Forum: PC Hard- und Software Frage zu Netzwerk: Ein Server in 2 LANs - gute Idee?

Moin, -

so richtig nachdenken will ich nicht, aber: Du hast zwei unabhaengige 
Gateways. Du musst Dir natuerlich Gedanken machen wie Du die zwei 
unabhaengige Datenstroeme zu Deinem Server routest (Sp?) und, je nach 
Interface, in der Firewall routen. Undankbar. Den Kunden eine andere 
Loesung vorschlagen.

Welches Betruebssystem wird benutzt?

Gruesse

Th.

Warum nicht Router 2 weglassen und alles mit dem Server machen?

Kein Problem.

Besonders dann nicht wenn der Server 2 Netzwerkkarten hat.

Das mache ich mit meinen PC genau so.

Gerd E. schrieb:
> Ich kann die IP 192.168.10.2 des Servers in der Skizze noch nicht so
> ganz zuordnen, die scheint mir nicht zu Deiner Beschreibung zu passen.

Ich denke das ist ein Zahlendreher beim Server. Das muss da 192.168.2.10 
heißen. Was funktioniert aber nicht üblich ist. Üblich ist, das die 
Server immer die letzte Stelle der IP ne 0 ist.

Kein Problem. Ich nehme mal an (die Info fehlt), dass Linux drauf läuft.

Je eine Netzwerkkarte in ein Netzwerk, IP zuweisen. Jeweils das korrekte 
Gateway und Nameserver eintragen.

Auf Server alle Dienst starten, die es braucht.

Pro Dienst kannst in der Regel eh schon Zugriffsrechte eintragen, wer 
drauf darf.

Zusätzlich eine Firewall z.B. Shorewall installieren, damit kannst 
dediziert die IPTables einstellen und definieren, wer wie wo drauf 
zugreifen darf.

Mehr ist nicht zu tun.

Frank E. schrieb:
> Ich bin der Ansicht, dass das so möglich sein sollte, ein sog. Loop
> dürfte nicht entstehen, solange man nicht explizit eine Routig-Funktion
> zwischen den beiden NICs auf dem Server aktiviert (was nicht vorgesehen
> ist), oder?

Ja, das ist soweit korrekt.
Die Dienste sollten dann sinnvollerweise auch nur an das Interface 
gebunden werden, das in dem Netz hängt, in dem sie gebraucht werden. 
Aber DB & Fileserver sollte das kein Problem sein. Was es mit dem RDP 
Service auf sich hat, weiß ich allerdings nicht - kenne ich nicht.

Zum Thema Sicherheit:

Natürlich findet kein Routing auf dem Server statt. Ein Client im Netz A 
kann also keine Route konfigurieren, die über den Server in Netz B 
führt.

Aber: Wenn jemand aus Netz A Zugriff auf den Server erlangt (gewollt 
oder ungewollt), dann kann er von dort aus in Netz B springen.
Über diesen Weg könnte man sich z.B. auch SSH Tunnel definieren, die 
dann zu einen Host im Netz B führen.

Routing ist also ggf. nicht das einzige Risiko.
Kann man natürlich auch alles als nützliches Feature sehen.

Ist vielleicht die Frage, wie strikt die beiden Netze getrennt werden 
sollen.

Ich schliesse meine Server im allgemeinen per tagged VLAN an.
Dann kann ich mir aussuchen, in welchen LANs sie etwas tun sollen.
Das kann dann auch ein Dutzend werden und nicht nur 2.

Die gezeigte Möglichkeit ist möglich, aber nicht wirklich ein 
Sicherheitsgewinn.

Wenn ich dies so richtig sehe, hängen dann beide Netze an einem WAN 
(Internet?). Also sind beide Netze vergleichbar angreifbar. Ja, man 
könnte jetzt Haare spalten und argumentieren, dass ja ggf. nur ein Netz 
gehackt würde, aber:

1. Wer garantiert dir, dass nur das "weniger kritische Netz" gehackt 
würde?

2. Wenn alle Dienste, ohne Trennung durch VM, eh auf dem gleichen System 
laufen, ist das völlig wumpe, ob das offiziell "weniger kritische Netz" 
gehackt würde. Der Angreifer hätte im Zweifel so oder so, dann den 
Zugang zum ganzen System.

Ja, auch VM sind nicht absolut sicher (siehe Meltdown usw.), aber wären 
dennoch ein Sicherheitsgewinn, da ein Ausbruch aus einer VM viel mehr 
Aufwand erfordert.

