easyVDR

Normale Version: Frage zu Netzwerkplanung
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Hallo Zusammen,

für die Integration meines VDR in das Heimnetz habe ich folgenden Plan:

Derzeit habe ich 2 komplett separate Ethernet-Netze
A) Über DSL-Router ins Internet mit WLAN für Internet-Notebook, Netzwerkdrucker und VPN-Anschluss ins Firmennetzwerk für die Arbeit zu Hause
B) Switch mit NAS, alter VDR und WIN-PC (der geht dann per USB an den Drucker) für alles was kein Internet braucht oder auch besser nicht hat

A) und B) haben keinerlei Verbindung, über ein Patchfeld kann ich aber jeden RJ45 Anschluss der im Haus verteilten Doppel-CAT5-Dosen auf Netz A) oder B) patchen.

Für den neuen VDR möchte ich einerseits auf Bilder Videos und Musikbestände auf dem NAS zugreifen aber auch die Vorteile der Internet-Verbindung nutzen (VCH, shoutcast, wether, etc.) - wie mache ich das am Besten?

Geht es über 2 Netzwerkkarten im VDR,
wobei die eine nur dafür freigeschaltet ist, dass der VDR inhalte und Informationen aus dem Internet abruft
und über die andere Netzwerkkarte alle anderen Funktionen (live, vdradmin, putty, Ablage auf dem NAS, Samba, später streamen auf andere Ausgabegeräte) verfügbar sind ?

Wie konfiguriert man das, was ist da noch zu beachten oder welche besseren möglichkeiten gibt es noch.


Danke im Voraus für sachdienliche Hinweise
Michel
Denke Du solltest Dich mal zun thema VLANs einlesen...

Wenns stromsparend sein soll könntest Du die Netze auch mit nen WRT54GS und DD-WRT koppeln. (bzw. Kompatibles Gerät und alternativ open wrt)



Wenns optimal werden soll ein managebarer Gigabit Switch und ggf. Ein Firewall-Server. Da nimmt man heitzutage PFSense oder so, aber das wissen andere besser...

In der c'T gabs dazu schon einige klasse Artikel die Du Dir besorgen kannst.
Hallo michel,

2 Karten im VDR find ich persönlich unnütz, da du ja eh Ports auf der Firewall freigibst zum holen der Infos aus dem Netz!
wenn sich einer auf den VDR hockt dann ist es im eh egal ob du eine oder fünf Karten hast Wink um deine Netze zu trennen...
Ich benutze schon lange IPCop http://www.ipcop.org/ ist auch frei und relativ einfach zum einrichten und administrieren!
Hier gibts nen paar Screenshots:http://sourceforge.net/apps/trac/ipcop/wiki/Screenshots

Zitat:Für den neuen VDR möchte ich einerseits auf Bilder Videos und Musikbestände auf dem NAS zugreifen aber auch die Vorteile der Internet-Verbindung nutzen (VCH, shoutcast, wether, etc.) - wie mache ich das am Besten?
Wie gesagt mit Portfreigaben...

Wenn aber dein Router schon ne FW hat, brauchst du dir den Stress mit dem IPCOP nicht machen, sondern lieber die richtige konfigurieren und nach den Updates schauen! Ich denke für den Privat Gebrauch ist das ausreichend, WENN du keine hochbrisanten Daten von der Arbeit oder von dir selber zu Hause hostest!

Die Netze, wenn das denn Nötig sein sollte, Koppelst du über deinen Router. Einfach einen Routing Eintrag machen und gut ists. Wobei ich das mit den 2 Netzen nicht ganz verstehe im privaten Bereich. Musst du deine angehörigen vom VDR oder NAS aussperren oder was ist der Grund???


lg prudentis
Danke für Eure Tipps, ich werde mich diesbezüglich mal einlesen!

(01.03.2011, 07:36)prudentis link schrieb: [ -> ]Die Netze, wenn das denn Nötig sein sollte, Koppelst du über deinen Router. Einfach einen Routing Eintrag machen und gut ists. Wobei ich das mit den 2 Netzen nicht ganz verstehe im privaten Bereich. Musst du deine angehörigen vom VDR oder NAS aussperren oder was ist der Grund???

