nicht angemeldet
route und subnetz
morgen zusammen,
ich bin gerade dabei, mein heimnetz in mehrere subnetze aufzuteilen, damit evt. schädlinge meiner netzpartner nicht gleich überall hin können. ich habe mir gedacht, dass ich folgende adressbereiche nehme: 10.0.NNNNNNNN.HHHHHHHH
woraus sich die ersten vier netze 10.0.1.0 10.0.2.0 10.0.3.0 10.0.4.0
bei der subnetzmaske 255.255.255.0
ergeben.
nun ergeben sich mir folgende fragen:
-
bekomme ich probleme beim routen, weil mein zielnetz (in welches geNATet wird) auch eine 255.255.255.0 subnetzmaske hat, nämlich: 192.168.1.0 / 255.255.255.0
-
ich dachte immer, wenn ich unterschiedliche subnetze habe, habe ich auch verschiedene netzmasken pro subnetz. anscheinend ist das ja wohl aber nicht so, richtig? bei meinem o.g. beispiel habe ich also überall die gleiche netzmaske, trotzdem aber verschiedene netze?
heissen dank an diesem heissen tag, andreas
-
noch eine wichtige frage:
-
bekomme ich probleme beim routen, weil mein zielnetz (in welches geNATet wird) auch eine 255.255.255.0 subnetzmaske hat, nämlich: 192.168.1.0 / 255.255.255.0
-
ich dachte immer, wenn ich unterschiedliche subnetze habe, habe ich auch verschiedene netzmasken pro subnetz. anscheinend ist das ja wohl aber nicht so, richtig? bei meinem o.g. beispiel habe ich also überall die gleiche netzmaske, trotzdem aber verschiedene netze?
- der router, der meine subnetze routet braucht ja auch eine adresse. bekommt der (intern) eine 10.0.0.x
oder eine 10.0.1.x?
heissen dank an diesem heissen tag, andreas
-
Moin!
* der router, der meine subnetze routet braucht ja auch eine adresse. bekommt der (intern) eine
10.0.0.xoder eine 10.0.1.x?
Der bekommt ganz viele IP-Adressen, für jedes Netz, in dem er teilnimmt, eine eigene.
IP-Adressen werden nicht pro Gerät, sondern pro Netzwerkinterface vergeben. Es ist normal, dass jeder vernetze Client beispielsweise mindestens ZWEI IP-Adressen besitzt: 127.0.0.1 für das Loopback-Interface, und die IP-Adresse der Netzwerkkarte.
- Sven Rautenberg
-
-
hallo,
10.0.1.0
10.0.2.0
10.0.3.0
10.0.4.0
bei der subnetzmaske
255.255.255.0Nein. Deine Maske wäre eventuell 255.0.0.0, aber gerade die 255.255.255.0 nicht (siehe http://forum.de.selfhtml.org/archiv/2005/2/t100301 und andere Fundstellen im Archiv).
* ich dachte immer, wenn ich unterschiedliche subnetze habe, habe ich auch verschiedene netzmasken pro subnetz.
Richtig. Wenn es tatsächlich verschiedene Netze sind, unterscheiden sie sich nicht nur in den IP-Adressen, sondern vor allem durch die Netzmasken.
bei meinem o.g. beispiel habe ich also überall die gleiche netzmaske, trotzdem aber verschiedene netze?
Wenn du unterschiedliche Netze haben möchtest, mußt du unterschiedliche Masken vergeben.
Welche Netze du einrichten kannst, hängt teilweise von deinem Router ab, bzw. von dessen Konfiguration.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
Moin!
10.0.1.0
10.0.2.0
10.0.3.0
10.0.4.0
bei der subnetzmaske
255.255.255.0Nein. Deine Maske wäre eventuell 255.0.0.0, aber gerade die 255.255.255.0 nicht
Christoph, nur weil du ganz vorne in der IP-Adresse die "10" siehst, erlaubt das trotzdem absolut keine Rückschlüsse auf die gewählte Netzmaske. Stichwort "Subnetting". Von den Klassen, in die man ganz früher die IP-Adressbereiche eingeteilt hat und aus denen sich dann Netzmasken zwingend ergaben, sind wir ja schon eine ganze Weile sehr weit weg.
* ich dachte immer, wenn ich unterschiedliche subnetze habe, habe ich auch verschiedene netzmasken pro subnetz.
Richtig. Wenn es tatsächlich verschiedene Netze sind, unterscheiden sie sich nicht nur in den IP-Adressen, sondern vor allem durch die Netzmasken.
Nein. Du glaubst gar nicht, wie viele existierende Internet-Netze es gibt, die mit der Netzmaske 255.255.255.0 arbeiten. Parallel! Funktionierend! Im Gegensatz zu den IP-Adressen, von denen es zum Glück doch ein paar Millionen gibt, gibt es an Netzmasken nämlich allerhöchstens 32 Stück. Die wären schon längst verbraucht, würde man unterschiedliche Masken je Netz benötigen.
Wenn du unterschiedliche Netze haben möchtest, mußt du unterschiedliche Masken vergeben.
Definitiv: Nein!
- Sven Rautenberg
-
hallo,
Im Gegensatz zu den IP-Adressen, von denen es zum Glück doch ein paar Millionen gibt, gibt es an Netzmasken nämlich allerhöchstens 32 Stück.
