Linux Mint, Docker, LAN vs. WAN absichern

    Hi,

    folgendes Szenario:

    Ein Rechner mit Linux Mint bekommt über eine Netzwerkschnittstelle Zugriff aufs Internet (WAN). Mit einer Zweiten hängt die Kiste in einem kleinen LAN. Auf der Kiste sollen div. Docker-Container laufen (Datenbank, NodeRed,...) die Daten einsammeln & Co und bei Bedarf z.B. eine E-Mail schreiben.

    Wie sichere ich jetzt den Zugriff WAN vs. LAN ab?

    * Das LAN soll über diese Kiste keinen Zugriff aufs Internet bekommen

    * Docker & Co sollte natürlich ins Internet dürfen, es müssen ja frische Container (&ggf. PlugIns) gezogen werden, Mails verschickt, usw. usf. Wenn ein Browser auch noch Zugriff aufs Internet hätte, wäre auch ganz gut

    * SSH sollte nur übers LAN erreichbar sein (ich wollte schon LAN/localhost schreiben, das macht aber natürlich keinen Sinn)

    * Webinterfaces & Co der Docker-Container sollten ebenfalls nur per LAN und localhost erreichbar sein

    * Docker-Dienste die nur lokal erreichbar und weder im LAN/WAN sein müssen (auf die Datenbank muss z.B. nur NodeRed zugreifen können) sollte ich ja mit einem Docker-Stack gut verstecken können?

    VG

    da_user

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

    So,... paar Wochen sind ins Land gegangen und die Möglichkeit sich darüber div. Gedanken zu machen.

    * SSH hat ein White-/Allowlistening. Reicht.

    * Die Container versuche ich in einen Stack mit eigenem Netzwerk zu packen. Traefik mit einem White-/Allowlistening macht dann die Kommunikation nach außen.

    Mal sehen wie gut das klappt, welche Erfahrungen ich dabei sammel und wie gefährlich mein Halbwissen hierzu ist... ;)

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

    Aktuelle Lösung läuft über IP-Tables:

    Code
    # Grundsätzlich alles verwerfen
iptables -P INPUT DROP 
# Ausgehende & existierende Verbindungen wieder zu lassen
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
# localhost zulassen
iptables -A INPUT -i lo -j ACCEPT 
# LAN zulassen
iptables -A INPUT -i eno1 -j ACCEPT

    "Problem": Docker rangiert seine Regeln weiter oben ein. Damit sind Docker-Container im Bridge-Netzwerk doch wieder über alle Schnittstellen erreichbar. Ich lasse die jetzt im Host-Netzwerk laufen.

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

    Wie ist denn der gesamte Aufbau? Ich bin immernoch der Überzeugung, dass man es mit einer externen Firewall und Netzsegmentierung deutlich besser und vor allem einfacher löser kann! Du steckst da so viel Energie und Aufwand in Probleme die ich normal garnicht habe / sehe.

    Diese FW Kann ja auch durchaus virtuell sein - dann hast du auch dein Problem / Wunsch bzgl. DHCP & DNS mit Erschlagen.

    Mach uns doch mal eine Skizze bzgl. dem Aufbau. Was wie wohin zugriff haben will über was. Das mit dem Wifi hab ich auch noch nicht so ganz kapiert wie was warum.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Das WAN ist die W-LAN Schnittstelle. Das ist ein W-LAN das ich als unsicher einstufe, da da zu viele Leute Zugriff haben und bekommen können. Über diese Schnittstelle soll der Rechner auf das Internet zugreifen können.

    LAN ist dann quasi die interne Schnittstelle. Über die will ich auf die ganzen Dienste zugreifen, die natürlich nicht über das W-LAN-WAN erreichbar sein sollen.

    Ich hoffe das ist jetzt logisch genug ohne Zeichnung. Grundsätzlich ist das ja auch das, was jeder Home-Router macht: WAN dicht, LAN offen. Nur das bei mir halt WAN auf einer W-LAN-Schnittstelle hängt, aber das sollte ja auch nicht allzu relevant sein, und dass halt Rechner im LAN keinen Zugriff aufs WAN bekommen sollen, also eben kein Routing.

    Grundsätzlich nehme ich auch gerne eine virtuelle Firewall.

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

    So wäre ein Umsetzungsgedanke dazu.

    Dann kannst du einfacher Steuern und nachvollziehen was wohin geht.

    Ggf. wird der Dockerhost selbst auch eine VM oder die Docker Container werden einfach auf die virtuelle NIC gemünzt - wie du magst.

    Als virtuelle NIC halt eine einsetzen, auf die auch das Host OS und die VMs zugriff haben. Für V-NIC 1 wird ein Bridge auf das Wifi benötigt und für das V-NIC 3 ein Bridge auf das LAN für die PCs und schon ist deine Firewall der Dreh und Angelpunkt für alles. Und hast halt ganz nebenbei das Thema DHCP & DNS wunderbar im Griff.


    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Zunächst brauchst du für dein Host OS eine Virtualisierung - hier nimmst du am besten die, mit der du die meiste Erfahurng / Beste Wissen von hast.

    VMWare Workstation Player

    Virtual Box

    KVM

    Qemu

    Dann eine virtuelle Firewall wie Bspw.:

    Sophos XG Home

    OpnSense

    ...

    Und entscheidest ob du für das Thema Docker eine Separate VM aufsetzt in der alles läuft - würde ich persönlich bevozugen.

    dann stellst du halt in deiner Virtualisierung die 3 virtuelle Netzwerke / Netzwerkkarten ein und konfigurierst sie wie angegeben. Der Firewall sagst du dann was wohin erlaubt ist und was nicht, konfigurierst dein DHCP & DNS und gut ist.

    Kommt ein Container hinzu kannst du in der Firewall jederzeit sagen ok du bist ab jetzt aus dem Client LAN über den Port verfügbar oder halt nicht.

    So wäre meine Umsetzung, ist für mich vom Handling das aller einfachste und vorallem auch nachvollziehbar durch das Loggin der Firewall und die hast eine saubere Trennung der Netze und somit deutlich mehr Sicherheit. Über andere Meinungen und Lösungen freue ich mich immer! Oft genug denke ich doch etwas quer und kompliziert :D

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Einmal editiert, zuletzt von noob_at_pc (31. Mai 2023 um 16:43)

    Gut... VM ist klar. Muss ich mal sehen, was da unter Linux so läuft, dürfte aber auf VB hinauslaufen.

    Zur Thematik Firewall:
    Mir wäre da eine wichtig, die auch sich relativ Deppensicher bedienen lässt, und das dann bitte auch noch per Webinterface. OpnSense scheint auf den ersten Blick zumindest Webinterface anzubieten,....

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

    deppen sicher ist immer relativ. jede Firewall hat seine eigeneheiten und spezialitäten. Die genannten 2 haben beide eine gute GUI. mit der Sophos kenn ich mich halt am besten aus daher setze ich die auch privat ein. OpnSense hatte ich bisher nur für Testaufbauten aber machen spaß die Dinger. Gibt sicher noch weitere.

    Bei Bedarf helfe ich aber bei beiden auch gerne, daher hab ich sie auch genannt.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Einmal editiert, zuletzt von noob_at_pc (1. Juni 2023 um 20:01)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden