Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Topic over thuisnetwerk en beveiliging?
Ik zit al een tijdje na te denken over een andere opzet van mijn thuisnetwerk. De reden hiervoor is dat ik thuis meer data heb dan op mijn laptop past en ik af en toe vanuit het Internet bij deze data zou willen. Ik heb op dit moment een Raspberry PI als VPN server ingericht en via die weg kan ik op mijn thuisnetwerk. Ik ben echter niet helemaal gerust op de beveiliging.
Ik denk zelf aan de volgende structuur: internet --> ziggo modem --> firewall --> DMZ --> firewall --> thuisnetwerk
In de DMZ: bijvoorbeeld 'own cloud' om daar de benodigde te delen data op te zetten.
Kent iemand een site, forum topic, of andere online plaats waar dit onderwerp wordt besproken?
Ik denk zelf aan de volgende structuur: internet --> ziggo modem --> firewall --> DMZ --> firewall --> thuisnetwerk
In de DMZ: bijvoorbeeld 'own cloud' om daar de benodigde te delen data op te zetten.
Kent iemand een site, forum topic, of andere online plaats waar dit onderwerp wordt besproken?
Reacties (8)
15-01-2013, 01:58 door
AA_CS
Op het forum van Tweakers (gathering.tweakers.net) wordt dit vast wel ergens besproken.
Het stukje "DMZ --> firewall -->" snap ik niet helemaal. Wat moet de 2e firewall doen wanneer de 1e faalt? Of wat doet 'ie extra wat niet in de 1e firewall afgehandeld kan worden? Firewall én de server/cloud goed instellen moet voldoende zijn lijkt me.
Met hoeveel personen ga je de data delen? Als jij de enige bent die er bij moet kunnen dan is een up-to-date VPN prima.
Het stukje "DMZ --> firewall -->" snap ik niet helemaal. Wat moet de 2e firewall doen wanneer de 1e faalt? Of wat doet 'ie extra wat niet in de 1e firewall afgehandeld kan worden? Firewall én de server/cloud goed instellen moet voldoende zijn lijkt me.
Met hoeveel personen ga je de data delen? Als jij de enige bent die er bij moet kunnen dan is een up-to-date VPN prima.
Waarschijnlijk wil de TS de gebruikers in huis via verschillende firewalls laten verlopen, zodat de gebruikers andere policies ervaren.
15-01-2013, 09:22 door
sjonniev
Met een Astaro firewall heb ik het thuis als volgt ingericht:
Internet
¦
modem
¦
Astaro
<--> DMZ
<--> thuisnetwerk
dus het thuisnetwerk en de DMZ zitten allebei op hun eigen interface op de firewall. Op het thuisnetwerk zitten de laptops, tablets en smartphones, in de DMZ staat nu een NAS. Voor noodgevallen kan op het modem een laptop aangesloten of een WLAN aangezet worden.
Voorheen was dit
Internet <--> modem <--> Openwall <--> DMZ <--> Openwall <--> thuisnetwerk
Er gaat ander verkeer tussen internet en de DMZ dan tussen internet en het thuisnetwerk, en tussen DMZ en thuisnetwerk loopt ook nog iets. De 2 Openwalls hadden hier dus niet dezelfde instellingen. De 2e firewall dient uiteraard om nog enige bescherming te bieden tegen al dan niet gecompromitteerde systemen in de DMZ. Met de Astaro was dit eenvoudiger en fijnmaziger te beheren. Veel discussie is er niet over.
http://nl.wikipedia.org/wiki/DMZ_(informatica)
Internet
¦
modem
¦
Astaro
<--> DMZ
<--> thuisnetwerk
dus het thuisnetwerk en de DMZ zitten allebei op hun eigen interface op de firewall. Op het thuisnetwerk zitten de laptops, tablets en smartphones, in de DMZ staat nu een NAS. Voor noodgevallen kan op het modem een laptop aangesloten of een WLAN aangezet worden.
