VLAN und Isolierung von Docker Containern


Recommended Posts

Hi,

 

ich möchte gerne meinen Plex Container über das Internet verfügbar machen. Da ich gerne vermeiden möchte, dass nach bekanntwerden einer Sicherheitslücke, der Plex Container gehackt und damit ein Zugriff auf mein Netzwerk möglich ist, hätte ich gerne gewusst wie ich den Container von meinem restlichen Netz separiere, aber trotzdem noch lokal Plex nutzen kann. Dazu hatte ich verschiedene Ideen:

 

1.) VLAN mit eigener IP-Range

Ein separates VLAN mit eigener IP-Range, der Plex Container bekommt davon eine. Lokal nutze ich Plex über die Domain.

 

Problem:

Ich habe zwar einen VLAN-fähigen Smart Switch, aber meine Fritz!Box kann ja keine Port-Freigabe "taggen" oder in ein anderes Netz senden. Also wie bekomme ich nun den eingehenden Traffic auf Port 32400 zu dem Container der anderen IP-Range?

 

2.) Ausgehenden Traffic des Containers blocken

Den Container im "Bridge" Netzwerk laufen lassen und jeglichen lokalen Traffic bis auf Port 32400 sperren. Ansonsten nur Port 80/443, falls Plex überhaupt nach Hause telefonieren muss (keine Ahnung).

 

Problem:

Ich konnte einfach nicht herausfinden wie das geht.

 

 

3.) Gastnetz der Fritz!Box nutzen

Wie Idee 1, aber diesmal nutze ich LAN-Buchse 4 der Fritz!Box und aktiviere dort das Gast-Netz. Dort habe ich nun einen separaten Adress-Raum. Lokal nutze ich Plex über die Domain.

 

Problem:
Die Fritz!Box mag keine Port-Freigaben für das Gastnetz erlauben. Diese werden mit "Fehlerbeschreibung: Die IP-Adresse befindet sich im Gastnetz!" abgelehnt :( 

 

 

Wie könnte ich mein Vorhaben umsetzen?

Link to comment

Variante 1 mit VLAN ist auf jeden Fall die "ordentliche" Lösung.

Da die Fritte kein VLAN kann, kannst Du eine Router-VM auf unraid nutzen, zB pfsense/opnsens, openWRT oder Mikrotik CHR (free version, nach Ablauf der Testlizenz nur 100Mbps)....oder endlich einen richtigen Router anschaffen...der läiuft auch problemlos hiner der Fritte.

Link to comment
Just now, Ford Prefect said:

eine Router-VM auf unraid nutzen

 

Ein ungehärterer Server als Router würde ich nie machen. Wer weiß was in dem VM Host für Sicherheitslücken stecken. Davon abgesehen wäre dann ja alles von Unraid abhängig. Also wenn dann anderen Router.

 

Sonst gibt es keine Lösung? Ich mein wozu hat man denn das Bridging, wenn man damit nichts blocken kann.

Link to comment

...warum soll sich das Bridging in unraid gehärteter darstellen as die KVM basierte VM?

Aber egal...Bridge ist L2...VLAN zwar auch, aber Portforwarding und IP ist L3...es braucht eine Firewall und/oder einen Router auf L3.

 

Ich vermute, man könnte in unArid mit iptables was auf dem Bridge Interface machen, aber ist das eine bessere Idee als (1)?

Link to comment
2 minutes ago, Ford Prefect said:

warum soll sich das Bridging in unraid gehärteter darstellen as die KVM basierte VM?

 

Tut es nicht, aber ein Server direkt am Modem bekommt alles ab. Viel zu viele mögliche Fehlerquellen. Die Fritz!Box ist auch nicht anfällig für Spectre, Meltdown etc ^^

Link to comment
13 hours ago, mgutt said:

Plus das Modem, plus DECT Gateway, plus neue Telefone, plus Jugendschutz Firewall... Ein bisschen was tut die Fritz!Box ja schon.

...wer sagt, dass Du die Fritte abschalten musst.

Ich habe sogar drei davon im Einsatz, 1xInet+Telefon kabel, 1x Inet+telefon LTE, 1x Dect/SIP/VOIP/Telefonzentrale.

Als zentraler Router werkelt da trotzdem ein RB4011 und die beiden Fritten mit WAN-Anschluss haben den als Exposed Host konfiguriert.

 

Jugendschutz Firewall in der Fritte finde ich jetzt auch nicht wirklich toll.

Wir haben einen Family-DNS, der auch im PiHole eingestellt ist und die Kids haben einen Cricle (1stGen) im Ihrem VLAN ...die hassen ihn, ich liebe ihn ;-)

Zusätzlich, da Android Haushalt noch Google Familiy-Link....

