Frischling im Netz



  • Moin,

    ich habe da mal eine kleines Problem, kaum Geld vorhanden:

    A) 192.168.0.0/24 Leitwarte Heizung Lüftung Klima inkl. einiger Wlan Accesspoints, Fritzbox als DHCP-Server
    B) 192.168.144.0/24 Leitwarte Elektro
    C) Netz Management Telefonanlage 192.168.144.0/24 nicht mit den obigen Netzen verbunden.

    Ein kleiner Ubuntu LTS Server 2x Lan in Netz A & B

    Problem: Ohne etliche Euros kann ich die Netzwerkkonfiguration aller Netze nicht ändern,
    Netz A etliche Controller, Programmiertool & nötiges Wissen nicht vorhanden.
    Netz B Visualisierung mangels Lizenz nicht änderbar, Soft & Hardware Lieferanten arbeiten nicht mehr zusammen.
    Achso, das ganze habe ich nicht verbrochen, ich habe es jetzt nur "übernommen bekommen"! Für 2016 ist eine Überarbeitung von Netz B geplant dann kann ich auch hier alles sauber und getrennt konfigurieren.

    Ich brauche aber jetzt einen sicheren Fernwartungzugang für alles, mein Lösungsansatz:

    Server bekommt 3. Karte im Netz der Telefonanlage

    Somit könnte ich mich per SSH einloggen (natürlich Key Auth) und per Portforwarding via VNC und RDP auf alles zugreifen.

    Weiterhin möchte ich den W-Lan-Zugang ein wenig abdichten.

    Meine Idee: Switches mit Vlan, Server bekommt 4. Karte dann ist hier auch nur noch der Zugang über SSH & Portforwarding zur restlichen Infrastruktur möglich, selbst wenn das Wlan mal gehackt oder sich Jemand physisch dort anklemmt:

    Vlan 1 Netz A
    Vlan 2 Netz B
    Vlan 3 Netz C
    Vlan 4 Netz mit W-Lan
    Vlan 5 Hier kommen unbelegte Ports rein damit keiner ans Netz kommt.

    Was mir wichtig ist:
    Absicherung nach außen, deshalb nur SSH mit Key
    Keine Verbindung der Netze untereinander, kein Forwarding auf dem Server untereinander.
    Es bestehen noch 2 Fernwartungmöglichkeiten, Telefonanlage mit Einwahl, wer da rauf darf soll nicht in ein anderes Netz kommen, und ein Vigor als VPN-Router zu einem Contrakting-Partner, der in den anderen Teilen auch nichts verloren.
    Da ich gelegentlich auf allen Rechnern Internetzugang brauche (Updates) läuft nur bei Bedarf ein Proxy auf dem Server der per Crontab spätestens mit Schichtende deaktiviert wird.

    Der nächste geplante Schritt ist eine kleine Firebox 750e einer neuen Verwendung zuzuführen,  und da kommt pfsense ins Spiel aber soweit bin ich noch nicht ??? Momentan ist eine Fritzbox 7270 die Grenze zur Außenwelt.

    ich erbitte Kommentare, wäre das soweit ok?  :-\

    -teddy

    Netzwerk HT IST-Zustand
    
    DSL 1			         DSL 2
      |                               |
    Fritzbox 192.168.0.251		Vigor VPN Router als Fernzugang für externen Partner
      |-------------------------------|
      |                 |
    192.168.0.0/24      192.168.144.24
    
      |
      |
      |
    192.168.144.0/24
    Management PBX wird für Updates oder zu Service Zwecken zeitweise mit dem o.g. verbunden, IP-Adressen kollisionsfrei.
    
    

  • LAYER 8 Moderator

    Ahoi,

    Prinzipiell kann ich da eigentlich kaum was von pfSense entdecken, sondern mehr den Ruf nach einer Netzwerkberatung ;)
    Ist natürlich auch nicht ganz OT, aber normalerweise wird man für sowas bezahlt :D

    Nichts desto trotz verstehe ich einige Punkte nicht:

    Ich brauche aber jetzt einen sicheren Fernwartungzugang für alles, mein Lösungsansatz:
    Von wo nach wo?

