- Registriert
- 11. Juni 2010
- Beiträge
- 4.080
- Reaktionspunkte
- 2.847
- Punkte
- 373
Hallo Zusammen,
Ich möchte euch mein neuestes Security Projekt vorstellen.
Dabei geht es um eine Low Cost Secure Appliance basierend auf einem Raspberry Pi. Da sich der RPi für mich nur bedingt als Server eignet, ich mit meiner KD Fritte unzufrieden bin, hab ich mich entschlossen mir von KD nur noch ein 08/15 Stellen zu lassen und die Firewall Funktionalität auf den Pi auszulagern.
Dabei heraus gekommen ist eine RPi Secure Appliance, welche alle meine Anforderungen erfüllt:
1. Eine starke Firewall
2. Drei von einander getrennte Netze
3. Proxy / Webcache
4. Intrusion Detection / AV Schutz
5. IPSec zum VServer
6. Socks Proxy für spätere Implementierung
7. Fallback Strategie
Als Distribution läuft die aktuelle IPFire Version ohne zu murren. Den doch sehr geringen RAM habe ich auf einen 8GB Stick ausgelagert, um den Webcache und Proxy vernünftig nutzen zu können.
Da der RPi von Haus bekanntlich nur einen LAN Anschluss mit bringt, habe ich das ganze um einen D-Link DUB E100 und natürlich um einen WLAN Stick erweitert.
Ausgehend vom RPi habe ich durch IPSec eine Standleitung zum Strongswan meines Vservers etabliert und so einen starken durch Zertifikate gescützten VPN Tunnel im Einsatz, welcher auch bei relativ hoher Last stabil bleibt.
Systemische Darstellung:
Orange = Server, Drucker, NAS
Besonderheit: Auf den Server kann von Green und Blue zugegriffen werden. Externe Kommunikation ist für den Drucker und die NAS gesperrt, Server kommuniziert nur via IPSec Tunnel nach extern zum Vserver.
Green = PC, Dreambox, Venton, VDR
Besonderheit: Zugriff auf Orange, Blue und natürlich Red und Green
Blue = Alle WLAN Clients
Besonderheit: Zugriff auf Orange, Blue und natürlich Red und Green
Red = Bildet die externe Schnittstelle zum KD Modem.
Besonderheiten: Kein Red0 ist kein Zugriff auf interne Ressourcen möglich. Zugriff auf Homeserver nur ausgehend vom Homeserver möglich.
Orange -------------- |
############ |
############ |
############ |
############ |-------------RPi SA ====== KD Modem ====== Vserver
Green ------------------------------RPi SA ----------- KD Modem ---------- Internet
############ |-------------RPI SA ----------- KD Modem ---------- Internet
############ |
############ |
############ |
Blue ------------------ |
Das sprichwörtliche i-Tüpfelchen bildet das UMTS Fallback.
In bestimmten Abständen prüft die RPi SA die Internet Konnektivität. Wenn der Verbindungsabruch länger als 15 Sekunden andauert, wird automatisch auf das UMTS Fallback auf Red1 geschaltet.
Alle Dyn-DNS Adressen werden daraufhin automatisch auf die neue IP aktualisiert.
Theoretisch ist auch eine Anwendung zum Lastausgleich über zwei, drei oder vier UMTS Sticks. Die Verfügbare Bandbreite würde sich entsprechend erhöhen. Stichwort wäre hier ein QOS.
Systematische Darstellung mit Fallback Konzept:
Orange -------------- |
############|
############|
############|
############|-------------RPi SA ====== KD Modem ====== Vserver
############|-------------RPi SA ====== UMTS ====== Vserver
Green ------------------------------RPi SA ----------- KD Modem ---------- Internet
Green ------------------------------RPi SA ----------- UMTS ---------- Internet
############|-------------RPI SA ----------- KD Modem ---------- Internet
############|-------------RPI SA ----------- UMTS ---------- Internet
############|
############|
############|
Blue ----------------- |
Ich möchte euch mein neuestes Security Projekt vorstellen.
