NAS a router na jednom HW

[xxxxx]

Můj odhad (obecně, neřeším tunely, účelnost, ...):

Řekl bych, že z pohledu bezpečnosti by mohlo stačit, pokud je to pro domácí použití. Tedy pokud se útočníkům nevyplatí se tam složitě vloupávat, protože /pro ně/ nebude nic moc hodnotného.

Možná i pro malou firmu (o max. pár lidech == nic moc obrat/zisk), pokud na tom nechcete dělat větší přístupy zákazníků zvenku, by to mohlo stačit. Pokud tedy pravidelně (řekněme jednou týdně) archivujete/zálohujete důležitá data, s uložením offline, mimo LAN dostupnost. Pro malou firmu se obvykle nevyplatí se tam vloupávat pro účetnictví a podobně (výkupné nezaplatí, když interní data utečou či jsou zničena, je to sice nepříjemné, ale dá se žít, !když je archiv bokem!).

Pro něco většího už raději oddělit i fyzicky.

[Reklama]

[MasoxCZ]

Můj odhad (obecně, neřeším tunely, účelnost, ...):

Řekl bych, že z pohledu bezpečnosti by mohlo stačit, pokud je to pro domácí použití. Tedy pokud se útočníkům nevyplatí se tam složitě vloupávat, protože /pro ně/ nebude nic moc hodnotného.

Možná i pro malou firmu (o max. pár lidech == nic moc obrat/zisk), pokud na tom nechcete dělat větší přístupy zákazníků zvenku, by to mohlo stačit. Pokud tedy pravidelně (řekněme jednou týdně) archivujete/zálohujete důležitá data, s uložením offline, mimo LAN dostupnost. Pro malou firmu se obvykle nevyplatí se tam vloupávat pro účetnictví a podobně (výkupné nezaplatí, když interní data utečou či jsou zničena, je to sice nepříjemné, ale dá se žít, !když je archiv bokem!).

Pro něco většího už raději oddělit i fyzicky.

Přesně. Když bude poctivě zálohovat s jednou off-site kopií, je těžký si představit domácí data, kterým by ta neúplná bezpečnost významně vadila.

[Ss]

Franta omáčka : znovu google alebo wiki zodpovedá všetky tvoje otazky. Skús to. Daj www.google.com a tam what is NAS a potom to isté ale NAS zamen za switch. Daj si to v hlave dokopy a neotravuj s debilinami.

Ty budes Slovak co si do Cech jeste neprisel pro zakladni vzdelani.. chce NAS + router..a ne NAS + switch..

[vshd]

... je těžký si představit domácí data, kterým by ta neúplná bezpečnost významně vadila.

To zas tak tezkE neni. Spousta lidi ma ulozena hesla ke vsemu moznemu i naskenovane dokumenty vseho druhu.

[MasoxCZ]

... je těžký si představit domácí data, kterým by ta neúplná bezpečnost významně vadila.

To zas tak tezkE neni. Spousta lidi ma ulozena hesla ke vsemu moznemu i naskenovane dokumenty vseho druhu.

A jistě je mají v otevřeném textu, že?
Offline dešifrování veracryptového kontejneru zajisté možné je, ale nestojí to za námahu.

[Reklama]

[vshd]

Ahoj,

co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.

Díky,
Franta

Obecne, router - firewall klidne virtualizovany byt muze. Pokud wan sitovy adapter vyhradis jen pro router tak neni problem. Treba na hyper-v to bezne delam a je to obecne uznavana vec. Druha vec ne primo tvoje reseni kdy zaklad je freenas. Myslim ze tady na foru evidentne neni nikdo kdo tomu rozumi. Ale pokud je adapter vybrazeny ... .

[MasoxCZ]

Ahoj,

co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.

Díky,
Franta

Obecne, router - firewall klidne virtualizovany byt muze. Pokud wan sitovy adapter vyhradis jen pro router tak neni problem. Treba na hyper-v to bezne delam a je to obecne uznavana vec. Druha vec ne primo tvoje reseni kdy zaklad je freenas. Myslim ze tady na foru evidentne neni nikdo kdo tomu rozumi. Ale pokud je adapter vybrazeny ... .

Já mám jen problém uvěřit, že to bude mít ve firemním nasazení stejnou propustnost. Přeci jen desítky Gbps jsou trochu něco jiného,než domácí DSLko.

[xxxxx]

Ale pokud je adapter vybrazeny ... .

Já se vždy bál, že tím rozšířím možnosti pro úspěšný útok. Jeden nikdy neví. Pokud by se povedlo cokoli nepěkného provést s mašinou jako celkem (hw) - a to ne nutně průnik a ukradení dat z dalších virtuálů - tak tím mohou kleknout (či jinak znepoužitelnit) všechny virtuály. A pokud by byly (zde NAS) intenzivně využívané, tak firma stojí. V takovém případě to už většinou stojí za samostatný kus hw, mimo DMZ. Pokud budou ostatní virtuály používané méně intenzivně a nezablokuje se jejich výpadkem hromadně běžná práce firmy jako celku, tak není problém.

