Router a Server v jednom

[BobPage]

Ahoj,
chtěl bych navázat na téma "NFS na routeru" (https://forum.root.cz/index.php?topic=24665), kde je tazatel odrazován od instalace NFS na router.
V současnosti něco takového provozuji a zajímalo by mne jak to tedy udělat z pohledu bezpečnosti lépe.

Mám jeden server (HP MicroServer Gen8), který mi dělá router/NAS a poskytuje další služby dostupné jak po LAN, tak přes internet. (Bavíme se o domácím použití)

Na serveru mi momentálně běží tyto služby:
Router: DHCP, DNS
Ze serveru bootuje HTPC: DHCP, TFTP, webserver(NGINX), NFS
NAS pro lokální síť: Samba, NFS
"web s fotkami": KVM VM (unvitř Piwigo (PHP), NGINX, MariaDB)
reverzní proxy pro "web s fotkama": NGINX
pár "trusted" kontejnerů: LXC
Databáze pro Digikam: MariaDB
vzdálený přístup: SSH, OpenVPN
Do budoucna jsem plánoval nasadit NextCloud a mít ho mít ve VM (právě kvůli bezpečnosti), stejně jako "web s fotkami"
 
Server má veřejnou IP adresu, do internetu je vystaveno pouze SSH, OpenVPN, HTTP(s).

Pro Wifi síť používám starší AP s OpenWRT (TP-Link TL-WDR3600), ale myslím že aktualizace ještě vycházejí.

Teď tedy otázka jak zlepšit bezpečnost? Pomohlo by mi kdybych jako router dal ten TP-Link? (Stejně bych pak asi forwardoval porty na server, takže nevím jestli by to na bezpečnost mělo vůbec vliv nebo jestli to není naopak ještě větší díra).
Pomohlo by na server nasadit třeba Proxmox a snažit se provozovat router a ostatní věci odděleně ve VM? (Má to smysl, když cpu neumí vt-d a síťovka tedy nepůjde přiřadit přímo do VM, ale zůstane v hostiteli?)

Toto řešení už provozuji několik let a zatím jsem nezaznamenal žádný incident. Ale to samozřejmě neznamená, že je to ideální. Budu proto rád pokud se někdo podělí jak bezpečnost zvýšit (ideálně pokud to nebude stát moc peněz a žrát moc energie  ).

Díky

[Reklama]

[joint007]

Původní diskuzi jsem viděl jako obsesi profíků, co se snaží všechno dělat "správně", ale nevidí skrze svou sociální bublinu. :-)

Mít více vrstev ochrany, jako virtualizace, kontejnerizace či segmentace sítě, je dobrá věc, útočníkovi to minimálně ztíží práci.

Pokud máš vše správně nastavené, nic moc ti nehrozí.
Pokud má někdo přístup k hlavnímu síťovému prvku, kudy teče všechen můj provoz, je to pro mě větší zlo, než když si začne číst změť šifrovaného bordelu, co najde na síťovém úložišti..

EDIT:

Pomohlo by na server nasadit třeba Proxmox a snažit se provozovat router a ostatní věci odděleně ve VM? (Má to smysl, když cpu neumí vt-d a síťovka tedy nepůjde přiřadit přímo do VM, ale zůstane v hostiteli?)
-> Ano, určitý smysl to má, i přes sdílenou síť například nějakou bridge, stejně na sebe ty virtuály neviděj jinak než přes síť(postranní kanály CPU vynecháme).
Výhoda? Někdo se ti dostane do routeru, bude uzavřenej v KVM virtuálce a nedostane se jinam.

[Jose D]

Zdar. Na jednom nasazení jsem to vyřešil tak, že jsem si vytvořil virtualni stroj, do něho jsem přes PCI-E passthrough poslal WAN ethernet, a v tom virtuálu mám pfSense.

Ten host se pak chová jako by byl v LAN za fw.

Ten PCI-E passthrough je aktivní jen když jede hypervizor, takže na tom železe má danej port defaultní konfig takovej, že je shozenej, aby se tím pokryly případný downtimy hypervizoru.

Původní diskuzi jsem viděl jako obsesi profíků,

spíš už se nás tam náhodou vyskytlo víc, co jsme si v minulosti na*li do vlastních bot a špatný konfigy už vyzkoušeli. Nehledej za tím obscese, jsou za tím reálný výpadky a zkušenosti.

[joint007]

Ale jo, vliv zkušeností chápu, nicméně stále nevidím problém, provozovat gateway na stejném stroji, kde běží i jiné služby.

Pokud je to dobře nastavené, tak to prostě funguje a není to o nic méně bezpečné, než ostatní řešení.

