Passendes Linux gesucht

[NatokWa]

Was ich vor habe :

Ich will einen Server aufbauen der so sicher wie nur irgend möglich ist damit man VON diesem Server nicht in mein Heimnetz einbrechen kann, selbst wenn es jemand schafft den Server selbst zu knacken.

Dafür ist die Installation einer Linux-Version in Virtueller Form per "Virtualbox" mit Netzwerk im "Bridge" Modus damit ich den Virtuellen Rechner per Router vom Restlichen Netzwerk trennen + nach außen per DNS-Namen anbinden kann.
Es sollen Server für Spiele in dieser VM laufen, sonst bestehen keinerlei Ansprüche an das Linux außer das es eben sauber laufen muss und sich so konfigurieren lassen muss das bei Start der VM gleich die Server mit gestartet werden (Sprich Autostart). Sicherung der VM findet zweigleisig statt, 1. Kopieren der entsprechenden Dateien INNERHALB der VM und zum 2. Anschließende Snapshots der VM um sie im ernstfall komplett wiederherstellen zu können.
Es soll keinerlei Fernzugriff geben, also wirklich nur die Spiele-Server erreichbar sein.

Bitte jetzt keine Grundsatzdiskusionen ala : Dafür mietet man sich Online nen Server .... NEIN ... die Kosten für Mieten sind Dauerhaft, nen Server selbst aufstellen = 1x Hardware bezahlen und "nur" dafür sorgen das er auch läuft.

Würde mich freuen über entsprechende Vorschläge welches genügsame Linux ich da nehmen kann das möglichst wenig "eigene" Ansprüche stellt und sich schnell und einfach konfigurieren läßt für den angegeben Zweck.

Laufen soll das ganze unter Win10 auf einem I7-7820X mit 64GB RAM (VM bekommt 56GB) falls das wichtig ist.

 

[DJKuhpisse]

Hast du denn Erfahrung mit Linux-Distributionen?
So ein System muss gewartet werde (Updates einspielen, später Upgrade).
Für Anfänger würde ich Ubuntu oder Debian nehmen.
Natürlich die Server-Versionen ohne GUI.

Dafür ist die Installation einer Linux-Version in Virtueller Form per "Virtualbox" mit Netzwerk im "Bridge" Modus damit ich den Virtuellen Rechner per Router vom Restlichen Netzwerk trennen + nach außen per DNS-Namen anbinden kann.

Das geht aber so nicht, du musst das dann schon richtig per VLAN trennen.
Zudem dürfen der Server und die anderen Rechner nicht im gleichen Netz sein.
Beachte das für IPv4 und IPv6. Bei IPv6 wird Subnetting ggf. schwierig, denn wenn du nur ein /64er vom Provider bekommst und das weiter aufteilst geht die Autokonfiguration der Adressen per SLAAC nicht.

 

[NatokWa]

Muss ich dir jetzt erklären das eine Fritz-Box durchaus in der Lage ist ein einzelnes System im Rechner (egal ob VM oder "Echt") das eine eigene IP-Adresse (intern) hat (Bridge-Modus der VM) von der Kommunikation mit dem Rest des Netzwerks zu trennen ? Und darüber hinaus eine DNS-Adresse welche z.B. über DynDNS läuft NUR auf diese eine (interne) IP zu legen ? Das "Subneting" übernimmt komplett die Fritze ...einen Server als solchen hatte ich so schon laufen nur nicht mit LINUX.

Und nein, mit Linux als solches sind das meine ersten Gehversuche, deshalb frage ich hier ja nach dem passenden für den Zweck.

Um es nochmal klar zu sagen : Der Server als solcher soll NUR über etwas wie "www.Server.bluber" erreichbar sein und NICHT über eine IP-Adresse gleich welcher Art. Sonst könnte ich auch gleich sämtliche Firewalls abschalten und mich über den "Besuch" freuen.

 

[DJKuhpisse]

Um es nochmal klar zu sagen : Der Server als solcher soll NUR über etwas wie "www.Server.bluber" erreichbar sein und NICHT über eine IP-Adresse gleich welcher Art. Sonst könnte ich auch gleich sämtliche Firewalls abschalten und mich über den "Besuch" freuen.

Du verstehst die Grundlagen der Kommunikation nicht. Es wird nicht über Domainnamen, sondern über IP-Adressen kommuniziert. Domainnamen werden über A- bzw. AAAA-Records in IPv4 bzw. IPv6-Adressen aufgelöst.

