Acties:
  • 0 Henk 'm!

  • peak
  • Registratie: Januari 2007
  • Laatst online: 31-08 10:30
Hoi,

Ik zit met het volgende en ben erg benieuwd naar jullie mening.

Hoe hebben jullie je thuis netwerk beveiligd.
  • Huis-tuin-keuken router
  • Linux firewall
Indien je het d.m.v. een linux firewall doet, dan neem ik aan dat deze ook als router dient (dhcp, nat, port forwarding etc)

Nu komt mijn vraagt; Bijna elke tweaker heeft wel meerdere servers in zijn thuis netwerk. File,- Web en ga zo maar door. Gebruik je een aparte fysieke server voor de firewall en routing en een aparte fysieke server voor de overige zaken of combineren jullie alles op 1 fysieke server.

Ik zit namelijk met het volgende en dat is de beveiliging. Als ik 2 fysieke servers gebruik, dan maak ik mij minder zorgen over het feit dat als ik een fout heb gemaakt dat mijn bestanden voor iedereen toegankelijk is.
Of zeggen jullie dat je daar geen zorgen over hoeft te maken en dat je best 1 fysieke server voor al deze zaken kan gebruiken.
Uiteraard kan je in de config aangeven op welke interface en/of netwerk de service luistert, maar is dat voldoende?

Graag zou ik ook willen horen hoe jullie thuis netwerk in elkaar zit. Wel of geen linux firewall en i.c.m. je overige "diensten" zoals file, web etc...

Mike

Acties:
  • 0 Henk 'm!

  • gambieter
  • Registratie: Oktober 2006
  • Niet online

gambieter

Just me & my cat

Kun je zelf aftrappen en aangeven wat je hebt en waarom?

Hoe groot acht je de kans dat je een lek hebt? Grootste risico is meestal door binnen naar buiten verbindingen, achter een NAT firewall zit je meestal redelijk veilig, maar een besmette computer binnen het netwerk kan een groot risico zijn.

[ Voor 68% gewijzigd door gambieter op 03-06-2010 01:01 ]

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.


Acties:
  • 0 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Hoe groot acht je de kans dat je dezelfde beveiligingsfout niet op beide machines maakt?

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • 0 Henk 'm!

Verwijderd

Draai je toch gewoon 2 (of meer) virtuele machines op 1 fysieke server. Beste van beide werelden...

[ Voor 5% gewijzigd door Verwijderd op 03-06-2010 01:00 ]


Acties:
  • 0 Henk 'm!

  • DefLite
  • Registratie: September 2005
  • Laatst online: 27-08 22:27

DefLite

Why so serious?

Ik heb zelf een simpele windows 2003 bak draaien met 2 netwerk kaarten en RRAS.
Zit standaard firewall op en Clamwin als AV verder draait er op TeamSpeak 3 op en wordt ook gebruikt als webserver en download server.
Alle files staan op een 1TB netwerk schijf.
Oftewel ik vind dat 1 fysieke machine prima kan!

Acties:
  • 0 Henk 'm!

  • peak
  • Registratie: Januari 2007
  • Laatst online: 31-08 10:30
gambieter schreef op donderdag 03 juni 2010 @ 00:46:
Kun je zelf aftrappen en aangeven wat je hebt en waarom?

Hoe groot acht je de kans dat je een lek hebt? Grootste risico is meestal door binnen naar buiten verbindingen, achter een NAT firewall zit je meestal redelijk veilig, maar een besmette computer binnen het netwerk kan een groot risico zijn.
Ohja stom.

