Enkele jaren geleden heb ik mijn Linksys E4200 vervangen door een Ubiquiti EdgeRouter Lite 3 en enkele AP's uit de Unifi reeks (2x AC Pro, 1x AC LR en 1x AC Lite). Een goede zet. Deze opstelling draait sindsdien erg stabiel.
Met een Zone Based Firewall en enkele VLAN's denk ik mijn netwerkverkeer redelijk gescheiden te hebben (IoT, Guest, Privé/Management,). Ook heb ik de best practices en hardening tips gevolgd om kwetsbaarheden zoveel mogelijk te beperken.
Momenteel ben ik, getriggerd door een overstromende log met veel mislukte inlogpogingen op mijn QNAP, mijn netwerk aan het her-evalueren. Ik heb teveel poorten openstaan naar buiten, waardoor eventuele kwetsbaarheden in de software te eenvoudig uitgebuit kunnen worden.
Afgelopen maanden heb ik veel gelezen over netwerkbeveiliging, kwetsbaarheden, (on)mogelijkheden van een firewall en denk dat ik weet wat ik aan ga pakken.
Ik ben, om te beginnen, voornemens om een OpenVPN-server te gebruiken voor (1) externe toegang tot NAS, (2) eventueel andere devices en (3) beveiligde toegang op mobiele devices wanneer slechts beschikking over publieke wifi. Het probleem hierbij is als volgt: OpenVPN wordt softwarematig uitgevoerd en mijn EdgeRouter heeft beperkte processorcapaciteit. Ik kan mijn internetverbinding (250/25) daardoor maar voor een klein deel benutten. Voor toepassing (3) is dat geen probleem, voor (1) is dit echter onwenselijk.
(nb: ik heb overwogen om de EdgeRouter Lite 3 te vervangen door een USG Pro 4, echter heb ik hiervoor geen ruimte, waardoor de, voor een consument hoge, aanschafprijs ook direct een stuk minder aantrekkelijk is)
Ik overweeg daarom om een VM op mijn ESXi 7 server (E3-1245v6, 64GB) aan te maken voor een OpenVPN-server installatie. De functionaliteit van deze VM zou ik echter ook meteen kunnen uitbreiden met enkele andere CPU-intensieve toepassingen.
Ik denk dan aan:
- IDS/IPS
- DNSCrypt
- QOS / Traffic Shaper
- Geo-blocking
- Blacklists (weet niet wat inmiddels de politiek-correcte term hiervoor is)
Het meest logisch hiervoor lijkt dan een OS als pfSense of OpnSense. Deze lijken bovengenoemde zaken te ondersteunen (de laatste 2 kunnen zonder noemenswaardige performance-verlies ook op router draaien). Het lijkt er dan alleen op dat ik mijn routerfunctionaliteit compleet aan het verschuiven ben naar een virtuele instantie. Dit voelt niet helemaal oké, temeer ik met de router an sich erg tevreden ben (met name de ZBF sluit erg goed aan op mijn wensen). Ik zou daarom slechts de IDS/IPS, DNSCrypt en QOS op een dedicated VM draaien en de rest houden zoals het nu is. Dit met als toevoeging dat, middels een load balancer / fail-over op het router, bij het wegvallen van de VM een alternatieve routing wordt gekozen, waardoor het netwerk blijft functioneren zoals het nu doet.
Hiervoor zou ik graag jullie mening/tips krijgen. Is het überhaupt mogelijk wat ik wil? Waar zou deze VM zich moeten bevinden? Firewall-functionaliteit zou voor het router mogen blijven, terwijl QOS en IDS/IPS meer een router-aangelegenheid is. Moet ik de VM een WAN en LAN interface geven en parallel aan het router plaatsen, of kan dit ook prima achter het router?
Installatie en configuratie kom ik wel uit. Ik wil meer een kritische blik op deze voorgenomen netwerkaanpassing. De kennis ontbreekt me en ik kan op internet geen vergelijkbaar scenario vinden.