Dann bliebe noch das Problem, dass beide Netze identisch am gleichen WAN 
hängen. Das kann man so eigentlich nur mit VLANs und Firewalls so 
trennen, dass der ganze Aufwand ein echter Sicherheitsgewinn ist.

Plumper Vergleich: Du versuchst deine Luxuskarre im Ghetto dadurch zu 
schützen, dass du zwei verschiedene Schlösser in die Türen baust.

Michi schrieb:
> Aber: Wenn jemand aus Netz A Zugriff auf den Server erlangt (gewollt
> oder ungewollt), dann kann er von dort aus in Netz B springen.
> Über diesen Weg könnte man sich z.B. auch SSH Tunnel definieren, die
> dann zu einen Host im Netz B führen.

Sind schon über den router 2 verbunden.
Wenn man die Wahl hat zwischen Gammel Firmware auf router und aus VM 
ausbrechen lautet die Antwort fast immer Router Firmware.

Zum technischen: Ein Server mit mehren Interfaces zu betreiben ist 
nichts besonderes. Wenn es ordentliche Netzwerkkarten sind brauchst du 
nicht zwei dafür sondern kannst das alles über eine laufen lassen.
Wenn Router 2 gut genug ist und deine Netzwerkkarte ebenfalls reicht dir 
sogar nur ein Kabel vom Router 2 zum Server.

Frank E. schrieb:
> Genau genommen soll der Server für LAN1 als DB- und Fileserver dienen,
> für LAN2 soll die RDP-Funktion zur Konfiguration und Wartung von Geräten
> (z.B. per Browser/WebGUI oder SSH) dienen.

Geht. Aber obacht: Linux folgt dem "weak host model", soll heissen ein 
Dienst auf deinem Server, der nur auf eines der Netze lauscht, ist 
dennoch auch aus dem anderen Netz erreichbar. Das kann aber mit iptables 
abgedichtet werden.

LG, Sebastian

> Das setzt aber auch Switche voraus, die das unterstützen

Wie willst du etwas virtualisieren, wenn die Infrastruktur
dafuer fehlt. VLANs sind da ein zentrales Instrument.
VLAN-faehige Switche sind seit 2 Jahrzehnten handelsueblich.

Die Trennung auf 2 Netzwerkkarten kannst du dir da dann auch sparen.
Das selbe laesst sich einfacher mit Aliasen einrichten.
Mehr Sicherheit bieten 2 Netzwerkkarten dann naemlich auch nicht.

@Frank E.
Deine Idee würde ich so auch vorschlagen. Nur den 2. Router würde ich 
rausnehmen. Für welchen Zweck hattest Du diesen gedacht?

VLan sind hilfreich, um das Netzwerk zu segmentieren, um die Buchhaltung 
von der Entwicklungsetage datenschutzrechtlich zu trennen. Und wenn die 
Räumlichkeiten vieleicht eh schon sinnvoll getrennt sind, helfen Dir die 
2 Netzsegmente ungemein.

2 Nic's am Server sind auch okay. Da kann man hier bereit den Traffic 
trennen. Wenn nur Doc's und mails geschoben werden würde ein Lan 
reichen, wenn aber 'richtiger' Traffic läuft, bedankt sich der Server, 
dass er die Arbeit auf 2 Lan's verteilen kann.

Wenn es nur ein kleines Netzwerk ist, ist das vieleich 'overdrive'.
Wenn da aber >50 Teilnehmer dran hängen, wäre es wieder sinnvoll mit 2 
Segmenten zu arbeiten.

Warum ist "Router 2" mit beiden Netzen verbunden?

(prx) A. K. schrieb:
> Schlaumaier schrieb:
>> Üblich ist, das die Server immer die letzte Stelle der IP ne 0 ist.
> Es gibt zwei Adressen im Subnetz, die man nicht für Geräte verwendet.

Sage besser "nicht verwenden darf", einen Host mit x.x.x.0 /24 wird man 
im Netzwerk niemals erreichen können. Schlaumaier haben andere Netze, da 
geht das :-)

> Die eine hat nur Einsen und steht für Broadcasts,

Ist nett für Syslog im Heimnetz: Mein Router schickt UDP an 
192.168.xxx.255 /24, damit kann jeder PC im Netz dessen Ausgaben 
empfangen.

