Fórum Root.cz

Hlavní témata => Server => Téma založeno: BobPage 04. 05. 2021, 11:45:37

Název: Router a Server v jednom
Přispěvatel: BobPage 04. 05. 2021, 11:45:37
Ahoj,
chtěl bych navázat na téma "NFS na routeru" (https://forum.root.cz/index.php?topic=24665 (https://forum.root.cz/index.php?topic=24665)), kde je tazatel odrazován od instalace NFS na router.
V současnosti něco takového provozuji a zajímalo by mne jak to tedy udělat z pohledu bezpečnosti lépe.

Mám jeden server (HP MicroServer Gen8), který mi dělá router/NAS a poskytuje další služby dostupné jak po LAN, tak přes internet. (Bavíme se o domácím použití)

Na serveru mi momentálně běží tyto služby:
Router: DHCP, DNS
Ze serveru bootuje HTPC: DHCP, TFTP, webserver(NGINX), NFS
NAS pro lokální síť: Samba, NFS
"web s fotkami": KVM VM (unvitř Piwigo (PHP), NGINX, MariaDB)
reverzní proxy pro "web s fotkama": NGINX
pár "trusted" kontejnerů: LXC
Databáze pro Digikam: MariaDB
vzdálený přístup: SSH, OpenVPN
Do budoucna jsem plánoval nasadit NextCloud a mít ho mít ve VM (právě kvůli bezpečnosti), stejně jako "web s fotkami"
 
Server má veřejnou IP adresu, do internetu je vystaveno pouze SSH, OpenVPN, HTTP(s).

Pro Wifi síť používám starší AP s OpenWRT (TP-Link TL-WDR3600), ale myslím že aktualizace ještě vycházejí.

Teď tedy otázka jak zlepšit bezpečnost? Pomohlo by mi kdybych jako router dal ten TP-Link? (Stejně bych pak asi forwardoval porty na server, takže nevím jestli by to na bezpečnost mělo vůbec vliv nebo jestli to není naopak ještě větší díra).
Pomohlo by na server nasadit třeba Proxmox a snažit se provozovat router a ostatní věci odděleně ve VM? (Má to smysl, když cpu neumí vt-d a síťovka tedy nepůjde přiřadit přímo do VM, ale zůstane v hostiteli?)

Toto řešení už provozuji několik let a zatím jsem nezaznamenal žádný incident. Ale to samozřejmě neznamená, že je to ideální. Budu proto rád pokud se někdo podělí jak bezpečnost zvýšit (ideálně pokud to nebude stát moc peněz a žrát moc energie  :D).

Díky




Název: Re:Router a Server v jednom
Přispěvatel: joint007 04. 05. 2021, 12:07:58
Původní diskuzi jsem viděl jako obsesi profíků, co se snaží všechno dělat "správně", ale nevidí skrze svou sociální bublinu. :-)

Mít více vrstev ochrany, jako virtualizace, kontejnerizace či segmentace sítě, je dobrá věc, útočníkovi to minimálně ztíží práci.

Pokud máš vše správně nastavené, nic moc ti nehrozí.
Pokud má někdo přístup k hlavnímu síťovému prvku, kudy teče všechen můj provoz, je to pro mě větší zlo, než když si začne číst změť šifrovaného bordelu, co najde na síťovém úložišti..

EDIT:

Pomohlo by na server nasadit třeba Proxmox a snažit se provozovat router a ostatní věci odděleně ve VM? (Má to smysl, když cpu neumí vt-d a síťovka tedy nepůjde přiřadit přímo do VM, ale zůstane v hostiteli?)
-> Ano, určitý smysl to má, i přes sdílenou síť například nějakou bridge, stejně na sebe ty virtuály neviděj jinak než přes síť(postranní kanály CPU vynecháme).
Výhoda? Někdo se ti dostane do routeru, bude uzavřenej v KVM virtuálce a nedostane se jinam.
Název: Re:Router a Server v jednom
Přispěvatel: Jose D 04. 05. 2021, 12:13:31
Zdar. Na jednom nasazení jsem to vyřešil tak, že jsem si vytvořil virtualni stroj, do něho jsem přes PCI-E passthrough poslal WAN ethernet, a v tom virtuálu mám pfSense.

Ten host se pak chová jako by byl v LAN za fw.

Ten PCI-E passthrough je aktivní jen když jede hypervizor, takže na tom železe má danej port defaultní konfig takovej, že je shozenej, aby se tím pokryly případný downtimy hypervizoru.

Původní diskuzi jsem viděl jako obsesi profíků,

spíš už se nás tam náhodou vyskytlo víc, co jsme si v minulosti na*li do vlastních bot a špatný konfigy už vyzkoušeli. Nehledej za tím obscese, jsou za tím reálný výpadky a zkušenosti.
Název: Re:Router a Server v jednom
Přispěvatel: joint007 04. 05. 2021, 12:18:32
Ale jo, vliv zkušeností chápu, nicméně stále nevidím problém, provozovat gateway na stejném stroji, kde běží i jiné služby.

Pokud je to dobře nastavené, tak to prostě funguje a není to o nic méně bezpečné, než ostatní řešení.