Konkret:
Here's a table showing the relationship between the / notation, the byte
notation, and the corresponding binary numbers (with a dot every eight
digits) for the 32 bit addresses. I've thrown in a count of how many
Class A/B/C networks the larger networks encompass./ Notation Binary Byte Notation #Class
---------- ----------------------------------- -------------- ------
/0 00000000.00000000.00000000.00000000 0.0.0.0 256 A
/1 10000000.00000000.00000000.00000000 128.0.0.0 128 A
/2 11000000.00000000.00000000.00000000 192.0.0.0 64 A
/3 11100000.00000000.00000000.00000000 224.0.0.0 32 A
/4 11110000.00000000.00000000.00000000 240.0.0.0 16 A
/5 11111000.00000000.00000000.00000000 248.0.0.0 8 A
/6 11111100.00000000.00000000.00000000 252.0.0.0 4 A
/7 11111110.00000000.00000000.00000000 254.0.0.0 2 A
/8 11111111.00000000.00000000.00000000 255.0.0.0 1 A
/9 11111111.10000000.00000000.00000000 255.128.0.0 128 B
/10 11111111.11000000.00000000.00000000 255.192.0.0 64 B
/11 11111111.11100000.00000000.00000000 255.224.0.0 32 B
/12 11111111.11110000.00000000.00000000 255.240.0.0 16 B
/13 11111111.11111000.00000000.00000000 255.248.0.0 8 B
/14 11111111.11111100.00000000.00000000 255.252.0.0 4 B
/15 11111111.11111110.00000000.00000000 255.254.0.0 2 B
/16 11111111.11111111.00000000.00000000 255.255.0.0 1 B
/17 11111111.11111111.10000000.00000000 255.255.128.0 128 C
/18 11111111.11111111.11000000.00000000 255.255.192.0 64 C
/19 11111111.11111111.11100000.00000000 255.255.224.0 32 C
/20 11111111.11111111.11110000.00000000 255.255.240.0 16 C
/21 11111111.11111111.11111000.00000000 255.255.248.0 8 C
/22 11111111.11111111.11111100.00000000 255.255.252.0 4 C
/23 11111111.11111111.11111110.00000000 255.255.254.0 2 C
/24 11111111.11111111.11111111.00000000 255.255.255.0 1 C
/25 11111111.11111111.11111111.10000000 255.255.255.128
/26 11111111.11111111.11111111.11000000 255.255.255.192
/27 11111111.11111111.11111111.11100000 255.255.255.224
/28 11111111.11111111.11111111.11110000 255.255.255.240
/29 11111111.11111111.11111111.11111000 255.255.255.248
/30 11111111.11111111.11111111.11111100 255.255.255.252
/31 11111111.11111111.11111111.11111110 255.255.255.254
/32 11111111.11111111.11111111.11111111 255.255.255.255Ich weiß allerdings nicht mehr, wo ich mir das mal abgeschrieben habe.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
-
Moin!
ich bin gerade dabei, mein heimnetz in mehrere subnetze aufzuteilen, damit evt. schädlinge meiner netzpartner nicht gleich überall hin können.
Ich glaube kaum, dass sich dieses Ziel verwirklichen läßt, denn den Kontakt zu deinen Netzpartnern willst du ja sicherlich nicht gleich komplett abbrechen, oder? Sobald aber Datenaustausch zwischen zwei Rechnern möglich ist, ist es grundsätzlich auch möglich, dass schädliche Software auf diesem Weg wirkt bzw. es zumindest versucht (dass man was dagegen tun kann, ist ja klar).
ich habe mir gedacht, dass ich folgende adressbereiche nehme:
10.0.NNNNNNNN.HHHHHHHH* bekomme ich probleme beim routen, weil mein zielnetz (in welches geNATet wird) auch eine 255.255.255.0 subnetzmaske hat, nämlich:
192.168.1.0 / 255.255.255.0Das Routing orientiert sich nicht an unterschiedlichen oder gleichen Subnetzmasken. Diese dienen in Kombination mit einer IP ja lediglich dazu, den Netzbereich zu kennzeichnen. Deutlicher wird das noch, wenn man die alternative Notation verwendet: 192.168.1.0/24 bzw. 10.0.1.0/24.
* ich dachte immer, wenn ich unterschiedliche subnetze habe, habe ich auch verschiedene netzmasken pro subnetz. anscheinend ist das ja wohl aber nicht so, richtig? bei meinem o.g. beispiel habe ich also überall die gleiche netzmaske, trotzdem aber verschiedene netze?
Die Subnetzmaske gibt an, welche Bits einer IP-Adresse die Netzwerkadresse sind, und wieviele Bits der IP-Adresse der Hostanteil sind.
In der Routingtabelle (und selbst jeder simple normale Clientrechner hat eine) wird dann daraus ermittelt, ob die Ziel-IP, mit der kommuniziert werden soll, innerhalb des eigenen Netzwerks liegt, man sie also direkt über das angeschlossene Kabel erreichen kann, oder ob man einen Router (und wenn, dann welchen) damit beauftragen muß, die Daten weiter zu leiten.