Met een Zone Based Firewall en enkele VLAN's denk ik mijn netwerkverkeer redelijk gescheiden te hebben (IoT, Guest, Privé/Management,). Ook heb ik de best practices en hardening tips gevolgd om kwetsbaarheden zoveel mogelijk te beperken.
Momenteel ben ik, getriggerd door een overstromende log met veel mislukte inlogpogingen op mijn QNAP, mijn netwerk aan het her-evalueren. Ik heb teveel poorten openstaan naar buiten, waardoor eventuele kwetsbaarheden in de software te eenvoudig uitgebuit kunnen worden.
Afgelopen maanden heb ik veel gelezen over netwerkbeveiliging, kwetsbaarheden, (on)mogelijkheden van een firewall en denk dat ik weet wat ik aan ga pakken.
Ik ben, om te beginnen, voornemens om een OpenVPN-server te gebruiken voor (1) externe toegang tot NAS, (2) eventueel andere devices en (3) beveiligde toegang op mobiele devices wanneer slechts beschikking over publieke wifi. Het probleem hierbij is als volgt: OpenVPN wordt softwarematig uitgevoerd en mijn EdgeRouter heeft beperkte processorcapaciteit. Ik kan mijn internetverbinding (250/25) daardoor maar voor een klein deel benutten. Voor toepassing (3) is dat geen probleem, voor (1) is dit echter onwenselijk.
(nb: ik heb overwogen om de EdgeRouter Lite 3 te vervangen door een USG Pro 4, echter heb ik hiervoor geen ruimte, waardoor de, voor een consument hoge, aanschafprijs ook direct een stuk minder aantrekkelijk is)
Ik overweeg daarom om een VM op mijn ESXi 7 server (E3-1245v6, 64GB) aan te maken voor een OpenVPN-server installatie. De functionaliteit van deze VM zou ik echter ook meteen kunnen uitbreiden met enkele andere CPU-intensieve toepassingen.
Ik denk dan aan:
- IDS/IPS
- DNSCrypt
- QOS / Traffic Shaper
- Geo-blocking
- Blacklists (weet niet wat inmiddels de politiek-correcte term hiervoor is)
Het meest logisch hiervoor lijkt dan een OS als pfSense of OpnSense. Deze lijken bovengenoemde zaken te ondersteunen (de laatste 2 kunnen zonder noemenswaardige performance-verlies ook op router draaien). Het lijkt er dan alleen op dat ik mijn routerfunctionaliteit compleet aan het verschuiven ben naar een virtuele instantie. Dit voelt niet helemaal oké, temeer ik met de router an sich erg tevreden ben (met name de ZBF sluit erg goed aan op mijn wensen). Ik zou daarom slechts de IDS/IPS, DNSCrypt en QOS op een dedicated VM draaien en de rest houden zoals het nu is. Dit met als toevoeging dat, middels een load balancer / fail-over op het router, bij het wegvallen van de VM een alternatieve routing wordt gekozen, waardoor het netwerk blijft functioneren zoals het nu doet.
Hiervoor zou ik graag jullie mening/tips krijgen. Is het überhaupt mogelijk wat ik wil? Waar zou deze VM zich moeten bevinden? Firewall-functionaliteit zou voor het router mogen blijven, terwijl QOS en IDS/IPS meer een router-aangelegenheid is. Moet ik de VM een WAN en LAN interface geven en parallel aan het router plaatsen, of kan dit ook prima achter het router?
Installatie en configuratie kom ik wel uit. Ik wil meer een kritische blik op deze voorgenomen netwerkaanpassing. De kennis ontbreekt me en ik kan op internet geen vergelijkbaar scenario vinden.
:strip_exif()/u/101509/Avatar.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/565926/lynx1.jpg?f=community)
:strip_icc():strip_exif()/u/252842/crop5c3460b3a1c08_cropped.jpeg?f=community)
Ik denk eigenlijk niet dat het slechter is, zo'n beetje de hele enterprise wereld draait op IPSEC. Het wordt heel breed ondersteunt, is echt wel veilig dus (mits goed geconfigureerd)