xDSL.at

[beneheld]

hallo liebe Forumleser,

ich habe bei mir zu Hause nun ein paar EUR in neue Hardware investiert. Auf einem Server läuft Hyper V mit VM (Exchange, Nginx Ubuntu, Apache Ubuntu). Davor ist eine IPFire als Firewall im Einsatz, welche sich über ein als SingleUser Modem von A1 verbindet. Dazu gesagt sei, dass ich ein /29 Netz mit öffentlichen IPs habe.

Jetzt habe ich mir einige Tage Gedanken gemacht, wie ich das am besten alles aufbaue, vor allem hinter der Firewall. Soll ich Nginx in eine DMZ stellen - alle anderen Server wie Exchange auch? Wie greife ich dann von meinem LAN darauf zu etc.

Im Internet gibt es viele Best Practices, welche würdet ihr mir empfehlen? Was ich verhindern möchte ist, dass jemand über das Internet / Nginx / Exchange zu mir ins LAN kommt. Und da ist der Knackpunkt Hyper V glaube ich.

Vielleicht hat der eine oder andere eine ähnliche Konstellation und würde mir seine Erfahrungen, Tipps etc mitteilen. Ich wäre sehr dankbar dafür.

Merci beaucoup, benheld

[canyon123]

Ist schon eine Zeit her, als ich in der Branche tätig war - aber wir haben damals hauptsächlich Firewall und Server Systeme für KMUs ausgeliefert.
Meistens war dabei das setup eine Linux Firewall und ein M$ Small Business Server, wobei dieser auch als Exchange Server fungierte. Abhängig von der Unternehmensgröße auch ein Webserver.

Anfangs haben wir dabei noch häufig eine DMZ implementiert - in der DMZ war dann der Webserver, tlw. auch ein Mailserver.
Webserver ist eigentlich kein Problem in der DMZ, da dieser hauptsächlich aus dem Internet angesprochen wurde. Interessant wurde es beim Mailserver, da dieser auch vom LAN aus benötigt wird. Das war dann oft das Problem, weil er dann auch mit einer LAN NIC bestückt wurde, was dann die DMZ schön langsam aushebelte. Zusätzlich wurde das setup einer DMZ einfach als zu aufwendig betrachtet, da auch ein /29er IP pool benötigt wird, der dann in 2 30er subnetze gesplittet wurde (Ein 30er subnetz, also 4 Adressen (!) für max. einen Server in der DMZ. Das zweite Subnetz (nochmal 4 IPs) für das Netz zw. Router und Firewall. Also eine ziemliche Verschwendung. [1]

Wir haben dann in weiterer Folge die DMZs aufgegeben und hauptsächlich mit port-forwarding gearbeitet bzw. mit Reverse Proxies: Auf der Linux Firewall lief ein schlanker mailserver (qmail) welcher nur mails entgegennahm (+spam und Virencheck) [2] und sofort an den Exchange dahinter im LAN weitergab. OWA (Outlook webaccess) wurde mittels squid im reverse proxy Mode angesprochen. Somit mussten die M$ Dienste nie nach aussen gegeben werden.

Wie gesagt, geschmackssache und es gibt viele Ansätze und Lösungen, die hauptsächlich von der Anforderung abhängen, die du hast.



[1] Natürlich könnte man alle IP Adressen an der Firewall terminieren (eth0:1...n) und dann mittels SNAT (und masquerade in die Gegenrichtung) in die DMZ routen, welche einen privaten IP Address pool verwendet. Dann spart man sich das splitten des 29er Netztes und gewinnt 2 IP Adressen.
[2] Zum Thema, keine zusätzlichen Dienste auf einer Firewall laufen lassen: Mir persönlich war es immer lieber, einen schlanken, sicheren Reverseproxy auf der Firewall zu haben, also die M$ Dienste mittels port-forwarding nach aussen zu geben

[beneheld]

hallo canyon123,

super, vielen Dank für die Info. Wenn ich das richtig verstehe, dann hätte ich mir dann das /29er Netz sparen können?!