Pokud je to blbě nastavené, funguje to na prd či vůbec, ale dle mého pohledu, je to vina nastavení, nikoli návrhu řešení, které na to "domácí žvýkání", prostě stačí. :-)
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 12:28:58
Původní diskuzi jsem viděl jako obsesi profíků, co se snaží všechno dělat "správně"

Hééj Voloďo, ten reaktor je nějaký divný, tady v manuálu píšou, že by se mohl rozbít.
To je jen obsese profíků z jejich sociální bubliny, jebni to tam Vasile!
Jasný Voloďo! Jasný! Hehehe, my s IQ 90 jsem větší borci než ty ustrašený intoši s IQ 140!!
Na to vezmi jed vole! Čím nižší IQ tím víc odvahy!!! IQ 90 je gangsta IQ! Jsme borci!!!
Jsme borci koumáci!!! Muheheééé!
Název: Re:Router a Server v jednom
Přispěvatel: tr1l1ner 04. 05. 2021, 13:31:51
Pokud to technologie umoznuje, tak mozne je vse. :) Samozrejme to neznamena, ze to tak je vzdy v poradku. Ale co jsem tim chtel rict. Zkousel jsem mit all-in-one reseni, ale z vlastni zkusenosti jsem prisel na to, ze mi to za to nestoji. Zaprve jsem nebyl schopny nasadit pfSense do Proxmox bez problemu (z nejakeho duvodu jsem mel tak polovicni rychlosti do WAN a vypadaval mi internet kvuli nedostupnosti DNS serveru u klientu). Vedel jsem, ze na samostatnem HW tyhle problemy nejsou. Zadruhe co se stane, kdyz budu delat udrzbu na jedinem stroji a nepojede mi (cele rodine) internet. Jak pak budu hledat reseni na internetu? :) A dalsi vec je, ze cim vic toho budu mit na jednom miste, tak tim vetsi sance si vsechno rozbit...

Potrzeno, secteno. Radeji mit jednu z nejdulezitejsich komponent na siti na dedikovane HW, kde i s obcasnym restartem kvuli update budu mit "rock solid" router, ktery me nezklame. Se zbytkem si pak muzu delat co hrdlo raci a ostatni si niceho nevsimnou (alespon pri koukani na Novinky a YT). Ale jak se rika YMMV (https://www.urbandictionary.com/define.php?term=ymmv).

Co se tyce bezpecnosti, tak tam je to asi jedno. Pokud nekde neco spatne nastavim a utocnik pak bude mit pristup do me infrastruktury, tak rozdil mezi all-in-one a samostatnym resenim se mi zda maly. Rozsah skod muze byt ruzny, ale v kazdem pripade bude mit clovek o praci navic.
Název: Re:Router a Server v jednom
Přispěvatel: jauznevimco 04. 05. 2021, 13:49:17
Napred jsem hledal vyuziti pro postarsi workstation, az jsem do nej vecpal kdeco s tim, ze kdyz uz to pobezi plus minus nonstop, tak at je to aspon k necemu a zbavim se tak ruznych mensich blbustek, ktery maji navic kazda svuj zdroj a kdesi cosi... takze extra 2port a 4port sitovky, radic pro dostatek disku v RAIDu, adapter na mPCIe WiFinu, USBckovej tuner a jedem, at to k necemu je... Tak je z toho domorobo modem/switch/AP/NAS/TV/cokoliv chces.

Sveho casu jsem narazil na projekt ClearOS, v podstate CentOS s webUI, ktery umelo kdeco (ale spis zakladni veci) s moznosti placenyho supportu... ale zprovoznit tam rezim gateway+sluzby tam slo doslova na par kliku (ale stejne to bylo pro mne nedostatecne). Nicmene toto jsem chtel - kdyz tohle primo nekdo podporuje, a to i placene pro komercni pouziti, tak bych se blahove domnival, ze to nemuze byt az TAK stupidni napad...
Ale stejne jsem skoncil u CentOSu a vsechno od piky, nakolik ta masina slouzi i jako HTPC. Vse pod jednou strechou, zadny babrani se s nedostatkem vykonu nebo s tim, ze neco nejde nastavit. 

Sitovy veci mam vystaveny jen do firewalld zony Internal, zvenku je vsechno hluchy (akorat budu otevirat port na VPNku). Na storage jsou veci budto "verejne" (bezne pristupne veci z internetu, instalacky, nahravky z TV, ...), kde mi jejich ztrata nevadi, nebo pak veci "soukrome" (zalohy), jakozto sifrovany kontejner, ktery se desifruje za behu na kliententskem pocitaci, na kterem je namountovan (takze na disku je jen "binarni srot"). 

Mam takhle sice vytvorenej kompletni single point of failure ve vsech ohledech, ale na takovy to domaci zvykani je to asi fuk.

A ted do mne, je na tom neco fakt kriticky spatne, nebo se "na doma" zdaji rizika prijatelna?

---

Dlouho pred tim, nez jsem skoncil u tohoto reseni, jsem zkoumal mnoho variant, jak veci aspon trochu oddelit, abych mel sitovani/VPNku (tehda uvazovano pfSense) zvlast a storage a zbytek veci taky. Sitovky dostat do pfSense pres PCIe passthru a pro propojeni mezi VM mit uz jenom vNIC.
Ackoliv mi reseni zalozene na Xenu ci XCP-ng behalo designove podle ocekavani, zatezove testy byly zoufale. Pouhy iperf (klientsky PC vs pfSense ve VM s NIC pres PCIe passthrough) pri vyuziti 2 Gbit/s duplexne dokazal kompletne zatizit 4 jadra na 3 GHz, totalni zahlceni interrupty (z pulky ovladacem igb na urovni guesta, z druhe pulky neidentifikovatelne na strane hosta). Sice za beznyho dne tam po LAN tolik ani zdaleka nebeha, presto to bylo hodne spatne i stran spotreby/tepla. Docela mne to zaskocilo - od Xeonu a workstation desky jsem cekal, ze virtualizace pojede jedna basen. Pri behu primo na zeleze to pri stejne zatezi "o nicem nevi", coz z celkoveho pohledu vnimam jako mnohem zasadnejsi vec. 