Dein Netzaufbau ist mir aber noch nicht wirklich deutlich. Einfach nur vier Netze zu definieren ist etwas zu wenig. Damit dein erwünschter Sicherheitsgewinn auf aufgeht, mußt du zwingend auch vier Netzwerkkarten in deinem Router haben, und (sofern je Teilnetz mehr als ein Rechner angeschlossen werden soll) jeweils individuelle Hubs oder Switches (sofern du noch koax-verkabelt bist, dann eben vier voneinander getrennte Kabelsegmente). Andernfalls kann trotz deiner Netzwerkaufteilung ja doch jeder angeschlossene Rechner jederzeit Datenpakete an jeden anderen Rechner senden, ohne dass du etwas dagegen tun könntest. Denn bedenke, dass es auch noch andere Protokolle außer TCP/IP gibt, die ebenfalls für Angriffe genutzt werden könnten.
Außerdem: Wie paßt dein NAT-externes Netz 192.168.1.0 da noch mit rein, wo soll das angeschlossen werden? Und wie kommst du ins Internet?
- Sven Rautenberg
-
halo ihr zwei und soweit erstmal vielen dank für euere interesse.
Ich glaube kaum, dass sich dieses Ziel verwirklichen läßt, denn den Kontakt zu deinen Netzpartnern willst du ja sicherlich nicht gleich komplett abbrechen, oder? Sobald aber Datenaustausch zwischen zwei Rechnern möglich ist, ist es grundsätzlich auch möglich, dass schädliche Software auf diesem Weg wirkt bzw. es zumindest versucht (dass man was dagegen tun kann, ist ja klar).
ich kann und will auf die anderen netze komplett verzichten.
Das Routing orientiert sich nicht an unterschiedlichen oder gleichen Subnetzmasken. Diese dienen in Kombination mit einer IP ja lediglich dazu, den Netzbereich zu kennzeichnen. Deutlicher wird das noch, wenn man die alternative Notation verwendet: 192.168.1.0/24 bzw. 10.0.1.0/24.
ok, ich gehe also nun davon aus, dass das keine probleme macht.
- ich dachte immer, wenn ich unterschiedliche subnetze habe, habe ich auch verschiedene netzmasken pro subnetz. anscheinend ist das ja wohl aber nicht so, richtig? bei meinem o.g. beispiel habe ich also überall die gleiche netzmaske, trotzdem aber verschiedene netze?
Die Subnetzmaske gibt an, welche Bits einer IP-Adresse die Netzwerkadresse sind, und wieviele Bits der IP-Adresse der Hostanteil sind.
heisst also, dass mein aufbau mit den genannten adressen als verschiedene subnetze erkannt wird, obwohl geiche maske?!
Dein Netzaufbau ist mir aber noch nicht wirklich deutlich. Einfach nur vier Netze zu definieren ist etwas zu wenig. Damit dein erwünschter Sicherheitsgewinn auf aufgeht, mußt du zwingend auch vier Netzwerkkarten in deinem Router haben, ...
Außerdem: Wie paßt dein NAT-externes Netz 192.168.1.0 da noch mit rein, wo soll das angeschlossen werden? Und wie kommst du ins Internet?
ok, jetzt wirds schwierig ;) zuerst meine verfügbaren komponenten:
- (R) router
- (RW) wlan router
- (S) 'server' mit windows, da ein windows-only programm gebraucht wird. zwei netzwerkarten.
- (SV) virtual-'server', welcher ein fli4l router in einer vmware ist. setzt auf die zwei netzwerkkarten auf, kann aber theoretisch auch 4 besitzen, schickt dann eben über virtuelle karten die daten verteilt raus (ich denke das geht). zweck ist primar QoS.
die definitiv einfachste lösung wäre natürlich: Internet - (R) - (RW) - mein netz - (S) - anderer client 1 - anderer client 2 - anderer client 3
damit nutze ich die firewall des (RW) und hab mich abgesichert. problem dabei: ich hab keine kontrolle über die bandbreite, die anderen sind nicht geschützt.
meine jetzige konstruktion sol so aussehen: Internet - (R:192.168.1.0) - (SV) - (RW:10.0.1.0) - (S) - mein rechner 1 - mein rechner 2 - anderer client 1 - anderer client 2 - anderer client 3
SV (192.168.1.100 <> 10.0.X.X) ist wie gesagt der fli und somit das kernstück. die anordnung, das SV vor S kommt sieht zwar komisch aus, funktioniert aber so. R ist momentan nur dafür da, die verbindung zu halten und eine erste firewall zu bieten, wird später wahrscheinlich wegrationaltisiert.
die frage ist jetzt (worauf ich eben die ganze zeit raus will), kann ich die trennung jetzt einfach mit subnetzen machen; anscheinend - wie sven gesagt hat - eben nur, wenn ich vier karten habe.
ansonsten muss ich mir aufwändige (und unflexible) routing, bzw. nicht routing sachen einfallen lassen. das ist zwar auch nicht ultrasicher, aber möglicherweise schon ausreichend. kommt dazu, dass ich je ohnehin noch einen router (RW) zwischen mir und 'den anderen' habe.
ok, das war jetzt ganz schön viel text, ich hoffe:
- ihr krümmt ecuh nicht vor lachen
- ihr seid noch nicht eingeschlafen ;)
beste grüsse, andreas
-
Moin!
ok, jetzt wirds schwierig ;) zuerst meine verfügbaren komponenten:
* (R) router
* (RW) wlan router
* (S) 'server' mit windows, da ein windows-only programm gebraucht wird. zwei netzwerkarten.