Nevím. Myslíš, že to už přeháním a je to zbytečné (pro daný use case)? (To je reálná otázka, ne řečnická)

[Milfaus]

A) Virtualizace odděluje vlákna
B) Stávající architektury jsou zranitelné na úrovni HW z virtuálu se dá utéct
C) Doma bych se tím netrápil, hlavně pokud bude primární instalace PFsense

Z mého pohledu:
- šel do toho
- postaral se, aby minimálně WAN síťová karta byla samostatná a s ničím nesdílená
- tolik se toho nebál

Tedy:
Filmy a ptákoviny bych tomu klidně svěřil.
Vlastní XXX produkci měl raději někde mimo :-D

[Milfaus]

A) Virtualizace odděluje vlákna stroje

[fg]

Ahoj,

co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.

Díky,
Franta

Obecne, router - firewall klidne virtualizovany byt muze. Pokud wan sitovy adapter vyhradis jen pro router tak neni problem. Treba na hyper-v to bezne delam a je to obecne uznavana vec. Druha vec ne primo tvoje reseni kdy zaklad je freenas. Myslim ze tady na foru evidentne neni nikdo kdo tomu rozumi. Ale pokud je adapter vybrazeny ... .

Já mám jen problém uvěřit, že to bude mít ve firemním nasazení stejnou propustnost. Přeci jen desítky Gbps jsou trochu něco jiného,než domácí DSLko.

Záleží co myslíš tim "firemním nasazení". Může být firma o sto pc a internet nemusí být vytížen protože ho prostě lidi používaji jen k práci a tak tam cestují jen emaily a účetní leze do banky. A pak je firma o deseti pc s druhou pobočkou o deseti a internet potřebují pořát protože je tam VPN tunel ... .
Ale obecně tvrdit něco do desítkách Gb je nesmysl.

[fg]

Ale pokud je adapter vybrazeny ... .

Já se vždy bál, že tím rozšířím možnosti pro úspěšný útok. ...

Obecně virtualizace je naprosto běžná věc i v komerčním prostředí. Nechoďme daleko, vem si virtualizované vps - neni problém.

[Miky]

Ahoj,

co si myslíte o tom, použít jedno fyzické zařízení na doma jako NAS i router v jednom.
Kontrétně: HP Microserver s FreeNAS a virtualizovaně pfSense nebo OpenWRT. Z hledicka bezpečnosti by to mělo být jedno, protože router poběží v VM.

Díky,
Franta

xxxxx: Predstava je takova - 1 HP microserver, nad tim KVM hypervisor. Ve VM FreeNAS a virtualka s routerem. 2 fyzicke sitovky - jedna WAN, mapovana primo do VM s routerem, druha na virtualni switch, kam je pripojen i LAN routeru a NASu. Venku jen obyc AP se switchem (mam Tplink 1043 s openwrt, ale moc nezvlada IPv6 tunel, proto to chci presunout na ten server).

Ahoj,
ted jsem trochu zmateny jak to vlastne mas vymyslene. Chces mit KVM a pod tim FreeNAS a v nem dalsi VM ?

Obecne se nedoporucuje FreeNAS nechat bezet jako VM. Nicmene to tak par lidi dela ale vetsinou jako test prostredi.
Ohledne zkusenosti v produkci musis projit jejich forum.
Jeden starsi artikl na toto tema http://www.freenas.org/blog/yes-you-can-virtualize-freenas/

Ve FreeNASu samozrejme pojedou virtualky, bhyve se dostal do pouzitelne formy. V pripade potreby se to da jeste ohnout a rozbehat virtualbox jako jail coz neni moc idealni.
PFsense mi bezi jako VM a pouzivam jej jen jako radius a nic vice. Casem jej vymenim za radiusdesk, ktery se mi libi vice...

Obecne by FW a storage s dulezitymi daty nemel byt na stejnem zeleze. Je to doporuceni. Posledni chyby objevene v CPU, ktere ani nemusi byt posledni ukazuji, ze virtualizace neni zarukou oddeleni.

PFsense ve freenasu se resi zde a v dalsich vlaknech. Argumenty pro a proti se vesmes opakuji.
https://forums.freenas.org/index.php?threads/pfsense-router-setup-advice.59268/

Jak uz nekteri uvadeli, ze je mrhani casem takovy system napadnout, kdyz tam nic ceneho neni a v pripade potreby se udela obnova ze zalohy.

1) I ta obnova cloveka otravuje a komplikuje zivot
2) Je pravda, ze zkuseny clovek asi nebude mrhat casem napadnout neco, kde neni nic cenneho. Mrhat casem ale budou ruzni "script kiddies" s tim jak poroste dostupnost "ready to use" toolu a take vyvoj kryptomen... ;-)