Verfasst von root_panik am Mo, 2010-04-05 11:43
Posted in
Jetzt tue ich das, was Firmen nie, nie, niemals machen würden: Ich zeige euch meinen Netzwerkaufbau. Warum? Erstens: ich hab keine Ahnung, wie euch das für einen Angriff nützen soll, keine DNS Namen, keine IPs. Zweitens: Es könnte vielleicht ganz interessant sein, so einen Aufbau habe ich selbst nämlich auch noch kein zweites Mal gesehen.
Achtung dieser Artikel sorgt für deutliche Abnutzungserscheinungen am Scrollrad. ;-)
Also, wie man das immer so macht, zum Anfang erst mal ein zusammenfassendes Diagramm um euch zu verwirren.
Das Diagramm soll mal so alles zeigen, physikalisch Vorhandenes sowie auch logische Komponenten wie virtuelle Maschinen und VPN-Tunnel.
Fangen wir mal mit dem an, was man anfassen kann.
Da ist mein Netzwerk einfach gehalten. Die Clients haben eine GBit-Ethernet-Verbindung zum Server. Das WLAN ist gekapselt und hat einen eigenen Ethernet-Anschluss zum Server, sodass die Kommunikation zwischen internem Ethernet und WLAN durch den Server erfolgen muss. Ins Internet geht's über ein DSL-Modem, was im internen Netz hängt, da es kein Router ist, können die Clients also auch nicht einfach so ins Internet. Alle drei Netzwerke (intern, WLAN, Internet) sind also von einander gekapselt.
Dank der heutigen Virtualisierungsmöglichkeiten, wie VMs und VPNs, wird's dann aber noch mal ein wenig umfangreicher.
roots_server:
Auf meinem Server-Recher läuft VMware Server. Super Software, kostenlos und gute Leistung. Meine wichtigste Virtuelle Maschine ist mein Hauptserver. Der macht die meiste Arbeit. Datei- und Druckerfreigabe, Routing, VPN, Firewall, DHCP, DNS, Backup und ein paar interne Internetdienste.
Klar, noch mehr Leistung würden die Dienste bekommen, wenn das alles direkt auf der Maschine laufen würde, aber so kann ich jeder Zeit die Hardware wechseln und brauche den Löwenteil meiner Installation nicht wieder neu machen. Das war auch damals die Grundidee, weshalb ich auf VM umgestiegen bin. (Hab ich sogar wirklich schon hinter mir) Aber kaum hatte ich eine VM-Platform ging's auch schon los weitere virtuelle Rechner aufzubauen.
roots_workvm:
Diese VM hat ein XP drauf und kann über Remotedesktop angesprochen werden. Von innen, sowie per Portweiterleitung über's Internet. Super (mal wieder) von überall aus Office und Programmierumgebung nutzen. Die Darstellung der Fenster zu übertragen ist weitaus flüssiger als über SMB ganze Dateien hin und wieder zurück zu schießen.
roots_torrent:
Nein! Nur legal für Online TVRecorder. Aber dennoch irgend wie hab ich dem Torrentclient nicht über den Weg getraut. Außerdem gibt es keinen festen Port für den Dienst. Das ist ein echter Alptraum, bei mir wird die Kommunikations ins Inet wirklich portweise freigegeben. Also: extra VM, extra IP, extra Firewall-Regel, extra Benutzer mit so wenig Netzwerkrecht wie möglich.
WLAN Zugriff:
Das WLAN ist ja getrennt vom Rest. Um vom WLAN aus überhaupt irgend was machen zu können, muss man sich zu erst per VPN auf meinem Server einwählen. Danach ist der Rechner dann virtuell im internen Netz und darf die normalen Sachen. Die Einwahl erfolgt natürlich automatisiert beim Start des OS.
Android & Wii:
Ausnahmen bestätigen die Regel. Android kommuniziert ja ständig mit dem Internet (auch wieder: super!). Vorzugsweise natürlich über's WLAN. Ohne VPN geht ja aber nun mal nix. Klar, ich kann jedes Mal mein VPN-Passwort in die Kiste einhacken, wenn ich in WLAN-Reichweite komme. Aber dazu bin ich viel zu faul und der Benutzername viel zu lang. Deshalb bekommt mein Android eine voll geheime, super speziell angepasste Firewall-Regel mit der er jegliche Kommunikation vom WLAN ins Inet erledigen darf. Ins interne Netz ist aber alles verboten. Meine Wii wird genauso behandelt, die kann ja noch nicht mal VPN.
Internet:
Ins Internet geht's über den Hauptserver, der via PPOE mit dem DSL-Modem verbunden ist. Wie schon erwähnt, funzt aber nicht jede Kommunikation. Nur die ausgewählten und in der Firewall konfigurieren Protokolle dürfen raus ins Netz der Netze. Wenn man mal zocken will, ist da natürlich nervig. Deshalb habe ich mir dafür eine kleine Tür aufgebaut. Auf einer weiteren virtuellen Maschine läuft ein kleiner weiterer Server. Die einzige Aufgabe: VPN mit Masquerade und Routing ins Internet. Wählt man sich nun auf dieser VM ein, kann man genau so ins Internet wie Android, Torrent und Wii. So bleibt die grenzenlose Internet-Unsicherheit so lange ausgesperrt, bis man sich bewusst dazu einwählt.
Wie ihr seht, denke ich ein wenig anders. Das Ganze ist natürlich auch ein wenig gewachsen. Zu Hause nimmt man sich ja nicht so viel Zeit sein Netz zu konfigurieren wie auf der Arbeit. Ich hoffe, ich habe keine Denkfehler/Sicherheitslücken und glaube sooo schlecht bin ich konfigurationsmäßig nicht aufgestellt.
Ähnliche Artikel:
bist Du sicher, dass Du das auch ein zweites Mal könntest?
Ein drittes Mal. Ich denke ja. Hatte mal ein total OS-Ausfall und hab das Ganze schon ein zweites Mal aufbauen müssen. - Ich hab das mal gelernt. ;-)
Moin,
auf deiner Blog-Seite hat sich ja eine Menge getan...
Die Zeichnungen sind etwas Detalarm aber sonst gant brauchbar^^
Was mit Viso und den Shapes alles geht was?
@Wolfgang
Klar kann er das imemr wieder aufbauen, er hats doch Dokumentiert, oder ?
Gruß Alex
Hi,
ja, ich versuch so oft ich kann, was zu schreiben.
Visio + Touchpad, da hab ich mir gedacht... die Details reichen. ;-)
Stimmt, jetzt hab ich's sogar dokumentiert. Bin selbst gar nicht drauf gekommen. Aber ich glaube das vergess' ich eh nie wieder. Das wäre ja so als wenn man morgens aufwacht und nicht mehr den Weg zum Kühlschrank kennt. *g*
Gruß Tobias
Huhu,
Ich habe ja ein bisschen beruflich mit dem Krams zu tun ;-), glaub mir sowas kann man wieder vergessen...
Naja und ich bin ja auch schon ein oder zwei Tage älter, deswegen schreibe ich mir "fast" alles auf!
Gruß Alex
Kommentar hinzufügen