* (SV) virtual-'server', welcher ein fli4l router in einer vmware ist. setzt auf die zwei netzwerkkarten auf, kann aber theoretisch auch 4 besitzen, schickt dann eben über virtuelle karten die daten verteilt raus (ich denke das geht). zweck ist primar QoS.Zu beachten ist bei deiner ganzen Auflistung, ob es sich bei den als "Router" bezeichneten Geräten (R) und (RW) tatsächlich um Router handelt, oder ob diese in ihrer Funktionalität doch eingeschränkt sind - oder wohlmöglich nur so tun, als würden sie routen, in Wirklichkeit aber diesen Namen rein netzwerktechnisch nicht verdienen.
Router sind Geräte, welche über mindestens zwei IP-Interfaces verfügen und in der Lage sind, Datenpakete basierend auf einer Routingtabelle vom einen Interface zum anderen zu kopieren. Bonuspunkt wäre, wenn zusätzlich auch noch Firewallregeln aktiv werden könnten, um das unbedingte Weiterreichen einschränken zu können.
meine jetzige konstruktion sol so aussehen:
Genau die sollten wir ausschließlich diskutieren, alles andere führt zu weit.
Internet - (R:192.168.1.0) - (SV) - (RW:10.0.1.0) - (S)
- mein rechner 1
- mein rechner 2
- anderer client 1
- anderer client 2
- anderer client 3Mal ein paar dumme Fragen:
Warum zum Teufel steckt der Fli4L in einer VMWare drin?
Welche HARDWAREgeräte sind verfügbar (VMWare-"Rechner" zählen nicht mit!)?
Welche Netzwerkinterfaces sind in diese Geräte eingebaut?
Wie sind diese Interfaces untereinander verkabelt bzw. mit Funk gekoppelt?R ist momentan nur dafür da, die verbindung zu halten und eine erste firewall zu bieten, wird später wahrscheinlich wegrationaltisiert.
In der Tat bietet es sich an, lieber genau EINEN vernünftigen Fli4L-Router an vorderster Front für die DSL-Verbindung (vermute ich mal) ins Internet einzusetzen - der muß dann nur ans DSL-Modem angeschlossen werden, welches hoffentlich einen Ethernet-Anschluß besitzt.
die frage ist jetzt (worauf ich eben die ganze zeit raus will), kann ich die trennung jetzt einfach mit subnetzen machen; anscheinend - wie sven gesagt hat - eben nur, wenn ich vier karten habe.
Dein Trennungsszenario ist noch nicht deutlich geworden. Skizziere den beabsichtigten Datenverkehr - das ist dann auch Planungsgrundlage für die Firewall.
ansonsten muss ich mir aufwändige (und unflexible) routing, bzw. *nicht* routing sachen einfallen lassen. das ist zwar auch nicht ultrasicher, aber möglicherweise schon ausreichend. kommt dazu, dass ich je ohnehin noch einen router (RW) zwischen mir und 'den anderen' habe.
Router haben die Aufgabe, Daten durchzulassen, und zwar bedingungslos. Ein Router "dazwischen" hilft also absolut nichts, du bräuchtest eine Firewall. Dass in existierenden Kleingeräten gern Router und Firewallfunktion gemeinsam eingebaut werden, ändert aber nichts an der Tatsache, dass es sich hierbei um zwei verschiedene Dinge (nur eben zufällig im gleichen Gehäuse) handelt.
- Sven Rautenberg
-
hello again,
Zu beachten ist bei deiner ganzen Auflistung, ob es sich bei den als "Router" bezeichneten Geräten (R) und (RW) tatsächlich um Router handelt, oder ob diese in ihrer Funktionalität doch eingeschränkt
jupp, ein d-link DI514 (RW) (1up, 4 clients) und ein d-link DI707P (R) (1up, 7clients)
meine jetzige konstruktion sol so aussehen:
Genau die sollten wir ausschließlich diskutieren, alles andere führt zu weit.
Internet - (R:192.168.1.0) - (SV) - (RW:10.0.1.0) - (S) - mein rechner 1 - mein rechner 2 - anderer client 1 - anderer client 2 - anderer client 3
Mal ein paar dumme Fragen: Warum zum Teufel steckt der Fli4L in einer VMWare drin?
weil ich nicht noch einen rechner anmachen will, der auch noch strom braucht. eindeutig sind das bis jetzt genug. da der windows-'server' ohnehin läuft, ist er prädistiniert als vm-host.