Jak by se mi libilo natrefit na neco, co by melo rozhrani jako pfSense, ale slo naroubovat na CentOS... a mit takhle spravu hostapd/firewalld ci iptables/VPN/domenovyho filtrovani/... pod jednou strechou. Mozna se mrknu, jak to resi u WRT, stejne pouzivam jejich patche na ovladace ath9k...
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 13:57:44
rozdil mezi all-in-one a samostatnym resenim se mi zda maly

Protože tomu nerozumíš, to je vše.

Představme si, že bys měl data na samostatném NAS Synology, měl zapnuté automatické aktulalizace a měl to zabezpečené slušným heslem. Do Firewallu se ti padouch dostane nejspíš automaticky - díky nějaké nezáplatované díře, ale přístup do tvojí infrastruktury ho nijak zásadně nepřiblíží k tvým datům.

Jak se to děje ve skutečnosti:
Nějaký automatizovaný nástroj se pokouší zneužít nějakou známo/neznámou zranitelnost nebo hádat hesla a do tvojí sítě se dostane hackerův robot. V běžné domácnosti tím tento útok skončí, protože mu tvoje data na tvojí NAS nebudou stát za to. Pouze se ti usídlí v software firewallu a prodá tě. Na NAS se vyprdne! Asi už nebude šmejdit v domácí síti, ničím by si nepomhl, proč by to dělal? Možná zkusí ovládnout další zařízení pomocí hádání výchozích hesel, ale nic sofistikovaného.

Synology se zapnutými automatickým aktualizacemi a s dobrým heslem, je celkem bezpečné řešení.
A to je defaultní nastavení, dá se to ještě mnohem víc utáhnout!
Je to až tak bezpečné, že NAS Synology mnoho lidí běžně vystrkuje do internetu.

Nehledě na to, že třeba v mojí síti router nemůže inicializovat spojení s NAS, protože na NAS mám zapnutý firewall a ten neumožňuje inicializovat spojení z routeru. NAS může inicializovat spojení ven a aktualizovat se, to ano. Ale co přijde bez vyžádání z Firewallu prostě zahodí. Je to taková malá volovinka, která se dá samozřejmě obejít, ale díky důslednému oddělení a zapnutým automatickým aktualizacím je hacknutí DVOU ZAŘÍZENÍ (tj. firewallu + NAS) jen bajka z oblasti SciFi.

Spojený NAS na routeru samozřejmě dává smysl - byť o tvůrcích Turrisu nemám valné mínění.
Takže KDY to dává smysl?
Pokud chci sdílet data se zákazníky!
Tj. každý zákoš dostane svoje přihlašovací údaje, případně společné pro čtení.
To je validní řešení, ale musí tam být uložená "nezávadná" data a celému řešení musí být věnována odpovídající péče, aby případný útočník nemohl do dat vložit něco ošklivého. To ovšem nebylo předmětem zmíněné diskuze.
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 04. 05. 2021, 14:04:58
Pokud máš vše správně nastavené, nic moc ti nehrozí.

Toto je jediná důležitá věta.

Neznám opravdového profesionála, který by o své práci řekl, že je vše dobře. Výsledek práce (konfigurace) je daný požadavkům (i sám sobě si člověk definuje cíl), a požadavky jsou zase poplatné zkušenostem. S čím nemáte zkušenost, to se nepromítne do požadavků a potažmo ani do výsledku.

Při úvahách o bezpečnosti se postupuje opačně. Vychází se z toho, že rizika se skrývají nejen v chybách, ale i ve všem, co jsem neměl možnost zkontrolovat nebo nemůžu kontrolovat nepřetržitě, a hlavně ve všem, co jsem nedomyslel já, ani ostatní.

Takže to, že si dnes myslíte, že je to nastavené správně, vůbec neznamená, že si to budete myslet i se zítřejšími zkušenostmi.

Proto existují základní kameny bezpečnosti, které je dobré respektovat. Jednou z mnoha zásad je separovat technologie a segregovat oprávnění. Zjednodušeně řečeno, není dobré mít VPN endpoint na serveru, na který jinak uživatelé nemají mít přístup. Kdyby VPN ochrana selhala, od uživatele tam útok nebude mít otevřenou cestičku. VPN pak podle situace může být na hraničním routeru, ale taky ne vždy. Není to dobré ve chvíli, kdy se na routeru sbíhají segmenty, do kterých uživatel nemá mít přístup. I když se nesbíhají, a v síti je použita IP adresa jako bezpečnostní bariéra (různé IP access listy apod.), pak by neměl mít hypotetický přístup k routeru ani tak. Podobné je to se síťovým provozem. Seběhnout si ošetřený (DMZ) a neošetřený tok a data ve stejném bodě, zvyšuje to rizika.

Pokud se z některých základních pravidel dělají kompromisy (někdy je to nevyhnutelné), pak je potřeba mít jistotu, že ostatní stavební kameny bezpečnosti stojí naprosto pevně, a je potřeba (si) odůvodnit, proč lze ke kompromisu přistoupit.

Vycházet z teze: žádné riziko mě nenapadá, tudíž neexistuje, je špatně.
Název: Re:Router a Server v jednom
Přispěvatel: Ondrej Nemecek 04. 05. 2021, 14:53:52
Jednou z mnoha zásad je separovat technologie a segregovat oprávnění. Zjednodušeně řečeno, není dobré mít VPN endpoint na serveru, na který jinak uživatelé nemají mít přístup (...)

Přesně tak. Aneb: Rozděl a panuj. Vhodná separace navíc zvyšuje flexibilitu řešení i v ostatních ohledech.

