Ik ben aan het werk om mijn netwerk thuis te vernieuwen. Het netwerk heeft servers die publiek gericht zijn (DNS, SMTP, shell), servers die voor thuis zijn (fileserver) en natuurlijk clients. Het onderstaande is wat ik in gedachten heb.
Mijn modem staat op een router. Deze eerste router stuurt verkeer naar de DMZ of naar de tweede router, via de DMZ (draaje naar boven, let nog even niet op die naar onder
Aan het DMZ netwerk hangen verder servers die van buiten te benaderen zijn. De tweede router routeert het verkeer tussen de DMZ, het clientsnetwerk en het private netwerk en buiten.
De eerste router is ook firewall voor machines/ipnummers in de DMZ. Ip's die niet in de DMZ zitten worden gestuurd naar de tweede router en in principe doorgelaten. De tweede router firewallt tussen de drie netwerken. Dit is een kleine variatie op de standaard configuratie van een DMZ tussen twee firewalls, met aan de ene firewall het internet en aan de andere firewall de clients en private servers.
Het gaat mij om de ssh- of webinterfaces van de verschillende apparaten. Ik heb een modem en een router (de eerste) en een switch met webinterface, een Xen virtuele server met een sshinterface, daarop servers met sshinterfaces
In mijn plaatje heb ik de ssh- en webinterface van de eerste router aan het private netwerk gehangen (het draadje naar beneden). Soms denk ik dat dat goed is (scheiding van functie en bediening), soms dat het alleen maar gecompliceerd is, en soms dat het juist niet goed is. Voor een DMZ server lijkt me het niet goed (als deze geroot wordt kan deze gewoon het private netwerk benaderen, zonder firewall).
Hoe configureer je een professionele router of switch? Via een apart kabeltje of vlan (interface in private netwerk), of via een port die ook routeert (interface in DMZ)?
Ook ander commentaar is welkom natuurlijk
Buiten de antwoorden op de vragen denk ik ook dat mijn netwerk schema helemaal niet fijn is. Al het verkeer van de clients gaat via de DMZ naar buiten. Het is dan misschien mogelijk om met arp in de DMZ pakketjes van de clients naar een gekraakte machine te krijgen.
Mijn modem staat op een router. Deze eerste router stuurt verkeer naar de DMZ of naar de tweede router, via de DMZ (draaje naar boven, let nog even niet op die naar onder
Aan het DMZ netwerk hangen verder servers die van buiten te benaderen zijn. De tweede router routeert het verkeer tussen de DMZ, het clientsnetwerk en het private netwerk en buiten.De eerste router is ook firewall voor machines/ipnummers in de DMZ. Ip's die niet in de DMZ zitten worden gestuurd naar de tweede router en in principe doorgelaten. De tweede router firewallt tussen de drie netwerken. Dit is een kleine variatie op de standaard configuratie van een DMZ tussen twee firewalls, met aan de ene firewall het internet en aan de andere firewall de clients en private servers.
Het gaat mij om de ssh- of webinterfaces van de verschillende apparaten. Ik heb een modem en een router (de eerste) en een switch met webinterface, een Xen virtuele server met een sshinterface, daarop servers met sshinterfaces
In mijn plaatje heb ik de ssh- en webinterface van de eerste router aan het private netwerk gehangen (het draadje naar beneden). Soms denk ik dat dat goed is (scheiding van functie en bediening), soms dat het alleen maar gecompliceerd is, en soms dat het juist niet goed is. Voor een DMZ server lijkt me het niet goed (als deze geroot wordt kan deze gewoon het private netwerk benaderen, zonder firewall).Hoe configureer je een professionele router of switch? Via een apart kabeltje of vlan (interface in private netwerk), of via een port die ook routeert (interface in DMZ)?
Ook ander commentaar is welkom natuurlijk
edit:
Inmiddels kan ik antwoord geven op mijn eigen vragen
Een professionele router heeft of geen ssh/http interface (RS232-kabeltje bij Cisco), of wel een ssh interface, en dan kan het zogenaamd out-of-band of inband (ssh via, respectievelijk, een eigen port/vlan en een port die ook routing doet). Alle keus dus eigenlijk.
Voordelen voor out-of-band is bescherming tegen DoS-aanvallen op de onveiligere netwerken. Maar het is duurder om te onderhouden en dat out-of-band-netwerk kan ook gekraakt worden.
Inmiddels kan ik antwoord geven op mijn eigen vragen
Een professionele router heeft of geen ssh/http interface (RS232-kabeltje bij Cisco), of wel een ssh interface, en dan kan het zogenaamd out-of-band of inband (ssh via, respectievelijk, een eigen port/vlan en een port die ook routing doet). Alle keus dus eigenlijk.
Voordelen voor out-of-band is bescherming tegen DoS-aanvallen op de onveiligere netwerken. Maar het is duurder om te onderhouden en dat out-of-band-netwerk kan ook gekraakt worden.
Buiten de antwoorden op de vragen denk ik ook dat mijn netwerk schema helemaal niet fijn is. Al het verkeer van de clients gaat via de DMZ naar buiten. Het is dan misschien mogelijk om met arp in de DMZ pakketjes van de clients naar een gekraakte machine te krijgen.
[ Voor 24% gewijzigd door Sendy op 31-10-2012 22:28 ]