Pokud je to blbě nastavené, funguje to na prd či vůbec, ale dle mého pohledu, je to vina nastavení, nikoli návrhu řešení, které na to "domácí žvýkání", prostě stačí. :-)

[PanVP]

Původní diskuzi jsem viděl jako obsesi profíků, co se snaží všechno dělat "správně"

Hééj Voloďo, ten reaktor je nějaký divný, tady v manuálu píšou, že by se mohl rozbít.
To je jen obsese profíků z jejich sociální bubliny, jebni to tam Vasile!
Jasný Voloďo! Jasný! Hehehe, my s IQ 90 jsem větší borci než ty ustrašený intoši s IQ 140!!
Na to vezmi jed vole! Čím nižší IQ tím víc odvahy!!! IQ 90 je gangsta IQ! Jsme borci!!!
Jsme borci koumáci!!! Muheheééé!

[Reklama]

[tr1l1ner]

Pokud to technologie umoznuje, tak mozne je vse. Samozrejme to neznamena, ze to tak je vzdy v poradku. Ale co jsem tim chtel rict. Zkousel jsem mit all-in-one reseni, ale z vlastni zkusenosti jsem prisel na to, ze mi to za to nestoji. Zaprve jsem nebyl schopny nasadit pfSense do Proxmox bez problemu (z nejakeho duvodu jsem mel tak polovicni rychlosti do WAN a vypadaval mi internet kvuli nedostupnosti DNS serveru u klientu). Vedel jsem, ze na samostatnem HW tyhle problemy nejsou. Zadruhe co se stane, kdyz budu delat udrzbu na jedinem stroji a nepojede mi (cele rodine) internet. Jak pak budu hledat reseni na internetu? A dalsi vec je, ze cim vic toho budu mit na jednom miste, tak tim vetsi sance si vsechno rozbit...

Potrzeno, secteno. Radeji mit jednu z nejdulezitejsich komponent na siti na dedikovane HW, kde i s obcasnym restartem kvuli update budu mit "rock solid" router, ktery me nezklame. Se zbytkem si pak muzu delat co hrdlo raci a ostatni si niceho nevsimnou (alespon pri koukani na Novinky a YT). Ale jak se rika YMMV.

Co se tyce bezpecnosti, tak tam je to asi jedno. Pokud nekde neco spatne nastavim a utocnik pak bude mit pristup do me infrastruktury, tak rozdil mezi all-in-one a samostatnym resenim se mi zda maly. Rozsah skod muze byt ruzny, ale v kazdem pripade bude mit clovek o praci navic.

[jauznevimco]

Napred jsem hledal vyuziti pro postarsi workstation, az jsem do nej vecpal kdeco s tim, ze kdyz uz to pobezi plus minus nonstop, tak at je to aspon k necemu a zbavim se tak ruznych mensich blbustek, ktery maji navic kazda svuj zdroj a kdesi cosi... takze extra 2port a 4port sitovky, radic pro dostatek disku v RAIDu, adapter na mPCIe WiFinu, USBckovej tuner a jedem, at to k necemu je... Tak je z toho domorobo modem/switch/AP/NAS/TV/cokoliv chces.

Sveho casu jsem narazil na projekt ClearOS, v podstate CentOS s webUI, ktery umelo kdeco (ale spis zakladni veci) s moznosti placenyho supportu... ale zprovoznit tam rezim gateway+sluzby tam slo doslova na par kliku (ale stejne to bylo pro mne nedostatecne). Nicmene toto jsem chtel - kdyz tohle primo nekdo podporuje, a to i placene pro komercni pouziti, tak bych se blahove domnival, ze to nemuze byt az TAK stupidni napad...
Ale stejne jsem skoncil u CentOSu a vsechno od piky, nakolik ta masina slouzi i jako HTPC. Vse pod jednou strechou, zadny babrani se s nedostatkem vykonu nebo s tim, ze neco nejde nastavit. 

Sitovy veci mam vystaveny jen do firewalld zony Internal, zvenku je vsechno hluchy (akorat budu otevirat port na VPNku). Na storage jsou veci budto "verejne" (bezne pristupne veci z internetu, instalacky, nahravky z TV, ...), kde mi jejich ztrata nevadi, nebo pak veci "soukrome" (zalohy), jakozto sifrovany kontejner, ktery se desifruje za behu na kliententskem pocitaci, na kterem je namountovan (takze na disku je jen "binarni srot"). 

Mam takhle sice vytvorenej kompletni single point of failure ve vsech ohledech, ale na takovy to domaci zvykani je to asi fuk.

A ted do mne, je na tom neco fakt kriticky spatne, nebo se "na doma" zdaji rizika prijatelna?