Nennt es Paranoia, Dummheit, Unwissenheit oder eine Mischung aus allem.
Ich war halt mit meiner beschränkten Sichtweise von folgenden Punkten ausgegangen:
  • In einem Netzwerk (A) mit einem Linux VDR, einem Win-Rechner und Internetzugang ist Netzwerksicherheit kein wirkliches Problem, egal wer mit wieviel Sachverstand auf dem Win-PC spielt, solange mit diesem Rechner keine Informationen (Kontonummer, Kreditkarte etc.) verarbeitet werden, die ein Bösewicht gegen einen verwenden könnte.
  • In einem solchen Netzwerk hätte ich aber nur sehr ungern ein NAS, auf dem z.B. die Steuerdaten, Kontoinformationen und ähnliches liegen - sprich wo keine kritische Information ist braucht man sie auch nicht mit viel Aufwand (bzw. Fachwissen das ich nicht habe) schützen.
  • Der VDR - dachte ich - sei dahingehend mit wenig Aufwand so sicher zu bekommen, dass sich keiner daruf setzen kann.
    Der VDR soll ja nur wenige klar definierte services aus dem Internet nutzen und wild Klicken oder Installieren und surfen kann auch keiner...
  • In einem 2. Netzwerk (B), das gar keine Schnittstelle ins Internet hat kann auch keiner von Außen, oder über ein Böses Programm von innen, ungewollte Daten zur Verfügung stellen.
  • Einziger Knoten der Internes (A) und Exterens (B) Netz verbindet ist der VDR - und der ist
    1) nicht Win
    2) nicht so leicht mit sicherheitskritischen Programmen zu verseuchen
    3) nur bei Bedarf eingeschaltet 
  • VLAN braucht soviel ich weiß einen managed Switch und der ist deutlich teurer als eine 2. Netzwerkkarte (6€) für den VDR, denn für VDR, Win-PC am Internet brauche ich gar keinen zusätzlichen Switch, die alte Arcor-Kiste hat dafür 4 freie Ports...
  • Auch für die Firewall-Funktion reicht als Basisabsicherung die Arcor-Kiste weitere Hardware ist nicht erforderlich, da der win-pc auch aus anderen Gründen alle paar Jahre in den Urzustand zurückgesetzt wird.
Dass es nicht die eleganteste Lösung ist habe ich inzwischen verstanden, aber was spricht wirklich gegen diese Lösung zumal die Komponenten alle vorhanden sind...

Danke und Gruß
Michel
Denke schon dass man das so machen kann wie Du planst.

Aber alternativ kannst Du VLAN eben auch mit genannten Routern machen die günstig zu haben sind per o.g. Software *WRT. (Auch da gibts 4-5 LAN Ports)
Zitat:Einziger Knoten der Internes (A) und Exterens (B) Netz verbindet ist der VDR - und der ist
Das reicht ja schon. Google mal "ssh Brutforce" nur als Bsp!

Aber wie geschrieben, muss du ja nur das Sicherheitsrelevante gegen einen Angriff schützen! Und dann ist ja da noch die Frage wie Interessant du für einen Hacker bist Wink

Mit einem einfach Online Portscanner kannst du jetzt schon mal schauen, wie Angreifbar du von außen über deinen Router bist. Hast du dann erst mal gesichert, musst du dich Natürlich noch um die Sicherheit deiner Rechner kümmern(ServicePacks Updates usw,usw,usw)!

Dein größtes Problem wird es sein, das NAS zu sichern wo deine wirklich wichtigen Daten liegen! da die meißt irgendwelche embedded Systems sind, wo mehr auf Funktion als auf Sicherheit geachtet wird! Wenn du vor diesen Bock ne FW hängst bist du "relativ" Safe. Dein VDR kann doch ruhig angegriffen werden, da ist ja nichts wertvolles drauf außer Filme!

