Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Franta Vomáčka 06. 04. 2018, 12:50:25
-
Ahoj,
co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.
Díky,
Franta
-
Ahoj,
co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.
Díky,
Franta
Co si myslite o kurfu bankovek v aute? Zhlediska bezpecnosti by to melo byt jedno, protoze auto zamykam...
-
No, jaky je realny rozdil v tom, kdyz router pobezi ve VM, oproti tomu, kdy je to separatni krabice venku propojena na LAN s NASem? VM by mela byt plna izolace, ne? Min. oproti libovolnemu autonomnimu utoku, v pripdade cileneho je asi jednodussi mi fyzicky vykrast byt...
-
Franta Vomáčka : pouzi google alebo Wikipedia. Pochop vyznamu slova NAS a ROUTER. Pochop primarne urcenie zariadenia a potom si na tieto debilne primitivne otazky ani nedovolis pomysliet.... a sam si odpovies na
No, jaky je realny rozdil v tom, kdyz router pobezi ve VM, oproti tomu, kdy je to separatni krabice venku propojena na LAN s NASem? VM by mela byt plna izolace, ne? Min. oproti libovolnemu autonomnimu utoku, v pripdade cileneho je asi jednodussi mi fyzicky vykrast byt......
a nediskutuj pokial o tom vies Hov+o. Nehladaj preco by to aj tak islo ked nerozumies pointe.
-
K baráku si asi budeš muset postavit serverovnu, v bytě minimálně rack.
-
A nejaky racionalni duvod, proc to nedelat, nebo proc je to problem by nebyl?
Jde jen on sdileni hardware, tj. duvod, proc vubec cela virtualizace existuje.
-
Franta omáčka : znovu google alebo wiki zodpovedá všetky tvoje otazky. Skús to. Daj www.google.com a tam what is NAS a potom to isté ale NAS zamen za switch. Daj si to v hlave dokopy a neotravuj s debilinami.
-
VM by mela byt plna izolace, ne?
A ta VM bude uložená kde? Jo aha, na tom NASu, kde běžej tři bambilióny služeb, ideálně včetně děravejch PHP sraček typu Nextcloud.
Nebo jinak - virtualizace určitě ano, ale pouze v případě, že fyzicky na tom železe poběží pouze ten hypervisor, ale určitě ne už ten NAS.
-
Ešte skús do google - what is it virtualization. Dostuduj si pasáž o security VM machine a potom sa znova spýtaj ak to stále nebude jasne ale skús tak konkrétnejšie.
-
Chlapi, on chce, aby se mu řeklo - supr nápad.
Takže, běž do toho !!!
...třeba se někdy přizná, jak dopadl :D
I pád na hubu je pohyb vpřed.
-
A nejaky racionalni duvod, proc to nedelat, nebo proc je to problem by nebyl?
Jde jen on sdileni hardware, tj. duvod, proc vubec cela virtualizace existuje.
Jo. Router se stará o zabezpečení a oddělení sítí a to v tom řešení mít nebudeš. Navíc ti ta šaškárna bude zvyšovat latence a snižovat spolehlivost.
-
Co si myslite o kurfu bankovek v aute? Zhlediska bezpecnosti by to melo byt jedno, protoze auto zamykam...
Neztrapnuj se. Klíčové je jaké data bude mít na NAS. Pokud trapnosti typu hudba, filmy a fotky, tak v tom není problém.
Už vidím jak všichni hackeři světa hackují jeho router aby se dostaly k jeho filmům či písničkám, které si stáhnou z uloz.to.
Pokud tam bude firemní účetnictví, výpisy z účtů, smlouvy, plné moci apod.. pak to problém bude.
-
A nejaky racionalni duvod, proc to nedelat, nebo proc je to problem by nebyl?