Muss ich dir jetzt erklären das eine Fritz-Box durchaus in der Lage ist ein einzelnes System im Rechner (egal ob VM oder "Echt") das eine eigene IP-Adresse (intern) hat (Bridge-Modus der VM) von der Kommunikation mit dem Rest des Netzwerks zu trennen ?

Das funktioniert aber nicht, wenn der Server in der VM deinen Wirtsrechner übers Netzwerk angreifen will, denn das geht direkt über deine Netzwerkbrücke und nicht über die FritzBox, da diese im gleichen IP-Netz sind.

Und nein, mit Linux als solches sind das meine ersten Gehversuche, deshalb frage ich hier ja nach dem passenden für den Zweck.

Dann rate ich zu Ubuntu Server 20.04.

 

[NatokWa]

Das funktioniert aber nicht, wenn der Server in der VM deinen Wirtsrechner übers Netzwerk angreifen will, denn das geht direkt über deine Netzwerkbrücke und nicht über die FritzBox, da diese im gleichen IP-Netz sind.

Und wie soll das bitte gehen wenn der Host eine eigene IP hat sowie das Gast-System ebenfalls eine eigene und die Fritze dem Gast-System die Kommunikation mit NIEMANDEM im Netzwerk zuläßt ? Das Gast-System sieht nichtmal das es eine Brücke verwendet, es glaubt das es alleinigen Zugriff auf den Netzwerkadapter hat, da klappt auch kein Angriff drüber. das läst sich btw. schon der Grundanleitung zur Verwendung von Virtualbox entnehmen ... das ist einer der Gründe warum ich diese VM verwenden will.

Und zum anderen Punkt. Ja stimmt, die Kommunikation im Web läuft über IP Adressen ja, wenn die sich einloggenden User aber NUR den DNS-Namen zu Gesicht bekommen haben sie keinen Angriffsvektor den sie mal eben so nutzen können da die DNS natürlich nur auf den zugewiesenen Port geht welcher nur von dem entsprechend zugewiesenen Programm auf dem Server abgefragt wird und alles andere an der Firewall hängen bleibt.

Ich bin nicht so bescheuert einen "echten" Web-Server auf zu bauen, deshalb über DynDNS und ähnliche, da kann man dann das verhalten der Verbindung extrem einschränken auf genau das was laufen darf bzw. Soll. Mal abgesehen davon das einer DNS ein IP-Adressenwechsel egal ist, wird einfach nach Anmeldung auf die neue geschaltet. es werden auch nur Server laufen welche unter keinen Umständen die IP raus rücken oder wo ich selbst bestimmen kann welche IP sie anzeigen (natürlich eine falsche).

 

[DJKuhpisse]

Und wie soll das bitte gehen wenn der Host eine eigene IP hat sowie das Gast-System ebenfalls eine eigene und die Fritze dem Gast-System die Kommunikation mit NIEMANDEM im Netzwerk zuläßt ?

Wenn diese im gleichen IP-Netz (z.B. 2001:db8::/64) sind, dann wird die Fritte da gar nicht gefragt. Die kann da nur eingreifen, wenn der Traffic über diese geht, z.B. weil der Traffic in ein anderes Netz geroutet werden muss.
Sofern du diese Netze aber nicht einserseits auf Layer 3 IP-mäßig trennst und auf Layer2 Ethernet-mäßig trennst (anderes Kabel oder VLAN-Trunking) können die im gleichen Netz miteinander kommunizieren ohne die FritzBox.
Bei IPv6 kommt einfach eine Neighbor Solicitation, der andere Rechner antwortet mit den Neighbor-Advertisement, dann haben beide die MAC-Adressen vom anderen und dann kann über Ethernet direkt über die virtuelle Brücke kommuniziert werden.
Um das zu verhindern müssen die Rechner in getrennten IP-Netzen sein (z.B. 2001:db8:1::/64 und 2001:db8:2::/64). Dann muss geroutet werden und eine FW in der Fritte könnte eingreifen.

Und zum anderen Punkt. Ja stimmt, die Kommunikation im Web läuft über IP Adressen ja, wenn die sich einloggenden User aber NUR den DNS-Namen zu Gesicht bekommen haben sie keinen Angriffsvektor den sie mal eben so nutzen können da die DNS natürlich nur auf den zugewiesenen Port geht welcher nur von dem entsprechend zugewiesenen Programm auf dem Server abgefragt wird und alles andere an der Firewall hängen bleibt.

