Skilja på lan och wan trafik?

2016-09-28 07:52

Permalänk

depalma

Medlem

Plats: Lidköping
Registrerad: Aug 2008

●

Skilja på lan och wan trafik?

Har idag en Microserver G8 som gör följande:

Filserver
Backup server
Plex server
Teamspeak server
CSGO server

Operativet är Windows Server 2012 R2.

Idag går all trafik via en nätverksport.
Det jag funderar på är om man kan göra detta lite säkrare på något vis?

Jag skulle vilja att CSGO och Teamspeak (ev även Plex) går att nå utifrån medans resten bara går att komma åt lokalt.
Kan man göra detta på något bra sätt?

T.ex att lokal trafik går på Lan1 och wan trafik på Lan2 eller liknande? Eller hur ska jag göra?
Innan servern sitter en Netgear Nighthawk router som går till en Netgear smart switch och sedan ut till server och alla lokala enheter.

Tar tacksamt emot tips.

Visa signatur

Mvh. Robban aka. douzE
Kaffe: Rocket Espresso R Cinquantotto | Niche Zero
Desktop: 12700K. EK-AIO 240. Z690-A Gaming Wifi. 32GB DDR4. RTX 3070 Master. 980 Pro. MF V-Can
Server: HP Microserver G8. Xeon E3-1260L. 16Gb ECC. P222. Hyper-V

Rapportera Redigera

Citera flera Citera

2016-09-28 08:03

Permalänk

wRRM

Medlem

Plats: Stockholm
Registrerad: Aug 2005

●

Skrivet av depalma:

Har idag en Microserver G8 som gör följande:

Filserver
Backup server
Plex server
Teamspeak server
CSGO server

Operativet är Windows Server 2012 R2.

Idag går all trafik via en nätverksport.
Det jag funderar på är om man kan göra detta lite säkrare på något vis?

Jag skulle vilja att CSGO och Teamspeak (ev även Plex) går att nå utifrån medans resten bara går att komma åt lokalt.
Kan man göra detta på något bra sätt?

T.ex att lokal trafik går på Lan1 och wan trafik på Lan2 eller liknande? Eller hur ska jag göra?
Innan servern sitter en Netgear Nighthawk router som går till en Netgear smart switch och sedan ut till server och alla lokala enheter.

Tar tacksamt emot tips.

Gå till inlägget

Om du inte har öppnat portarna i brandväggen går dom inte att nå utifrån, så det spelar ingen roll vilken nätverksport du använder.

Rapportera Redigera

Citera flera Citera (1)

2016-09-28 08:09

Permalänk

andreas_dock

Livsnjutare 😎 ★

Plats: Varberg
Registrerad: Jan 2002

●

@Depalma

Du kan inte styra säkerhetsmässigt med två nätverksportar som kommer åt olika saker på en server då allting ligger i samma plattform. Hade du haft virtuella maskiner med olika ip-adresser eller åtkomst hade det gått - men nu eftersom du har alla tjänster i samma låda skulle jag säga nej, det spelar ingen roll.

Här får man ha noga vägt brandväggsregler och dylikt istället.

Du kan använda båda nätverksportarna men endast för att skicka trafik åt olika håll och därmed öka prestandan och/eller last på nätverkskorten (om det skulle vara en flaskhals)

Visa signatur

• Citera eller Svara för respons! •
• Life is a playground {|;^) •

Rapportera Redigera

Citera flera Citera

2016-09-28 08:11

Permalänk

silfverzor

Medlem

Registrerad: Jul 2013

●

Det som eventuellt skulle fungera är att skapa olika vm:s och så skapar du interna och externa switchar i hyper-v på så sätt kan du öppna portar i routern för just de ip:addrrsserna du vill ha till gång till

Rapportera Redigera

Citera flera Citera

2016-09-28 09:20

Permalänk

depalma

Medlem

Plats: Lidköping
Registrerad: Aug 2008

●

Aha, oki då är jag med.
Får noga kolla över brandväggsreglerna för vad som går att komma åt utifrån helt enkelt.

Edit:
De enda portarna i routern som är öppna mot servern är de som Teamspeak och CSGO använder + en port för RDP. De portarna är ju även öppna i brandväggen i Server 2012. Är det något annat jag ska tänka på eller är jag safe så?

Senast redigerat 2016-09-28 09:37

Visa signatur

Mvh. Robban aka. douzE
Kaffe: Rocket Espresso R Cinquantotto | Niche Zero
Desktop: 12700K. EK-AIO 240. Z690-A Gaming Wifi. 32GB DDR4. RTX 3070 Master. 980 Pro. MF V-Can
Server: HP Microserver G8. Xeon E3-1260L. 16Gb ECC. P222. Hyper-V

Rapportera Redigera

Citera flera Citera

2016-09-28 09:49

Permalänk

Tuxis

Medlem

Plats: Gotland
Registrerad: Dec 2008

●

så länge du inte kör någon special i routern så kommer man inte åt saker som du inte öppnat, typ filbrowsing. även routern har en brandvägg ju.

Rapportera Redigera

Citera flera Citera

2016-09-28 11:37

Permalänk

mini-ryttge

Medlem ★

Plats: Stenungsund
Registrerad: Maj 2005

●

Skrivet av depalma:

Aha, oki då är jag med.
Får noga kolla över brandväggsreglerna för vad som går att komma åt utifrån helt enkelt.