Co s tím chceš dělat? Kde bude umístěn (topologicky v síti)? Potřebuješ větší bezpečnost v rámci LAN(ů) nebo je to jen domácí použití? Pokud máš i WAN, máš oddělenou krabičku s firewallem (např. coby součást modemu)? ...
-----
Dlouze:
Záleží na bezpečnosti, tedy co bude chtít člověk routovat a jak moc bezpečné to potřebuje mít.
Pokud to chceš např. jen na čistě oddělení lokálních sítí po baráku (např. zvlášť IoT-like věci, zvlášť desktopové LAN na lan party, ...), bez připojení ven, tak naprosto bez problému. Pokud bys tím chtěl i routovat provoz do NIXu, tak stoprocentně ne. A pak máš 1000+1 případů mezi tím, kdy to nejspíše ještě stačí a kdy už asi ne. Vše jen z pohledu bezpečnosti.
Bez podrobností je to jen hádání z křišťálové koule, kde si obvykle každý z diskutujících dosadí jeho typický příklad jeho routování a možných typů útoků a dle toho radí ano-ne.
-
xxxxx: Predstava je takova - 1 HP microserver, nad tim KVM hypervisor. Ve VM FreeNAS a virtualka s routerem. 2 fyzicke sitovky - jedna WAN, mapovana primo do VM s routerem, druha na virtualni switch, kam je pripojen i LAN routeru a NASu. Venku jen obyc AP se switchem (mam Tplink 1043 s openwrt, ale moc nezvlada IPv6 tunel, proto to chci presunout na ten server).
-
xxxxx: Predstava je takova - 1 HP microserver, nad tim KVM hypervisor. Ve VM FreeNAS a virtualka s routerem. 2 fyzicke sitovky - jedna WAN, mapovana primo do VM s routerem, druha na virtualni switch, kam je pripojen i LAN routeru a NASu. Venku jen obyc AP se switchem (mam Tplink 1043 s openwrt, ale moc nezvlada IPv6 tunel, proto to chci presunout na ten server).
Aha, takže kvůli IPv6 tunelu. Tak to bych základ (IPv4) nechal na tom TPLinku a tuneloval 6ku z toho železa. Jenom hol pude 4ka na jinou (fyzickou) gateway než 6ka... Hop navíc si vadit nebude, tunel se taky musí někde vybalit a LANka do HP je násobně rychlejší, než marný pokusy ISPíka vymlátit z tebe víc prachů za rychlost...
-
Můj odhad (obecně, neřeším tunely, účelnost, ...):
Řekl bych, že z pohledu bezpečnosti by mohlo stačit, pokud je to pro domácí použití. Tedy pokud se útočníkům nevyplatí se tam složitě vloupávat, protože /pro ně/ nebude nic moc hodnotného.
Možná i pro malou firmu (o max. pár lidech == nic moc obrat/zisk), pokud na tom nechcete dělat větší přístupy zákazníků zvenku, by to mohlo stačit. Pokud tedy pravidelně (řekněme jednou týdně) archivujete/zálohujete důležitá data, s uložením offline, mimo LAN dostupnost. Pro malou firmu se obvykle nevyplatí se tam vloupávat pro účetnictví a podobně (výkupné nezaplatí, když interní data utečou či jsou zničena, je to sice nepříjemné, ale dá se žít, !když je archiv bokem!).
Pro něco většího už raději oddělit i fyzicky.
-
Můj odhad (obecně, neřeším tunely, účelnost, ...):
Řekl bych, že z pohledu bezpečnosti by mohlo stačit, pokud je to pro domácí použití. Tedy pokud se útočníkům nevyplatí se tam složitě vloupávat, protože /pro ně/ nebude nic moc hodnotného.
Možná i pro malou firmu (o max. pár lidech == nic moc obrat/zisk), pokud na tom nechcete dělat větší přístupy zákazníků zvenku, by to mohlo stačit. Pokud tedy pravidelně (řekněme jednou týdně) archivujete/zálohujete důležitá data, s uložením offline, mimo LAN dostupnost. Pro malou firmu se obvykle nevyplatí se tam vloupávat pro účetnictví a podobně (výkupné nezaplatí, když interní data utečou či jsou zničena, je to sice nepříjemné, ale dá se žít, !když je archiv bokem!).
