Moin zusammen, ich richte gerade einen kleinen Homeserver für Owncloud ein. Owncloud soll in der virtuellen Maschine (Virtual Box) mit Ubuntu Server laufen. Jetzt frage ich mich gerade, wie ich die VM am besten in mein lokales Netzwerk einbinde. Im Moment habe ich in Virtual Box das Netzwerk auf "Briged Network" gestellt, so dass die VM in der Fritzbox als eigenständiges Gerät mit eigener IP auftaucht. Nachteil: im Falle, dass doch mal eine Lücke in Owncloud auftaucht, und der Server kompromittiert wird, hat das Ding vollen Zugriff auf das lokale Netzwerk. Gibt es eine Möglichkeit die VM vom lokalen Netzwerk zu isolieren? Also außer einen zweiten Router zur Trennung der Netze dazwischen zu schalten*? *mag die sauberste Lösung sein. Aber Sicherheit ist ja immer ein Kompromiss zwischen Aufwand und erreichter Sicherheit.
Dieter schrieb: > Gibt es eine Möglichkeit die VM vom lokalen Netzwerk zu isolieren? Ja, mit einer zweiten Netzwerkkarte im Wirts-PC, die Du dann dediziert der VM zuweist.
Wenn der Owncloud-Server aber vom Internet aus erreichbar sein soll, und andererseits das lokale Netz unbeschränkt ins Internet kommen soll, dann ist eine 2. Netzwerkkarte nur eine Lösung, wenn der Internet-Router einen Modus hat, mit dem er auf mehreren Interfaces getrennte Netze aufmachen kann. Andernfalls müsste man sich mit einem zweiten Router eine Art DMZ bauen.
:
Bearbeitet durch User
Dieter schrieb: > Nachteil: im Falle, dass doch mal eine Lücke in Owncloud auftaucht, und > der Server kompromittiert wird, hat das Ding vollen Zugriff auf das > lokale Netzwerk. Gibt es eine Möglichkeit die VM vom lokalen Netzwerk zu > isolieren? Also außer einen zweiten Router zur Trennung der Netze > dazwischen zu schalten*? Du kannst die VM Host-only anbinden und auf dem Host dann eine Firewall laufen lassen.
Angenommen, ich hab die VM über den Modus 'Bridged Network' angebunden, dass heißt, ich seh also eine zusätzliche IP Adresse für die VM im Netzwerk. Hab ich evtl ne Chance, das mit einer Windows-Firewall-Regel hinzubekommen, indem ich z. B. alle ausgehenden Verbindungen von der IP Adresse ins lokale Netzwerk unterbinde?
Mit dem Adapter im bridged mode kriegst du über das Host-System keine Firewall zwischen VM und Netz. Das geht jedoch im host-only mode und dem Host-System als Router/Firewall.
:
Bearbeitet durch User
Um das richtig zu trennen brauchst du eine zweite netzwerkkarte (physisch oder als vlan) die über einen isolierten router ins internet kommt. Mit einer fritzbox geht sowas nicht mit boardmitteln. Du könntest zB eine pfsense firewall oder sophos utm als dedizierten router verwenden. Die fritzbox dient dann nurnoch als access router. Für so ein vorhaben braucht man allerdings tiefere netzwerkkentisse..
Hm, schade. Wie würde das denn theoretisch mit dem Host-System als Router gehen? Bräuchte ich für den Host (Win 7) dann noch irgendeine Software, oder geht das mit Boardmitteln?
Ja das geht...die Fritzbox muss dann halt direkt am Router hängen und dahinter dein Heimnetz. Allerdings um das sicher zu bekommen wirst du dir einiges anlesen müssen. Daher ist eine fertige firewall/utm lösung das sinnvollste.
Dieter schrieb: > Angenommen, ich hab die VM über den Modus 'Bridged Network' angebunden, > dass heißt, ich seh also eine zusätzliche IP Adresse für die VM im > Netzwerk. Hab ich evtl ne Chance, das mit einer Windows-Firewall-Regel > hinzubekommen, indem ich z. B. alle ausgehenden Verbindungen von der IP > Adresse ins lokale Netzwerk unterbinde? Ich mache soetwas mit einer pfSense firewall VM. Ich verwende zwar als Hypervisor ein Linuxsystem mit Libvirt und KVM+LXC, aber theoretisch sollte soetwas auch mit Windows gehen. Das Bild im Anhang zeigt, wie man das in deinem Fall einrichten könnte.
So ganz werde ich aus deinem Bild nicht schlau. Ist das eine filternde Bridge statt eines Routers? Sowas geht natürlich auch. Also indem die VM wie gehabt in einem isolierten Segment hängt und entweder der Host oder eine weitere VM als Bridge/L2-Firewall statt Router/L3-Firewall arbeitet. Einfacher wirds dadurch aber eher nicht.
Eine Bridge verhält sich wie ein Switch. Die Idee ist, eine Bridge als Switch für ein DMZ Netz zu verwenden. Die andere Bridge het eine IP und verbindet den Hostrechner, das LAN, und den wan-anschluss der Firewall. Die Firewall ist eine VM, die einen Anschluss in beiden Bridges hat. Eine Verbindung vom Hostsystem oder vom LAN Netzwerk zum Ubuntu Owncloud server verliefe dann zunächst vom PC über die erste Bridge zur Firewall VM, und diese leitet das per NAT über die zweite Bridge zur Ubuntu Owncloud VM. Das Hostsystem kann sich nicht direkt über die zweite Bridge verbinden, weil es darin keine IP usw. hat.
Daniel A. schrieb: > VM, und diese leitet das per NAT über die zweite Bridge zur Ubuntu > Owncloud VM. Das wurde bereits unter host-only networking aufgeführt. Das ist zumindest im Sprachgebrauch von VMware (und IIRC auch VirtualBox) ein auf das Host-System beschränkter Switch, in den der Host selber einen virtuellen Adapter hat, der IP haben kann aber nicht muss. Bei dem, was in diesen Hypervisors bridged networking heisst, hat die VM ein Bein ins LAN, weshalb das nicht in Frage kommt, oder nur mit getrennten VLANs. Eine zweite VM, die ebenso host-only in diesem Switch hängt, aber auch bridged im Hauptnetz, kann dann beide virtuellen Adapter routen (L3, dein NAT). Wobei man diese Firewall auch im L2 fahren könnte, wenn sie das hergibt. Allerdings braucht man diese zweite Firewall-VM nicht, wenn man die Firewall des Hosts verwendet. Die schützt diesen ja auch. Ob/wie das in Windows funktioniert habe ich nicht parat, in Linux dürfte das mit Bordmitteln möglich sein.
:
Bearbeitet durch User
Sieht so aus, als wenn das ganze komplizierter ist, als ich mir das vorgestellt habe. Aber jetzt ist doch mein Ehrgeiz und vor allem meine technische Neugier geweckt. Ich werd mal versuchen, die Owncloud VM ins Host-Only Netzwerk zu hängen, und dann ein Routing ins lokale Netz aufzusetzen. Ich melde mich, wenn ich wenn ich ein Erfolgserlebnis hab, oder nicht weiter komme ;-)
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.