Ik draai zelf al een file-, web- en binnenkort ga ik een mail server geconfigureren. Dit allemaal op 1 fysieke systeem op dezelfde host o/s.
Ik wil dus straks een firewall ertussen hebben en ben nu aan het kijken of het verstandig is om de huidige server te gebruiken door die firewall functie toe te voegen.
CyBeR schreef op donderdag 03 juni 2010 @ 00:57:
Hoe groot acht je de kans dat je dezelfde beveiligingsfout niet op beide machines maakt?
Ik bedoel meer met; Ik heb de firewall niet correct geconfigureerd dus kunnen ze gelijk ook bij al het andere wat de server aanbiedt. Als ik dat gescheiden houdt, dan moeten ze eerst weer zoeken naar die 2e server.
Verwijderd schreef op donderdag 03 juni 2010 @ 00:59:
Draai je toch gewoon 2 (of meer) virtuele machines op 1 fysieke server. Beste van beide werelden...
Zat ik ook aan te denken om dit d.m.v. KVM of Xen te doen. Een andere virtualisatie product zoals XenServer of Vmware is geen optie. ( wil je echt de reden weten; dit wordt te omslachtig aangezien ik 4 schijven in een software raid heb en simpele thuis server hardware heb )
Little_captain schreef op donderdag 03 juni 2010 @ 01:11:
Ik heb zelf een simpele windows 2003 bak draaien met 2 netwerk kaarten en RRAS.
Zit standaard firewall op en Clamwin als AV verder draait er op TeamSpeak 3 op en wordt ook gebruikt als webserver en download server.
Alle files staan op een 1TB netwerk schijf.
Oftewel ik vind dat 1 fysieke machine prima kan!
Dit had ik 4 jaar geleden ook. Dat kon ook gewoon en ik had dit beveiligd d.m.v. ISA erop te draaien.


Ik vraag me af of het verstandig is om andere diensten op je firewall server te draaien. In mijn ogen moet een firewall server alleen met internet verkeer monitoren/filteren bezig houden.

Acties:
  • 0 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

peak schreef op donderdag 03 juni 2010 @ 01:55:
[...]

Ik bedoel meer met; Ik heb de firewall niet correct geconfigureerd dus kunnen ze gelijk ook bij al het andere wat de server aanbiedt. Als ik dat gescheiden houdt, dan moeten ze eerst weer zoeken naar die 2e server.
Ah. Je beroept je op security by obscurity. Maar goed dat dat een bewezen veilig principe is ;)

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • 0 Henk 'm!

  • rapture
  • Registratie: Februari 2004
  • Laatst online: 00:07

rapture

Zelfs daar netwerken?

Ik zou ze scheiden om aan de storage-en-andere-functionaliteit-bak te kunnen sleutelen terwijl de router gewoon verder gaat. Dan moet ik niet wachten totdat iedereen offline is voordat ik lang eraan kan sleutelen.

De taak van mijn tweede bakje is een PVR-150 capturekaart die kabeltelevisie opneemt en op een dikke harde schijf opslaat. 2de of meerdere schijven kan bijkomen, capturekaart kan upgegrade worden,.. of het mag gewoon een week platliggen terwijl de router verder blijft draaien.

[ Voor 4% gewijzigd door rapture op 03-06-2010 02:47 ]


Acties:
  • 0 Henk 'm!

  • ThomVis
  • Registratie: April 2004
  • Laatst online: 07-01 16:13

ThomVis

Detected rambling:

Als het alleen om port-blocking gaat, zou je niet je modem/router daarvoor gebruiken?
De vraagstukken beveiliging en meerdere apps op 1 fysieke doos staan volgens mij los van elkaar. Het laatste hang meer af van of die ene machine het wel trekt.

You don't have to know how the computer works, just how to work the computer.


Acties:
  • 0 Henk 'm!

Verwijderd

Ik probeer zeker in een thuis situatie zoveel mogelijk services op 1 server te draaien. Ik praat hierbij wel over fysieke hardware. Het scheelt een hoop stroom, ruimte en geld en je gaat efficiënter met resources om. Wat wel een overweging kan zijn om dit niet altijd te doen is het volgende:

Soms wordt aangeraden om op een server die een service aan de buitenwereld aanbiedt bijvoorbeeld een apache webserver geen services te draaien die iets intern aan clients aanbieden bijv. samba. Let op dit is geen keiharde regel, maar het is wel iets om over na te denken.

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op donderdag 03 juni 2010 @ 09:50:
Soms wordt aangeraden om op een server die een service aan de buitenwereld aanbiedt bijvoorbeeld een apache webserver geen services te draaien die iets intern aan clients aanbieden bijv. samba. Let op dit is geen keiharde regel, maar het is wel iets om over na te denken.
In dat geval is het natuurlijk een optie om ESXi (of iets soortgelijks) te draaien en dan 2 virtuele servers te draaien.

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op donderdag 03 juni 2010 @ 00:59:
Draai je toch gewoon 2 (of meer) virtuele machines op 1 fysieke server. Beste van beide werelden...
Helemaal mee eens.

Ik zou ook voor één fysieke server gaan, waarop je dan een aantal virtual machines draait. Kost je amper stroom (lees: geld), en je hebt alles binnen handbereik (of rdp). :*)

Acties:
  • 0 Henk 'm!