A další důležité pravidlo: Celek je tak (ne)bezpečný, jak (ne)bezpečná je jeho nejslabší část.

Proto je potřeba bezpečnostní odborník, který řekne co se může stát a pak manažer, který řekne, zda je takové riziko problém či nikoli.
Název: Re:Router a Server v jednom
Přispěvatel: novak_josef_2019 04. 05. 2021, 16:28:01
AIO mám 13 let na veřejce.
Kód: [Vybrat]
apache2.service
dovecot.service
fail2ban.service
freeradius.service
hostapd.service
isc-dhcp-server.service
isc-dhcp-server6.service
minidlna.service
mysql.service
nmbd.service
opendkim.service
opendmarc.service
openvpn.service
php7.4-fpm.service
php8.0-fpm.service
postfix.service
proftpd.service
radvd.service
smbd.service
ssh.service
unbound.service
virtualbox.service
x0vncserver.service
Název: Re:Router a Server v jednom
Přispěvatel: SB 04. 05. 2021, 16:41:46
Spojený NAS na routeru samozřejmě dává smysl - byť o tvůrcích Turrisu nemám valné mínění.
Takže KDY to dává smysl?
Pokud chci sdílet data se zákazníky!
Tj. každý zákoš dostane svoje přihlašovací údaje, případně společné pro čtení.

To se mi moc nezdá. Sdílená data nějakou službou (SFTP, Samba, ...) znamená, že na routeru běží navíc binárky, které by tam jinak neběžely, a ty můžou být jako každé jiné zranitelné. Navíc přes ně zákazníky necháte vstupovat do routeru (třeba přes HTTPS či jiný protokol), kam by se jinak nikdy nedostali.
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 17:10:03
to se mi moc nezdá

Mně taky ne, z hlediska bezpečnosti to není dobré řešení, ale může to být "dostatečné řešení" ve srovnání s vystrčením nezáplatovaného NAS z vnitřku sítě (bez použití DMZ). Nebo použití nějakého own-cloudu řešení, o které se přestaneš starat ve chvíli, kdy jsi ho nasadil.

AIO mám 13 let na veřejce.

MÁŠ PRAVDU!
Můj známý kouřil od 16 do 70 let, každý den nejméně jednu krabičku laciných cigaret!
A co myslíš, jak umřel? SRAZILO HO AUTO!!! Zapaloval si takhle tři cigarety naráz a BUM!= IMHO kouření je OK.
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 17:15:16
Jednou z mnoha zásad je separovat technologie a segregovat oprávnění.
+1

Přesně tak. Aneb: Rozděl a panuj.
+1
Název: Re:Router a Server v jednom
Přispěvatel: novak_josef_2019 04. 05. 2021, 17:19:08
MÁŠ PRAVDU!
Můj známý kouřil od 16 do 70 let, každý den nejméně jednu krabičku laciných cigaret!
A co myslíš, jak umřel? SRAZILO HO AUTO!!! Zapaloval si takhle tři cigarety naráz a BUM!= IMHO kouření je OK.
Vidíš, plno úvah a keců o hovnu a nakonec to funguje.
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 17:24:43
Vidíš, plno úvah a keců o hovnu a nakonec to funguje.

Nepleť se. To, že hraješ Ruskou ruletu už dvanáct let a nic se nestalo neznamená, že jsi chytrý, nebo že to je dobrý nápad.

BTW nadhoď tu IP adresu toho tvého zázraku, plácnu to do trochu jiného fóra a uvidíme, co budeš říkat za pár dnů.
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 04. 05. 2021, 17:31:06
Nepleť se. To, že hraješ Ruskou ruletu už dvanáct let a nic se nestalo neznamená, že jsi chytrý, nebo že to je dobrý nápad.

Krom zvyšování rizik, zvyšuje se dopad. Jednou ranou může jít dolů všechno, třeba i data.
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 17:46:33
Krom zvyšování rizik, zvyšuje se dopad. Jednou ranou může jít dolů všechno, třeba i data.

Určitě se shodneme na zhoršení parametrů DR (Disaster recovery).

Což u nějakého domácího umělce nemusí vůbec vadit, protože jestli takhle umělcuje všechno, zákazníci asi nebudou nijak kritičtí.
Název: Re:Router a Server v jednom
Přispěvatel: novak_josef_2019 04. 05. 2021, 17:47:44
Jasně, všichni co jsou za nějakou úžasnou krabičkou s anténkama, které jsou děravé jak ementál, mají doboru radu pro ty, co mají bez problému záplatovaný systém.
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 04. 05. 2021, 17:50:58
Jasně, všichni co jsou za nějakou úžasnou krabičkou s anténkama, které jsou děravé jak ementál, mají doboru radu pro ty, co mají bez problému záplatovaný systém.

Tak já třeba děravou krabičku s anténkama nemám, ale taky si ani nefandím, že by některý ze systémů byl tak dokonale a tak rychle záplatovaný, aby neexistovalo riziko. Krom toho, nežiju pro to, abych čekal, kdy budu mít příležitost něco záplatovat. Kromě výjimek, má to nějaký svůj cyklus.
Název: Re:Router a Server v jednom
Přispěvatel: novak_josef_2019 04. 05. 2021, 17:55:30
Určitě jsme na tom lépe, jak 98% zbytku za těma krabičkama.
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 04. 05. 2021, 17:57:39
Určitě jsme na tom lépe, jak 98% zbytku za těma krabičkama.

