Firewall, file-,web,-mail op 1 server verstandig?

Hoi,

Ik zit met het volgende en ben erg benieuwd naar jullie mening.

Hoe hebben jullie je thuis netwerk beveiligd.

• Huis-tuin-keuken router
• Linux firewall

Indien je het d.m.v. een linux firewall doet, dan neem ik aan dat deze ook als router dient (dhcp, nat, port forwarding etc)

Nu komt mijn vraagt; Bijna elke tweaker heeft wel meerdere servers in zijn thuis netwerk. File,- Web en ga zo maar door. Gebruik je een aparte fysieke server voor de firewall en routing en een aparte fysieke server voor de overige zaken of combineren jullie alles op 1 fysieke server.

Ik zit namelijk met het volgende en dat is de beveiliging. Als ik 2 fysieke servers gebruik, dan maak ik mij minder zorgen over het feit dat als ik een fout heb gemaakt dat mijn bestanden voor iedereen toegankelijk is.
Of zeggen jullie dat je daar geen zorgen over hoeft te maken en dat je best 1 fysieke server voor al deze zaken kan gebruiken.
Uiteraard kan je in de config aangeven op welke interface en/of netwerk de service luistert, maar is dat voldoende?

Graag zou ik ook willen horen hoe jullie thuis netwerk in elkaar zit. Wel of geen linux firewall en i.c.m. je overige "diensten" zoals file, web etc...

Mike

gambieter schreef op donderdag 03 juni 2010 @ 00:46:
Kun je zelf aftrappen en aangeven wat je hebt en waarom?

Hoe groot acht je de kans dat je een lek hebt? Grootste risico is meestal door binnen naar buiten verbindingen, achter een NAT firewall zit je meestal redelijk veilig, maar een besmette computer binnen het netwerk kan een groot risico zijn.

Ohja stom.

Ik draai zelf al een file-, web- en binnenkort ga ik een mail server geconfigureren. Dit allemaal op 1 fysieke systeem op dezelfde host o/s.
Ik wil dus straks een firewall ertussen hebben en ben nu aan het kijken of het verstandig is om de huidige server te gebruiken door die firewall functie toe te voegen.

CyBeR schreef op donderdag 03 juni 2010 @ 00:57:
Hoe groot acht je de kans dat je dezelfde beveiligingsfout niet op beide machines maakt?

Ik bedoel meer met; Ik heb de firewall niet correct geconfigureerd dus kunnen ze gelijk ook bij al het andere wat de server aanbiedt. Als ik dat gescheiden houdt, dan moeten ze eerst weer zoeken naar die 2e server.

Verwijderd schreef op donderdag 03 juni 2010 @ 00:59:
Draai je toch gewoon 2 (of meer) virtuele machines op 1 fysieke server. Beste van beide werelden...

Zat ik ook aan te denken om dit d.m.v. KVM of Xen te doen. Een andere virtualisatie product zoals XenServer of Vmware is geen optie. ( wil je echt de reden weten; dit wordt te omslachtig aangezien ik 4 schijven in een software raid heb en simpele thuis server hardware heb )

Little_captain schreef op donderdag 03 juni 2010 @ 01:11:
Ik heb zelf een simpele windows 2003 bak draaien met 2 netwerk kaarten en RRAS.
Zit standaard firewall op en Clamwin als AV verder draait er op TeamSpeak 3 op en wordt ook gebruikt als webserver en download server.
Alle files staan op een 1TB netwerk schijf.
Oftewel ik vind dat 1 fysieke machine prima kan!

Dit had ik 4 jaar geleden ook. Dat kon ook gewoon en ik had dit beveiligd d.m.v. ISA erop te draaien.


Ik vraag me af of het verstandig is om andere diensten op je firewall server te draaien. In mijn ogen moet een firewall server alleen met internet verkeer monitoren/filteren bezig houden.

rapture schreef op donderdag 03 juni 2010 @ 02:46:
Ik zou ze scheiden om aan de storage-en-andere-functionaliteit-bak te kunnen sleutelen terwijl de router gewoon verder gaat. Dan moet ik niet wachten totdat iedereen offline is voordat ik lang eraan kan sleutelen.

Dat is een goed punt inderdaad waar ik nog aan gedacht heb.

Verwijderd schreef op donderdag 03 juni 2010 @ 09:50:
Soms wordt aangeraden om op een server die een service aan de buitenwereld aanbiedt bijvoorbeeld een apache webserver geen services te draaien die iets intern aan clients aanbieden bijv. samba. Let op dit is geen keiharde regel, maar het is wel iets om over na te denken.

