Wie sehen Eure Netzwerke aus?

  • Quote from Artimis;22589


    Ein LAN (lokal area network) ist eine demilitarisierte Zone, die eventuell über ein Gateway nach außen verfügt. Von außen kommt man normalerweise nicht rein.


    vl irre ich mich jetzt, aber ich würde eine dmz sehrwohl von außer erreichbar sehen.


    stehen doch public webserver, mailserver etc. doch in einer dmz, wenn man so will vor dem eigentlichen lan?
    welches nur über router aus dem öffentlichen netz erreichbar ist?

  • @ Ubuntu:
    Das ist relativ. Wenn die FW vernünftig konfiguriert wird, braucht man kein NAT. Und auf dem Router kann man ip6tables oder etwas vergleichbares verwenden, um den Zugriff von außen ganz nach IPv4-LAN-manier zu unterbinden. Und selbst ohne haben die Rechner per Standard eine zufällige, automatisch konfigurierte IPv6-Adresse aus einem 18 Trillionen Adressen großen Raum. Dort muss der Angreifer den Rechner erst einmal finden.
    Nehmen wir mal an, dass er die Adressen durchpingt und nach einem Viertel deinen PC findet. Dann müsste er alleine für das Finden deines PCs 128Petabyte losjagen, denn ein Ping kostet gängigerweise 32Byte. Natürlich kann man das verkleinern, aber man bleibt bei einem Traffic, den ein ganzer Staat verursacht.
    Viel mehr Sorgen würde ich mir um den Datenschutz machen. Wenn jeder Haushalt sein eigenes Prefix hat, ist es ein Leichtes, Nutzungsprofile zu erstellen.


    @ slukas:
    Was glaubst du, warum der DMZ-Server so heißt? ;) Es ist ein Server in der demilitarisierten Zone. Also eigentlich ein Prinzipienbruch.
    Mit DMZ selbst ist das LAN gemeint, wo man von außen KEINEN zugriff erhält. Nur der DMZ-Server tanzt dort aus der Reihe. Zugegeben: Die Bezeichnung ist verwirrend.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Quote from Artimis;22595


    @ slukas:
    Was glaubst du, warum der DMZ-Server so heißt? ;) Es ist ein Server in der demilitarisierten Zone. Also eigentlich ein Prinzipienbruch.
    Mit DMZ selbst ist das LAN gemeint, wo man von außen KEINEN zugriff erhält. Nur der DMZ-Server tanzt dort aus der Reihe. Zugegeben: Die Bezeichnung ist verwirrend.


    lan würde ich nicht gleich dmz setzen.
    dmz mag ein subnetz des lans sein, das wiederrum durch firewalls und paketfilter geschützt vor öffentlichen netz ist.


    ich versteh ungefähr das darunter


    öffentliches netz------|FW, Paketfilter...|---DMZ----|FW, Paketfilter|---LAN


    wobei die firewalls und paketfilter zwischen öffentlichem netz und dmz natürlich gewissen verkehr durchlassen, sonst wärs ja sinnfrei.

  • Quote from Artimis;22595

    @ Ubuntu:
    Das ist relativ. Wenn die FW vernünftig konfiguriert wird, braucht man kein NAT. Und auf dem Router kann man ip6tables oder etwas vergleichbares verwenden, um den Zugriff von außen ganz nach IPv4-LAN-manier zu unterbinden. Und selbst ohne haben die Rechner per Standard eine zufällige, automatisch konfigurierte IPv6-Adresse aus einem 18 Trillionen Adressen großen Raum. Dort muss der Angreifer den Rechner erst einmal finden.
    Nehmen wir mal an, dass er die Adressen durchpingt und nach einem Viertel deinen PC findet. Dann müsste er alleine für das Finden deines PCs 128Petabyte losjagen, denn ein Ping kostet gängigerweise 32Byte. Natürlich kann man das verkleinern, aber man bleibt bei einem Traffic, den ein ganzer Staat verursacht.
    Viel mehr Sorgen würde ich mir um den Datenschutz machen. Wenn jeder Haushalt sein eigenes Prefix hat, ist es ein Leichtes, Nutzungsprofile zu erstellen.


    Richtig. Aber für das gibt's Botnetze.