Frank E. schrieb:
> Die IP 192.168.10.2 in der Grafik ist tatsächlich ein Tippfehler, muss
> 192.168.2.2 heissen.

Mir ist total unklar, was Dein "Router 2" soll. Im Prinzip würde der 
doch beide Netze verbinden, wenn man ihm das nicht per Regelwerk 
untersagt. Andererseits, wenn der eh beide Netze hat, kann er diese auch 
routen und der Server braucht kein zweites Netz.

max schrieb:
> Ein Server mit mehren Interfaces zu betreiben ist
> nichts besonderes. Wenn es ordentliche Netzwerkkarten sind brauchst du
> nicht zwei dafür sondern kannst das alles über eine laufen lassen.

Die muß nicht 'ordentlich' sein, Windows kann jeder Netzwerkkarte 
mehrere IPs zuweisen.

Egal, ob eine oder mehrere Netzwerkkarten, man muß vermutlich manuell 
Netzwerkrouten anlegen. Solange man im selben Netz bleibt, ist alles 
gut, will man aber raus (WAN), muß der Weg definiert werden.

Ich habe einen PC betrieben, der über LAN und WLAN in zwei getrennte 
Netze greifen konnte, ein Hexenwerk war das nicht. Es ist aber dafür 
gut, dass der Admin rote Flecken im Gesicht bekommt, weil es seine 
sichere Trennung unterläuft.

Bedenke:
Auch wenn Dein Server kein Routing zwischen den beiden Netzen vornimmt 
und die Clients ihn nicht als Gateway in das jeweils andere Netz 
verwenden können, hängt der Server jedoch in beiden Netzen.

Jeder, der Zugriff auf den Server erlangt, gewollt oder ungewollt, 
könnte ihn verwenden um von dort in das jeweils andere Netz zu springen.
Beispielsweise mit einem SSH Tunnel.

Sollte Deine Netztrennung also sicherheitstechnische Gründe haben, dann 
würde ich empfehlen, mindestens mit zwei virtuellen Maschinen zu 
arbeiten und die Dienste getrennt bereit zu stellen.

Wenn die Netze nur aus organisatorischen Gründen getrennt sind, dann 
kann man das schon so machen, wie Du es oben beschrieben hast. 
Sinnvollerweise mit zwei Netzwerkkarten - nicht mit zwei Adressen auf 
einem Interface.
Bei DB- und Fileserver Anwendungen ist ja auch Durchsatz gefragt...

Die Skizze im ersten Beitrag halte ich für sehr suboptimal.

So wie ich das lese, soll Windows benutzt werden, weil RDP genannt 
wurde? -> In dem Fall würde man auf den Server per RDP zugreifen, und 
von dort aus per SSH Geräte warten? - Das wäre keine wirkliche 
Sicherheit...

Es ist mir jetzt zu mühsam, die ganzen Optionen durchzugehen, deshalb 
stelle ich mal Prinzip vor, wie ich es selbst praktiziere:

Es gibt (natürlich) ein Admin-Netzwerk, weil ja irgendwer die Geräte 
warten muss. Und das zeichnet sich dadurch aus, dass auf dem Rechner, 
von dem aus gewartet wird, natürlich kein Youtube geschaut, Emails 
geöffnet, oder sonstiger Humbug veranstaltet wird, sondern dass er ein 
stets aktualiserter, sehr schlank gehaltener Linuxrechner ist.

An jedem Gerät ist eine Schnittstelle mit dem Admin-Netz verbunden, und 
an allen anderen Schnittstellen ist die Konfiguration geblockt.

Beim Server bedeutet das natürlich, dass z.B. der BMC im Admin-Netz ist.

Bei Geräten ohne separate Konfigurationsschnittstelle ist der Zugriff 
über einen Router möglich.