To bych neřekl. Ve Vašem případě je po prvním úspěšném útoku útočník rovnou u dat. Stačí jeden šikovný 0-day bot.
Název: Re:Router a Server v jednom
Přispěvatel: novak_josef_2019 04. 05. 2021, 18:03:10
Tak až se to po 13 letech v nebližší době stane, tak se tady vrátím, rozpláču a nasypu si popel na hlavu.
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 04. 05. 2021, 18:07:54
Tak až se to po 13 letech v nebližší době stane, tak se tady vrátím, rozpláču a nasypu si popel na hlavu.

Nežádám si.

Ale je to myšlení hazardního hráče, který je přesvědčený, že když na ruletě padla 10x za sebou červená, tak příště už musí přijít černá - a nechce uvěřit, že šance je stále 18:37, stejně jako při prvním roztočení. Šalba vlastní zkušeností je nebezpečná.
Název: Re:Router a Server v jednom
Přispěvatel: tr1l1ner 04. 05. 2021, 18:09:04
rozdil mezi all-in-one a samostatnym resenim se mi zda maly

Protože tomu nerozumíš, to je vše.

...

Dekuji, ze jste mi to vysvetlil.  8)

Moc nevidim rozdil v bezpecnosti, kdyz budu mit all-in-one reseni, kde bude virtualizovany router, NAS a kdo vi co jeste. Pokud to spravne nastavim a udelam si pravidla jake popisujete, tak jsem na to stejne (predpokladam pravidelne aktualizace a ze ve virtualizaci neni ve vychozim stavu nejaka bezpecnostni dira). Rozdil je IMO v tom, kdyz si rozvrtam hypervisor nebo mi odejde HW, tak se mi rozbije vic veci nez jedna.
Ano, povazuji za spatny napad davat extra sluzby do routeru/FW, protoze ten ma byt bezpecny a cokoliv navic prinasi dalsi cestu dovnitr. Nikdy bych neuvazoval nad resenim nacpat vsechny sluzby do jednoho serveru, aby plnil funkci FW, NAS, web serveru, ... Ano, to si pak dokazu predstavit, ze jedna ze sluzeb umozni proniknuti utocnika dovnitr.

P.S.:Nebudu rozporovat, ze vim prd a predstavivost mam mizernou. :D
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 18:10:24
@

Já bych se s ním nehádal ::)
Vždy se najde někdo, kdo ostatní nabádá "Neboj, já chlastám a ještě jsem neboural" ... "Dělám to už XY let a ještě mě nechytli" ... "Kašli na to, že to je pod proudem, tady nemá nikdo co dělat, doděláme to zítra..."

Řekněme, že to jsou klikaři  ::)
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 04. 05. 2021, 18:14:28
Řekněme, že to jsou klikaři  ::)

Nejhorší je, že pár opravdových klikařů znám.
Ale znám i takové, kteří přišli o hodně dat těmi nejnepravděpodobnějšími způsoby.
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 18:14:34

Tak počkat, pokud se bavíme o tom, že virtualizuji firewall a vedle toho běží zcela oddělená virtualizovaná instance nějakého "jako-NAS" / Cloud / Fileserver, to rozhodně nepovažuji za špatné řešení a sám takové věci používám.
Pokud to lze oddělit s ohledem na bezpečnostní problémy typu SPECTRE.

Ale ukládat data nebo provozovat virtualizační služby na firewallu je IMHO obvykle blbost.
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 18:16:10
Nejhorší je, že pár opravdových klikařů znám.

Taky takové klikaře znám.
Co na to říct...Babiš si taky může dovolit víc, než si můžeme dovolit my.
Prostě někdo má skill, někdo má luck a někdo má pech ;D
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 04. 05. 2021, 18:17:47
(predpokladam pravidelne aktualizace a ze ve virtualizaci neni ve vychozim stavu nejaka bezpecnostni dira)

Právě jste ten problém popsal, ačkoliv jste se ho rozhodl v úvaze zanedbávat.
Chyba může být ve virtualizaci.
Děravé jsou CPU (spectre).
Na síťovce může bdít (a nemáte to jak ověřit) management, který i přes vypnutí má backdoor (amt).

Pokud tam něco takového je, a promění se to v 0-day útok, pak máte v ohrožení spoustu důležitých věcí hned za prvními dveřmi. A to nemluvím o tom, že konfigurační chyba může ty dveře přímo otevřít a chybí další (blbuvzdorná) bariéra.
Název: Re:Router a Server v jednom
Přispěvatel: novak_josef_2019 04. 05. 2021, 18:20:53
Zase plno virtuálních keců, pochopili jste vůbec princip děravé krabičky s anténkama, kterou mají téměř všichni a záplatovaného serveru?
Mám povolené IP rozsahy, ze kterých se připojuji. Všude kde to jde, mám přístup ověřovaný radiusem. U WiFi používám WPA2/3 EAP-TLS a mám zapnutou ochranu rámců pomocí 802.11w proti jakýmkoliv útokům (např. deauth).
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 04. 05. 2021, 18:40:37

Tak nadhoď tu adresu, ať se můžeme pokochat  8)
Lupnu jí do toho fóra a uvidíme, uvidíme.

...A samozřejmě by bylo spravedlivé, aby ti původní tazatel vytunil konfiguraci  :o
Název: Re:Router a Server v jednom
Přispěvatel: joint007 04. 05. 2021, 19:26:43
Mám KVM/LXD hosta, firewall zavřenej, max SSH z důvěryhodných zařízení a autorizaci pouze klíčem.

Je tam obyč bridge či passthrough fyzického zařízení do jedné virtuálky, vedle běží další virtuálka s NASem a třeba i virtuálka s webserverem.