Verwechsel bitte nicht World-Wide-Web und Internet. WWW ist nur ein Teil des Internet.
Vom DNS hast du auch keine Ahnung, denn diese Domainnamen muss jeder auflösen können, sonst geht keine Kommunikation.
Unter deinem Linux einfach mal

dig pcgameshardware.de aaaa

eingeben und du wirst die IPv6-Adresse sehen. Das muss bei deinem Domainnamen dann auch gehen und zwar von überall aus (die Abfragen kommen nämlich meist von Resolvern der Provider).

 

[NatokWa]

1. Intern nutze ich nur IPv4 für das Subnet, das wird so auch bleiben.
2. Das "Auflösen" der Domain läuft über DynDNS und selbst wenn jemand darüber die genaue IP raus kriegt hat er es trotzdem nicht einfach rein zu kommen da er auch noch den einen Port braucht der überhaupt offen ist, und diese gehen DIREKT auf Game-Server.
3. Der ganze andere Quark den du aufzählst funktioniert erst dann, wenn es jemand geschafft hat die Kontrolle über die VM zu übernehmen und auch DANN nicht da z.B. gerade der Part mit dem "Neighbor-Traffic" von der VM aktiv verhindert wird, auf BEIDEN Seiten.

Wenn es so einfach wäre aus einer VM aus zu brechen ohne DIREKTEN Zugang dazu zu haben (und selbst dann ist es noch sau schwer) würde ich nicht diesen Umweg gehen sondern das Linux direkt als alleiniges BS auf spielen und den ganzen PC vom Netzwerk aussperren.

Aber natürlich ist alles was ich mir die letzten Wochen zum Thema "Sicherer Server mit VM" zusammen gelesen habe grundsätzlich falsch .... war irgendwie klar das des hier so endet .... hätte es besser wissen sollen und mir auch das Linux Wissen gleich selbst anlesen sollen statt auf eine Abkürzung hier zu hoffen

Brauchst nix mehr zu schreiben, ich lese mich selbst ein genau wie in das Thema VM. Dann kommt mir auch keiner mit "Das stimmt aber nicht" zumal ich den ganzen Mist mit einem Win7 in der VM selbst schon überprüft habe ... sie IST Ausbruchssicher gegen die gängigen Arten da aus zu brechen, selbst bei direktem Zugriff aus dem gleichen Netzwerk.
Damit ist das Sicher genug um die gängigen "Ich kille mal den Spieleserver-Trolle " an zu kommen.

Thema beendet, da Sinnlos hier. PUNKT.

 

[DJKuhpisse]

Thema beendet, da Sinnlos hier. PUNKT.

Liegt aber an dir, warum soll ich das jetzt unkommentiert dastehen lassen?

1. Intern nutze ich nur IPv4 für das Subnet, das wird so auch bleiben.

Dann bleibst du halt in der Steinzeit, IPv6 ist seit über 20 Jahren in der Diskussion.

2. Das "Auflösen" der Domain läuft über DynDNS und selbst wenn jemand darüber die genaue IP raus kriegt hat er es trotzdem nicht einfach rein zu kommen da er auch noch den einen Port braucht der überhaupt offen ist, und diese gehen DIREKT auf Game-Server.

Zeigt wieder, dass du gänzlich keine Ahnung hast. DynDNS dient dazu, die A- bzw. AAAA-Records auf einem für die Zone autoritativen DNS-Server zu aktualisieren. Dieser DNS-Server wird dann von den anderen befragt. Die Abfrage der Records läuft eben nicht über DynDNS. Auf DynDNS kann man verzichten, wenn man feste IP-Adressen nutzt.
Über deinen Domainnamen wird aber jeder auf der Welt die öffentliche IP-Adresse herausbekommen, denn der DNS-Server für deine Zone beim DynDNS-Provider muss diese Daten liefern, so funktioniert DNS.
Dann kann der anfangen da Portscans zu machen und zu schauen, wo eine Antwort kommt und wo nicht.

3. Der ganze andere Quark den du aufzählst funktioniert erst dann, wenn es jemand geschafft hat die Kontrolle über die VM zu übernehmen und auch DANN nicht da z.B. gerade der Part mit dem "Neighbor-Traffic" von der VM aktiv verhindert wird, auf BEIDEN Seiten.