Was das nun praktisch für Deinen Use-Case bedeutet:
1. Server hernehmen (am besten mit BMC, aber nicht unbedingt nötig)
2. Erste Schnittstelle für das Hostsystem nehmen (am besten ein gut 
gewartetes Linux, mit dem üblicherweise Server laufen) - SSH-Port offen, 
rest zu. (BMC-Schnittstelle und 1. Schnittstelle ans Admin-Netz.
3. Auf dem Admin-Rechner virt-manager installieren
4. Auf den Server per SSH verbinden und den Libvirt-Dienst starten und 
in das Image-Pool-Verzeichnis von Libvirt das ISO für die VM laden. 
(wget + URL)
5. Auf dem Admin-Rechner in Virt-Manager eine VM zusammenklicken und das 
ISO installieren. Beim Netzwerk der VM macvtap über die zweite 
Netzwerkschnittstelle wählen. Somit läuft der Server über Schnittstelle 
1, die VM über Schnittstelle 2. Hier kann man auch die virtuelle 
VM-Festplatte verschlüsseln und eventuell RAM-Verschlüsselung 
einschalten, wenn der Prozessor das unterstützt, damit beide Systeme 
übereinander machtlos sind (weiß aber nicht, wie das bei virt-Manager 
geht.)
6. In der VM SAMBA-Server aufsetzen und Datenbank installieren.
(7. Weitere Netzwerkkarte kaufen und für jeden Dienst getrennte VMs 
nutzen)
(8. Statt VMs Docker-Container nutzen - macht in dem Fall aber nicht so 
viel Sinn bei nur 2 Diensten)

Das ganze lässt sich folgendermaßen warten: Vom Admin-Rechner auf Server 
per SSH und vom Server auf die VMs per SSH. In den VMs muss natürlich 
die Firewall entsprechend eingestellt werden (üblicherweise FirewallD)

Kleine Ergänzung: Die VM-Images können dann jeweils nach Betriebsschluss 
über VPN zu einem anderen Standort gebackuped werden. (VM anhalten und 
rsync auf virtuelle HDD)

Läuft bei mir genauso wie auf dem Bild absolut tadellos. Unter Debian - 
DHCP lauscht auf beiden Nics und vergibt dort die jeweiligen IPs. Die 
einzigste Route die du benötigst, wenn sie die zwei Netze sehen sollen, 
ist zwischen den beiden Netzen.

PS.: natürlich ohne VM Gequarke.

Draconix schrieb:
> Läuft bei mir genauso wie auf dem Bild absolut tadellos. Unter
Natürlich läuft das - es lief bisher sehr viel, was ich in meinem Leben 
gesehen habe, insbesondere auch Quelltext. Allerdings - bei den meisten 
Dingen, die irgendwie liefen, sträubten sich mir bisher die Haare zu 
berge, weil vorprogrammiert war, dass sie irgendwann nicht mehr laufen. 
Bis vor 10 Jahren war das ja auch ausreichend. Gab nicht so viele 
Angreifer. Heutzutage, wo fast 90% der Firmen laut Bitcom im letzten 
Jahr Opfer eines Angriffs auf die IT wurden, ist es nicht mehr 
ausreichend, wenn der Wagen rollt. Er braucht Airbags, ABS, Gurte etc.

Ich schätze, dass der File- und DB-Server in einem Netz mit Windows 
10-Daus hängt, zusammen mit einigen IoT-Geräten, die schon zum Kaufdatum 
ungepatchte Sicherheitslücken aufwiesen und nie geupdated wurden - so 
ist es leider meistens.

Weil das eine Netz nicht vertrauenswürdig ist, würde ich das Szenario 
nicht empfehlen.
Dann kann jemand über den DB-Server oder den Fileserver einbrechen und 
hat direkt Zugriff auf die komplette Hardware und kann den jeweils 
anderen Dienst mit lahmlegen (z.B. verschlüsseln).
Fügt man Dienste hinzu (z.B. interner Doku-Webserver), multipliziert 
sich dieses Risiko. Ich möchte nochmal in Erinnerung rufen, dass ein 
Fehler im SMB-Protokoll für die WannaCry-Angriffe verantwortlich war!
Außerdem können Updates auch alle Dienste zerschießen, wenn alle auf der 
gleichen Betriebssysteminstanz laufen.
Ein Backup und Zurückspielen der Dienste ist so auch mit größerem 
(Zeit-)Aufwand verbunden als wenn jeder Dienst eine eigene VM (oder 
einen Docker-Container) hat.

Christian H. schrieb:
>> Sage besser "nicht verwenden darf", einen Host mit x.x.x.0 /24 wird man
>> im Netzwerk niemals erreichen können. Schlaumaier haben andere Netze, da
>> geht das :-)
>
> In 192.168.2.0/23 ist die 192.168.3.0 eine gültige Adresse.

Klugscheißer und Nichtleseversteher!

In diesem Thread sind /24-Netze benannt und ich schrieb ebenfalls /24, 
da geht kein Host mit 192.168.xxx.0.

Draconix schrieb:
> PS.: natürlich ohne VM Gequarke.

Was soll den VM Gequarke sein?