Co takhle si přiznat, že pravděpodobnost, že se najde 0-day bot, co napadne KVM virtuálku například v Proxmoxu která obsahuje třeba openwrt a dostane se skrze ní na druhou virtuálku s daty, je takřka nulová?
Respektive, ten rozdíl, mezi dvěmi fyzickými zařízeními a tímto řešením, nevidím v bezpečnosti před útočníky, ale v tom, že když to chcípne, tak oboje najednou.

Virtuálky v KVMku prodává Amazon, Google a hromada dalších.
Skutečně se mi nezdá, že by to představovalo tak závažný problém, jako je zde prezentováno...
No a projít instalátorem Proxmoxu, zvládne i člověk, co dokáže nainstalovat Windows.
Pokud se pletu, poučte mě. :-)
Název: Re:Router a Server v jednom
Přispěvatel: Ondrej Nemecek 04. 05. 2021, 19:55:16
(...) je to myšlení hazardního hráče, který je přesvědčený, že když na ruletě padla 10x za sebou červená, tak příště už musí přijít černá - a nechce uvěřit, že šance je stále 18:37, stejně jako při prvním roztočení. Šalba vlastní zkušeností je nebezpečná.

Nikoli! Pravděpodobnost že padne červená v jednotlivém kole sice zůstává stále stejná, ale celková pravděpodobnost, že alespoň v jednom kole padne červená, roste s rostoucím počtem pokusů (= sčítání pravděpodobností).

Aplikováno na téma dotazu: Každého nakonec hacknou.
Název: Re:Router a Server v jednom
Přispěvatel: darebacik 04. 05. 2021, 20:03:23
Pokud to technologie umoznuje, tak mozne je vse. :) Samozrejme to neznamena, ze to tak je vzdy v poradku. Ale co jsem tim chtel rict. Zkousel jsem mit all-in-one reseni, ale z vlastni zkusenosti jsem prisel na to, ze mi to za to nestoji. Zaprve jsem nebyl schopny nasadit pfSense do Proxmox bez problemu (z nejakeho duvodu jsem mel tak polovicni rychlosti do WAN a vypadaval mi internet kvuli nedostupnosti DNS serveru u klientu). Vedel jsem, ze na samostatnem HW tyhle problemy nejsou. Zadruhe co se stane, kdyz budu delat udrzbu na jedinem stroji a nepojede mi (cele rodine) internet. Jak pak budu hledat reseni na internetu? :) A dalsi vec je, ze cim vic toho budu mit na jednom miste, tak tim vetsi sance si vsechno rozbit...

Potrzeno, secteno. Radeji mit jednu z nejdulezitejsich komponent na siti na dedikovane HW, kde i s obcasnym restartem kvuli update budu mit "rock solid" router, ktery me nezklame. Se zbytkem si pak muzu delat co hrdlo raci a ostatni si niceho nevsimnou (alespon pri koukani na Novinky a YT). Ale jak se rika YMMV (https://www.urbandictionary.com/define.php?term=ymmv).

Co se tyce bezpecnosti, tak tam je to asi jedno. Pokud nekde neco spatne nastavim a utocnik pak bude mit pristup do me infrastruktury, tak rozdil mezi all-in-one a samostatnym resenim se mi zda maly. Rozsah skod muze byt ruzny, ale v kazdem pripade bude mit clovek o praci navic.
Mam pfsense v KVM na proxmoxe 6. Funguje celkom OK, ale obcas sa stane ze vypadne internet. Nevypadne komplet internet, ale urcite vypadne vsetko od googlu, youtube ... a zistil som ze vypadne vacsina TLD, mimo sk (prip. funguje aj cz).
Ked pingam z pfsense, google.com, alebo 8.8.8.8 tak vsetko je v poriadku.
Z lokal PC 8.8.8.8 ide, ale google.com nie.
Vypadok je radovo niekolko minut a potom znova vsetko funguje.
Vypada to na problemy s DNS, ale v dokumentacii pfsense sa uvazda  ze DNS je nastavene po instalacii v defaulte a nemusi sa nastavovat.

AKo si to myslel s vypadaval mi internet kvuli nedostupnosti DNS serveru u klientu

A co sa tyka rychlosti, tak ake mas pripojenie a kolko to islo, ked pises, ze to islo na polovicu ?
Název: Re:Router a Server v jednom
Přispěvatel: _Jenda 04. 05. 2021, 20:18:09
To je zase diskuze  ::) Možná by pomohlo, kdyby diskutující napsali nějaké příklady útoků, které se dají realizovat, a s jejich řešením ne.
Ahoj,
chtěl bych navázat na téma "NFS na routeru" (https://forum.root.cz/index.php?topic=24665 (https://forum.root.cz/index.php?topic=24665)), kde je tazatel odrazován od instalace NFS na router.
Já v tam vidím problém konkrétně v tom NFS, protože zejména kernelové NFS rádo poslouchá všude a když ho jako začátečník omylem vystrčíš do netu, tak se začnou dít velké věci. U ostatních služeb si myslím, že žádný problém není - koneckonců je to stejné, když to provozuješ na systému co současně dělá gateway, jako kdybys to měl někde v housingu (a jak sám píšeš, tak když to dáš za samostatný router, tak stejně budeš forwardovat porty na ty stejné služby a attack surface se tak jaksi nezmění -- jediný problém by byl když bys nějakou službu vystavil na venkovní rozhraní omylem). A že se dostanou do vnitřní sítě? To se jednak přes DMZ podaří taky, jednak v dnešní době stejně chceš vnitřní síť považovat za nedůvěryhodnou.

