Forum Datorer och system Server Tråd Inlägg

Server Säkerhet (LAN)

1
Skriv svar
Permalänk
Medlem

Server Säkerhet (LAN)

Tjenare alla Sweclockers, jag behöver er hjälp!

Jag har planer på att starta mitt egna Internet Café, Gibbställe w/e. Datorer, inrede och servrar mm står färdigt, det ända jag ber om är att ni ska hjälpa mig med säkerheten,

Lista ALLT som behövs för att få en säker miljö på min server, oroa er inte över priserna, jag vill bara få en syn på vad det är jag söker. Brainstorma med mig, vad behöver jag? Skriv ALLT ni kommer på!

Jag hoppas verkligen att ni kan hjälpa mig, står verkligen still i mitt huvud!

Redigera
Citera flera Citera
Permalänk
Medlem

Beroende på hur många datorer det kommer finnas behövs ju en router som delar ut ip-adresser, en switch så du får önskat antal fysiska portar och en brandvägg kanske har inte så bra koll på den biten. Sedan någon dator/server som styr och övervakar nätverket så ingen gör olagliga saker på ert nät.

Redigera
Citera flera Citera
Permalänk
Medlem

Ha enbart igång de serverapplikationer du behöver, med andra ord ha inga onödiga tjänster igång som lyssnar på diverse portar. Se till att både OS och program ständigt är uppdaterade. Inaktivera tillägg/tjänster med kända säkerhetshål. Använd säkra lösenord. Kör servertjänster med korrekta användare, med andra ord inte som root/administratör. Jaila om det är möjligt.

Visa signatur

"to conquer others is to have power, to conquer yourself is to know the way"

Redigera
Citera flera Citera
Permalänk
Medlem

Om det är en Windows miljö vill du kanske implementera en hel del restriktiva GPO:er för klientdatorerna, samt certifikat.
En idé kan vara att de inte får ut ett IP via DHCP om de inte är medlemmar i domänen med ett giltigt cert, och datorn finns med i AD DS.
I smarta switchar kan man konfigurera att porten inte är aktiv om de inte har rätt MAC-adress.
Detta borde eliminera möjligheten för folk att ansluta egen dator och sniffa paket, tror dock att det är lite overkill för ett nätcafé.

Redigera
Citera flera Citera
Permalänk
Medlem

Se till att ni har bra fysisk säkerhet på burkarna, tänk på hårdvaru-keyloggers etc.

Visa signatur

MBP: 13" - M1
Stationär: Win11 - Ryzen 5900X - 128GB - GTX 4080
Server: Ubuntu - i5 4670k - 32GB - 4x5TB Raid-Z
Server: Rpi4 8GB, 1TB USB SSD

Redigera
Citera flera Citera
Permalänk
Medlem

Sätta servrarna på eget nät och bara tillåta viss trafik från klienterna. Skydda dem fysiskt mot intrång, brand och strömspikar. Se till att ha senaste uppdateringarna så du inte åker på ett hål som det redan är möjligt att täta

Redigera
Citera flera Citera
Permalänk
Medlem

Se till att hantera stöld och skadegörelse också.
Det är tyvärr något man får räkna med

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Redigera
Citera flera Citera
Permalänk
Medlem

802.1x i nätverket, dhcp snooping kan va värt att kika på med

Visa signatur

Battlestation: 14900kf - RTX3090 - 32gb ram - 1tb M2 990 PRO - 2TB M2 crucial

Redigera
Citera flera Citera
Permalänk
Medlem

Köra ett AD med GPO:er med strikta regler, ett tillexempel kan ju vara att inte tillåta datorerna i nätet ansluta USB minnen med tanke på keylogger osv. Man kommer väldigt långt på GPO:er. Sen är ju brandvägg och switchar en självklarthet.

Visa signatur

[Intel Core i5 2500k] [Asus P8Z68-V Pro] [2x ATI 6950 1gb] [Fractal Design XL] [Corsair HX 750W] [Corsair 16Gb 1600MHz] [OCZ SSD Vertex3 120GB]

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av basn:

802.1x i nätverket, dhcp snooping kan va värt att kika på med

Gå till inlägget

Varför inte ladda med Server and domain isolation på en gång? Ska vi ändå ge oss på PKI så kan vi väl göra det hela HW oberoende på en gång.
Dessutom är det rätt kul att ta med sig en gammal hubb till dåligt konfade 802.1X nät

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Redigera
Citera flera Citera
Permalänk
Medlem

OpenBSD

Jag kör själv OpenBSD på alla servrar. OpenBSD ökar verkligen på säkerheten av många orsaker. Människorna bakom OpenBSD är paranoida och går mer igenom koden än någon annan. Därför har dom haft bara 2 säkerhetshål på mer än 10 år. Det finns ingen brandmur som är mer trevlig att skriva regler för än PF (också från OpenBSD-utvecklarna). Det är också OpenBSD som har skapat openssh (som används av alla linux distributioner). Webservern kör som standard i en egen chroot, vilket gör att om den hackas kommer en hackare åt nästan ingenting.

Oberoende av OS så är ett system sårbart i en dålig administrators hand, men risken att misslyckas är mindre med OpenBSD.

OpenBSD är också väldigt lätt att administrera och det finns färdiga paket till nästan vad som helst. Bara att skriva pkg_add -i <namn på paket>

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Annars kanske Pfsense i kombination med snort kan vara en smidig lösning?

Visa signatur

SWECLOCKERS.COM :: If Quake was done today ::
WS: Gigabyte Z690 UD DDR5 :: Core i5 12600K :: 32 GB RAM :: Geforce RTX 3070 :: 10 GbE NIC :: AOC C32G1 32" :: Seagate FireCuda 530 1TB :: Fractal Design R5
WiFi: 2x Alta Labs S24-POE :: 2x Alta Labs S8-POE :: 3x AP6 Pro

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av mats42:

Varför inte ladda med Server and domain isolation på en gång? Ska vi ändå ge oss på PKI så kan vi väl göra det hela HW oberoende på en gång.
Dessutom är det rätt kul att ta med sig en gammal hubb till dåligt konfade 802.1X nät

Gå till inlägget

Hubbar är alltid roligt
Fast man kan ju köra spanning tree och max en client per port så löser det sig för det mesta.

Visa signatur

Battlestation: 14900kf - RTX3090 - 32gb ram - 1tb M2 990 PRO - 2TB M2 crucial

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av basn:

Hubbar är alltid roligt
Fast man kan ju köra spanning tree och max en client per port så löser det sig för det mesta.

Gå till inlägget

Japp. Jag skulle gå så långt som att säga att man måste göra det för att få ett verkligt skydd.
Dock finns det en metod runt det där en client firewall faktiskt blir en del av attackvektorn.
Ledtråden är att en hub skickar alla paket till alla portar

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av mats42:

Japp. Jag skulle gå så långt som att säga att man måste göra det för att få ett verkligt skydd.
Dock finns det en metod runt det där en client firewall faktiskt blir en del av attackvektorn.
Ledtråden är att en hub skickar alla paket till alla portar

Gå till inlägget

Jo precis, hubbar är onda.

Visa signatur

Battlestation: 14900kf - RTX3090 - 32gb ram - 1tb M2 990 PRO - 2TB M2 crucial

Redigera
Citera flera Citera
1
Skriv svar