---

Dlouho pred tim, nez jsem skoncil u tohoto reseni, jsem zkoumal mnoho variant, jak veci aspon trochu oddelit, abych mel sitovani/VPNku (tehda uvazovano pfSense) zvlast a storage a zbytek veci taky. Sitovky dostat do pfSense pres PCIe passthru a pro propojeni mezi VM mit uz jenom vNIC.
Ackoliv mi reseni zalozene na Xenu ci XCP-ng behalo designove podle ocekavani, zatezove testy byly zoufale. Pouhy iperf (klientsky PC vs pfSense ve VM s NIC pres PCIe passthrough) pri vyuziti 2 Gbit/s duplexne dokazal kompletne zatizit 4 jadra na 3 GHz, totalni zahlceni interrupty (z pulky ovladacem igb na urovni guesta, z druhe pulky neidentifikovatelne na strane hosta). Sice za beznyho dne tam po LAN tolik ani zdaleka nebeha, presto to bylo hodne spatne i stran spotreby/tepla. Docela mne to zaskocilo - od Xeonu a workstation desky jsem cekal, ze virtualizace pojede jedna basen. Pri behu primo na zeleze to pri stejne zatezi "o nicem nevi", coz z celkoveho pohledu vnimam jako mnohem zasadnejsi vec. 

Jak by se mi libilo natrefit na neco, co by melo rozhrani jako pfSense, ale slo naroubovat na CentOS... a mit takhle spravu hostapd/firewalld ci iptables/VPN/domenovyho filtrovani/... pod jednou strechou. Mozna se mrknu, jak to resi u WRT, stejne pouzivam jejich patche na ovladace ath9k...

[PanVP]

rozdil mezi all-in-one a samostatnym resenim se mi zda maly

Protože tomu nerozumíš, to je vše.

Představme si, že bys měl data na samostatném NAS Synology, měl zapnuté automatické aktulalizace a měl to zabezpečené slušným heslem. Do Firewallu se ti padouch dostane nejspíš automaticky - díky nějaké nezáplatované díře, ale přístup do tvojí infrastruktury ho nijak zásadně nepřiblíží k tvým datům.

Jak se to děje ve skutečnosti:
Nějaký automatizovaný nástroj se pokouší zneužít nějakou známo/neznámou zranitelnost nebo hádat hesla a do tvojí sítě se dostane hackerův robot. V běžné domácnosti tím tento útok skončí, protože mu tvoje data na tvojí NAS nebudou stát za to. Pouze se ti usídlí v software firewallu a prodá tě. Na NAS se vyprdne! Asi už nebude šmejdit v domácí síti, ničím by si nepomhl, proč by to dělal? Možná zkusí ovládnout další zařízení pomocí hádání výchozích hesel, ale nic sofistikovaného.

Synology se zapnutými automatickým aktualizacemi a s dobrým heslem, je celkem bezpečné řešení.
A to je defaultní nastavení, dá se to ještě mnohem víc utáhnout!
Je to až tak bezpečné, že NAS Synology mnoho lidí běžně vystrkuje do internetu.

Nehledě na to, že třeba v mojí síti router nemůže inicializovat spojení s NAS, protože na NAS mám zapnutý firewall a ten neumožňuje inicializovat spojení z routeru. NAS může inicializovat spojení ven a aktualizovat se, to ano. Ale co přijde bez vyžádání z Firewallu prostě zahodí. Je to taková malá volovinka, která se dá samozřejmě obejít, ale díky důslednému oddělení a zapnutým automatickým aktualizacím je hacknutí DVOU ZAŘÍZENÍ (tj. firewallu + NAS) jen bajka z oblasti SciFi.

Spojený NAS na routeru samozřejmě dává smysl - byť o tvůrcích Turrisu nemám valné mínění.
Takže KDY to dává smysl?
Pokud chci sdílet data se zákazníky!
Tj. každý zákoš dostane svoje přihlašovací údaje, případně společné pro čtení.
To je validní řešení, ale musí tam být uložená "nezávadná" data a celému řešení musí být věnována odpovídající péče, aby případný útočník nemohl do dat vložit něco ošklivého. To ovšem nebylo předmětem zmíněné diskuze.

[Miroslav Šilhavý]

Pokud máš vše správně nastavené, nic moc ti nehrozí.

Toto je jediná důležitá věta.

Neznám opravdového profesionála, který by o své práci řekl, že je vše dobře. Výsledek práce (konfigurace) je daný požadavkům (i sám sobě si člověk definuje cíl), a požadavky jsou zase poplatné zkušenostem. S čím nemáte zkušenost, to se nepromítne do požadavků a potažmo ani do výsledku.

Při úvahách o bezpečnosti se postupuje opačně. Vychází se z toho, že rizika se skrývají nejen v chybách, ale i ve všem, co jsem neměl možnost zkontrolovat nebo nemůžu kontrolovat nepřetržitě, a hlavně ve všem, co jsem nedomyslel já, ani ostatní.