Welche HARDWAREgeräte sind verfügbar (VMWare-"Rechner" zählen nicht mit!)?
o.g. router und der genannte windows rechner
Welche Netzwerkinterfaces sind in diese Geräte eingebaut?
in dem windows rechner zwei netzwerkkarten, 1x 10mbit, 1x100mbit
Wie sind diese Interfaces untereinander verkabelt bzw. mit Funk gekoppelt?
verkabelt werden sie jetzt so - alle geräte hängen als normale clients an dem ersten router: Internet - (R:192.168.1.0) - (SV) - (RW:10.0.1.0) - (S) - mein rechner 1 - mein rechner 2 - anderer client 1 - anderer client 2 - anderer client 3
dhcp wird aber so eingestellt, dass gateway und dns nicht -wie üblich - (R) ist, sondern (SV). das heisst, der traffic von client N geht über SV -> (R) -> Internet. die firewall von (R) wird einfach so eingestellt, dass sie nur traffic von (SV) durch lässt.
nun bleibt nur noch die frage, wie ich den windows-server (S) hinter den zweiten router (RW) bekomme, wo doch eigentlich der rechner schon davor ist, weil (SV) gezwungenermassen dort sein muss. ich vermute das geht nicht. ?! aus diesem grund wird es wohl so werden: Internet - (R:192.168.1.0) - (SV) - (S) - (RW:10.0.1.0) - mein rechner 1 - mein rechner 2 - anderer client 1 - anderer client 2 - anderer client 3 dann wird jetzt noch schwierig, den windows-server vor anderen clients ausser mir abzudichten. normalerweise wäre eine firewall auf dem windows rechner ausrechend, aber das scheint nicht zu funktionieren, weil sonst der traffic die vm-ware nicht mehr erreicht.
naja, viel zu schwierig, aber ich habe im urin, dass das noch klappt ;)
schönen sonntach noch, andreas
-
Moin!
Warum zum Teufel steckt der Fli4L in einer VMWare drin?
weil ich nicht noch einen rechner anmachen will, der auch noch strom braucht. eindeutig sind das bis jetzt genug. da der windows-'server' ohnehin läuft, ist er prädistiniert als vm-host.Das ist sicherheitstechnischer Selbstmord. Bereits an dieser Stelle kannst du dein Experiment, welches ja unter der Überschrift steht "Ich baue Subnetze, damit die anderen Kisten meinem Windows nix schaden können", beenden. Sobald ein Kabel direkt von A nach B führt (allenfalls "getrennt" durch einen Switch, welcher auch noch in deinem Hardwareroutergerät eingebaut ist), kann man die Leitung nutzen.
Mit anderen Worten: Dein Server-Windows ist immer von außen angreifbar von allen Rechnern, die im gleichen, verkabelten Netzwerksegment stecken, auch wenn sie andere IP-Adressen haben. Weil niemand die Clients hindert, beispielsweise ihre IP-Adresse zu verändern, und sie so ganz einfach ins existierende Netz springen können.
Mit unterschiedlichen Netzwerksegmenten und unterschiedlichen Hardware-Netzwerkkarten im zentralen Router wäre das unmöglich.
Wer dein Server-Windows knackt, hat direkt auch Kontrolle über die VMWare-Maschine darin. Es ist also idiotisch, dass VMWare irgendwelche Sicherheit produzieren soll. Umgekehrt wäre es vielleicht denkbar: Fli4l läuft als Hauptsystem, und mit VMWare läuft innen drin ein Windows.
- Sven Rautenberg
-
hallo Sven,
Warum zum Teufel steckt der Fli4L in einer VMWare drin?
weil ich nicht noch einen rechner anmachen will, der auch noch strom braucht. eindeutig sind das bis jetzt genug. da der windows-'server' ohnehin läuft, ist er prädistiniert als vm-host.
Das ist sicherheitstechnischer Selbstmord.Die Antwort mag etwas unbedarft erscheinen und die genannte Begründung mag nicht stichhaltig sein, aber "sicherheitstechnischer Selbstmord" ist das keineswegs. Allerdings ist es auch eine alles andre als triviale Lösung. Mir ist bei Gelegenheit genau diese Lösung, nämlich VMware als Router einzusetzen, an anderer Stelle vorgeschlagen worden - ich habs mit Erfolg probiert.
Wer dein Server-Windows knackt, hat direkt auch Kontrolle über die VMWare-Maschine darin.
Das hat er _nur_ dann, wenn er über die online-Verbindung tatsächlich auf die Windows-Kiste kommt. Wenn er aber sofort in VMware landet (was sich mit VMware 5 konfigurieren läßt) und dort auf eine Firewall trifft, stimmt das nicht mehr. Vmware kann mit "hostonly" die NIC des "Hostrechners" für sich beanspruchen, und zwar so, daß der "Hostrechner" selber gar keinen Zugriff mehr ins Internet bekommt, es sei denn, er bekommt von der virtuellen Maschine die Erlaubnis dazu.
Es ist also idiotisch, dass VMWare irgendwelche Sicherheit produzieren soll.
Es ist sicher so, daß du von Netzwerktechnologie sehr viel weißt. Aber was sich bei VMware inzwischen so alles getan hat, müßtest du dir nochmal anschauen.
Umgekehrt wäre es vielleicht denkbar: Fli4l läuft als Hauptsystem, und mit VMWare läuft innen drin ein Windows.
Das ist _auch_ denkbar, und dann wären deine Sicherheitshinweise zutreffend.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
Moin!
Die Antwort mag etwas unbedarft erscheinen und die genannte Begründung mag nicht stichhaltig sein, aber "sicherheitstechnischer Selbstmord" ist das keineswegs.
Das ist deine Meinung, kein Fakt.
Allerdings ist es auch eine alles andre als triviale Lösung. Mir ist bei Gelegenheit genau diese Lösung, nämlich VMware als Router einzusetzen, an anderer Stelle vorgeschlagen worden - ich habs mit Erfolg probiert.