    Server bekommt 3. Karte im Netz der Telefonanlage
    Warum? Das würde eher Probleme aufwerfen, weil er dann 2 Karten hat, die physikalisch zwar in 2 unterschiedlichen Netzen stehen, aber die gleiche IP Range hat. Der IP Stack wüsste dann nicht wo er die Pakete hintransportieren soll.

    Somit könnte ich mich per SSH einloggen (natürlich Key Auth) und per Portforwarding via VNC und RDP auf alles zugreifen.
    Nicht wirklich, s.o.
    Zudem -> Einloggen von wo? Über welches Netz/DSL? Wohin? Via welchem Weg? Aus deiner Skizze ist das nicht wirklich erkennbar, außer dass da 2 DSL Lines hängen, hinter denen zwei Netze wie auch immer zusammengeschaltet sind und ein isoliertes Mgmt Netz mit IP Überschneidung mit Netz B das aber keinen Uplink hat!?

    Weiterhin möchte ich den W-Lan-Zugang ein wenig abdichten.
    Warum gibt es den überhaupt?

    Meine Idee: Switches mit Vlan, Server bekommt 4. Karte dann ist hier auch nur noch der Zugang über SSH & Portforwarding zur restlichen Infrastruktur möglich, selbst wenn das Wlan mal gehackt oder sich Jemand physisch dort anklemmt:
    Was hat das:

    a) mit WLAN zu tun?
    b) Warum zum Geier eine 4. Karte und wohin!?
    c) Wie soll sich jemand "physisch" am WLAN anklemmen können?
    d) WLAN wird eher selten "gehackt" wenn es vernünftig gebaut ist (WPA2+AES), oft genug ist es lediglich "manuelle Verbreitung" des WPA Keys weil der nie geändert wird.

    (Liste mit VLANs)
    Nochmal die Frage, was die VLANs jetzt mit WLAN zu tun haben und warum der Server auf einmal 4/5 NICs braucht um die VLANs zu verstehen? Warum nimmt der Server nicht 1-2 NICs und verteilt die VLANs da sinnvoll drauf?

    Keine Verbindung der Netze untereinander, kein Forwarding auf dem Server untereinander.
    Und genau da werden dich diese gleichen Netze B & C beißen.

    Es bestehen noch 2 Fernwartungmöglichkeiten, Telefonanlage mit Einwahl, wer da rauf darf soll nicht in ein anderes Netz kommen, und ein Vigor als VPN-Router zu einem Contrakting-Partner, der in den anderen Teilen auch nichts verloren.
    Das ganze schreit förmlich nach einer großen Sicherheitslücke weil jeder Hinz & Kunz Service sein eigenes Dial-In mitbringt. Sowas ist netzwerktechnisch (mit Verlaub) zum Kotzen und sicherheitstechnisch der Albtraum pur.

    Da ich gelegentlich auf allen Rechnern Internetzugang brauche (Updates) läuft nur bei Bedarf ein Proxy auf dem Server der per Crontab spätestens mit Schichtende deaktiviert wird.
    Auf welchen (allen) Rechnern? In welchem Netz überhaupt? Und warum ein Proxy von wo nach wo?!

    ich erbitte Kommentare, wäre das soweit ok?  
    Ich hoffe du nimmst die Kommentare nicht zu ernst (sind nicht als Beleidigung gemeint, ich weiß wie es ist, solche schwarzen (Drecks)Löcher zu übernehmen). Aber Nein, nicht OK. Es sei denn da ist einiges mißverständlich im Netzdiagramm gepostet, als dass ich das jetzt komplett falsch verstehe.

    Und ganz fies: "Kaum Geld vorhanden" -> Eine APU kostet nicht die Welt (~150€) und schafft einem einen ganzen Berg voll MIST von der Hand.

