yojohannsen
Goto Top

Verschlüsselung von LAN Verbindungen via VPN

Ich besitze für meinen Privat Gebrauch 6 Server. Diese sind in einem Extra Raum untergebracht und erfüllen unterschiedliche Dienste. Deren Verbindung zueinander über einen 3Com Swich läuft und keine Weiteren Besonderheiten besitzt.
Ich selbst bin im 2. Lehrjahr zum IT-Systemelektroniker und habe schon gute Kenntnisse in vielen bereichen aber auch einige gefährliche Wissenslücken. Wie bsw. Routing, was für mich noch ein Buch mit 7 Siegeln ist.
Im Einsatz sind die Betriebssysteme Windows Server 2003, XP, 7, Vista.

Ich habe vor die Architektur meines Netzwerks Komplet neu aufzubauen. Meine ziele sehen wie Folgt aus:

1. Alle Server sollen Ausschließung über eine Verschlüsselte Leitung miteinander Kommunizieren.
2. Die Server Sollen nur über eine Sichere Art mit dem Internet Kommunizieren.
3. Die Kommunikation der Server soll auch ohne Internet Funktionieren.
4. Es soll möglich sein Systeme so übers Internet einzubinden als gehörten sie mit zum Netzwerk.
5. Alle Systeme sollen eine Eigene Firewall haben, aber auch hinter einen Allgemeinen Sitzen.
6. Der System eigene Schutz vor Viren oder Mail Ware soll auch gesichert sein.


Nun zu den Fragen:

1. Mir ist bewusst das die Kommunikation in einer AD (welche ich nutze) zu teilen Verschlüsselt ist, aber neben dem, das diese Verschlüsselung nicht sehr gut ist, gibt es genug Daten die im Klartext durch die Leitung gehen. Also wollte ich alle Server über VPN mit einander Verbinden, da ich bei einem Tunnel, alle Daten verschlüsseln lassen kann. Aber bis auf hamachi, TeamViewer und die Windows Eigene VPN Lösung habe ich noch nichts weiter getestet, die Frage währe nun, welche man da nehmen könnte?

2. Hier wollte ich keinen Externen VPN Provider oder so nutzten, sondern einfach einen Proxy fürs TOR netzwer auf einen der Server einrichten und dafür sorgen das alle Server seitigen Verbindungen über diesen gehen. Aber wenn nötig wollte ich auch gerne, einzelne Dienste oder Programme direkt über die Gateway schicken. Wie kann ich das machen? Das Grundsätzlich alle über den TOR Proxy gehen und nur ausnahmen über die eigene Gateway?

3. Da ich innerhalb der Server mit Virtuellen Maschienen Arbeite, dessen Festplatten oft auf anderen Systemen im Netz Liegen, ist es nötig, das die Verbindungen der Server zueinander, nicht abricht wenn ich die 24 Zwangs Trennung habe. hamachi währe hier schon aus dem Spiel und TeamViewer ginge noch aber ist für mich nicht weitgehend genug konfigurier bar und die Windows eigene Lösung ist so weit ich weiß auch nicht Verschlüsselbar bzw. nicht konfigurierbar so das eine bessere Verschlüsselung genommen wird. Ich weis leider Nicht ob OpenVPN diese Kreterin noch erfüllen würde.

4. Das dies bei vielen VPN Lösungen möglich sein müste, weis ich, aber grade Hier mangelt es am Detail wissen. Mir ist nur bei Hamaschi klar, wie alle Systeme mit allen Teilnehmern eines VPN, Netzwerkes Kommunizieren können, bei TeamViewer und der Windows Lösung ist es meines Wissens so, das es nur eine Peer to Peer Verbindung ist. Und und sich mit allen Servern einzeln zu verbinden hatte ich nicht vor. Außerdem sollte diese Verbindung so sein, das die Vor dem Anmelden zur Verfügung steht, da ich Unter Windows mit Romming Profilen arbeite.

5. Die Allgemeine Firewall übermint der Router bei mir (Tomato), aber bei den Servern sollte ich neben der Windows Eigenen auch noch eine weitere firewall nutzten, da es hier viele Kostenfreie Möglichkeiten gibt, hätte ich nur mal so die Frage, welche ihr da für diesen Zweck empfehlen würdet.

6. Hier ist die Frage, ob es für Server überhaupt, kostenfreie lösungen gibt oder ab ich da so wie so, noch Geld investieren müsste oder sollte? Ob nun Kostenpflichtig oder nicht, währe die Frage, welche sich den lohne und warum?

Content-ID: 130496

Url: https://administrator.de/contentid/130496

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

spacyfreak
spacyfreak 29.11.2009 um 21:36:39 Uhr
Goto Top
Ich denke man sollte stets das Verhältnis von Aufwand und Nutzen im Auge behalten.

Ich finde folgende vorgehensweise prinzipiell brauchbar und ausgewogen

- Sämtliche Server (und Clients!) mit lokalen Firewalls zu schützen, das geht sogar kostenlos mit der eingebauten Windows Firewall, via netsh firewall scripting kann man das via textfile machen. Mag sein dass Klug###er die onboard FW nicht für besonders "professionell" halten, Tatsache ist jedoch dass dieser Mechanismus vor ALLEN bisherigen Portscan- und W-urmangriffen brauchbaren Schutz bieten konnte, von irgendwlchen exotischen Windows-Firewall Exploits mal abgesehen
- von Clients oder Internet erreichbare Server stets aktuell halten, Updates etc am besten automatisiert / zentral kontrolliert
aqui
aqui 30.11.2009, aktualisiert am 18.10.2012 um 18:40:09 Uhr
Goto Top
Na ja, seine Serverfarm wird er ja sicherlich nicht direkt ins Internet exponieren sondern hoffentlich mit einer Firewall oder wenigstens einem NAT Router davor.
Wie man sie dann übers Internet transparent macht via VPN erzählen dir die zahlreichen Tutorials hier wie z.B.:
VPNs einrichten mit PPTP
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
usw. usw.
Wie man Tomato oder auch dessen Schwester SW DD-WRT um einen VPN Server erweitert steht hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Mit dem Handwerkszeug solltest du deine VPN Vorstellungen im Handumdrehen umsetzen können !
YoJohannsen
YoJohannsen 30.11.2009 um 21:11:35 Uhr
Goto Top
Gut das hilft schon mal bei der Externen Angelegenheit und beantwortet da auch alle fragen, nur die interne Absicherung ist noch offen. Ich weis das es etwas übertrieben scheint, aber ich möchte auch eine hoch verschlüsselte Verbindung unter den Servern selbst.

Nur zum vergleich, die Platten sind mit 3 in einander geschachtelten Algorithmen verschlüsselt, dessen Passwörter min, 40 Zeichen besitzen und diverse Sonderzeichen. Wenn ich da also schon so einen Aufwand habe, den will ich nicht bei den Leitungen eine unverhältnismäßige Sicherheit haben.
aqui
aqui 03.12.2009 um 20:07:52 Uhr
Goto Top
OK, wenn du direkt von den Servern die verschlüsselte Verbindung aufbauen willst und es nicht ein externes Device wie Router oder FW sein darf, (da geht ein Teil unverschlüsselt übers lokale LAN) dann musst du ja logischerweise den VPN Link von Server zu Server direkt machen.
Da verwendest du dann am besten einen L2TP Link denn der benutzt IPsec was hinreichend sicher ist. Windows hat das an Bord.
Oder OpenVPN mit starken Zertifikaten wäre für dich dann ebenfalls eine kostenfreie Lösung die sehr sicher ist !