Pro Wifi síť používám starší AP s OpenWRT (TP-Link TL-WDR3600), ale myslím že aktualizace ještě vycházejí.
No tak hlavně jestli je instaluješ :). I když ono v openwrt podle mě moc děr nebylo.

Pomohlo by na server nasadit třeba Proxmox a snažit se provozovat router a ostatní věci odděleně ve VM? (Má to smysl, když cpu neumí vt-d a síťovka tedy nepůjde přiřadit přímo do VM, ale zůstane v hostiteli?)
Tohle by určitě pomohlo, až někdo vyhackuje jednu službu, tak nezíská ty ostatní. Jako lightweight varianta by se daly použít nějaké kontejnery, ale nemám s tím zkušenosti.
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 04. 05. 2021, 21:44:26
Nikoli! Pravděpodobnost že padne červená v jednotlivém kole sice zůstává stále stejná, ale celková pravděpodobnost, že alespoň v jednom kole padne červená, roste s rostoucím počtem pokusů (= sčítání pravděpodobností).

Aplikováno na téma dotazu: Každého nakonec hacknou.

No jistě. Chtěl jsem tím upozornit, že uplynulých 13 let nijak nezmenšuje riziko, že zrovna zítra pana kolegu někdo úspěšně napadne.
Název: Re:Router a Server v jednom
Přispěvatel: kotelgg 04. 05. 2021, 22:23:59
(...) je to myšlení hazardního hráče, který je přesvědčený, že když na ruletě padla 10x za sebou červená, tak příště už musí přijít černá - a nechce uvěřit, že šance je stále 18:37, stejně jako při prvním roztočení. Šalba vlastní zkušeností je nebezpečná.

Nikoli! Pravděpodobnost že padne červená v jednotlivém kole sice zůstává stále stejná, ale celková pravděpodobnost, že alespoň v jednom kole padne červená, roste s rostoucím počtem pokusů (= sčítání pravděpodobností).

Aplikováno na téma dotazu: Každého nakonec hacknou.

Přesně tak. Popisuje to třeba Poissonovo rozdělení:
https://cs.wikipedia.org/wiki/Poissonovo_rozd%C4%9Blen%C3%AD
V roce 1943 padla 32x po sobě červená, což je nejdelší zaznamenaný rekord (nebo spíš švindl). Kdyby se to neřídilo žádným pravidlem, tak padne klidně 100x, ale to se zkrátka neděje. 

Název: Re:Router a Server v jednom
Přispěvatel: altrok 05. 05. 2021, 09:04:27

Tak nadhoď tu adresu, ať se můžeme pokochat  8)
Lupnu jí do toho fóra a uvidíme, uvidíme.

...A samozřejmě by bylo spravedlivé, aby ti původní tazatel vytunil konfiguraci  :o
Pokud porty vystrčí jen pro určité rozsahy IP adres nebo pro IP rozsahy celé ČR, pořád bude neviditelný před skenery typu shodan a tím pádem i před drtivou většinou útočníků. Osobně si takhle omezuju i dostupnost OpenVPN.
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 05. 05. 2021, 09:10:15
Pokud porty vystrčí jen pro určité rozsahy IP adres nebo pro IP rozsahy celé ČR, pořád bude neviditelný před skenery typu shodan a tím pádem i před drtivou většinou útočníků. Osobně si takhle omezuju i dostupnost OpenVPN.

To je klasický omyl. Skrytí před útočníkem nezvyšuje bezpečnost. Příkladem jsou útoky do vnitřní sítě iniciované z prohlížeče, kdy dvířka otevírají NAT helpery. Před léty si taky nikdo neuměl představit, že by se dalo dovnitř dostat přes NAT a dodnes NAT někteří považují za bezpečný by default.
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 05. 05. 2021, 09:17:00
dodnes NAT někteří považují za bezpečný by default.

Přesně tak, pletou si NAT a firewall.
NAT - samozřejmě, do jisté míry / nějak - zesložiťuje útok, ale NAT není firewall.

Jak se někdy přeme, hlavě u politiky, tak v tomhle vám musím dát zapravdu a ocenit vaše profesionální kvality.
Název: Re:Router a Server v jednom
Přispěvatel: SB 05. 05. 2021, 09:22:36
Vidíš, plno úvah a keců o hovnu a nakonec to funguje.

Svatá prostoto...
Název: Re:Router a Server v jednom
Přispěvatel: SB 05. 05. 2021, 09:36:26
Vypada to na problemy s DNS, ale v dokumentacii pfsense sa uvazda  ze DNS je nastavene po instalacii v defaulte a nemusi sa nastavovat.

Ano, to je vysoce profesionální přístup. Ono nakonec vůbec není třeba nic nastavovat, stačí koupit čínskou krabku, narvat do ní 4 dráty a jede to taky, ne?
Název: Re:Router a Server v jednom
Přispěvatel: SB 05. 05. 2021, 09:41:02
...pro IP rozsahy celé ČR...

A ty rozsahy ČR v dnešním adresním bordelu (předpokládám IPv4) berete odkud?
Název: Re:Router a Server v jednom
Přispěvatel: PanVP 05. 05. 2021, 09:49:09
A ty rozsahy ČR v dnešním adresním bordelu (předpokládám IPv4) berete odkud?

Doplním, že některé krabičky umí IP origin resp. IP origin country check - alespoň pro HTTP/S služby.
V mém případě se FW pro neznámé rozsahy ptá řídícího prvku - dodavatele FW.
Je tam i pravidlo, po které době má rozhodnout sám.
Neznámé IP mají při navazování spojení měřitelné zpoždění v řádech 0.2-0.5s, ale jen při inicializaci, pak už ne.
Také to používám a zatím si nikdo nestěžoval, naopak počet útoků významně klesl.
Obejít se to samozřejmě dá, ale běžné roboty se nenamáhají.
 