    Aufmunternde Grüße
    Jens



  • Moin Jens,

    Du hast recht, ich nutze Euch ein wenig aus, aber vertrau mir PFSense ist beschlossene Sache, die Firebox wartet auf ihren Einsatz. Ich kann nur nicht alles auf einmal umstricken. Das schaffe ich neben den anderen Aufgaben nicht.

    So jetzt will ich mal Deine Fragen beantworten:

    Fernwartung: Von extern via DSL 1 per SSH auf den Server, DSL 2 ist für uns tabu.
    Ich muss Zugriff auf die Leitwarten RLT & Elektro  und Management Telefon haben.
    Per Putty werden Tunnel auf die Zielsystem errichtet, entweder per VNC oder RDP.

    Die Fernwartung via Einwahl auf die Telefonanlage braucht unser Service Partner um nicht gleich wegen jeden Fehler anrücken zu müssen. Diesen Zugang halte ich für vollkommen legitim, da dieser Zugang unabhängig vom LAN funktioniert.

    Den Zugriff auf das Netz via VPN-Router ist für einen Contrackting-Partner und Vertragsbestandteil, den will ich nur auf Netz A beschränken.

    W-Lan: Keine Ahnung welche Schwachstelle WPA2 zukünftig bzw. die Firmware der Accesspoints hat, ich möchte diese Seite halt einfach dicht machen. Der Key ist imho recht gut gewählt und z.Z nur mir bekannt, WPS ist abgeschaltet. Da die Accesspoints nicht weiter physisch gesichert sind könnten einige "Angreifer" sich an mit einem Switch ins Netz klinken.

    Netze B&C  kriege ich vermutlich in den Griff, ursprünglich waren sie mal ein gemeinsames Netz d.h. ich bin gute Hoffnung sie in zwei kleiner Subnetze zerlegen zu können sich haben dann keine /24 sondern irgendwas kleineres, da muss ich noch ran.

    Das mit dem Geld war darauf bezogen das ich nicht mal eben die Netze umstricken lassen kann, die anstehende Änderung der Visualisierung liegt bei rund 20k€ netto und klar das ich das dann gleich in ein eigenes Netz schieben lasse. Somit wird sich die Baustelle B&C spätestens 2016 erledigen.

    Zu Deinen Kommentaren: Natürlich nehme ich sie ernst aber nicht persönlich  8), ich möchte ja gerne lernen.
    Und ein Blick von außen kann manchmal nicht schaden. Ich habe den Plan noch mal ein wenig berichtigt, hatte den Server vergessen.

    -teddy

    Netzwerk HT IST-Zustand
    
    DSL 1			         DSL 2
      |                               |
    Fritzbox 192.168.0.251		Vigor VPN Router nur als Fernzugang für externen Partner
      |                               |
      |                               |
      |-------------------------------|
      |
      |---SSH Server-----  
      |                 |
      |                 |
    192.168.0.0/24      192.168.144.24
    
      |
      |
      |
    192.168.144.0/24
    Management PBX
    

  • LAYER 8 Moderator

    DSL 2 ist für uns tabu.
    Die Fernwartung via Einwahl auf die Telefonanlage braucht unser Service Partner um nicht gleich wegen jeden Fehler anrücken zu müssen. Diesen Zugang halte ich für vollkommen legitim, da dieser Zugang unabhängig vom LAN funktioniert.