Pro něco většího už raději oddělit i fyzicky.
Přesně. Když bude poctivě zálohovat s jednou off-site kopií, je těžký si představit domácí data, kterým by ta neúplná bezpečnost významně vadila.
-
Franta omáčka : znovu google alebo wiki zodpovedá všetky tvoje otazky. Skús to. Daj www.google.com a tam what is NAS a potom to isté ale NAS zamen za switch. Daj si to v hlave dokopy a neotravuj s debilinami.
Ty budes Slovak co si do Cech jeste neprisel pro zakladni vzdelani.. chce NAS + router..a ne NAS + switch..
-
... je těžký si představit domácí data, kterým by ta neúplná bezpečnost významně vadila.
To zas tak tezkE neni. Spousta lidi ma ulozena hesla ke vsemu moznemu i naskenovane dokumenty vseho druhu.
-
... je těžký si představit domácí data, kterým by ta neúplná bezpečnost významně vadila.
To zas tak tezkE neni. Spousta lidi ma ulozena hesla ke vsemu moznemu i naskenovane dokumenty vseho druhu.
A jistě je mají v otevřeném textu, že?
Offline dešifrování veracryptového kontejneru zajisté možné je, ale nestojí to za námahu.
-
Ahoj,
co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.
Díky,
Franta
Obecne, router - firewall klidne virtualizovany byt muze. Pokud wan sitovy adapter vyhradis jen pro router tak neni problem. Treba na hyper-v to bezne delam a je to obecne uznavana vec. Druha vec ne primo tvoje reseni kdy zaklad je freenas. Myslim ze tady na foru evidentne neni nikdo kdo tomu rozumi. Ale pokud je adapter vybrazeny ... .
-
Ahoj,
co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.
Díky,
Franta
Obecne, router - firewall klidne virtualizovany byt muze. Pokud wan sitovy adapter vyhradis jen pro router tak neni problem. Treba na hyper-v to bezne delam a je to obecne uznavana vec. Druha vec ne primo tvoje reseni kdy zaklad je freenas. Myslim ze tady na foru evidentne neni nikdo kdo tomu rozumi. Ale pokud je adapter vybrazeny ... .
Já mám jen problém uvěřit, že to bude mít ve firemním nasazení stejnou propustnost. Přeci jen desítky Gbps jsou trochu něco jiného,než domácí DSLko.
-
Ale pokud je adapter vybrazeny ... .
Já se vždy bál, že tím rozšířím možnosti pro úspěšný útok. Jeden nikdy neví. Pokud by se povedlo cokoli nepěkného provést s mašinou jako celkem (hw) - a to ne nutně průnik a ukradení dat z dalších virtuálů - tak tím mohou kleknout (či jinak znepoužitelnit) všechny virtuály. A pokud by byly (zde NAS) intenzivně využívané, tak firma stojí. V takovém případě to už většinou stojí za samostatný kus hw, mimo DMZ. Pokud budou ostatní virtuály používané méně intenzivně a nezablokuje se jejich výpadkem hromadně běžná práce firmy jako celku, tak není problém.
Nevím. Myslíš, že to už přeháním a je to zbytečné (pro daný use case)? (To je reálná otázka, ne řečnická)
-
A) Virtualizace odděluje vlákna
B) Stávající architektury jsou zranitelné na úrovni HW z virtuálu se dá utéct
C) Doma bych se tím netrápil, hlavně pokud bude primární instalace PFsense
Z mého pohledu:
- šel do toho
- postaral se, aby minimálně WAN síťová karta byla samostatná a s ničím nesdílená
- tolik se toho nebál
Tedy:
Filmy a ptákoviny bych tomu klidně svěřil.