Dabei geht es um eine Low Cost Secure Appliance basierend auf einem Raspberry Pi. Da sich der RPi für mich nur bedingt als Server eignet, ich mit meiner KD Fritte unzufrieden bin, hab ich mich entschlossen mir von KD nur noch ein 08/15 Stellen zu lassen und die Firewall Funktionalität auf den Pi auszulagern.
Dabei heraus gekommen ist eine RPi Secure Appliance, welche alle meine Anforderungen erfüllt:
1. Eine starke Firewall
2. Drei von einander getrennte Netze
3. Proxy / Webcache
4. Intrusion Detection / AV Schutz
5. IPSec zum VServer
6. Socks Proxy für spätere Implementierung
7. Fallback Strategie
Als Distribution läuft die aktuelle IPFire Version ohne zu murren. Den doch sehr geringen RAM habe ich auf einen 8GB Stick ausgelagert, um den Webcache und Proxy vernünftig nutzen zu können.
Da der RPi von Haus bekanntlich nur einen LAN Anschluss mit bringt, habe ich das ganze um einen D-Link DUB E100 und natürlich um einen WLAN Stick erweitert.
Ausgehend vom RPi habe ich durch IPSec eine Standleitung zum Strongswan meines Vservers etabliert und so einen starken durch Zertifikate gescützten VPN Tunnel im Einsatz, welcher auch bei relativ hoher Last stabil bleibt.
Systemische Darstellung:
Orange = Server, Drucker, NAS
Besonderheit: Auf den Server kann von Green und Blue zugegriffen werden. Externe Kommunikation ist für den Drucker und die NAS gesperrt, Server kommuniziert nur via IPSec Tunnel nach extern zum Vserver.
Green = PC, Dreambox, Venton, VDR
Besonderheit: Zugriff auf Orange, Blue und natürlich Red und Green
Blue = Alle WLAN Clients
Besonderheit: Zugriff auf Orange, Blue und natürlich Red und Green
Red = Bildet die externe Schnittstelle zum KD Modem.
Besonderheiten: Kein Red0 ist kein Zugriff auf interne Ressourcen möglich. Zugriff auf Homeserver nur ausgehend vom Homeserver möglich.
Orange -------------- |
############ |
############ |
############ |
############ |-------------RPi SA ====== KD Modem ====== Vserver
Green ------------------------------RPi SA ----------- KD Modem ---------- Internet
############ |-------------RPI SA ----------- KD Modem ---------- Internet
############ |
############ |
############ |
Blue ------------------ |
Das sprichwörtliche i-Tüpfelchen bildet das UMTS Fallback.
In bestimmten Abständen prüft die RPi SA die Internet Konnektivität. Wenn der Verbindungsabruch länger als 15 Sekunden andauert, wird automatisch auf das UMTS Fallback auf Red1 geschaltet.
Alle Dyn-DNS Adressen werden daraufhin automatisch auf die neue IP aktualisiert.
Theoretisch ist auch eine Anwendung zum Lastausgleich über zwei, drei oder vier UMTS Sticks. Die Verfügbare Bandbreite würde sich entsprechend erhöhen. Stichwort wäre hier ein QOS.
Systematische Darstellung mit Fallback Konzept:
Orange -------------- |
############|
############|
############|
############|-------------RPi SA ====== KD Modem ====== Vserver
############|-------------RPi SA ====== UMTS ====== Vserver
Green ------------------------------RPi SA ----------- KD Modem ---------- Internet
Green ------------------------------RPi SA ----------- UMTS ---------- Internet
############|-------------RPI SA ----------- KD Modem ---------- Internet
############|-------------RPI SA ----------- UMTS ---------- Internet
############|
############|
############|
Blue ----------------- |
Zuletzt bearbeitet:
