoten im Kopf. Wie könnte ich das am besten realisieren?
Ich kann nicht die pfSense und eine Virtualisierungssoftware auf dem Server installieren.

Wenn ich die pfSense als VM laufen lassen will, brauche ich eine zweite IPv4 und die Angriffsfläche z.B. auf Proxmox ist sehr groß oder sehe ich das falsch?
Wäre nicht als erster Anlaufpunkt die FW besser?
Sollte ich vielleicht dem Server selbst das Interface deaktivieren und die IP zur pfSense durchrouten und dafür den Server nur per KVM steuern?

Ich bin ein bisschen ratlos gerade.

Liebe Grüße
Simon

Content-ID: 1292436689

Url: https://administrator.de/contentid/1292436689

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

bluelight
bluelight 22.09.2021 aktualisiert um 16:31:19 Uhr
Goto Top
EDIT: Standort A ist mit F!B 7590 (jaja ich weiß, APU Board ist besser) per VPN an die pfSense angebunden.
BirdyB
BirdyB 22.09.2021 um 18:11:25 Uhr
Goto Top
Moin,
wenn du den Hypervisor entsprechend absicherst ist das schon möglich. Ich hatte die pfSense auch lange Zeit als VM unter Proxmox laufen.
Sicherer ist natürlich eine dedizierte pfSense, das kostet aber dann entsprechend.
VG
aqui
aqui 22.09.2021 aktualisiert um 19:30:41 Uhr
Goto Top
(jaja ich weiß, APU Board ist besser)
Die Aussage ist so nicht richtig. Sinnvoller wäre alles andere als FB ist besser... face-wink
Spaß beiseite... FB ist ja durchaus legitim, wenn man wenig bis keine Ansprüche an die VPN Performance stellt.
Das (und den Rest bei dem es ja eher um popelige WAN Anbindungen geht) dann allerdings mit dem hochtrabendem Threadnamen "Unternehmensnetzwerk" zu betiteln ist dann aber doch schon etwas frech zumindestens aber irreführend...
bluelight
bluelight 22.09.2021 um 20:59:32 Uhr
Goto Top
Zitat von @aqui:

(jaja ich weiß, APU Board ist besser)
Die Aussage ist so nicht richtig. Sinnvoller wäre alles andere als FB ist besser... face-wink
Spaß beiseite... FB ist ja durchaus legitim, wenn man wenig bis keine Ansprüche an die VPN Performance stellt.
Das (und den Rest bei dem es ja eher um popelige WAN Anbindungen geht) dann allerdings mit dem hochtrabendem Threadnamen "Unternehmensnetzwerk" zu betiteln ist dann aber doch schon etwas frech zumindestens aber irreführend...

:P
bluelight
bluelight 22.09.2021 um 21:00:24 Uhr
Goto Top
Zitat von @BirdyB:

Moin,
wenn du den Hypervisor entsprechend absicherst ist das schon möglich. Ich hatte die pfSense auch lange Zeit als VM unter Proxmox laufen.
Sicherer ist natürlich eine dedizierte pfSense, das kostet aber dann entsprechend.
VG

Was schlägst du denn da konkret bzgl. Absicherung vor?
Vor dem Server ist natürlich auch noch eine Firewall, die ich zumindest mit Regeln steuern kann.
erikro
erikro 22.09.2021 um 21:10:19 Uhr
Goto Top
Zitat von @aqui:
Spaß beiseite... FB ist ja durchaus legitim, wenn man wenig bis keine Ansprüche an die VPN Performance stellt.

Und selbst da hat AVM mit Updates erheblich nachgebessert, so dass durchaus bei kleinen Einheiten, bei denen aus Kostengründen einfach nichts anderes drin ist, weil es ja ausreicht - zumindest aus Sicht der Kaufleute - vier bis fünf gleichzeitige Verbindungen mit RDP durchaus einigermaßen performant sind. Klar, andere sind immer noch besser. Aber die Fritte ist deutlich besser als ihr Ruf.
BirdyB
BirdyB 22.09.2021 um 21:11:31 Uhr
Goto Top
Zitat von @bluelight:

Zitat von @BirdyB:

Moin,
wenn du den Hypervisor entsprechend absicherst ist das schon möglich. Ich hatte die pfSense auch lange Zeit als VM unter Proxmox laufen.
Sicherer ist natürlich eine dedizierte pfSense, das kostet aber dann entsprechend.
VG

Was schlägst du denn da konkret bzgl. Absicherung vor?
Vor dem Server ist natürlich auch noch eine Firewall, die ich zumindest mit Regeln steuern kann.
z.B. Über die Firewall nur den SSH-Port zulassen, anderen Port für SSH wählen, Login nur mit Key und ggf 2FA, Fail2Ban installieren. Zugriff auf das Webinterface dann nur per SSH-Tunnel…
erikro
erikro 22.09.2021 um 21:37:19 Uhr
Goto Top
Moin,

Zitat von @bluelight:
Aktuelle Situation:
-> 5 VMs bei Netcup
[...]
Würde gerne alles von Netcup wegholen und habe mir deshalb testweise einen dedicated Server gemietet zum ausprobieren.

Da stellt sich mir die Frage: Warum willst Du von Netcup weg und Dir das Absichern der virtuellen Umgebung selbst aufhalsen? Bist Du unzufrieden mit Netcup? Dann würde ich mir erstmal einen Wechsel des Dienstleisters überlegen. Oder hat es finanzielle Gründe? Dann würde ich versuchen der Geschäftsleitung klar zu machen, dass das mehr kostet, wenn man das selbst macht. Und wenn dann doch mal was passiert, weil die virtuelle Umgebung nicht hinreichen abgesichert war, dann haftet der Dienstleister und nicht man selbst. Nur mal so als Denkanstoß.

Wenn ich die pfSense als VM laufen lassen will, brauche ich eine zweite IPv4 und die Angriffsfläche z.B. auf Proxmox ist sehr groß oder sehe ich das falsch?

Wie der Kollege @BirdyB schon sagte, siehst Du das prinzipiell falsch. Allerdings weiß ich nicht, wie hoch die Sicherheitsansprüche sein müssen. Aber was denkst Du, wie Netcup das macht? Da hast Du ja auch die pfSense als VM laufen. Also liegt darunter ja auch ein Virtualisierer, der entsprechend abgesichert sein muss. Es geht also. Die Frage ist halt, ob sich der Aufwand lohnt.

Wäre nicht als erster Anlaufpunkt die FW besser?
Sollte ich vielleicht dem Server selbst das Interface deaktivieren und die IP zur pfSense durchrouten und dafür den Server nur per KVM steuern?

Wenn ich das richtig verstehe, überlegst Du, dem Virtualisierer, wenn alles fertig ist, die Verbindung ins Internet zu kappen und ihn von einer VM aus zu steuern. Wenn's geht, ist das sicherlich ein guter Ansatz. Allerdings sollte dann eine Backdoor vorhanden sein, über die man auf die Konsole des Hosts kommt. Ansonsten hast Du, wenn es doch nicht geht oder nicht mehr geht, verloren.

Ich bin ein bisschen ratlos gerade.

Ich habe bei Deinem Beitrag so ein wenig das Gefühl, dass Du noch gar nicht so recht weißt, was Du willst. Das ist nicht böse gemeint. In der Situation sind wir alle immer wieder, dass wir wissen, dass sich was ändern muss, aber noch nicht so recht wie eigentlich. Sollte ich mich irren, entschuldige ich mich. Wenn nicht, dann diskutiere ich das Thema gerne weiter.

Liebe Grüße

Erik
erikro
erikro 22.09.2021 um 21:58:11 Uhr
Goto Top
Moin,

Zitat von @BirdyB:

Zitat von @bluelight:

Vor dem Server ist natürlich auch noch eine Firewall, die ich zumindest mit Regeln steuern kann.
z.B. Über die Firewall nur den SSH-Port zulassen,

Na das wage ich mal zu bezweifeln, dass vor dem dedizierten Server noch einen FW ist, auf die man Einlfluss hat. Aber das ist auch egal. Man sorgt einfach dafür, dass auf dem Server Richtung Internet kein Port offen ist als der für ssh.

anderen Port für SSH wählen,

Nö. Bringt nichts als Ärger. face-wink Mit einem simplen Portscan finde ich innerhalb von Sekunden heraus, welche Ports offen sind. Standardport ist schon ok.