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 05. 05. 2021, 10:21:45
Přesně tak, pletou si NAT a firewall.
NAT - samozřejmě, do jisté míry / nějak - zesložiťuje útok, ale NAT není firewall.

To byl jen jeden příklad, jak někdy mylná úvaha vede k řetězci špatných úvah na poli bezpečnosti. Diskutovaná byla otázka, jak může VPS na stroji vystrčením na internetu, ohrozit perimetr vnitřní sítě a ostatní VPS. Meritem je, že v takové konfiguraci je oslabené oddělení, oproti fyzickému oddělení. Při fyzickém oddělení musí být další chyby v komunikačních protokolech, v jejich nastavení. Při souběhu na jednom hypervizoru se přičítají ještě rizika plynoucí z hypervizoru - tj. chybná konfigurace, chyby hardware (spectre), backdoory (amt), a z hlediska provozu ještě rizika výpadku (případný DoS útok je vedený na mašinu, která slouží i dovnitř).

Zhodnocení těch rizik je otázka jiná. Někdy to vadí hodně (závisí na tom provoz zaměstnanců), jindy to vadí méně (hobby projekt). Bez toho, aniž by někdo vyjmenoval potenciální vektory útoků, nelze zhodnotit dopady. Bez zhodnocení dopadů nelze odpovědět na otázku, zdali je to v mém případě možno považovat za dostatečně bezpečné.

Takže pokud někdo položí otázku "je to bezpečné?", je taková otázka nezodpověditelná bez doplnění očekávání. Absolutní bezpečnost neexistuje, a je-li něco relativní, tak se na to dá odpovědět jen "vůči čemu, vůči jakým požadavkům, vůči jakému očekávání?"
Název: Re:Router a Server v jednom
Přispěvatel: altrok 05. 05. 2021, 16:18:03
Pokud porty vystrčí jen pro určité rozsahy IP adres nebo pro IP rozsahy celé ČR, pořád bude neviditelný před skenery typu shodan a tím pádem i před drtivou většinou útočníků. Osobně si takhle omezuju i dostupnost OpenVPN.
To je klasický omyl. Skrytí před útočníkem nezvyšuje bezpečnost. Příkladem jsou útoky do vnitřní sítě iniciované z prohlížeče, kdy dvířka otevírají NAT helpery. Před léty si taky nikdo neuměl představit, že by se dalo dovnitř dostat přes NAT a dodnes NAT někteří považují za bezpečný by default.
Neviditelnost portů vnímám jako eliminaci jednoho z vektorů útoku. Pokud se objevují zranitelnosti komerčních VPNek, pak je pro mě skrytí portů důležitá prevence.

...pro IP rozsahy celé ČR...

A ty rozsahy ČR v dnešním adresním bordelu (předpokládám IPv4) berete odkud?
Jak kdy. https://mikrotikconfig.com/firewall/ , OPNsense má připravený checkbox.
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 05. 05. 2021, 18:30:54
Neviditelnost portů vnímám jako eliminaci jednoho z vektorů útoku. Pokud se objevují zranitelnosti komerčních VPNek, pak je pro mě skrytí portů důležitá prevence.

Ne v pravém slova smyslu. Neřeší to problém, jen to uhýbá před jeho projevem. Problém zůstává dál.

Představte si letadlo, kterému nefunguje osvětlení kokpitu. Můžete buďto opravit letadlo, nebo vydat pokyn, že se smí lítat jen ve dne. Pokud se vydáte tou druhou cestou, tak se nic nestane do doby, než se pilotům přihodí (třeba kvůli problému na letišti), že zapadne slunce.

Za bezpečnostní řešení konkrétního problému se dá považovat jen takové, jehož výskyt dokážete eliminovat, ne jen mitigovat.

Proto se to obvykle nepovažuje za zabezpečení, pouze za mitigaci projevů.
Název: Re:Router a Server v jednom
Přispěvatel: Logik 05. 05. 2021, 18:55:54
Citace
Proto se to obvykle nepovažuje za zabezpečení, pouze za mitigaci projevů.
V podstatě s tím souhlasím. Ale zas nepsal jsi?

Citace
Takže pokud někdo položí otázku "je to bezpečné?", je taková otázka nezodpověditelná bez doplnění očekávání.
Takže skrytí portů bezpečnost zvýší, jen ji nezvýší tolik, jako jiné, lepší řešení problému. Otázka tedy je: zvýší to (pro danou aplikaci) dostatečně?
Název: Re:Router a Server v jednom
Přispěvatel: Miroslav Šilhavý 05. 05. 2021, 19:08:07
Ale zas nepsal jsi?

Takže skrytí portů bezpečnost zvýší, jen ji nezvýší tolik, jako jiné, lepší řešení problému. Otázka tedy je: zvýší to (pro danou aplikaci) dostatečně?

IP adresa je nestálá. Pokud víme, komu patří dnes, nevíme, komu bude patřit zítra. Na to bychom museli stanovit pravidelnou revizi (z praxe vím, že access listy jen rostou, málokdy se revidují). Nemáme jak ověřit, že IP odesilatele nebyla cestou podvržena (může udělat kdokoliv po cestě). Z hlediska bezpečnosti bych to bral spíš jako poor man's hardening. Pro vyhodnocení rizik bych to označil čistou nulou a vyžadoval bych stejně další mechanismus, který bude spolehlivý. Spolehlivý mechanismus může být náchylný k DoS, a tam IP access list může posloužit k odvrácení odepření služby, ale ne k zabezpečení.