Ich bestreite nicht, dass es nicht funktioniert
Wer dein Server-Windows knackt, hat direkt auch Kontrolle über die VMWare-Maschine darin.
Das hat er _nur_ dann, wenn er über die online-Verbindung tatsächlich auf die Windows-Kiste kommt.
Sofern du mit "Online-Verbindung" den Link ins Internet meinst: Falsch, da ist ein NAT-Router davor, welcher nicht so einfach zu überwinden wäre, mir geht es in der Beschreibung der Sicherheitsrisiken ausschließlich um das lokale Netzwerk, denn das war die Anforderung - vgl. das Ausgangsposting.
Wenn er aber sofort in VMware landet (was sich mit VMware 5 konfigurieren läßt) und dort auf eine Firewall trifft, stimmt das nicht mehr. Vmware kann mit "hostonly" die NIC des "Hostrechners" für sich beanspruchen, und zwar so, daß der "Hostrechner" selber gar keinen Zugriff mehr ins Internet bekommt, es sei denn, er bekommt von der virtuellen Maschine die Erlaubnis dazu.
Punkt 1: Woher wissen wir, dass VMWare 5 zum Einsatz kommt?
Punkt 2: Das Hostsystem wird als Server eingesetzt, es MUSS daher Netzwerkkonnektivität besitzen, und genau diese stellt den Angriffspunkt dar. Dass intern noch ein virtueller Router Datenpakete umkopiert und von Netzwerkkarte A nach Netzwerkkarte A weiterleitet, ist in diesem Zusammenhang irrelevant.
Punkt 3: Wie toll Drittsoftware es schafft, die Netzwerkschnittstellen vor Zugriffen der Hostsoftware abzuschirmen, beweisen die diversen Desaster von Personal Firewalls ja recht eindrucksvoll.Nochmal zur Klarstellung: Mir geht es nicht um irgendein theoretisch aufbaubares Szenario, sondern um die konkrete Anwendung, wie sie hier beschrieben ist.
Und selbst wenn es darum ginge, völlig frei ein Netzwerk zu designen, wäre das allerletzte, was mir einfiele, einen Windows-Server (welcher nur für ein abgeschottetes Segment zugänglich sein soll) mit VMWare zu versehen, Fli4L draufzuspielen und die Maschine gleichzeitig noch als zentralen Router für alle Netzwerke zu verwenden, auch für die, die auf den Windows-Server KEINEN ZUGRIFF haben sollen. Das ist einfach mal grundsätzlicher Schwachsinn - d.h. man kann es natürlich machen, aber was auch immer da entsteht, sollte nicht mit "sicher" bezeichnet werden dürfen.
Es ist sicher so, daß du von Netzwerktechnologie sehr viel weißt. Aber was sich bei VMware inzwischen so alles getan hat, müßtest du dir nochmal anschauen.
Ich muß mir VMWare nicht angucken, um zu wissen: Wann immer eine direkte Verbindung zwischen einem evtl. angreifenden Host A und einem zu schützenden System B besteht, ist das für das Sicherheitsniveau der schlechteste anzunehmende Fall, und man sollte nach Möglichkeit so viele Systeme dazwischenpacken, wie notwendig sind, um das Sicherheitsniveau auf den gewünschten Level zu packen.
Dabei hilft es absolut gar nichts, wenn man mit irgendeiner virtualisierenden Software die Sicherheit in einer Submaschine innerhalb der angreifbaren Maschine realisiert. Genau das Gegenteil muß gemacht werden, die angreifbare Maschine muß eingezäunt werden, damit sämtliche Zugriffe durch kontrollierende Instanzen passieren müssen. Und genau dieses ist im beschriebenen Szenario schlicht nicht möglich.
Um es als vergleichbares Bild auszudrücken: Würdest du zum Schutz gegen Diebe eine Schatzkammer innen mit einem Käfig versehen wollen, dessen Eingang unkontrolliert mit der Außenwelt verbunden ist, und an dessen innerer Tür hin zum Schatz Kontrollen stattfinden? Warum werden potentiell böse Elemente bis zur Schatzkammer vorgelassen, anstatt sie direkt außen am Burggraben abblitzen zu lassen? Was ist, wenn die Stabilität des Käfigs nicht den Anforderungen entspricht, oder gar die in die Burg gelassenen Bösewichte statt des vorgesehenen Weges lieber durch die Wand brechen und die Schatzkammer auf einem ganz anderen Weg betreten, als geplant?
Umgekehrt wäre es vielleicht denkbar: Fli4l läuft als Hauptsystem, und mit VMWare läuft innen drin ein Windows.
Das ist _auch_ denkbar, und dann wären deine Sicherheitshinweise zutreffend.
...und _auch_ dann...
- Sven Rautenberg
-
hallo Sven,
[...] VMware als Router einzusetzen
Ich bestreite nicht, dass es nicht funktioniertDoppelte Verneinung? Du meintest sicher "ich betreite nicht, daß es funktioniert"
Wer dein Server-Windows knackt, hat direkt auch Kontrolle über die VMWare-Maschine darin.
Das hat er _nur_ dann, wenn er über die online-Verbindung tatsächlich auf die Windows-Kiste kommt.