Im Prinzip würde es in dem Fall reichen eine fixe IP - Firewall - Reverse Proxy / Squid - Webserver / Emailserver.

Sehe ich das richtig? Dann würde ich mir nämlich auch einiges an Konfig sparen denke ich mir, vor allem das Problem mit dem Mailserver und zwei INterfaces (DMZ, LAN) machte mir ein wenig Bedenken.

Dürfte ich dich vielleicht (falls notwendig) weiterhin belästigen, was die Konfig angeht?

Ich möchte einfach bei mir zu Hause einen eigenen Mailserver mit Webserver betreiben, damit ich mir die ganzen Hostinggebühren sparen kann - und natürlich ein wenig ein Spielzeug habe

danke, lg beneheld

[canyon123]

Sag ma mal so: Alles sollte mal mit einem Sicherheitskonzept beginnen, sprich was willst du absichern, was wäre die Auswirkung, wenn der worst case eintrifft (sprich, welche Daten hostest du da, wie kritisch sind die Daten. Sind es streng vertrauliche Daten? Oder "nur" private Daten, also nicht öffentlichen Interesses).

Lass ma mal das allgemeine blabla weg und ich versuch mal auf deine Frage einzugehen

Wenn ich das richtig verstehe, dann hätte ich mir dann das /29er Netz sparen können?!

Im Prinzip würde es in dem Fall reichen eine fixe IP - Firewall - Reverse Proxy / Squid - Webserver / Emailserver.

Grundsätzlich, also rein funktional: ja. Folgendes Fallbeispiel: Du hast eine Firewall, die selbst keine Dienste laufen halt, alle Ports sind zu. In der DMZ läuft ein Webserver. Leider läuft am Webserver ein CMS welches ein bekanntes security hole hat wo ein Angreifer mithilfe der Upload-Funktion ein script einschleusen kann und auch ausführen kann.
Die beste Firewall hilft nix, wenn du am Contentserver die Services und Programme nicht am letzten Stand hast.

Solche Systeme müssen nicht nur "sicher" aufgesetzt sein, sondern auch dementsprechend gewartet, security patches usw. einspielen, eventuell CVE Listen verfolgen usw. Wenn das alles sichergestellt ist, reicht grundsätzlich auch eine Firewall mit Reverseproxies oder einfach nur a reines portforwarding. [1]
Natürlich, die Kehrseite der Medaille ist, dass je mehr Services du auf der ein und selben Maschine hast, desto größer ist die Angriffsfläche und der single-point-of-failure. Hingegen wenn du für jeden Service einen eigenen Server hast, wäre im Falle einer Kompromittierung eines Servers eine Art Isolierung geschaffen und der Schaden begrenzt. (Voraussetzung ist, dass die Server untereinander auch isoliert sind und z.B. nicht im Hintergrund erst recht wieder auf die selbe DB, Fileserver etc. zugreifen)

Ich betreibe zu Hause z.B. auch einen Webserver, Mailserver etc. und gleichzeitig ist dieser Rechner auch mein Router/Firewall. Ich persönlich hab kein Problem damit, andere mögen die AUgen überdrehen (1. warum man sich das überhaupt antut bzw. 2. eine Maschine für alles verwendet). Natürlich könnte ich auf der selben Maschine ein paar virtual boxes installieren, um alles zu trennen - nur für meine Zwecke reicht dieses setup

Dürfte ich dich vielleicht (falls notwendig) weiterhin belästigen, was die Konfig angeht?

Ich kanns versuchen. Nur meine persönliche Meinung nicht als Patentrezept verwenden

Ich möchte einfach bei mir zu Hause einen eigenen Mailserver mit Webserver betreiben, damit ich mir die ganzen Hostinggebühren sparen kann - und natürlich ein wenig ein Spielzeug habe

Meiner Erfahrung nach, ist zweiteres das Hauptargument

[1] Vorteil der Proxy-Konfiguration ist, dass der Contentserver dahinter (theoretisch) keine default route braucht und man so ein unkontrolliertes rausplappern ins Internet abdrehen bzw. zentral steuern kann.