user32847
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Hallo Ubuntuusers, ich möchte daheim auf meinem Raspberry Pi kleine Server-Dienste mit geringem Traffic für das Internet bereitstellen. Aus Gründen der Sicherheit fühle ich mich wohler, wenn der Server in einer demilitarisierten Zone läuft. Leider habe ich mit solchen Sachen noch überhaupt keine Erfahrungen gemacht und möchte deshalb um eure Tipps und Erfahrungen fragen. Momentan sieht es so aus, dass am Internetanschluss eine FRITZ!Box angeschlossen ist und diese als Access Point für die ganzen WLAN-Geräte im internen Netz dient. Wie setze ich das jetzt mit einer richtigen DMZ um? Hätte mir das jetzt folgendermaßen vorgestellt: Direkt am Internetanschluss bleibt die FRITZ!Box als Access Point und Default Gateway zum Internet für alle internen Geräte An der FRITZ!Box wird ein weiterer Router mit Firewall angeschlossen An diesem Router wiederum wird der Server (Raspberry Pi) angeschlossen
oder ist dieses Szenario besser geeignet? Direkt am Internetanschluss kommt ein neuer Router An diesem ist direkt der Raspberry Pi und die FRITZ!Box angeschlossen FRITZ!Box schottet dann das interne Netz ab
Die Frage, die sich mir außerdem noch stellt: Welche Hardware ist hierfür empfehlenswert? Aus Gründen der Homogenität hätte ich mir gedacht, dass dafür wieder ein Gerät aus dem Hause von AVM sinnvoll wäre. Habt ihr für mich evtl. Empfehlungen? Vielen Dank für eure Hilfe im Voraus! ☺ Freundliche Grüße user32847
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5347
|
Es ist am einfachsten, wenn du den Server einfach wie jeden anderen Client auch an den existierenden Router anschliesst. Damit kannst du problemlos im lokalen Netz von allen Geraeten auf alle Geraete verbinden. Es sei denn du moechtest die uebrigen Clients und den Router in eigenen Netzen haben und die Zugriffe dazwischen blockieren. Aber nur dann, macht ein anderes Setup Sinn. Warum willst du unbedingt einen neuen Router kaufen und ins Netz einbinden?
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
sebix schrieb: Es ist am einfachsten, wenn du den Server einfach wie jeden anderen Client auch an den existierenden Router anschliesst. Damit kannst du problemlos im lokalen Netz von allen Geraeten auf alle Geraete verbinden. Es sei denn du moechtest die uebrigen Clients und den Router in eigenen Netzen haben und die Zugriffe dazwischen blockieren. Aber nur dann, macht ein anderes Setup Sinn. Warum willst du unbedingt einen neuen Router kaufen und ins Netz einbinden?
Würde halt gerne eine DMZ aufbauen, als Sicherheitsaspekt. Möchte nicht, dass der Server Zugriff auf das private Netz hat - könnte ja sein, dass der Server mal kompromittiert wird.
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Also natürlich ist es erstmal auch eine Kostenfrage. Du kannst Dir entweder einen kleinen Rechner mit drei Netzwerkkarten einrichten und darauf dann so etwas wie ipfire, ipcop oder endian laufen lassen. Es geht aber auch, wenn man z.B. zwei Fritz!Boxen hintereinander schaltet. Dann hat man die DMZ quasi zwischen den Boxen.
|
Hans9876543210
Anmeldungsdatum: 2. Januar 2011
Beiträge: 3741
|
Welche Fritzbox ist es denn? Eventuell sind ja auch vlan's möglich.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Es ist die FRITZ!Box 3270. Bin mit dieser auch sehr zufrieden und möchte sie auch weiterhin gerne benutzen. Welche effizienten Möglichkeiten gibt nun für mich, eine »saubere« DMZ umzusetzen? Habe mal etwas im Internet gesucht und bin auf die FRITZ!Box 2170 gestoßen. Was meint ihr dazu als zusätzliches Gerät? Passend, überdimensioniert, unterdimensioniert? [FRITZ!Box 2170] <- Border Gateway
|
|
[Pi] -------| <- DMZ
|
[FRITZ!Box 3270]
| | |
[*] [*] [*] <- Privates Netz
|
Hans9876543210
Anmeldungsdatum: 2. Januar 2011
Beiträge: 3741
|
Aus meiner Sicht kannst du dir locker ein zweites Gerät hinstellen. Welche Marke / Modell das ist, ist eigentlich fast egal. Du hast gute Erfahrungen mit Fritz gemacht, von daher sollte die Entscheidung klar sein. Ich persönlich würde darauf achten, dass das Gerät möglichst eine Unterstützung für dynds bietet (das hat die 2170), einen VPN-Dienst bereitstellt, noch nicht EoL ist und das zumindest eine konfigurierbare Firewall vorhanden ist - je nachdem, was du für einen Dienst bereitstellen willst.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
So wie ich das verstehe, ist das FRITZ!Box-Webinterface (beider Router!) für den potenziell kompromittierten Server ja erreichbar und »nur« durch ein Passwort geschützt. Wie seht ihr das? Bei einem starken Passwort ein zu vernachlässigendes Risiko oder doch ein No-Go?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5347
|
user32847 schrieb: So wie ich das verstehe, ist das FRITZ!Box-Webinterface (beider Router!) für den potenziell kompromittierten Server ja erreichbar und »nur« durch ein Passwort geschützt. Wie seht ihr das? Bei einem starken Passwort ein zu vernachlässigendes Risiko oder doch ein No-Go?
Wenn das Webinterface oder der Router nicht irgendwelche Sicherheitsluecken hat, die es erlauben, ohne Authentifizierung Einstellungen vorzunehmen (ja, gibts wirklich), ist ein vernuenfiges Passwort Laenge voellig ausreichend. Wenn der Server im gleichen Netz wie die Clients ist, koennte er theoretisch versuchen die lokalen IP-Pakete der Authentifizierung abzufangen. Du kannst fuer die Router konfigurieren, ob das Webinterface auch von aussen erreichbar ist, also zB ist der Router (fuer die Clients) im gleichen Netz wie der Server, dann soll der Server vermutlich gar keinen Zugriff auf das Webinterface haben.
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Ich setze aktuell nur FB 7390 und 7490 ein. Mit dem Gastnetz ist dann auch der Routerzugang gesperrt 😉
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
hoerianer schrieb: Ich setze aktuell nur FB 7390 und 7490 ein. Mit dem Gastnetz ist dann auch der Routerzugang gesperrt 😉
Wäre natürlich gut, wenn für den Server der Zugang zu den Routern nicht möglich ist. Aber wenn man den Server in das sog. "Gastnetz" steckt, ist er (so viel ich weiß) aus dem Internet nicht erreichbar, weil für das Gastnetz die Port-Weiterleitung deaktiviert ist.
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Dann wirst Du an einer Firewall wohl nicht vorbei kommen.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Edit: Post bitte löschen, Admins. 😉
|