Blondi20  - 38
Anfänger
(offline)
Dabei seit 11.2007
22
Beiträge
|
|
Geschrieben am: 10.11.2009 um 10:43 Uhr
|
|
Servus,
ich hab ein kleines Problem was meine Netzwerkinfrastruktur angeht. Bisher ist es so, dass ich von meinem KabelBW Modem direkt auf meinen Router geh und dann eben auf die verschiedenen Endgeräte. Unter anderem hängen da auch ein rechner der 24/7 Online ist und ein Fileserver dran. In letzter Zeit kommt es aber immer öfter vor das (man kennt das ja leider) irgend ein idiot versucht das System zu knacken und erstmal Stunden oder Tagelang auf allen Ports das System scant und dann paar DDOS attacken vorschickt etc. Da der Fileserver (kleiner NAS-Server von Dell - die billig Dinger da mit 2 Festplatten und festem Linux Verschnitt als System drauf) aber in meinem Zimmer steht und jedes mal wenn so ein Spinner den offenen Port findet und dann direkt meint er muss hier per BruteForce das Ding knacken (ok nach 5 Versuchen macht das Ding eh dicht) nervt es etwas weil eben jedes mal der NAS anläuft und erstmal rödelt....
So Vorgeschichte beendet zurück zur eigentlichen Frage:
Ich habe mir gedacht das ich statt dem Router nen Pc hinhäng mit Windows Server 2008, quasi als "Hardwarefirewall" (*hust* jaja keine geflame hier, ich weis selber das der Begriff Hardwarefirewall etwas übertrieben ist, aber im Prinzip erfüllt es den selben Zweck) dazwischen häng. Meine eigentliche Frage ist jetzt: was macht mehr sinn? Den Router rausschmeisen und mit mehreren Quadport Netzwerkkarten arbeiten und die Endgeräte einzeln ansteuern und den Server als DHCP benutzen oder vom Sever weiter auf den Router durchschleifen und dann den Router weiter als DHCP fungieren lassen. Was ist perfomanter bzw macht mehr Sinn?
Greetz
Blondi
|
|
DjKoma - 40
Experte
(offline)
Dabei seit 01.2006
1906
Beiträge
|
|
Geschrieben am: 10.11.2009 um 11:08 Uhr
|
|
Warum brauchst du extrsa noch ne NAS wenn ein Rechner ohnehin 24/7 durchläuft?
Sollte der Rechner der dort durchläuft ein Server sein, dann schau nochmal in die AGB's von Kabel BW 
Muss man von außen auf deine Platte zugreifen können, oder warum schließt du nicht einfach die Ports an deinem Router? (Was für ein Router ist es überhaupt?)
Wie du selbst schon bemerkt hast ist Hardwarefirewall der falsche Ausdruck für einen Softwarefirewall. Und warum Windowows Server2008? Ist das nicht etwas teuer für eine solch primitive Aufgabe?
Du könntest ein Linux auf einem 386er laufen lassen, der diese Aufgabe genau so gut erfüllt.
Wenn du von außen auf deine Daten zugreifen möchtest würde ich dir empfehlen die Ports zu schließen und nen VPN Server in dein Netz zu stellen. Dann kannst du über einen Passwortgschützten verschlüsselten Kanal von außen auf dein lokales Netzwerk zugreifen.
Why is 6 afraid of 7? Because 7 8 9!
|
|
Blondi20 - 38
Anfänger
(offline)
Dabei seit 11.2007
22
Beiträge
|
|
Geschrieben am: 10.11.2009 um 11:19 Uhr
|
|
Ist kein Server der wo 24/7 dranhängt Die NAS wurde aus dem alten Netzwerk einfach übernomen und einfach so integriert. Außerdem möchte ich die 2 Platten gern getrennt haben.
Man muss von außerhalb drauf zugreifen können, da ich sehr viel unterwegs bin und ich meinen Laptop immer mit dem NAS synche.
Router: Netgear WNR3500
Softwarefirewall, stimmt... bei genauerem Nachdenken gebe ich dir recht^^ Öhm Windows Server 2008, weils relativ simpel zu konfigurieren ist und ich eine Version davon da habe (mit MSDNAA Lizens ist das recht einfach und legal^^), das andere Problem ist das ich mit Linux SO etwas bisher nicht konfiguriert habe und ich mich damit auf Neuland bewege.
Oh was ich vergessen hatte zu sagen, der PC der 24/7 im Netz ist führt andauern Updatejobs durch, die Zeitgesteuert sind. Der würde dann natürlich wegfallen und die Aufgabe würd ich an den Windows Server 2008 PC auslagern
|
|
DjKoma - 40
Experte
(offline)
Dabei seit 01.2006
1906
Beiträge
|
|
Geschrieben am: 10.11.2009 um 11:31 Uhr
|
|
Was spricht gegen den VPN Tunnel?