Voorheen was dit
Internet <--> modem <--> Openwall <--> DMZ <--> Openwall <--> thuisnetwerk
Er gaat ander verkeer tussen internet en de DMZ dan tussen internet en het thuisnetwerk, en tussen DMZ en thuisnetwerk loopt ook nog iets. De 2 Openwalls hadden hier dus niet dezelfde instellingen. De 2e firewall dient uiteraard om nog enige bescherming te bieden tegen al dan niet gecompromitteerde systemen in de DMZ. Met de Astaro was dit eenvoudiger en fijnmaziger te beheren. Veel discussie is er niet over.
http://nl.wikipedia.org/wiki/DMZ_(informatica)
15-01-2013, 10:40 door
Erik van Straten
De term DMZ is nogal verwarrend en niet goed te vergelijken met bijv. het grensgebied tussen Noord en Zuid Korea.
Als servers in een DMZ geplaatst worden waarvan het risico bestaat dat deze gecompromitteerd raken, dan wil je niet dat deze al het netwerkverkeer tussen internet en jouw LAN kunnen "zien" (laat staan kapen). En als je meerdere servers in de "DMZ" hebt, wil je ook niet dat ze elkaar kunnen zien.
De moosite oplossing is daarom meestal een vork: de steel naar internet, 1 poot naar LAN en de overige poorten naar individuele servers. Met de Astaro (tegenwoordig Sophos) software gaat dat prima. Je hebt dan, naast een netwerk interface voor Internet/WAN, wel meerdere netwerkinterfaces nodig aan de "schone" zijde. Als redelijk alternatief kun je een switch inzetten die VLAN's ondersteunt (VLAN's vormen geen echte security boundary, maar het is beter dan alles aan elkaar knopen).
Heb je maar 1 servertje, dan volstaat een firewall/router met 3 poorten. Voorbeeld: http://www.applianceshop.eu/index.php/boards-parts/pc-engines-alix-2d13.html met pFsense. Sneller is waarschijnlijk http://www.informatique.nl/461194/draytek-vigor-2130-gigabit-router.html (zie http://draytek.com/.upload/Demo/Vigor2130/v1.5.1/ voor een live demo van zo'n device).
Meer over firewalls thuis lees je o.a. hier: https://www.security.nl/artikel/38734/1/Consumenten_router_met_configureerbare_firewall.html.
Overigens is security.nl m.i. een prima forum om dit soort zaken te bespreken!
Als servers in een DMZ geplaatst worden waarvan het risico bestaat dat deze gecompromitteerd raken, dan wil je niet dat deze al het netwerkverkeer tussen internet en jouw LAN kunnen "zien" (laat staan kapen). En als je meerdere servers in de "DMZ" hebt, wil je ook niet dat ze elkaar kunnen zien.
De moosite oplossing is daarom meestal een vork: de steel naar internet, 1 poot naar LAN en de overige poorten naar individuele servers. Met de Astaro (tegenwoordig Sophos) software gaat dat prima. Je hebt dan, naast een netwerk interface voor Internet/WAN, wel meerdere netwerkinterfaces nodig aan de "schone" zijde. Als redelijk alternatief kun je een switch inzetten die VLAN's ondersteunt (VLAN's vormen geen echte security boundary, maar het is beter dan alles aan elkaar knopen).
Heb je maar 1 servertje, dan volstaat een firewall/router met 3 poorten. Voorbeeld: http://www.applianceshop.eu/index.php/boards-parts/pc-engines-alix-2d13.html met pFsense. Sneller is waarschijnlijk http://www.informatique.nl/461194/draytek-vigor-2130-gigabit-router.html (zie http://draytek.com/.upload/Demo/Vigor2130/v1.5.1/ voor een live demo van zo'n device).
Meer over firewalls thuis lees je o.a. hier: https://www.security.nl/artikel/38734/1/Consumenten_router_met_configureerbare_firewall.html.
Overigens is security.nl m.i. een prima forum om dit soort zaken te bespreken!