Verwijderd

Ik heb zelf 1 fysieke machine (Via C7 met 3x Gbit) als router draaien op PfSense met daarachter een Hyper-V machine met VM's voor de overige taken en een andere fysieke machine als fileserver.

De scheiding tussen fileserver en Hyper-V machine is om de fileserver uit te kunnen zetten wanneer deze niet gebruikt wordt en omdat ik geen betaalbare kast kon vinden waar 32 disks in konden.

De scheiding van de router is zoals hierboven vermeld om aan 1 van de machines te kunnen werken zonder dat het internet eruit gaat (heb nu nog rekening te houden met mijn ouders).

Acties:
  • 0 Henk 'm!

  • peak
  • Registratie: Januari 2007
  • Laatst online: 31-08 10:30
rapture schreef op donderdag 03 juni 2010 @ 02:46:
Ik zou ze scheiden om aan de storage-en-andere-functionaliteit-bak te kunnen sleutelen terwijl de router gewoon verder gaat. Dan moet ik niet wachten totdat iedereen offline is voordat ik lang eraan kan sleutelen.
Dat is een goed punt inderdaad waar ik nog aan gedacht heb.
Verwijderd schreef op donderdag 03 juni 2010 @ 09:50:
Soms wordt aangeraden om op een server die een service aan de buitenwereld aanbiedt bijvoorbeeld een apache webserver geen services te draaien die iets intern aan clients aanbieden bijv. samba. Let op dit is geen keiharde regel, maar het is wel iets om over na te denken.
Die gedachte gang heb ik dus ook. In dit geval met een firewall moet alleen firewall taken doen.
Verwijderd schreef op donderdag 03 juni 2010 @ 10:39:
Ik heb zelf 1 fysieke machine (Via C7 met 3x Gbit) als router draaien op PfSense met daarachter een Hyper-V machine met VM's voor de overige taken en een andere fysieke machine als fileserver.
Hier zat ik ook aan te denken. Een kleine server te bouwen/kopen liefst <150 euro met minimaal 2x Gbit en hierop Pfsense of een andere firewall distro op te installeren. Ik heb al gezocht, maar kon niets recent vinden over welke hardware er geadviseerd word. ( heb hier op GoT gezocht)

Acties:
  • 0 Henk 'm!

  • DeKaerften
  • Registratie: December 2007
  • Niet online
peak schreef op donderdag 03 juni 2010 @ 12:10:
[...]

Hier zat ik ook aan te denken. Een kleine server te bouwen/kopen liefst <150 euro met minimaal 2x Gbit en hierop Pfsense of een andere firewall distro op te installeren. Ik heb al gezocht, maar kon niets recent vinden over welke hardware er geadviseerd word. ( heb hier op GoT gezocht)
Wat betreft pfsense:
- Minimum Hardware Requirements
- Recommended Hardware Vendors
- Hardware Compatibility List

Voor de rest een kwestie van cross-referencen met de pricewatch of hardware.info of w/e.

Acties:
  • 0 Henk 'm!

Verwijderd

peak schreef op donderdag 03 juni 2010 @ 12:10:
Hier zat ik ook aan te denken. Een kleine server te bouwen/kopen liefst <150 euro met minimaal 2x Gbit en hierop Pfsense of een andere firewall distro op te installeren. Ik heb al gezocht, maar kon niets recent vinden over welke hardware er geadviseerd word. ( heb hier op GoT gezocht)
En om wat ervaringen te laten zien, ik draai het op een Via C7 1,5 GHz met 1 GB RAM. Momenteel doet deze nog niks bijzonders, alleen routering. Deze zit achter een 60 Mbit UPC lijn, als ik deze voltrek dus downloaden met ongeveer 7 MB/s, zit mijn CPU usage op zo'n 25%.

Acties:
  • 0 Henk 'm!

  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Ik heb een Zywal 2 plus als firewall in mijn netwerk. Verder een simpel bakje voor data server / web server /mailserver. Verder is elk systeem beveiligd met McAfee 2010 behalve mijn server. Die heeft G Data 2010 business.

All-Round nerd | iRacing Profiel


Acties:
  • 0 Henk 'm!

  • peak
  • Registratie: Januari 2007
  • Laatst online: 31-08 10:30
Verwijderd schreef op donderdag 03 juni 2010 @ 14:02:
[...]