Vlastní XXX produkci měl raději někde mimo :-D
-
A) Virtualizace odděluje
vlákna stroje
-
Ahoj,
co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.
Díky,
Franta
Obecne, router - firewall klidne virtualizovany byt muze. Pokud wan sitovy adapter vyhradis jen pro router tak neni problem. Treba na hyper-v to bezne delam a je to obecne uznavana vec. Druha vec ne primo tvoje reseni kdy zaklad je freenas. Myslim ze tady na foru evidentne neni nikdo kdo tomu rozumi. Ale pokud je adapter vybrazeny ... .
Já mám jen problém uvěřit, že to bude mít ve firemním nasazení stejnou propustnost. Přeci jen desítky Gbps jsou trochu něco jiného,než domácí DSLko.
Záleží co myslíš tim "firemním nasazení". Může být firma o sto pc a internet nemusí být vytížen protože ho prostě lidi používaji jen k práci a tak tam cestují jen emaily a účetní leze do banky. A pak je firma o deseti pc s druhou pobočkou o deseti a internet potřebují pořát protože je tam VPN tunel ... .
Ale obecně tvrdit něco do desítkách Gb je nesmysl.
-
Ale pokud je adapter vybrazeny ... .
Já se vždy bál, že tím rozšířím možnosti pro úspěšný útok. ...
Obecně virtualizace je naprosto běžná věc i v komerčním prostředí. Nechoďme daleko, vem si virtualizované vps - neni problém.
-
Ahoj,
co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.
Díky,
Franta
xxxxx: Predstava je takova - 1 HP microserver, nad tim KVM hypervisor. Ve VM FreeNAS a virtualka s routerem. 2 fyzicke sitovky - jedna WAN, mapovana primo do VM s routerem, druha na virtualni switch, kam je pripojen i LAN routeru a NASu. Venku jen obyc AP se switchem (mam Tplink 1043 s openwrt, ale moc nezvlada IPv6 tunel, proto to chci presunout na ten server).
Ahoj,
ted jsem trochu zmateny jak to vlastne mas vymyslene. Chces mit KVM a pod tim FreeNAS a v nem dalsi VM ?
Obecne se nedoporucuje FreeNAS nechat bezet jako VM. Nicmene to tak par lidi dela ale vetsinou jako test prostredi.
Ohledne zkusenosti v produkci musis projit jejich forum.
Jeden starsi artikl na toto tema http://www.freenas.org/blog/yes-you-can-virtualize-freenas/
Ve FreeNASu samozrejme pojedou virtualky, bhyve se dostal do pouzitelne formy. V pripade potreby se to da jeste ohnout a rozbehat virtualbox jako jail coz neni moc idealni.
PFsense mi bezi jako VM a pouzivam jej jen jako radius a nic vice. Casem jej vymenim za radiusdesk, ktery se mi libi vice...
Obecne by FW a storage s dulezitymi daty nemel byt na stejnem zeleze. Je to doporuceni. Posledni chyby objevene v CPU, ktere ani nemusi byt posledni ukazuji, ze virtualizace neni zarukou oddeleni.
PFsense ve freenasu se resi zde a v dalsich vlaknech. Argumenty pro a proti se vesmes opakuji.
https://forums.freenas.org/index.php?threads/pfsense-router-setup-advice.59268/
Jak uz nekteri uvadeli, ze je mrhani casem takovy system napadnout, kdyz tam nic ceneho neni a v pripade potreby se udela obnova ze zalohy.
1) I ta obnova cloveka otravuje a komplikuje zivot
2) Je pravda, ze zkuseny clovek asi nebude mrhat casem napadnout neco, kde neni nic cenneho. Mrhat casem ale budou ruzni "script kiddies" s tim jak poroste dostupnost "ready to use" toolu a take vyvoj kryptomen... ;-)