@AA_CS
In een dergelijk Back-to-Back oplossing zet je meestal servers waar je gefilterd een aantal poorten op toestaat. De tweede firewall zet je helemaal dicht zodat er enkel uitgaande verkeer doorheen kan. Prima oplossing. Om het nóg veiliger te maken zou je 2 verschillende type firewalls neer kunnen zetten maar ook al zijn het 2 dezelfde dan wordt het een taaie klus om daar wat mee te doen.
In een dergelijk Back-to-Back oplossing zet je meestal servers waar je gefilterd een aantal poorten op toestaat. De tweede firewall zet je helemaal dicht zodat er enkel uitgaande verkeer doorheen kan. Prima oplossing. Om het nóg veiliger te maken zou je 2 verschillende type firewalls neer kunnen zetten maar ook al zijn het 2 dezelfde dan wordt het een taaie klus om daar wat mee te doen.
16-01-2013, 01:20 door
AA_CS
Erik v. S. en ano@12.54 bedankt voor de uitleg. Stomgenoeg zie ik dat we het hier op het werk ook zo hebben ingericht (back-to-back), nooit over nagedacht. Ik vermoed overigens dat TS Paskal de data alleen met zichzelf wil delen, dan lijkt VPN me op zich voldoende.
TS, waarom ben je eigenlijk niet gerust op de huidige beveiliging?
TS, waarom ben je eigenlijk niet gerust op de huidige beveiliging?
16-01-2013, 12:56 door
Paskal
Dan voor alle reacties!
@AA_CS: Doel van 2e firewall is inderdaad een extra beveiliging voor als de server in de DMZ gecompromitteerd wordt.
@sjonniev: Ik ga Astaro (Sophos) bekijken. Dank voor de tip. Had inderdaad zelf al redelijk rondgesurft en zie weinig discussie over dit topic. Blijkbaar niet interessant voor de thuisgebruikers.
@Erik van Straten: vork is inderdaad ook mooie oplossing. Uiteraard heeft mijn wifi-router ook een ingebouwde firewall.
@AA_CS: ik ben niet gerust op de huidige beveiliging omdat achter de firewall van de router (die aan Ziggo hangt) alles aan elkaar zit in een netwerk. Ik wil met name mijn NAS beschermen en die niet zomaar aan het Internet hangen.
Zelf zit ik nog te denken aan het inzetten van een (oude) laptop:
- Naast de ingebouwde ethernetpoort ook nog via PCMCIA twee ethernetpoorten toevoegen.
- Ubuntu Server als basis
- Daarop 2 of 3 LXC-containers die de functionaliteit van Firewall(s) en DMZ faciliteren.
@AA_CS: Doel van 2e firewall is inderdaad een extra beveiliging voor als de server in de DMZ gecompromitteerd wordt.
@sjonniev: Ik ga Astaro (Sophos) bekijken. Dank voor de tip. Had inderdaad zelf al redelijk rondgesurft en zie weinig discussie over dit topic. Blijkbaar niet interessant voor de thuisgebruikers.
@Erik van Straten: vork is inderdaad ook mooie oplossing. Uiteraard heeft mijn wifi-router ook een ingebouwde firewall.
@AA_CS: ik ben niet gerust op de huidige beveiliging omdat achter de firewall van de router (die aan Ziggo hangt) alles aan elkaar zit in een netwerk. Ik wil met name mijn NAS beschermen en die niet zomaar aan het Internet hangen.
Zelf zit ik nog te denken aan het inzetten van een (oude) laptop:
- Naast de ingebouwde ethernetpoort ook nog via PCMCIA twee ethernetpoorten toevoegen.
- Ubuntu Server als basis
- Daarop 2 of 3 LXC-containers die de functionaliteit van Firewall(s) en DMZ faciliteren.
20-01-2013, 15:00 door
Paskal
Heb Astaro (Sophos) geinstalleerd. Ziet er goed uit.
Er is alleen geen PCMCIA support in het systeem gecompileerd. Jammer.
Dan maar terug naar Ubuntu Sever :-)
Er is alleen geen PCMCIA support in het systeem gecompileerd. Jammer.
Dan maar terug naar Ubuntu Sever :-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
