Hi, danke schon mal für die Antwort!
hoerianer schrieb:
[...]generell ist es immer problematisch, wenn ein Server, der aus dem Internet erreichbar ist, mitten im Lan steht.[...]
Ja, genau deswegen auch - abseits von einer Realisierung mit KVM - meine Fragen dazu. Ich möchte einfach mehr Sicherheit erreichen und verhindern, dass der Server mit den anderen Rechnern im LAN kommunizieren kann. Wobei SSH-Zugang schon schön wäre, das wäre dann aber nochmal die Verschärfung und da würde es mich interessieren wie man das dann hinbekommt oder ob es einfach reicht, den SSH-Port für das LAN freizugeben. Aber einerlei, mir ist bewusst, dass es einen sicherheitsmaximierten Weg gibt über physische Trennung, DMZ und so weiter. Meine Frage geht dahin ob man das alles kostengünstig und mit geringen Sicherheitsabstrichen auch anders hinbekommen kann.
Im Prinzip sind es mehrere Teilfragen.
- Sollte man unbedingt immer eine echte DMZ verwenden? Geht es wirklich nicht auch etwas anders?
- Kann man das trotzdem im LAN realisieren, mittels virtueller Server, wenigen Ports, VM die nur ins Internet darf, aber nicht in 192.168.*.*, etc. pp., also so gut isoliert wie möglich, wohl wissend, dass es ein paar Risiken gibt, aber in Kauf nehmend, weil das Netz halt so aussieht wie es aussieht?
- Wie würde man das am besten machen?
- Was für eine Rolle spielen ggf. Switches (VLAN, DHCP, DNS, ...)?
- Was kann man sonst noch machen?
Von virtuellen Firewalls, [...], [...], da die Hardware ja trotzdem im gleichen Netz wäre - und somit auch erreichbar.
Naja, genau das will ich der VM verbieten. Sie soll nur mit Adressbereichen kommunizieren dürfen, die nicht 192.168.*.* sind. Gedacht hatte ich mir das so, dass ich der KVM-FW (nicht VM-FW!) diese Regel mitgebe. Meine Frage wäre halt nur, wie ich dann die Datenpakete über das NAT der KVM über den Hardware-Server zur FritzBox bekomme, die das dann ins Internet kippt. Bzw. auch andersrum. Weiß nicht ob das so geht, daher die Frage.
Du sprichst DMZ an - eine DMZ kannst Du z.B. mit zwei hintereinander geschalteten FritzBoxen erreichen, das Netz dazwischen wäre dann eine DMZ. 😉
Ok, bleiben wir mal bei dem Gedankenspiel und nehmen wir an, ich kriege eine zweite FritzBox irgendwo her (Preisfrage: bekomme ich das irgendwo für sehr günstig?). Mal abgesehen davon, dass das wiederum die Bandbreite durch einen weiteren Sprung runtersetzt, ich mich um DHCP und DNS gesondert kümmern muss, etc. pp.: Wie kann ich denn dann bewerkstelligen, dass die erste Box keine Datenpakete zwischen dem Server und der anderen Box, aka dem anderen Netz zulässt? Es gibt da eine Funktion, dass die Geräte nicht miteinander kommunizieren dürfen, wenn ans Kabel angeschlossen, also an verschiedene Netzwerkports. Meintest du das? Kleiner Hinweis hier noch: Ich bekomme mein Internet momentan über Glasfaser zu einem CPE, der mir eine Ethernetbuchse anbietet. Das Ganze wird über PPPoE angesteuert (vermute ich, externes Modem (CPE), aber Einwahldaten). Kann aber sein, dass ich auch mal irgendwann VDSL, DSL oder sonstwas anderes habe, also sollte die Lösung zukünftig eigentlich mit meiner FB7490 funktionieren und ich möchte dabei nicht auf das AC-WLAN verzichten. Nur so der Vollständigkeit halber.
Je nachdem wie sicher das alles sein soll, so groß wird der Aufwand sein, den Du betreiben musst.
Ok, also, dann mal anders gefragt: Gibt es noch Möglichkeiten, das ganze aufzuziehen, die ich bisher nicht berücksichtigt habe? Ich möchte nach Möglichkeit so wenig an meinem Netzwerk ändern, aber den Server so gut wie möglich abschotten gegen das LAN, nur für den Fall dass da jemand einbricht. Das ganze soll aber halt auch nicht teuer werden.
Wahrscheinlich wird mir jetzt gesagt, dass man halt um gewisse Sachen nicht rumkommt, aber wenn ich unbedingt viel Kohle raushauen wollte, dann hätte ich mich dahin schon orientiert. 😉
Danke schonmal für alle weiteren Antworten!