  • 1 Rechner, 3 Notebooks, einen Server mit 1TB RAID-1.
    WLAN mit 300MBits und GBIT-Lan. Dann noch andere kleinere Geräte...


    Als Router einen WNR3500L mit DD-WRT.
    Ansonsten noch einen WRT54GL, ebenfalls mit DD-WRT :)

  • Quote from freepers;22605

    1 Rechner, 3 Notebooks, einen Server mit 1TB RAID-1.
    WLAN mit 300MBits und GBIT-Lan. Dann noch andere kleinere Geräte...


    Als Router einen WNR3500L mit DD-WRT.
    Ansonsten noch einen WRT54GL, ebenfalls mit DD-WRT :)


    hast du den WRT54GL gemoddet?

  • Ich habe daheim folgendes:
    4x Tower (LAN)
    2x Notebbok (WLAN)


    Ein Speedport mit einen LAN-Slot und Wlan ist vorhanden.


    An dem Speedport hängt ein Switch. An dem Switch hängen die 4 Lan-Rechner und ein Access-Point, der per Lan-kabel ins Obergeschoss geht, um auch dort problemlos W-Lan zu erhalten. Haben also 2 Wlan Spots im Haus ^^

  • Sorry, wenn ich nochmal dazwischen-OT-e,
    wenn ein Mod Lust hat, könnten wir es gerne auslagern ;)


    @ slukas: Dein Schaubild ist nicht richtig. Ein LAN ist mitnichten ein Teil einer DMZ. Es ist eine Art einer DMZ.


    Ein LAN ist schlicht und einfach ein Netzwerkbereich, egal, wo und wie er aufgebau ist, ob zu Hause oder quer durch das Internet verteilt, ob mit LAN-Kabeln, WLAN, Steckdosen, Telefonleitungen, DSL-Verbindungen, ISDN/56k-Dialups oder Walkie-Talkies, der mit lokalen Adressen (im IPv4-Bereich sind das 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 sowie 169.254.0.0/16 als Link-Local) kommuniziert. Die Schnittstelle zwischen WAN und LAN ist mitnichten ein Paket-Filter, sondern einfach ein NAT-Gateway. Ein Paket-Filter ist nicht nur unnötig, sondern auch sehr ungewöhnlich. Verbreiteter sind da NAT-Regeln.


    Ein WAN hingegen ist ein Netzwerkbereich, in dem mit global gerouteten Adressen kommuniziert wird. Nach der Einführung von IPv6 wird das im Normalfall auch der Heimbereich sein. Es sei denn, man legt dennoch Wert auf ein Netz aus lokalen Adressen (fc00::/7), was aber in den allermeisten Fällen völlig unnötig ist.


    Eine DMZ nun ist ein Bereich, den man von außen nicht ohne weiteres erreichen kann. Das kann durch ein Paketfilter geschehen, der eingehende Pakete zu den internen globalen Adressen verwirft, oder durch ein NAT-Gateway, da die internen Adressen schlicht nicht global erreichbar sind.


    So, das musste nochmal gesagt werden. Nicht, dass man die doch recht wesentlichen Begriffe durcheinanderwirft.


    Ach ja: Und kein Botnetz schafft Petabytes. Erst recht nicht, um einen einzelnen Privat-Haushalt zu scannen. Die einzigen Schwachstellen sind manuell konfigurierte Netze mit einfachen globalen IPv6-Adressen (z.B. <Prefix>::1) oder bösartige Hosts, zu denen man sich vorher selbst verbunden hat.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Artimis: Ich habe ja gar nichts gesagt in sachen DMZ?


    Morgen kommt mein Router zurück aus der RMA. Möchte ihn eigendlich als Booster einsetzen, jedoch glaube ich nicht, dass er das kann :(
    Nie wieder ZyXEL, nur noch Linux.

  • @ Ubuntu: Sorry, habe dich verwechselt.


    @ slukas: Exakt das habe ich zum Thema DMZ behaupet. Entweder durch einen Paketfilter oder durch eine nicht vereinheitlichbare IP-Adressierung wird es geschaffen. Ein LAN ist _eine_ Art einer DMZ.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Quote from ubuntu;22609

    hast du den WRT54GL gemoddet?