Login nur mit Key

Auf jeden Fall und nur als eingeschränkter User. Auch hier wieder: Es muss eine Backdoor geben, über die man auf die Konsole der Maschine kommt. Man muss ja evtl. auch mal einen Schlüssel zurückziehen. Oder man vergisst das Passwort. face-wink

ggf 2FA,

Gute Idee.

Fail2Ban installieren.

Und je nach Sicherheitsbedürfnis noch andere Watchdogs.

Zugriff auf das Webinterface dann nur per SSH-Tunnel…

Nö. Ich würde den Zugriff nur von einer der VMs aus erlauben. Voraussetzung ist da natürlich, dass man zur Not den Virtualisierer von der Konsole aus zu bedienen.

Liebe Grüße

Erik
incisor2k
incisor2k 23.09.2021 um 08:26:53 Uhr
Goto Top
anderen Port für SSH wählen,

Nö. Bringt nichts als Ärger. face-wink Mit einem simplen Portscan finde ich innerhalb von Sekunden heraus, welche Ports offen sind. Standardport ist schon ok.

Bist du dir mal sicher? Im kleinen 1x1 der Serverabsicherung steht ein Wechsel des SSH-Ports eigentlich immer ganz oben. Und wer scannt denn bitte die Ports oberhalb von 10000... und das auch noch innerhalb von Sekunden?!
BirdyB
BirdyB 23.09.2021 um 09:32:58 Uhr
Goto Top
Zitat von @incisor2k:

anderen Port für SSH wählen,

Nö. Bringt nichts als Ärger. face-wink Mit einem simplen Portscan finde ich innerhalb von Sekunden heraus, welche Ports offen sind. Standardport ist schon ok.

Bist du dir mal sicher? Im kleinen 1x1 der Serverabsicherung steht ein Wechsel des SSH-Ports eigentlich immer ganz oben. Und wer scannt denn bitte die Ports oberhalb von 10000... und das auch noch innerhalb von Sekunden?!

Nach meiner Erfahrung nimmt die Rate der Standard-Angriffe bei einem anderen Port deutlich ab. Wenn ich natürlich gezielt dich und deinen SSH-Server attackieren möchte, bringt es nicht viel. Da hat @erikro schon recht.
Ich würde es trotzdem machen...
incisor2k
incisor2k 23.09.2021 um 09:51:32 Uhr
Goto Top
Ja, so sehe ich das auch. Nur fällt ein Portscan auf der Suche nach einem anderen als dem Standardport schon auf würd ich meinen. xD
StefanKittel
StefanKittel 24.09.2021 um 08:15:57 Uhr
Goto Top
Zitat von @bluelight:
Meine Idee:
Würde gerne alles von Netcup wegholen und habe mir deshalb testweise einen dedicated Server gemietet zum ausprobieren.

Ein dedicated Server hat immer IPMI und dazu Web, SSH oder RDP (je nach Technologie).
Auch bekommst Du meist nur eine IP-Adresse.

Diesen Server abzusichern ist schon fummelig weil Du nicht einfach eine Firewall oder ähnliches davor schalten kannst.

Bei Wortmann im RZ ist immer eine Firewall von Securepoint dabei.
Oder Du nimmst doch virtuelle Server von Profitbricks (Iaas).

Du könntest auch einen 2. Server mieten auf dem eine Firewall läuft und dem 1. Server nur Verbindungen von diesem annehmen lassen. Würde ich aber nicht machen.

Shodan listet für viele IPs deren Services auf.
Mit meinem Vertrag kann ich alle meine Kundensysteme sehen. Alle untypischen Ports sind dort aufgelistet. Egal ob SMTP, RDP oder Web.

Viel Erfolg
aqui
Lösung aqui 11.10.2021 um 10:17:27 Uhr
Goto Top
TO: Wenn's das denn nun war bitte dann nicht vergessen diesen Thread zu schliessen:
Wie kann ich einen Beitrag als gelöst markieren?