Why is 6 afraid of 7? Because 7 8 9!
|
|
Blondi20 - 38
Anfänger
(offline)
Dabei seit 11.2007
22
Beiträge
|
Geschrieben am: 10.11.2009 um 12:16 Uhr
Zuletzt editiert am: 10.11.2009 um 12:26 Uhr
|
|
VPN funktioniert sicher auch, aber ich möchte den Sicherheitsaspekt nicht aus dem Auge verlieren. Weil da teilweise Firmendaten drauf liegen.
Und Angriffe die auf meinen Router kommen kann ich nicht handlen. Der Router ist ein Layer 5 router sprich er macht das was die meisten machen und damit hat sichs, benutzerfreundlich aber kaum einstellmöglichkeiten.
Und wenn ich die VPN Lösung benutze bleibt der Router aber dennoch angreifbar, aber durch nen Server an der stelle könnte man besser reagieren bzw besser konfigurieren. Oder irr ich mich da?
|
|
Klischeepunk - 41
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
|
Geschrieben am: 10.11.2009 um 12:48 Uhr
|
|
VPN Tunnel von den Endgeräten aus Aufbauen? dann ist dir banane was dein router macht... (?)
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
Blondi20 - 38
Anfänger
(offline)
Dabei seit 11.2007
22
Beiträge
|
|
Geschrieben am: 10.11.2009 um 12:52 Uhr
|
|
doch nicht VON den Endgerätern aus, dann wärs mir ja auch latte. ZU den Endgeräten ein VPN Tunnel, dadurch bleibt der Router aber weiterhin angreifbar
|
|
DjKoma - 40
Experte
(offline)
Dabei seit 01.2006
1906
Beiträge
|
|
Geschrieben am: 10.11.2009 um 13:05 Uhr
|
|
Zitat von Blondi20: doch nicht VON den Endgerätern aus, dann wärs mir ja auch latte. ZU den Endgeräten ein VPN Tunnel, dadurch bleibt der Router aber weiterhin angreifbar
Kauf dir nen gescheiten Router ... z.B. eine beliebige Fritzbox die auf ..70 endet. Dann kannst du eine alternative Firmware aufspielen mit der du das gesammte darauf laufende Linux konfigurieren kannst. Die FB ist der Router, das VPN Gateway bietet die Möglichkeit eine USB Platte anzuschließen... du könntest sie wahrscheinlich auch so konfigurieren, dass sie deine Updates macht.
Why is 6 afraid of 7? Because 7 8 9!
|
|
Blondi20 - 38
Anfänger
(offline)
Dabei seit 11.2007
22
Beiträge
|
|
Geschrieben am: 10.11.2009 um 13:09 Uhr
|
|
Zitat von DjKoma: Zitat von Blondi20: doch nicht VON den Endgerätern aus, dann wärs mir ja auch latte. ZU den Endgeräten ein VPN Tunnel, dadurch bleibt der Router aber weiterhin angreifbar
Kauf dir nen gescheiten Router ... z.B. eine beliebige Fritzbox die auf ..70 endet. Dann kannst du eine alternative Firmware aufspielen mit der du das gesammte darauf laufende Linux konfigurieren kannst. Die FB ist der Router, das VPN Gateway bietet die Möglichkeit eine USB Platte anzuschließen... du könntest sie wahrscheinlich auch so konfigurieren, dass sie deine Updates macht.
Wenn ich mich richtig erinner sind die meisten der 70er Fritzboxer Layer 7, sprich die haben eine Firewall integriert. Hab zwar schon länger nimmer in nen Katalog geschaut, aber soweit ich weis sind die Dinger immer noch Schweine teuer
|
|
Der666Diablo
Champion
(offline)
Dabei seit 04.2006
23736
Beiträge
|
|
Geschrieben am: 10.11.2009 um 13:13 Uhr
|
|
Zitat von Blondi20: Zitat von DjKoma: Zitat von Blondi20: doch nicht VON den Endgerätern aus, dann wärs mir ja auch latte. ZU den Endgeräten ein VPN Tunnel, dadurch bleibt der Router aber weiterhin angreifbar
Kauf dir nen gescheiten Router ... z.B. eine beliebige Fritzbox die auf ..70 endet. Dann kannst du eine alternative Firmware aufspielen mit der du das gesammte darauf laufende Linux konfigurieren kannst. Die FB ist der Router, das VPN Gateway bietet die Möglichkeit eine USB Platte anzuschließen... du könntest sie wahrscheinlich auch so konfigurieren, dass sie deine Updates macht.