Sofern du mit "Online-Verbindung" den Link ins Internet meinst: Falsch, da ist ein NAT-Router davorÄhm, ja, in der Kombination, die der OP vorgegeben hat. Ich korrigiere meine Aussage dahingehend: Zugriff auf das "Hostsystem" hat ein eventueller Angreifer nur dann, wenn der "Host" seine NIC eben nicht an VMware "abgegeben" hat - was sich aber konfigurieren läßt.
Woher wissen wir, dass VMWare 5 zum Einsatz kommt?
Das wissen wir (bisher) nicht.
Das Hostsystem wird als Server eingesetzt, es MUSS daher Netzwerkkonnektivität besitzen, und genau diese stellt den Angriffspunkt dar. Dass intern noch ein virtueller Router Datenpakete umkopiert und von Netzwerkkarte A nach Netzwerkkarte A weiterleitet, ist in diesem Zusammenhang irrelevant.
Nein, das ist nicht irrelevant. Das Hostsystem (einschließlich der MAC-Adresse für die physikalische NIC) stellt tatsächlich die Netzwerkkonnektivität zur Verfügung. Aber VMware 5 ist in der Lage, ihm die "Kontrolle" darüber vollständig abzunehmen.
Wie toll Drittsoftware es schafft, die Netzwerkschnittstellen vor Zugriffen der Hostsoftware abzuschirmen, beweisen die diversen Desaster von Personal Firewalls ja recht eindrucksvoll.
Schwierig. VMware ist _zuerst_ einmal gar nichts, weder Personal- noch sonst eine Firewall. Es ist lediglich eine Software, die auch Firewall und Routing übernehmen kann, aber keineswegs muß. Es _kann_ zwar alles übernehmen, aber man kann mit einer Personal-Firewall in VMware genausoviel Unsinn anrichten wie mit einer auf dem Host installierten Personal-Firewall. Wie jede normale physische Maschine muß selbstverständlich auch eine virtuelle Maschine korrekt konfiguriert werden. Von alleine tut sie gar nichts.
Nochmal zur Klarstellung: Mir geht es nicht um irgendein theoretisch aufbaubares Szenario, sondern um die konkrete Anwendung, wie sie hier beschrieben ist.
Das verstehe ich schon. Mir gehts ausdrücklich als Ergänzung dazu um das höchst interessante Konzept, die Gesamtverantwortung einer physikalischen Mschine abzunehmen und einer virtuellen Maschine zuzusprechen. Und das kann eben tatsächlich funktionieren, ist aber, wie bereits ausgesagt, alles andre als trivial.
Und selbst wenn es darum ginge, völlig frei ein Netzwerk zu designen, wäre das allerletzte, was mir einfiele, einen Windows-Server (welcher nur für ein abgeschottetes Segment zugänglich sein soll) mit VMWare zu versehen, Fli4L draufzuspielen und die Maschine gleichzeitig noch als zentralen Router für alle Netzwerke zu verwenden, auch für die, die auf den Windows-Server KEINEN ZUGRIFF haben sollen. Das ist einfach mal grundsätzlicher Schwachsinn - d.h. man kann es natürlich machen, aber was auch immer da entsteht, sollte nicht mit "sicher" bezeichnet werden dürfen.
Die Idee, auf einer Windows2003Server-Kiste, die zwei physikalische Netzwerk-Schnittstellen hat und demzufolge routen könnte, zusätzlich in VMwre einen fli4L-Router einzurichten, halte ich ebenfalls für - naja, für eine geringfügig originelle Unsinnigkeit.
Aber ich habs gerade in den letzten vier Wochen sehr extensiv durchgespielt; es geht auf einer WinXP-Kiste tatsächlich so weit, daß mir zwar der Gerätemanager des "Host" immer noch die Schnittstellen anzeigt - das sind BIOS-Informationen, die er schlecht unterdrücken kann. Aber die gesamte Host-Software bekommt keinerlei Informationen darüber, daß es physikalische Medien gibt, diese Informationen lassen sich tatsächlich nach meiner bisherigen Kenntnis vollständig an VMware übergeben. Die registry-Einstellungen dazu sind zwar etwas kryptisch, aber auffindbar und auch mit etwas Mühe verständlich. Auf dem "Host" funktioniert dann zwar noch die 127.0.0.1, aber sonst ist nichts da, wofür man eine IP vergeben könnte. Die real vorhandenen physikalischen Medien können bei entsprechender Konfiguration _ausschließlich_ in VMware dargestellt und konfiguriert werden
Dabei hilft es absolut gar nichts, wenn man mit irgendeiner virtualisierenden Software die Sicherheit in einer Submaschine innerhalb der angreifbaren Maschine realisiert. Genau das Gegenteil muß gemacht werden, die angreifbare Maschine muß eingezäunt werden, damit sämtliche Zugriffe durch kontrollierende Instanzen passieren müssen. Und genau dieses ist im beschriebenen Szenario schlicht nicht möglich.
Im "beschriebenen Szenario" nicht, das ist richtig. Mit dem korrekten Einsatz von VMware könnte es aber gelingen.