Der Umstand, dass das erst geht, wenn die VM übernommen wurde, ist richtig.
Weder ARP noch da NDP kann man komplett verbieten, denn irgendwie müssen ja die MAC-Adressen der anderen Teilnehmer ausgetauscht werden. Aber wenn du willst kannst du das gerne verbieten und dann diese Einträge in die ARP- bzw. Neighbor-Tabelle selbst eintragen. Geht unter Linux alles.

hätte es besser wissen sollen und mir auch das Linux Wissen gleich selbst anlesen sollen statt auf eine Abkürzung hier zu hoffen

Dir bleibt nichts anderes übrig, denn du wirst diesen Server einrichten und warten müssen. Das ist eine Daueraufgabe und nicht mal schnell nach nem Tutorial eingerichtet und dann vergessen.

Von daher: Befasse dich mit Ethernet, IPv4, IPv6 und dem Kram wie ARP und NDP sowie DNS, dann kannst du da weitermachen, vorher nicht.

 

[NatokWa]

Verdammt ..... in gewissen Sinne hast du mir jetzt doch etwas SEHR wichtiges auf gezeigt das du mir eigendlich auch direkt um die Ohren hättest hauen können .....

Es ist absolut egal wie toll ich den Server vom Netzwerk isoliere damit da niemand ausbrechen kann um mein Heimnetz zu infiltrieren, sofern es ein Angreifer überhaupt schafft die VM zu übernehmen um einen Ausbruchsversuch zu starten ....

Es gibt ein VIEL Offensichtlicheres Problem ..... wenn meine verdammte IP einfach so abfragbar wird über ne einfache dig-Abfrage, ist mein GESAMTES Netzwerk direkt angreifbar und nicht "nur" der Server. Und ja, ich war blind da mir so einfache Sachen wie der Dig-Befehl nicht in den Sinn gekommen sind und ich "nur" auf die Sicherheit der VM bedacht war und alle anderen Einfallswege bisher ignoriert habe.

Jetzt muss ich also noch einen Weg finden dem Server auch nach AUSSEN eine eigene IP zu verpassen (welche dann auch Fest sein könnte und somit keine DNS braucht) die keinerlei Verbindung haben darf zur "normalen" IP meines I-Net Zugangs. Und auch die Latenz darf nicht drunter leiden .......


Deshalb hier : DANKE !

Du hast mir zwar nicht bei dem Problem geholfen das ich lösen wollte, aber mir dafür ein anderes Problem förmlich mit der Dachlatte auf die Stirn genagelt das ich nicht gesehen habe, das aber unbedingt bedacht werden muss.

 

[DJKuhpisse]

Es gibt ein VIEL Offensichtlicheres Problem ..... wenn meine verdammte IP einfach so abfragbar wird über ne einfache dig-Abfrage, ist mein GESAMTES Netzwerk direkt angreifbar und nicht "nur" der Server. Und ja, ich war blind da mir so einfache Sachen wie der Dig-Befehl nicht in den Sinn gekommen sind und ich "nur" auf die Sicherheit der VM bedacht war und alle anderen Einfallswege bisher ignoriert habe.

Jetzt muss ich also noch einen Weg finden dem Server auch nach AUSSEN eine eigene IP zu verpassen (welche dann auch Fest sein könnte und somit keine DNS braucht) die keinerlei Verbindung haben darf zur "normalen" IP meines I-Net Zugangs.

Bei IPv4 gibt es 2³² Adressen abzüglich der privaten Netze, Multicast etc. Kann man problemlos alles scannen, hier bei mir kommt im Minutentakt nen SSH-Verbindungsversuch. Einen Domainnamen braucht es da nicht zwingend.
dig ist nur ein Tool um DNS-Abfragen zu machen, das macht dein System sowieso wenn es auf pcgh.de geht.

Bei manchen Providern kann man mehrere IPv4-Adressen bekommen. Damit würde das gehen, ob das aber mit der Fritte geht kann ich nicht sagen, ggf. braucht es dann einen richtigen Router.
Da du aber sowieso NAT beim normalen Internetzugang bei IPv4 machst ist da indirekt eine SPI-FW aktiv. Wenn Ports nicht "weitergeleitet" werden, ist kein Zugriff über UDP/TCP möglich.

 

[NatokWa]

Ich habe irgendwie meine Zweifel das die Fritte 2 externe IP's verwalten kann ... intern ist alles kein Problem und Ports werden nur weitergeleitet wenn sie aktiv von Netzseite "geöffnet" bzw. angefordert würden bzw. man kann die einzelnen Ports auch auf bestimmte Rechner/interne IP's fest "aufschalten".