Die gedachte gang heb ik dus ook. In dit geval met een firewall moet alleen firewall taken doen.

Verwijderd schreef op donderdag 03 juni 2010 @ 10:39:
Ik heb zelf 1 fysieke machine (Via C7 met 3x Gbit) als router draaien op PfSense met daarachter een Hyper-V machine met VM's voor de overige taken en een andere fysieke machine als fileserver.

Hier zat ik ook aan te denken. Een kleine server te bouwen/kopen liefst <150 euro met minimaal 2x Gbit en hierop Pfsense of een andere firewall distro op te installeren. Ik heb al gezocht, maar kon niets recent vinden over welke hardware er geadviseerd word. ( heb hier op GoT gezocht)

Verwijderd schreef op donderdag 03 juni 2010 @ 14:02:
[...]


En om wat ervaringen te laten zien, ik draai het op een Via C7 1,5 GHz met 1 GB RAM. Momenteel doet deze nog niks bijzonders, alleen routering. Deze zit achter een 60 Mbit UPC lijn, als ik deze voltrek dus downloaden met ongeveer 7 MB/s, zit mijn CPU usage op zo'n 25%.

Zou je jouw hardware kunnen posten zodat ik dit kan opzoeken? Wat heeft het gekost?
Ik vind jou oplossing beter dan een consumenten router, want de snelheden worden elk jaar opgeschroefd en dan zit je beter met jouw oplossing dan om de zoveel jaar een nieuwe router te moeten kopen.

Arnout schreef op vrijdag 04 juni 2010 @ 10:17:
Zelfs voor kleinere bedrijven zet ik alles-in-1 machines neer, dus ook routing en firewall. Gewoon een kwestie van goed bouwen, testen, neerzetten en niets* meer aan doen. Vooral dat laatste is erg belangrijk, meeste fouten op dit gebied komt omdat men naderhand gaat sleutelen zonder de consequenties te kunnen overzien.

* behalve dan de apt-get upgrade stable

Heb jij de routering en firewall d.m.v. een firewall distro gerealiseerd of gebruik je een kaal systeem en stelt alles via de terminal in?

Ik heb nog niet gezocht of er een webinterface voor iets als iptables is om makkelijk regels in te voeren.

Ok Thanks,

Jah ik heb ook een headless debian systeem momenteel wat alleen web en fileserver aanbied.

Heb je eventueel nog linkjes waar je meer info kunt vinden over het configureren van een firewall + router op debian?

Ik ben nu bezig met het onderzoeken naar de mogelijkheid om pfsense d.m.v. kvm onder debian te draaien, dan ben ik gelijk klaar.
Ik zit alleen nog met het idee in mijn achterhoofd dat de NIC die straks met mijn modem is verbonden dat die gedeeld wordt door 2 besturingsystemen. Ik zou inderdaad in mijn debian o/s kunnen zeggen dat hij "eth0" niet gebruikt en uitzet, maar in pfsense dat die wel gebridged is. Dan zou het niks uit mogen maken.

Wat vindt je van dat idee?

Arnout schreef op vrijdag 04 juni 2010 @ 13:47:
linkje: http://www.debian-administration.org/articles/23

1 gevirtualiseerd systeem puur voor routing? Zou ik niet doen, weet niet of dat zo goed gaat werken. Geen ervaring mee. Gewoon 1 eenvoudige installatie van debian, iptables scriptje en klaar. Makkelijk te onderhouden ook.

Ik snap je punt.

1 gevirtualiseerde systeem puur voor routing en firewalling door gebruik te maken van pfsense is makkelijker dan je huidige systeem te configureren. Pfsense biedt veel meer opties/services aan onder 1 installatie en is te beheren via een web-interface. Ik zat er namelijk ook aan te denken om VPN door mijn linux server te laten doen en mijn virtuele windows vpn server eruit te schoppen.

Eigenlijk geef ik al antwoord op mijn eigen vraag. Pfsense gevirtualiseerd is the way to go voor mij at the moment, maar is het verstandig?

ik222 schreef op vrijdag 04 juni 2010 @ 14:03:
Ik zelf heb een fysieke server met daarop meerdere virtuele machines. Ook de router draai ik virtueel in vmware server 2.0. Geen problemen mee

Als router OS gebruik ik op het moment nog ClearOS maar ik ben bezig om een simpele debian machine hiervoor in te gaan zetten. Puur omdat ClearOS te veel kan en daardoor ook de zwaar is. Pfsense in een virtuele machine was bij mij niet stabiel te krijgen...

Kun je uitleggen wat de oorzaak was waarom je pfsense niet stabiel kreeg. Te weinig geheugen? niet compatible?