Aber das führt von der eigentliche Frage im OP zu weit weg. Wahrscheinlich ist es für den Zweck, den Andreas verfolgt, völlig überflüssig, eine solche Konstruktion mit einem virtuellen Router vorzunehmen. Wir wissen ja noch nicht einmal, ob seine Maschinen alle über einen HUB verbunden sind, oder ob die Kabel nicht vielleicht von einer Maschine zur anderen laufen. Nach allem, was er bisher geschrieben hat, ist nicht einzusehen, daß er unbedingt VMware instaliert haben und nutzen muß. Es gibt aufgrund seiner Hardware-Ausstattung sicher noch etliche andere Konzepte, um ein stabiles Netzwerk aufzubauen.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
-
-
hi,
* (R) router
* (RW) wlan router
* (S) 'server' mit windows, da ein windows-only programm gebraucht wird. zwei netzwerkarten.
* (SV) virtual-'server', welcher ein fli4l router in einer vmware istDas sind insgesamt vier unterschiedliche Geräte. Dabei könnte es sein, daß dein "router" und dein "wlan router" nur so heißen, aber nichts derartiges tun. Windows auf einer Maschine mit zwei NICS kann prinzipiell auch routen.
fli4l ist wahrscheinlich dein zuverlässigster Router, und ausgerechnet der sitzt in VMware. Ich hatte mir mal zum Ausprobieren eine VMware-Maschine mit NetBSD gebaut, um nachzuschauen, ob das Ding eben tatsächlich routen kann - das kann es.setzt auf die zwei netzwerkkarten auf, kann aber theoretisch auch 4 besitzen, schickt dann eben über virtuelle karten die daten verteilt raus (ich denke das geht)
Da wirst du dir VMware nochmal richtig ankucken müssen. Es gibt eine relativ gute deutschsprachige Anleitung unter http://www.vmware.com/de/pdf/ws5_manual_de.pdf - Achtung, PDF. Damit die virtuelle Maschine überhaupt Zugang bekommt, braucht sie eine virtuelle NIC, die du per "bridging" mit dem Hostrechner verbindest. Zum Routing braucht sie eine zweite virtuelle NIC, auf die du dann NAT setzen kannst. Die kann und wird sich auch bereits in den Standardeinstellungen in einem anderen Netz befinden. Das reicht bereits für ein Routing in _ein_ zweites Netz. Du kannst noch bis zu sechs weitere virtuelle NICs erstellen. Und wenn das nicht reicht, um in alle anzuschließenden Netze routen zu können, läßt du eben noch eine zweite virtuelle Maschine zeitgleich starten. Das einzige, was dich daran hindert, mehrere virtuelle Maschinen laufen zu lassen, ist dein Speicher (RAM).
Deine "Grundidee", auf einer Windows-Kiste fli4l in einer virtuellen Maschine laufen zu lassen, ist gar nicht so verkehrt, weil du diese Maschine weit leichter so einrichten kannst, daß dir "von außen" nichts passiert. Du kannst den Hostrechner mit Win2000 laufen lassen und nimmst eben fürs Routing fli4l oder ein *BSD, das funktioniert recht gut.die definitiv einfachste lösung wäre natürlich:
Internet - (R) - (RW) - mein netz
- (S)
- anderer client 1
- anderer client 2
- anderer client 3Das halte ich keineswegs für die einfachste Lösung. Die einfachste sähe eher so aus:
Internet -> VMware-Router -> beliebige Clients
Und Firewall kannst du deiner VMware-Maschine spendieren.problem dabei: ich hab keine kontrolle über die bandbreite
Es wäre eventuell sinnvoll, wenn du angibst, was du als "Bandbreite" in deinem internen Netzwerk ansiehst. Aber vielleicht hab ich den Hinweis nicht recht verstanden.
die anderen sind nicht geschützt.
Es genügt völlig, die Maschine, die tatsächlich routet, online zu stellen und ihr eine Firewall zu spendieren. Was die nicht durchläßt, kann auch kein angeschlossener Client mehr bekommen.
SV (192.168.1.100 <> 10.0.X.X) ist wie gesagt der fli und somit das kernstück
Dann laß den drin und stell R und RW jetzt schon in den Keller oder verwende sie anderweitig zu irgendwelchen nützlichen Aufgaben.
die frage ist jetzt (worauf ich eben die ganze zeit raus will), kann ich die trennung jetzt einfach mit subnetzen machen; anscheinend - wie sven gesagt hat - eben nur, wenn ich vier karten habe.
"Wie Sven schon sagte" ist dein Szenario nicht sehr präzise. Es geht auch ohne weitere Hardware, dann allerdings tatsächlich am einfachsten über VMware, weil du damit theoretisch mehrere Dutzend virtuelle NICs in mehreren virtuellen Maschinen zur Verfügung stellen könntest. Aber bei der bisherigen Benennung deiner Hardware bzw. deiner Routerausstattung kannst du bereits mehrere (Sub-)Netze betreiben.
ok, das war jetzt ganz schön viel text, ich hoffe:
* ihr krümmt ecuh nicht vor lachenErstens warst du noch nicht am Textlimit (das gibts nämlich hier im Forum), zweitens ist prinzipiell an deiner Fragestellung nichts lächerlich.
* ihr seid noch nicht eingeschlafen
DAS ist allerdings ein Problem an einem sehr warmen Sonntagnachmittag *g*
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|