    SD-Karte etc.? Wenn du das meinst, nein. Nur paar eigene Skripte usw.
    Ansonsten reicht der WNR3500L vom Flash her, USB Anschluss auch noch ^^

  • Sorry, wenn ich so blöde frage, aber:
    Können diese WRT54GL überhaupt etwas? Ich meine: Toll, ein Linux läuft darauf. Aber 4MB Flash sind, gelinde gesagt, NICHTS. Selbst die kleinsten Pakete benötigen mehr Speicher. Und 16MB RAM sind auch nicht gerade die Welt, mein NSLU2 kommt mit seinen 32MB zwar gut über die Runden, wenn aber z.B. aptitude läuft, kann man sich auf eine seeehr lange Wartezeit einstellen wegen des Swappens.
    Und von einem USB-Port und einem SD-Schacht sehe ich nichts. Das wäre die Rettung.


    Ich wollte mir nämlich auch eig. einen WRT54GL zulegen, bin dann aber von den sehr schlechten Hardware-Eckdaten abgeschreckt worden.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Ich sag dann mal was zu meinem Netzwerk:


    1. Workstation 1 (Win7), Workstation 2 (WinXP), MSSQL Server (unter XP ;)) und File-Server (Debian) -> uralter Netgear Router -> verkabelt auf Fritzbox 7170 -> Internet (1024/32768)


    2. Laptop, Netbook, Handy, PS3 & Wii -> W-Lan -> Fritzbox 7170 -> Internet (1024/32768)


    Alles über IPv4... und habe auch ersteinmal nicht vor Umzustellen! :)


    Warte aber gespannt auf meine neue Leitung ... 5120/131072 ... soll bald soweit sein! :) Der Betreiber hat nämlich hier so einige Baustellen (gehabt)..


    Und spätestens dann werde ich hier umrüsten!

  • Quote from Artimis;22837

    Sorry, wenn ich so blöde frage, aber:
    Können diese WRT54GL überhaupt etwas? Ich meine: Toll, ein Linux läuft darauf. Aber 4MB Flash sind, gelinde gesagt, NICHTS. Selbst die kleinsten Pakete benötigen mehr Speicher. Und 16MB RAM sind auch nicht gerade die Welt, mein NSLU2 kommt mit seinen 32MB zwar gut über die Runden, wenn aber z.B. aptitude läuft, kann man sich auf eine seeehr lange Wartezeit einstellen wegen des Swappens.
    Und von einem USB-Port und einem SD-Schacht sehe ich nichts. Das wäre die Rettung.


    Ich wollte mir nämlich auch eig. einen WRT54GL zulegen, bin dann aber von den sehr schlechten Hardware-Eckdaten abgeschreckt worden.


    Der Router ist "geil". Von den 4MB sind nur 2,8MB belegt (DD-WRT Standard). Du kannst entweder einen SMB-Ordner mounten oder den SD-Mod installieren. Und mit dem RAM macht er keine Probleme. CPU (200MHz) ist meistens nur 3-5% ausgelastet.


    Ich muss jedenfalls sagen, dass das der beste Router ist, den ich in den letzten 5 Jahren hatte. Die anderen waren alle schrott.


    Übrigens, habe mir jetzt die NSLU2 gesichert bei ricardo.ch für 31€

  • 31€!!! :eek:
    Ich habe 80€ bezahlt und zwar gebraucht :(


    Naja, momentan liebäugle ich mit dem hier. Aber 30€ Porto ist bei 100€ Warenwert doch recht happig. Ich muss wohl auf eine Sammelbestellung warten.


    Ja, das mit dem SD-Schacht anlöten habe ich später auch gelesen. Zur Not kann man die karte ja dann als Swap missbrauchen.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Ne, das Ding wird in DE afaik nicht vertrieben.
    Selbst im Ausland wird es auch nicht als Mini-Computer, sondern als Dev-Kit vertrieben. Der Absatzmarkt ist enstprechend nicht sehr groß.
    Kann man aber auch verstehen, oder? Ich meine, der WRT54 ist immerhin ein Dau-sicherer Router und mit dem NSLU2 kannst du deine Platten ins Netz einbinden. Aber was mit einem Guruplug als Laie?

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de