    Und damit hast du 2 Einwahlen in ein abzusicherndes Netz, bei denen du

    • nichts kontrollierst
    • keine Handhabe darüber hast
    • keine Information oder Kontrolle hast, welche Daten darüber fließen
    • keine Zugriffsbeschränkungen etablieren, einrichten oder einsehen kannst

    DAS meine ich mit "sicherheitstechnischer Alptraum". Der Grund dafür mag legitim sein (in deinen Augen), wenn die Aufgabe aber heißt "absichern" oder "sicherstellen" ist das Chaos und du kannst nicht mal zu 50% sagen "ja das ist hier sicher". Wäre für mich ein unhaltbarer Zustand, zudem mir niemand zu diktieren hat, dass ich ihm einen dedizierten Einwahlweg anbieten muss über ein Medium, das ich nicht kontrollieren kann. Gerade in den heutigen Zeiten, bei denen jeder bei Abhörskandalen etc. zusammezuckt (nein, das hat nichts mit der Alu-Hut Fraktion zu tun ;)), kann sowas eigentlich nicht angehen. Ich kenne das noch von früher, natürlich, aber die Zeiten sind inzwischen echt vorbei. Heute ist es technisch kein Problem einem Dienstleister einen VPN-Tunnel oder eine VPN Einwahl anzubieten, die dieser sicher nutzen kann und bei der ich trotzdem kontrollieren kann, was der Fremd-Zugriff darf und nicht darf. Aber eine Einwahl am sicheren Gateway/Firewall vorbei (via ISDN o.ä.) oder sogar über eine zweite DSL Line, die ich nicht vorher selbst abschirmen kann, geht so eigentlich nicht.

    Damit ist für mich unklar, wofür DSL 2 und der Vigor VPN Router ist. Mir darf ein Anbieter gern eine VPN Gegenstelle in mein Netz stellen worauf er sich einwählt oder die ggf. als Tunnelende dient, aber er darf mir kein Gerät hinstellen, das selbst ohne mein zutun eine Internet Verbindung aufbaut und Daten ableiten könnte. Ansonsten kann ich nicht sicherstellen, dass er bspw. nur Daten gesichert über seinen Tunnel überträgt und kein fauler Mitarbeiter bei ihm irgendwelche Daten von mir über das zweite DSL ins Internet bläst (oder per VPN bei mir surft und meine IP nutzt).

    Wenn ein VPN nur ein Subnetz nutzen soll, würde ich das auch entsprechend entweder da hinein stellen oder generell einfach alle Einwahl Kisten von Fremdanbietern in eine DMZ packen und von dort aus deren Zugriff weiter via pfSense verwalten, damit die auch nur darauf Zugriff haben und auf sonst nichts.

    Somit würde ich deine ganzen Netze komplett anders angehen. Nämlich:

    pfSense verwaltet DSL Zugänge (1 und ggf. 2).
    pfSense hat Netzwerkverbindung in:

    • Netz A
    • Netz B
    • Mgmt Netz (egal welche IP/Maske)
    • DMZ

    In DMZ stelle ich dann VPN Endpunkt Router von Fremdanbieter #1, der sich über DSL 2 bspw. einwählen kann und auf seine Kiste in der DMZ kommt. Sobald er da drauf ist, kann ich seine Verbindungen In Netz A oder B oder wohin auch immer kontrollieren und freigeben und sehe auch die Zugriffe wenn ich will.

    Noch besser wäre, wenn A und B gar nicht am Netz hängen müssten (das weiß ich nicht, da ich Funktionsweise nicht kenne), sondern abgekoppelte Netze wären die lediglich von Kisten verwaltet werden, die in einem gesonderten Netzbereich parken und mit einem zweiten NIC in einem MGMT Netz hängen, dass dann via Internet erreichbar ist. So kenne ich das von einigen "intelligenten Schaltungen und Reglern" die zwar IP können, aber bei denen die Entwickler von vor 20 Jahren (und jetzt immer noch nicht) keinen Schimmer von Security hatten geschweige denn, wie man ein Login ordentlich implementiert. Solche Kisten können zwar IP aber die will man nicht bei Verstand am Internet hängen haben. Statt dessen gibts Mgmt Büchsen, die eben als Sprunghost dienen und in dem entsprechenden Netz stehen (oder die serielle Console o.ä. angebunden haben), um die Kisten zu verwalten und die sind dann mit entsprechender Security via Internet + VPN zu erreichen.