Takže to, že si dnes myslíte, že je to nastavené správně, vůbec neznamená, že si to budete myslet i se zítřejšími zkušenostmi.

Proto existují základní kameny bezpečnosti, které je dobré respektovat. Jednou z mnoha zásad je separovat technologie a segregovat oprávnění. Zjednodušeně řečeno, není dobré mít VPN endpoint na serveru, na který jinak uživatelé nemají mít přístup. Kdyby VPN ochrana selhala, od uživatele tam útok nebude mít otevřenou cestičku. VPN pak podle situace může být na hraničním routeru, ale taky ne vždy. Není to dobré ve chvíli, kdy se na routeru sbíhají segmenty, do kterých uživatel nemá mít přístup. I když se nesbíhají, a v síti je použita IP adresa jako bezpečnostní bariéra (různé IP access listy apod.), pak by neměl mít hypotetický přístup k routeru ani tak. Podobné je to se síťovým provozem. Seběhnout si ošetřený (DMZ) a neošetřený tok a data ve stejném bodě, zvyšuje to rizika.

Pokud se z některých základních pravidel dělají kompromisy (někdy je to nevyhnutelné), pak je potřeba mít jistotu, že ostatní stavební kameny bezpečnosti stojí naprosto pevně, a je potřeba (si) odůvodnit, proč lze ke kompromisu přistoupit.

Vycházet z teze: žádné riziko mě nenapadá, tudíž neexistuje, je špatně.

[Ondrej Nemecek]

Jednou z mnoha zásad je separovat technologie a segregovat oprávnění. Zjednodušeně řečeno, není dobré mít VPN endpoint na serveru, na který jinak uživatelé nemají mít přístup (...)

Přesně tak. Aneb: Rozděl a panuj. Vhodná separace navíc zvyšuje flexibilitu řešení i v ostatních ohledech.

A další důležité pravidlo: Celek je tak (ne)bezpečný, jak (ne)bezpečná je jeho nejslabší část.

Proto je potřeba bezpečnostní odborník, který řekne co se může stát a pak manažer, který řekne, zda je takové riziko problém či nikoli.

[novak_josef_2019]

AIO mám 13 let na veřejce.

Kód: [Vybrat]

apache2.service
dovecot.service
fail2ban.service
freeradius.service
hostapd.service
isc-dhcp-server.service
isc-dhcp-server6.service
minidlna.service
mysql.service
nmbd.service
opendkim.service
opendmarc.service
openvpn.service
php7.4-fpm.service
php8.0-fpm.service
postfix.service
proftpd.service
radvd.service
smbd.service
ssh.service
unbound.service
virtualbox.service
x0vncserver.service


[SB]

Spojený NAS na routeru samozřejmě dává smysl - byť o tvůrcích Turrisu nemám valné mínění.
Takže KDY to dává smysl?
Pokud chci sdílet data se zákazníky!
Tj. každý zákoš dostane svoje přihlašovací údaje, případně společné pro čtení.

To se mi moc nezdá. Sdílená data nějakou službou (SFTP, Samba, ...) znamená, že na routeru běží navíc binárky, které by tam jinak neběžely, a ty můžou být jako každé jiné zranitelné. Navíc přes ně zákazníky necháte vstupovat do routeru (třeba přes HTTPS či jiný protokol), kam by se jinak nikdy nedostali.

[PanVP]

to se mi moc nezdá

Mně taky ne, z hlediska bezpečnosti to není dobré řešení, ale může to být "dostatečné řešení" ve srovnání s vystrčením nezáplatovaného NAS z vnitřku sítě (bez použití DMZ). Nebo použití nějakého own-cloudu řešení, o které se přestaneš starat ve chvíli, kdy jsi ho nasadil.

AIO mám 13 let na veřejce.

MÁŠ PRAVDU!
Můj známý kouřil od 16 do 70 let, každý den nejméně jednu krabičku laciných cigaret!
A co myslíš, jak umřel? SRAZILO HO AUTO!!! Zapaloval si takhle tři cigarety naráz a BUM!= IMHO kouření je OK.

[PanVP]

Jednou z mnoha zásad je separovat technologie a segregovat oprávnění.

+1

Přesně tak. Aneb: Rozděl a panuj.

+1

[novak_josef_2019]

MÁŠ PRAVDU!
Můj známý kouřil od 16 do 70 let, každý den nejméně jednu krabičku laciných cigaret!
A co myslíš, jak umřel? SRAZILO HO AUTO!!! Zapaloval si takhle tři cigarety naráz a BUM!= IMHO kouření je OK.

Vidíš, plno úvah a keců o hovnu a nakonec to funguje.