Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Topic over thuisnetwerk en beveiliging?

14-01-2013, 22:17 door Paskal, 8 reacties
Ik zit al een tijdje na te denken over een andere opzet van mijn thuisnetwerk. De reden hiervoor is dat ik thuis meer data heb dan op mijn laptop past en ik af en toe vanuit het Internet bij deze data zou willen. Ik heb op dit moment een Raspberry PI als VPN server ingericht en via die weg kan ik op mijn thuisnetwerk. Ik ben echter niet helemaal gerust op de beveiliging.

Ik denk zelf aan de volgende structuur: internet --> ziggo modem --> firewall --> DMZ --> firewall --> thuisnetwerk

In de DMZ: bijvoorbeeld 'own cloud' om daar de benodigde te delen data op te zetten.

Kent iemand een site, forum topic, of andere online plaats waar dit onderwerp wordt besproken?
Reacties (8)
15-01-2013, 01:58 door AA_CS
Op het forum van Tweakers (gathering.tweakers.net) wordt dit vast wel ergens besproken.
Het stukje "DMZ --> firewall -->" snap ik niet helemaal. Wat moet de 2e firewall doen wanneer de 1e faalt? Of wat doet 'ie extra wat niet in de 1e firewall afgehandeld kan worden? Firewall én de server/cloud goed instellen moet voldoende zijn lijkt me.
Met hoeveel personen ga je de data delen? Als jij de enige bent die er bij moet kunnen dan is een up-to-date VPN prima.
15-01-2013, 08:29 door Anoniem
Waarschijnlijk wil de TS de gebruikers in huis via verschillende firewalls laten verlopen, zodat de gebruikers andere policies ervaren.
15-01-2013, 09:22 door sjonniev
Met een Astaro firewall heb ik het thuis als volgt ingericht:

Internet
¦
modem
¦
Astaro
<--> DMZ
<--> thuisnetwerk

dus het thuisnetwerk en de DMZ zitten allebei op hun eigen interface op de firewall. Op het thuisnetwerk zitten de laptops, tablets en smartphones, in de DMZ staat nu een NAS. Voor noodgevallen kan op het modem een laptop aangesloten of een WLAN aangezet worden.

Voorheen was dit

Internet <--> modem <--> Openwall <--> DMZ <--> Openwall <--> thuisnetwerk

Er gaat ander verkeer tussen internet en de DMZ dan tussen internet en het thuisnetwerk, en tussen DMZ en thuisnetwerk loopt ook nog iets. De 2 Openwalls hadden hier dus niet dezelfde instellingen. De 2e firewall dient uiteraard om nog enige bescherming te bieden tegen al dan niet gecompromitteerde systemen in de DMZ. Met de Astaro was dit eenvoudiger en fijnmaziger te beheren. Veel discussie is er niet over.

http://nl.wikipedia.org/wiki/DMZ_(informatica)
15-01-2013, 10:40 door Erik van Straten
De term DMZ is nogal verwarrend en niet goed te vergelijken met bijv. het grensgebied tussen Noord en Zuid Korea.

Als servers in een DMZ geplaatst worden waarvan het risico bestaat dat deze gecompromitteerd raken, dan wil je niet dat deze al het netwerkverkeer tussen internet en jouw LAN kunnen "zien" (laat staan kapen). En als je meerdere servers in de "DMZ" hebt, wil je ook niet dat ze elkaar kunnen zien.

De moosite oplossing is daarom meestal een vork: de steel naar internet, 1 poot naar LAN en de overige poorten naar individuele servers. Met de Astaro (tegenwoordig Sophos) software gaat dat prima. Je hebt dan, naast een netwerk interface voor Internet/WAN, wel meerdere netwerkinterfaces nodig aan de "schone" zijde. Als redelijk alternatief kun je een switch inzetten die VLAN's ondersteunt (VLAN's vormen geen echte security boundary, maar het is beter dan alles aan elkaar knopen).

Heb je maar 1 servertje, dan volstaat een firewall/router met 3 poorten. Voorbeeld: http://www.applianceshop.eu/index.php/boards-parts/pc-engines-alix-2d13.html met pFsense. Sneller is waarschijnlijk http://www.informatique.nl/461194/draytek-vigor-2130-gigabit-router.html (zie http://draytek.com/.upload/Demo/Vigor2130/v1.5.1/ voor een live demo van zo'n device).

Meer over firewalls thuis lees je o.a. hier: https://www.security.nl/artikel/38734/1/Consumenten_router_met_configureerbare_firewall.html.

Overigens is security.nl m.i. een prima forum om dit soort zaken te bespreken!
15-01-2013, 12:54 door Anoniem
@AA_CS
In een dergelijk Back-to-Back oplossing zet je meestal servers waar je gefilterd een aantal poorten op toestaat. De tweede firewall zet je helemaal dicht zodat er enkel uitgaande verkeer doorheen kan. Prima oplossing. Om het nóg veiliger te maken zou je 2 verschillende type firewalls neer kunnen zetten maar ook al zijn het 2 dezelfde dan wordt het een taaie klus om daar wat mee te doen.
16-01-2013, 01:20 door AA_CS
Erik v. S. en ano@12.54 bedankt voor de uitleg. Stomgenoeg zie ik dat we het hier op het werk ook zo hebben ingericht (back-to-back), nooit over nagedacht. Ik vermoed overigens dat TS Paskal de data alleen met zichzelf wil delen, dan lijkt VPN me op zich voldoende.
TS, waarom ben je eigenlijk niet gerust op de huidige beveiliging?
16-01-2013, 12:56 door Paskal
Dan voor alle reacties!

@AA_CS: Doel van 2e firewall is inderdaad een extra beveiliging voor als de server in de DMZ gecompromitteerd wordt.

@sjonniev: Ik ga Astaro (Sophos) bekijken. Dank voor de tip. Had inderdaad zelf al redelijk rondgesurft en zie weinig discussie over dit topic. Blijkbaar niet interessant voor de thuisgebruikers.

@Erik van Straten: vork is inderdaad ook mooie oplossing. Uiteraard heeft mijn wifi-router ook een ingebouwde firewall.

@AA_CS: ik ben niet gerust op de huidige beveiliging omdat achter de firewall van de router (die aan Ziggo hangt) alles aan elkaar zit in een netwerk. Ik wil met name mijn NAS beschermen en die niet zomaar aan het Internet hangen.

Zelf zit ik nog te denken aan het inzetten van een (oude) laptop:
- Naast de ingebouwde ethernetpoort ook nog via PCMCIA twee ethernetpoorten toevoegen.
- Ubuntu Server als basis
- Daarop 2 of 3 LXC-containers die de functionaliteit van Firewall(s) en DMZ faciliteren.
20-01-2013, 15:00 door Paskal
Heb Astaro (Sophos) geinstalleerd. Ziet er goed uit.
Er is alleen geen PCMCIA support in het systeem gecompileerd. Jammer.
Dan maar terug naar Ubuntu Sever :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.