En om wat ervaringen te laten zien, ik draai het op een Via C7 1,5 GHz met 1 GB RAM. Momenteel doet deze nog niks bijzonders, alleen routering. Deze zit achter een 60 Mbit UPC lijn, als ik deze voltrek dus downloaden met ongeveer 7 MB/s, zit mijn CPU usage op zo'n 25%.
Zou je jouw hardware kunnen posten zodat ik dit kan opzoeken? Wat heeft het gekost?
Ik vind jou oplossing beter dan een consumenten router, want de snelheden worden elk jaar opgeschroefd en dan zit je beter met jouw oplossing dan om de zoveel jaar een nieuwe router te moeten kopen.

Acties:
  • 0 Henk 'm!

Verwijderd

Ik weet het niet helemaal zeker uit mijn hoofd, maar het is een Jetway bordje die de mogelijkheid heeft om een daughterboard aan te sluiten. Het daughterboard wat hierop zit heeft 3 x een Realtek gigabit kaartje, ik heb hem toendertijd overgenomen van een tweaker voor rond de 120 euro.
Dit is alleen het mobo met CPU en het daughterboard. Ik zit nog te overwegen dit te verkopen om het alsnog op mijn Hyper-V machine te doen, aangezien ik een huis laat bouwen en dan geen rekening meer hoef te houden met anderen.

Als je interesse hebt, DM staat aan bij mij.

[ Voor 0% gewijzigd door Verwijderd op 03-06-2010 14:44 . Reden: typo ]


Acties:
  • 0 Henk 'm!

  • Arnout
  • Registratie: December 2000
  • Laatst online: 28-08 17:48
Zelfs voor kleinere bedrijven zet ik alles-in-1 machines neer, dus ook routing en firewall. Gewoon een kwestie van goed bouwen, testen, neerzetten en niets* meer aan doen. Vooral dat laatste is erg belangrijk, meeste fouten op dit gebied komt omdat men naderhand gaat sleutelen zonder de consequenties te kunnen overzien.

* behalve dan de apt-get upgrade stable

Acties:
  • 0 Henk 'm!

  • Demo
  • Registratie: Juni 2000
  • Laatst online: 24-08 16:07

Demo

Probleemschietende Tovenaar

Ik heb router, wifi accesspoint, netwerkservices, web- en fileserver op één machine draaien met zelfs maar één netwerkkaart (nouja, hij heeft wel twee poorten maar die zijn gebond ;)) VLAN's ftw :P DSL-modem in bridge mode hangt aan VLAN 2, de clients aan VLAN 3 en mijn server zit in beide VLAN's en routeert verkeer daar tussen :)
Overal een server voor neerzetten (en dan liefst nog elke server van een ander OS voorzien) is leuk, totdat je zelf de energierekening moet betalen ;)

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done


Acties:
  • 0 Henk 'm!

  • peak
  • Registratie: Januari 2007
  • Laatst online: 31-08 10:30
Arnout schreef op vrijdag 04 juni 2010 @ 10:17:
Zelfs voor kleinere bedrijven zet ik alles-in-1 machines neer, dus ook routing en firewall. Gewoon een kwestie van goed bouwen, testen, neerzetten en niets* meer aan doen. Vooral dat laatste is erg belangrijk, meeste fouten op dit gebied komt omdat men naderhand gaat sleutelen zonder de consequenties te kunnen overzien.

* behalve dan de apt-get upgrade stable
Heb jij de routering en firewall d.m.v. een firewall distro gerealiseerd of gebruik je een kaal systeem en stelt alles via de terminal in?

Ik heb nog niet gezocht of er een webinterface voor iets als iptables is om makkelijk regels in te voeren.

Acties:
  • 0 Henk 'm!

  • Arnout
  • Registratie: December 2000
  • Laatst online: 28-08 17:48
peak schreef op vrijdag 04 juni 2010 @ 12:47:
[...]


Heb jij de routering en firewall d.m.v. een firewall distro gerealiseerd of gebruik je een kaal systeem en stelt alles via de terminal in?

Ik heb nog niet gezocht of er een webinterface voor iets als iptables is om makkelijk regels in te voeren.
Ik gebruik Debian hiervoor en dan zonder desktop manager. Webinterface voor iptables.... tjah ik vind dat je er zo weinig mogelijk aan moet sleutelen (voor zakelijk gebruik geld dat zeker) dus geen webinterfaces voor mij. Moet je ook weer Apache (en soms ook MySQL) in de lucht brengen, wat op zich weer onderhoud met zich mee brengt...