Edit:
De enda portarna i routern som är öppna mot servern är de som Teamspeak och CSGO använder + en port för RDP. De portarna är ju även öppna i brandväggen i Server 2012. Är det något annat jag ska tänka på eller är jag safe så?

Gå till inlägget

Varför är RDP öppen utifrån? Detta är ett katastrofalt säkerhetshål.

Visa signatur

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Rapportera Redigera

Citera flera Citera (2)

2016-09-28 11:42

Permalänk

andreas_dock

Livsnjutare 😎 ★

Plats: Varberg
Registrerad: Jan 2002

●

Skrivet av mini-ryttge:

Varför är RDP öppen utifrån? Detta är ett katastrofalt säkerhetshål.

Gå till inlägget

Håller med!
Och har man dessutom RDP-porten på default (3389) så kan du bara räkna dagarna innan spoofing attackerna börjar (om de inte redan är igång..) då många "hackers" använder portscannings verktyg tillsamans med ip-range's och detta sköts per automatik för att flagga ev. system att infektera/försöka få åtkomst till.

Sätt upp en SSL/SSH tunnel eller alternativt lås ned IP-åtkomsten mot RDP-porten till ett fåtal adresser där du kan tänka mig vilja administrera servern ifrån.

Visa signatur

• Citera eller Svara för respons! •
• Life is a playground {|;^) •

Rapportera Redigera

Citera flera Citera

2016-09-28 15:45

Permalänk

depalma

Medlem

Plats: Lidköping
Registrerad: Aug 2008

●

Skrivet av mini-ryttge:

Varför är RDP öppen utifrån? Detta är ett katastrofalt säkerhetshål.

Gå till inlägget

Ofan, då får jag ta bort detta. Vill komma åt servern för att göra vissa grejer ifrån jobbet.

Skrivet av andreas_dock:

Håller med!
Och har man dessutom RDP-porten på default (3389) så kan du bara räkna dagarna innan spoofing attackerna börjar (om de inte redan är igång..) då många "hackers" använder portscannings verktyg tillsamans med ip-range's och detta sköts per automatik för att flagga ev. system att infektera/försöka få åtkomst till.

Sätt upp en SSL/SSH tunnel eller alternativt lås ned IP-åtkomsten mot RDP-porten till ett fåtal adresser där du kan tänka mig vilja administrera servern ifrån.

Gå till inlägget

Hur låser jag detta? Är bara datorn på jobbet och lokalt hemma jag använder RDP.

Edit:
Eller finns det något annat bättre alternativ för att fjärradministrera servern ifrån jobbet?

Visa signatur

Mvh. Robban aka. douzE
Kaffe: Rocket Espresso R Cinquantotto | Niche Zero
Desktop: 12700K. EK-AIO 240. Z690-A Gaming Wifi. 32GB DDR4. RTX 3070 Master. 980 Pro. MF V-Can
Server: HP Microserver G8. Xeon E3-1260L. 16Gb ECC. P222. Hyper-V

Rapportera Redigera

Citera flera Citera

2016-09-28 15:56

Permalänk

andreas_dock

Livsnjutare 😎 ★

Plats: Varberg
Registrerad: Jan 2002

●

Skrivet av depalma:

Ofan, då får jag ta bort detta. Vill komma åt servern för att göra vissa grejer ifrån jobbet.

Hur låser jag detta? Är bara datorn på jobbet och lokalt hemma jag använder RDP.

Edit:
Eller finns det något annat bättre alternativ för att fjärradministrera servern ifrån jobbet?

Gå till inlägget

Ett alternativ är ju teamviewer - men även det kan ju hackas och ha "orätta händer som kommer åt".
Det är vad jag kör personligen.

Vill man lösa det med RDP så ställer du in i Windows brandväggen under avancerade regler att det endast är lokala ip'n samt det externa du har på jobbet som får komma åt tjänsten.

Visa signatur

• Citera eller Svara för respons! •
• Life is a playground {|;^) •

Rapportera Redigera

Citera flera Citera

2016-09-28 17:07

Permalänk

depalma

Medlem

Plats: Lidköping
Registrerad: Aug 2008

●

Skrivet av andreas_dock:

Ett alternativ är ju teamviewer - men även det kan ju hackas och ha "orätta händer som kommer åt".
Det är vad jag kör personligen.

Vill man lösa det med RDP så ställer du in i Windows brandväggen under avancerade regler att det endast är lokala ip'n samt det externa du har på jobbet som får komma åt tjänsten.

http://adock.se/users/upload/files/windows_firewall_advanced_sec.PNG

Gå till inlägget

Sådär, RDP borttagen.
Tack, jo Teamviewer använder jag en del på jobbet. Men inget jag är superförtjust i. Får väl klara mig med att drifta den lokalt kanske.

Visa signatur

Mvh. Robban aka. douzE
Kaffe: Rocket Espresso R Cinquantotto | Niche Zero
Desktop: 12700K. EK-AIO 240. Z690-A Gaming Wifi. 32GB DDR4. RTX 3070 Master. 980 Pro. MF V-Can
Server: HP Microserver G8. Xeon E3-1260L. 16Gb ECC. P222. Hyper-V

Rapportera Redigera

Citera flera Citera

2016-09-29 10:39

Permalänk

Delarium.

Medlem