Wenn ich mich richtig erinner sind die meisten der 70er Fritzboxer Layer 7, sprich die haben eine Firewall integriert. Hab zwar schon länger nimmer in nen Katalog geschaut, aber soweit ich weis sind die Dinger immer noch Schweine teuer
layer 7? war das nicht endausgabe? oder von welchen layer nsprichst du? btw: 7270: 170€
Bei Geld, Sex und Kunst gibt es keinen abnehmenden Grenznutzen. http://shortlinks.de/oee9
|
|
DjKoma - 40
Experte
(offline)
Dabei seit 01.2006
1906
Beiträge
|
Geschrieben am: 10.11.2009 um 13:13 Uhr
Zuletzt editiert am: 10.11.2009 um 13:14 Uhr
|
|
Ebay für 50 € die 7170... kommt drauf an was "schweineteuer" heißt
Ein legaler W2008 Server + passender Rechner kostet mehr.
Der Stromverbrauch der FB liegt bei ca 6 Watt da kannst froh sein wenn dein W2008 Server mit dem 10fachen auskommt. Das ind dann die laufenden Kosten.
7270 wird bei Ebay um ca 130€ gehandelt
Why is 6 afraid of 7? Because 7 8 9!
|
|
Blondi20 - 38
Anfänger
(offline)
Dabei seit 11.2007
22
Beiträge
|
Geschrieben am: 10.11.2009 um 13:22 Uhr
Zuletzt editiert am: 10.11.2009 um 13:25 Uhr
|
|
Zitat von Der666Diablo: layer 7? war das nicht endausgabe? oder von welchen layer nsprichst du?
btw: 7270: 170€
Ich red von den OSI layern...
---> http://www.javvin.com/hardware/Layer7Switch.html
Zitat von DjKoma: Ebay für 50 € die 7170... kommt drauf an was "schweineteuer" heißt
Ein legaler W2008 Server + passender Rechner kostet mehr.
Der Stromverbrauch der FB liegt bei ca 6 Watt da kannst froh sein wenn dein W2008 Server mit dem 10fachen auskommt. Das ind dann die laufenden Kosten.
7270 wird bei Ebay um ca 130€ gehandelt
naja den server und das windows kost mich 0€ weil schon vorhanden bzw über MSDNAA Lizens, das einzige was da reinhaut wäre durchaus nur noch die laufenden Kosten. Wobei das eher nebensächlich ist, das ja - falls ich den Server 2008 einbauen sollte, der eine Rechner dann wegfällt und in der Router Lösung nicht. Im Endeffekt sparste so dann mehr Strom ^^ Aber wie gesagt das ist Nebensache erstmal, Prio eins: Was ist das sicherere?
|
|
Bigfoot29 - 46
Profi
(offline)
Dabei seit 04.2008
924
Beiträge
|
|
Geschrieben am: 11.11.2009 um 16:33 Uhr
|
|
Okay, also du betreibst daheim ein NAS, worauf man auch aus der Ferne zugreifen können muss... Generell kann ich mich da nur anschließen und sagen: Pech gehabt oder VPN nutzen.
Alternativ ne kleine VM dazwischen schrauben, die die Authorisierung abfängt. Das ist dann aber nicht mehr trivial. 
(Ablauf: VM aufsetzen, NAS da einbinden, Zugriffe von außen per SCP/FTP/Whatever auf die VM leiten und dort abfrühstücken. Da du das NAS z.B. per FTP transparent (Stichwort FUSE bzw. FTPFS) auf das Dateisystem der VM basteln kannst, kannst du von dort aus ja weitere Freigaben per Linux setzen. Dann läuft sämtliche Autorisierung nur noch über die VM und das NAS rödelt vermutlich nur, wenn jemand "über die VM gekommen" ist.)
Ich würd zur VPN-Lösung greifen. Wenn jemand in deinem Heimnetzwerk mal eben auf Rechnern Authorisierungsanfragen stellen darf und das NAS damit im gleichen Netz steht, wie der Rest der Rechner, ist ohnehin was schief gelaufen.
An die Fritz-Box-Fans: Ja, ich mag die Boxen auch. Aber er hat nunmal Zugriff auf W2k8 - da bietet sich das ganze als VM doch gradezu an... Recht gebe ich dir, dass ne Linux-Firewall so per se schwer zu konfigurieren ist. IPCop hilft - aber eben nicht immer / in jedem Fall.
Gruß.
LMAA! - Lächle Mehr Als Andere!
|
|
[