Ik kies bij een Debian installer dan ook voor geen enkele optie in onderstaande scherm. Dan krijg je een lekker kaal systeem.

Afbeeldingslocatie: http://www.classhelper.org/articles/reverse-proxy-server-squid-debian/screens/debian-install-23.png

Acties:
  • 0 Henk 'm!

  • peak
  • Registratie: Januari 2007
  • Laatst online: 31-08 10:30
Ok Thanks,

Jah ik heb ook een headless debian systeem momenteel wat alleen web en fileserver aanbied.

Heb je eventueel nog linkjes waar je meer info kunt vinden over het configureren van een firewall + router op debian?

Ik ben nu bezig met het onderzoeken naar de mogelijkheid om pfsense d.m.v. kvm onder debian te draaien, dan ben ik gelijk klaar.
Ik zit alleen nog met het idee in mijn achterhoofd dat de NIC die straks met mijn modem is verbonden dat die gedeeld wordt door 2 besturingsystemen. Ik zou inderdaad in mijn debian o/s kunnen zeggen dat hij "eth0" niet gebruikt en uitzet, maar in pfsense dat die wel gebridged is. Dan zou het niks uit mogen maken.

Wat vindt je van dat idee?

Acties:
  • 0 Henk 'm!

  • Arnout
  • Registratie: December 2000
  • Laatst online: 28-08 17:48
linkje: http://www.debian-administration.org/articles/23

1 gevirtualiseerd systeem puur voor routing? Zou ik niet doen, weet niet of dat zo goed gaat werken. Geen ervaring mee. Gewoon 1 eenvoudige installatie van debian, iptables scriptje en klaar. Makkelijk te onderhouden ook.

Acties:
  • 0 Henk 'm!

  • peak
  • Registratie: Januari 2007
  • Laatst online: 31-08 10:30
Arnout schreef op vrijdag 04 juni 2010 @ 13:47:
linkje: http://www.debian-administration.org/articles/23

1 gevirtualiseerd systeem puur voor routing? Zou ik niet doen, weet niet of dat zo goed gaat werken. Geen ervaring mee. Gewoon 1 eenvoudige installatie van debian, iptables scriptje en klaar. Makkelijk te onderhouden ook.
Ik snap je punt.

1 gevirtualiseerde systeem puur voor routing en firewalling door gebruik te maken van pfsense is makkelijker dan je huidige systeem te configureren. Pfsense biedt veel meer opties/services aan onder 1 installatie en is te beheren via een web-interface. Ik zat er namelijk ook aan te denken om VPN door mijn linux server te laten doen en mijn virtuele windows vpn server eruit te schoppen.

Eigenlijk geef ik al antwoord op mijn eigen vraag. Pfsense gevirtualiseerd is the way to go voor mij at the moment, maar is het verstandig?

Acties:
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
Ik zelf heb een fysieke server met daarop meerdere virtuele machines. Ook de router draai ik virtueel in vmware server 2.0. Geen problemen mee :)

Als router OS gebruik ik op het moment nog ClearOS maar ik ben bezig om een simpele debian machine hiervoor in te gaan zetten. Puur omdat ClearOS te veel kan en daardoor ook de zwaar is. Pfsense in een virtuele machine was bij mij niet stabiel te krijgen...

[ Voor 47% gewijzigd door ik222 op 04-06-2010 14:05 ]


Acties:
  • 0 Henk 'm!

  • peak
  • Registratie: Januari 2007
  • Laatst online: 31-08 10:30
ik222 schreef op vrijdag 04 juni 2010 @ 14:03:
Ik zelf heb een fysieke server met daarop meerdere virtuele machines. Ook de router draai ik virtueel in vmware server 2.0. Geen problemen mee :)

Als router OS gebruik ik op het moment nog ClearOS maar ik ben bezig om een simpele debian machine hiervoor in te gaan zetten. Puur omdat ClearOS te veel kan en daardoor ook de zwaar is. Pfsense in een virtuele machine was bij mij niet stabiel te krijgen...
Kun je uitleggen wat de oorzaak was waarom je pfsense niet stabiel kreeg. Te weinig geheugen? niet compatible?

Acties:
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
Te weinig geheugen lijkt me niet, de VM had 1GB tot zijn beschikking wat ruim voldoende moet zijn. Echter crashte het OS gewoon regelmatig uit het niets. Enige oplossing was dan de VM te resetten. Wat de oorzaak daarvan was weet ik niet.
Pagina: 1