    Vermutlich lässt sich dies aber so nicht implementieren?



  • Moin,

    @JeGr:

    Vermutlich lässt sich dies aber so nicht implementieren?

    Doch, langfristig ja, und da will ich hin, nach dem Motto ich habe die Verantwortung? Dann habe ich auch die Macht!
    Bis auf Deine Alpträume die externen Zugänge bin ich ja schon auf den richtigen Weg.
    Zugang von außen nur noch über SSH mit Key. Sobald PFsense läuft will ich ein neues VPN einrichten wo nur Zugriff auf die Controller besteht und sonst nix. Dann fliegt DSL 2 raus. Die Einwahlmöglichkeit will ich grundsätzlich behalten aber mit gezogenem Stecker, soll heißen ich habe Problem? Ich fahre hin und stecke den Stecker und "sie" können rein.

    Vielen, vielen Dank für Deine Anregungen!
    Jetzt brauch ich nur noch ein Nullmodem Kabel, dann geht es los …

    -teddy



  • Moin,

    so, der erste Schritt ist vollbracht, die Kiste läuft mit PFSense! 8)

    -teddy



  • Moin,

    nur kurz fürs EGO  ;D

    VPN für Fernwartung läuft.
    Alarmierungsgerät sitzt einsam und alleine in einem isoliertem Netz
    VPN-Router von Contractingpartner sitzt eingegrenzt auf seine Zuständigkeit im Lan
    Nächster Schritt Resturlaub abbauen  8)

    Mir ist klar das ich noch nicht fertig bin, aber fürs erste bin ich zufrieden. Meinen besonderen Dank an JeGr für die klaren Worte!

    -teddy


  • LAYER 8 Moderator

    Mir ist klar das ich noch nicht fertig bin, aber fürs erste bin ich zufrieden. Meinen besonderen Dank an JeGr für die klaren Worte!

    Manchmal muss eben der Holzhammer raus ;) Aber im ein oder anderen Fall zurecht und nur um zu helfen :D



  • Autsch  ;), aber ich bevorzuge die Methode gegenüber "höflichem Geschwafel"

    Bei uns im Haus gab es letzt ein Gespräch über Netzwerke und die verschiedenen Abteilungen mit ihren eigenen Netzen. Da machte doch tatsächlich einer den Vorschlag, alles in ein Netz, "getrennt" über die Netzmaske, "… wenn man dann mal Daten austauschen will einfach Netzmaske ändern , Daten übertragen und wieder dicht machen ..."
    Zum Glück habe ich meinen Abteilungsleiter hinter mir, dem ich das mit " Jeder poppt mit Jedem und nachher über den Tripper heulen" übersetzt habe  :o

    -teddy


  • LAYER 8 Moderator

    Zum Glück habe ich meinen Abteilungsleiter hinter mir, dem ich das mit " Jeder poppt mit Jedem und nachher über den Tripper heulen" übersetzt habe  :o

    PRUUUST Bitte nicht so nen Satz wenn ich heißen Tee im Mund hab. Mist, jetzt brauch ich ne neue Tastatur ;D
    Den Satz möchte ich bitte im Standard Repertoire jedes Netzwerkers haben. Den bekommt ab jetzt jeder Azubi und Kollege im Team ab :D
    immer noch vom Stuhl fällt

    Aber im Ernst: Solche Kommentare kommen eben genau von Leuten mit extrem gefährlichem Halbwissen. Denn dass dann eben auch jeder depperte (L)User mal eben hergehen kann und mit seiner Mühle einfach mal ganze Abteilungen lahmlegen (hey wir switchen mal alle IPs durch…) oder mal nen schönen Broadcaststurm anfachen... das geht natürlich niemand in Kopp. Spätestens wenn man sich dann mal fragt, wie Info X außerhalb von Team Y bei Firma Z aufgetaucht sein kann... aber dann ist eben schon Aua.

    Gruß


Log in to reply