Linux System konzipieren

Waldgeist

Herzlich willkommen!
Ich möchte in meinem geswitchten und geNATrouteten Natzwerk einen weiteren Rechner als Zentral-Server aufsetzen. Zentral daher, weil da alles durchmuss. Die Skizze zeigt meinen Verantwortungsbereich.

Es geht mir um den Rechner (192.168.261.1), auf dem (noch) Windows XP läuft.
Der Rechner hat keinen Monitor und wird komplett über VNC und Wake on Lan gesteuert.

Diesen Rechner habe ich treu nach dem Schema von NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de eingerichtet, was bedeutet, dass keine unnötigen Dienste mehr laufen. Desktop Firewalls verwende ich nicht. Zusätzlich läuft dort ein Jana-Proxy, der das 192.168.216.0 Netz cacht und filtert, da ich komplett auf NetBIOS und ICS verzichte. Die Verbindung zur Fritzbox läuft dort über eine DLink DWL-G520+ WLAN Karte.
WLAN mit WPA/PSK TKIP.

Jetzt werde ich auch dort von Windows auf Suse umsteigen. Ich habe die Tage ein paar Benchmarks durchgeführt, da ich, wie ich jetzt weis eine defekte Netzwerkkarte hatte, die den FTP Transfer auf magere (aber konstante) 403 kb/s heruntergeschraubt hatte. Das Problem, wenn es eins ist, ist eine DLink DWL-G520+ Karte, die unter Linux nicht anspringt.

Ich habe recherchiert, dass ich dazu erstmal die Firmware für den acx111 Chipsatz brauche, die ich auch mit Yast bekommen könnte. Zur Installation muss ich den Server eine Weile vom Netz nehmen. Da ich dann eine längere Offline-Zeit habe, möchte ich alles, was ich zum Aufsetzen des Servers brauche, lokal zur Verfügung haben.

In diesem Forum wird die Installation gut beschrieben, doch man kommt zu dem Schluss, dass diese Firmware kein WPA unterstützt, sondern nur WEP zulässt.

Der Link zur Firmware ist der hier: http://www.hauke-m.de/fileadmin/acx/fw.tar.bz2

Weiter gehts es mir um die Sicherheit des neuen Systems. Dienste die ich verwende sind FTP, POP3,SMTP und ein Tor-Server
(ohne Exit Node).

Ich werde es einfach mal angehen und wieder vorbei schauen.
wlan2.jpg


Wenn jemand einen Verbesserungsvorschlag oder zum prinzipiellen Umdenken raten würde, werde ich es gerne lesen.
 
Zuletzt bearbeitet:
Sollte die Verbindung zwischen 192.168.216.1 und der FritzBox nur per WEP möglich sein, so würde ich einfach einen VPN Tunnel aufbauen. Das mit der Sicherheit wäre dann geregelt. Wie man das macht weiß ich allerdings nicht, da ich noch nie einen solchen Tunnel gebraucht habe.

--> OpenVPN

Gruß
 
Der VPN Tunnel wäre kein Problem, problematisch ist WEP selbst. WEP ist praktisch tot, alles was es braucht ist eine spezielle Distri, man suche selbst, und ein wenig Ahnung von der Materie. Da denke ich, ich schenke mir zu Weihnachten eine neue WLAN Karte, derren Linuxfirmware auch WPA-PSK unterstützt.
 
Ich verwende am Server eine externe WLan Antenne, mit einer geschätzten Reichweite von 500 Metern - auf dem FH Gelände. Es würde sicher ein paar Leute freuen ein WEP Verschlüsseltes Grossraum-Netz aufzuspüren.:)
 
Mit einem VPN Tunnel sollte sich auch keiner mehr in das Netz einklingen können. Du brauchst dann nichtmal WEP.
 
ja ist richtig.
Ich wurde gefragt, wie ich den Tor-Server aufsetzen werde.
Da mich das auch interessiert, werde ich Tor nun unter Linux aufgsetzen. Seiten wie Tor: Linux/BSD/Unix Install Instructions zeigen nur
Running the Tor client on Linux/BSD/Unix

Kurz unter der Überschrift steht:
Note that these are the installation instructions for running a Tor client. If you want to relay traffic for others to help the network grow (please do), read the Configuring a server guide.

Wenn man sich fragt, warum man überhaupt einen Tor-Server anbieten sollte
Das Tor-Netzwerk verlässt sich auf Freiwillige, um Bandbreite zur Verfügung zu stellen. Je mehr Menschen eigene Tor-Server betreiben, desto effektiver wird das Tor-Netzwerk sein. Wenn Sie mindestens 20 kilobytes/s (Up/Downstream) bieten können, unterstützen sie bitte die Tor-Community, indem sie ihren Serverdienst aktivieren.

Womit man leicht Ärger bekommt
Ein Vorfall, über den der Betreiber des französischen Tor Exit Nodes "mini" auf der Tor Mailingliste berichtet, macht deutlich, dass man sich als Betreiber eines Exit Nodes darüber im Klaren sein muss, dass die Behörden einen als ersten "Ansprechspartner" oder besser gesagt "Ziel" von polizeilichen Ermittlungen heranziehen könnten und man deshalb besondere Vorkehrungen zum Schutz anderer Daten auf den eigenen Rechner ergreifen sollt

If your server is behind a NAT and it doesn't know its public IP (e.g. it has an IP of 192.168.x.y), you'll need to set up port forwarding. Forwarding TCP connections is system dependent but this FAQ entry offers some examples on how to do this.
 
Überlege Dir wirklich, ob der Kauf einer neuen WLAN-Karte nicht das praktikabelste sein könnte, eine die z.B. laut LinuxWireless - LinuxWiki.org - Linux Wiki und Freie Software unter Linux WPA unterstützt, und deren Gebrauch gut dokumentiert ist.

Das kann im Zweifelsfall stressfreier sein als das Aufsetzen von VPNs, Tor-Servern, oder der Produktivbetrieb mit neusten Treibern -- obwohl das auch keine schlechten Ideen sind.

Gruß
--kray
 
Hmm,

wenn eh' ein neuer Server integriert werden soll, könnte man die ganze WLAN - Kiste
in eine DMZ als Application Gateway packen, da mit dem neue PC als zentraler Server
(was immer das heißen mag) das komplette Routing neu aufgesetzt werden muß.
Das würde auch bei einer neuen WLAN - Karte so oder so der Fall sein,
aber die alte ist konfiguriert und bedeutet keine Kosten.

Die Arbeit liegt wohl eher am neuen Routing- und Sicherheitskonzept (2 Firewalls).
 
Oben