Zitat:da der win-pc auch aus anderen Gründen alle paar Jahre in den Urzustand zurückgesetzt wird
Wie wenn das reichen würde 8)

Wie ich dir geschrieben habe vor das NAS ne eigene FW und gut ist... Kein 2.tes Netzt keine 2.te Karte finde ich Oversized für das was du vorhast!

lg prudentis
Hi,

ich denke schon das für den Hausgebrauch eine solche Lösung akzeptabel ist - mehr geht immer, aber hey, am Geldautomaten kann man auch überfallen werden.

Überlegen würde ich mir ggf. eine Firewall auf dem neuen VDR - einfach um zusätzlich einzuschränken was von aussen rein kommt. Ich hänge mal eine iptables Regel an die ich mal in einem linux Router mit zwei Karten erstellt habe. Keine Garantie für Sicherheit - ich habe mich für einen 'Verbiete alles und erlaube dann ein bisschen was' Ansatz entschieden. Mittlerweile würde ich das per /etc/init.d/iptables save speichern - nicht jedes mal als Script neu setzen :-)

Evlt. würdest Du OpenVPN auch noch verbieten - dann geht nur outbound traffic und kein inbound mehr. Wenn Du den Routing Teil noch entfernt kommt auch das NAS nicht ins Internet.

Code:
#! /bin/bash

##############################
## Cleanup - flush all filters
##############################

iptables --flush            # Flush all the rules in filter and nat tables
iptables --table nat --flush
iptables --delete-chain     # Delete all chains that are not in default filter and nat table
iptables --table nat --delete-chain


###########################
## Set up Gatway functions
###########################

echo 1 > /proc/sys/net/ipv4/ip_forward             # Enables packet forwarding by kernel

# Set up IP FORWARDing and Masquerading -> outbound traffic routed
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE            ## eth0= Internet
iptables --append FORWARD --in-interface eth1 -j ACCEPT                                                ## eth1= Private


#####################
## increase security
#####################

iptables -A INPUT -i lo -p all -j ACCEPT                                         # Allow self access by loopback interface
iptables -A OUTPUT -o lo -p all -j ACCEPT

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT           # Accept established connections
iptables -A INPUT -i eth0 -p tcp --tcp-option ! 2 -j REJECT --reject-with tcp-reset    ## Not sure what his line does? It's a reject so i keep it
iptables -A INPUT -p tcp -i eth0 --dport 1194 -j ACCEPT                                          # OpenVPN ports
iptables -A INPUT -p udp -i eth0 --dport 1194 -j ACCEPT

iptables -A INPUT -p tcp -i eth1 -d 192.168.122.1 --dport 22 -j ACCEPT                  # Open secure shell port from internal network

##################################
## Secure by drop all other rule
##################################

iptables -P INPUT DROP               # Drop all other connection attempts. Only connections defined above are allowed.


ItsMee
Danke für die gute Erklärung, ItsMee!
So etwas hatte ich mir vorgestellt.

Wenn ich das richtig verstanden habe, dann müsste ich in Deiner Liste der Filterregeln nur
- den Gateway-Block und
- die beiden VPN-Zeilen weglassen
und dann werden alle über eth0 eingehenden pakete abgewiesen, außer es sind welche die auf Basis einer ausgehenden Verbindung angefragt wurden.
Auch über die von prudentis genannten brutforce-atacken brauche ich nicht weiter beachten, da der ssh-zugriff über eth0 gar nicht beantwortet wird - oder liege ich da verkehrt?

Wenn ich dann über eth1 auf das NAS daten schieben will brauche ich noch
Code:
iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT           # Accept established connections


Und mit dieser Zeile
Code:
iptables -A INPUT -p tcp -i eth1 -d 192.168.122.1 --dport 22 -j ACCEPT                  # Open secure shell port from internal network
und weiteren gleichartigen kann ich dann für die Dienste, die ich wirklich über eth1 (also von innen) nutzen möchte die erforderlichen Ports aufmachen - also für z.B. live, vch, easyportal und evtl ftp.
Aber wozu ist in diesen Zeilen noch die Ziel-IP (-d 192.168.122.1) also die des VDR über eth1 erforderlich?
Über eth1 hat der VDR doch nur eine IP oder ist die IP immer zusammen mit dem Port anzugeben?



Nochmals vielen Dank
Michel