TrueNAS und DMZ

[marhal]

Hallo alle zusammen,

ich habe nun seid einiger Zeit truenas 12 laufen. Und bin auch sehr zufrieden damit. Daher würde ich den Nutzen der truenas noch erweitern.
Jedoch würde ich gern von den Profis hier erfahren ob es Sicher genug ist. Ich habe noch ein Netzwerk Interface über, welche ich gern in die DMZ stecken möchte. Umdarüber dann mit virtuellen Maschienen Dienste in der DMZ bereitstellen möchte. (Mail, Nextcloud). Jedoch habe ich ein weing brauchgrummeln was die Sicherheit angeht. Sind das sicher genug, das die virtuellen Maschienen von meinem restlichen Netz getrennt sind ? Oder können Angreifer die sicha uf ein Server gehackt haben auf das Host System ein hacken ? Ich hoffe ihr könnt mir da tipps geben.

gruß
Marhal

 

[John Doe]

bei dingen, die nur ich nutze, geht es via VPN.

also z.b. Plex, das teile ich nicht und schaue nur ich an und meine geräte sind so konfiguriert, dass es per VPN nach hause geht.

bei diensten, die auch andere leute nutzen, würde ich es über eine ordentliche firewall laufen lassen.
z.b. pfsense mit geoblock (ich habe keine leute, die in china, indien, russland etc. irgendwas von mir brauchen), via pfsense haproxy plugin (fungiert als reverse proxy) geht es dann auf die interne adresse des services.
die dinge sind dann auch in einer DMZ.

via pfsense kannst du auch etwas genauer einstellen, wer was wie machen darf.

generell kann man sagen, dass es keine wirkliche sicherheit gibt.
ESXi hat immer wieder damit zu kämpfen, dass man aus VMs ausbrechen kann und man findet immer wieder mal sehr kritische linux sicherheitslücken, die seit ewigkeiten im system schlummern.
man kann eigentlich nur die hürden zum cracken erhöhen, sodass es andere, leichtere ziele gibt


meiner meinung nach ist es wichtig sich ein konzept zu überlegen (z.b. meine darstellung oben) und dieses konzept dann auch wirklich zu prüfen.
bin nach dem set up hergegangen und habe mit kali mal etwas rumgespielt und war überascht, wie viele kleine punkte ich übersehen habe.

 

[ChrisRJ]

generell kann man sagen, dass es keine wirkliche sicherheit gibt.

Das moechte ich so unterschreiben. Ohne genau zu wissen, was man tut, ist sowas recht gefaehrlich. Wenn auf dem NAS keine kritischen Daten liegen, ok. Und ich gehe mal davon aus, dass das eine nicht-kommerzielle Aktion fuer Freunde ist, die Dich im Ernstfall auch nicht juristisch belangen wuerden.

Wie sieht Deine DMS denn aus?