Sehe es schon kommen das ich wieder zahlen darf für eine art VPN welche die Verbindung zum Server per Tunnel aufbaut oder ich muss einfach sehen das mein Netzwerk trotzdem soweit Angriffssicher ist das nicht jeder Dau der "nur" den Server angreifen will, plötzlich in meinem Privatnetz drinne hängt trotz HW-Firewall etc.

Alle Geräte im Netz sind entweder zu 100% Sicher eingestellt oder dürfen nicht mit dem I-Net Kommunizieren (letzters gilt für die Olle WD-Mycloud welche durch den Server hinfällig wird da ich die HDD dort auf der Windowsebene vom Server einbinden will und dort als Netzwerklaufwerk Online stellen will im HeimNetz)

Wenn das Sicher genug ist .... reicht mir das .... wenn nicht .... hab ich ein Problem .....

 

[vb87]

Schau dir mal das Thema DMZ an.

 

[NatokWa]

Ok .. das DMZ Konzept sieht wirklich gut und Machbar aus, aber nicht bei mir derzeit .... sowas kann ich aufbauen wenn mein Weib mir mal die erlaubniss gibt das gesammte Haus neu und vernünftig zu verkabeln, dann kann ich auch einen 2. Router aufbauen ohne viel Kabelgewirr wie es jetzt laufen würde ..... der Server steht im 1. Stock, der Router im Erdgeschoß... das Kabel geht im Treppenhaus hoch udn ist insgesammt über 25m lang ... da ein 2. zu verlegen das dann NUR den Server anspricht und unten ne 2. Fritte aufstellen .....

Aber ich sehe da eine andere Lösung die einfacher ist. Ich mache den Server zum "Exposed Host" und verpasse ihm ordentliche Sicherheitssoftware. Dann landet jeder der von außen versucht anzugreifen praktisch immer auf dem Server ind er VM und kann zumindest in meinem Heimnetz nix anrichten. Bringt er die VM zum Absturz schmeist er sich selbst raus und aus der VM raus zu kommen ist alles andere als leicht. und selbst wenn er sie völlig "demoliert" kann ich einfach nen Safepoint wieder einspielen den derjenige so lange wie er bock hat immer wieder killen kann... irgendwann verliert auch das schlimmste Rage-Kid die Lust. Mehr Sicherheit brauche ich nicht für die paar kleinen Game-Server

 

[DJKuhpisse]

. Dann landet jeder der von außen versucht anzugreifen praktisch immer auf dem Server ind er VM und kann zumindest in meinem Heimnetz nix anrichten.

Blödsinn. Mit NAT hast du ob du willst oder nicht ne SPI-Firewall. Warum also mehr zulassen, als du brauchst?
Er kann eh nur dann in deinem Heimnetz was anrichten wenn er selbst unter fremder Kontrolle steht.
Deine anderen Heim-PCs hängen bei IPv4 eh hinter dem NAT und damit hinter der impliziten SPI-Firewall.

VM raus zu kommen ist alles andere als leicht. und selbst wenn er sie völlig "demoliert" kann ich einfach nen Safepoint wieder einspielen den derjenige so lange wie er bock hat immer wieder killen kann... irgendwann verliert auch das schlimmste Rage-Kid die Lust. Mehr Sicherheit brauche ich nicht für die paar kleinen Game-Server

Es ist schwer, aus der VM über die VM-Software in das Wirtsystem zu kommen. Über das Netzwerk sind aber beide miteinander verbunden, wenn du das nicht fein säuberlich trennst. Dann laufen die Angriffe über das Netzwerk.
Zudem kann dir Schaden entstehen, wenn dein Server für illegale Dinge wie E-Mail-Spam oder DOS-Attacken oder Hosting vom illegalem Material genutzt wird.

 

[Sierra_Hotel]

Ich würde hier eindeutig Richtung DMZ und Trennung nach VLANs gehen. Da die Fritte das nicht kann empfiehlt sich hier die Fritte als Modem zu verwenden und hinter der Fritte einen "exposed Host" hinzustellen. Das kann irgendeine kleinere Hardware mit OPENsense oder was auch immer sein. Die zweite Schnittstelle als Gateway hinter der Fritte regelt dann alles für alle internen Netze.

Nach außen bindet man nix "per DNS an" und der "Bridged Mode" hat auch nix mit Netztrennung zu tun.

Aber bitte zuerst entsprechendes Fachwissen aneignen falls nicht vorhanden, sonst wird es schnell "failed by design" oder die Konfiguration wird total Pommes...