 

Trotzdem, dank HomeSchooling und echt "mitdenkenden" Lehrern, muss man immer wieder das Erwachsenen-Youtube und Medien-Links freigeben 😞

Zumindest das geht dann mit dem Circle sehr leicht.

Edited by Ford Prefect
Link to comment
7 hours ago, Ford Prefect said:

...wer sagt, dass Du die Fritte abschalten musst.

Meine Stromrechnung, weshalb ich die Fritz!Box auch nur sehr ungern gegen Router + Modem + X ersetzen will. Und parallel weiterlaufen lassen schon gar nicht.

 

Youtube ist gar nicht unter 13 Jahren erlaubt. Oder geht es um ältere Kinder? Ab 13 werde ich denke ich kaum noch was filtern. Wenn nur wie jetzt die nächtliche Nutzung per Google Family Link bzw Microsoft Family Safety unterbinden.

Link to comment
13 minutes ago, mgutt said:

Youtube ist gar nicht unter 13 Jahren erlaubt. Oder geht es um ältere Kinder?

...der laufende Meter ist noch 11.

Und es interessiert die Lehrer leider nicht.

Hatte neulich sogar ein Video auf der Landeseigenen Lehrplattform...dabei kam dann raus, dass der Anbieter für das Ding nen i-Frame für ein YT-Video gebaut (und natürlich als Eigenproduktion für die Landesmedienanstalt verkauft) hat.

 

...da könnte ich jetzt den Datenschützer usw heiss machen oder doch den Fern-Mathe-Unterricht unterstützen bzw. ihn nicht sprengen.

 

13 minutes ago, mgutt said:

Ab 13 werde ich denke ich kaum noch was filtern. Wenn nur wie jetzt die nächtliche Nutzung per Google Family Link bzw Microsoft Family Safety unterbinden.

...ich mache das davon abhängig wie vernünftig die Kids sind....die Grosse konnte das damals schon...der Kurze lässt aktuell noch kein Fettnäpfchen aus 🤣

Link to comment
21 hours ago, mgutt said:

 

Plus das Modem, plus DECT Gateway, plus neue Telefone, plus Jugendschutz Firewall... Ein bisschen was tut die Fritz!Box ja schon.

 

Ich schaue mal ob ich damit Erfolg habe:

https://github.com/docker/for-mac/issues/1390#issuecomment-284467649

 

Ich glaube mit dem Problem bist du nicht allein. Mich quält diese ganze Nummer auch schon ewig und nach meinem letzten Gespräch mit einem Typen von Zxyel weiß ich das bei mir als Firewall definitiv nur noch OS zum Einsatz kommen wird. Leider bedeutet dies wesentlich mehr Hardware und Umstände 😞

 

Bezüglich dem Thema Netze hier mal meine Idee. Ich bin mir auch echt unschlüssig wie gut wirklich ein VLAN allein schützt.

image.png.d949026395503137471708aad33ab4d9.png

 

Was ich bei dem heutigen virtuellen VLAN / Firewall Thema nicht so recht verstehe ist wie diese mit dem physikalischen Netz zusammenspielen.

1) Nutze ich jetzt eine HW für die Firewall, welche dann in das jeweilige Netz routet oder doch dedizierte Firewalls?

2) Wo platziere ich jetzt in dem Beispiel den DNS / DHCP / PiHole Server? 

 

Die FB soll wirklich nur noch als Dect, Telefon, Fax Gerät dienen eventuell als Gast WLAN Device etc.

Edited by Smolo
Link to comment
38 minutes ago, mgutt said:

Meine Stromrechnung, weshalb ich die Fritz!Box auch nur sehr ungern gegen Router + Modem + X ersetzen will. Und parallel weiterlaufen lassen schon gar nicht.

...um die Kosten der kompletten, neuen Hardware damit einzusparen, das son Hex-s eher 3W zusätzlich braucht...na, ich weiss nicht....bei 25W vielleicht.

Ich hatte vom dem RB4011 einen CHR in einer VM mit durchgereichter Quad auf meinem unRaid.

Die Quad ist noch drin, macht jetzt LACP...der Switch ist auch etwas neuer und der RB4011 neu, nun mit 10G AOC zum Switch.

Gesamt-Mehrverbrauch gegenüber altem Switch und CHR: 1W ...wobei ich immer den ganzen Netzwerkschrank messe, vor der USV.

Link to comment

Nur um auch meinen Senf dazuzugeben ich für meinen Teil nutze ein Alix APU Board mit pfSense (früher ipFire, wirklich gute Software nur hatte die damals einen Bug mit der ich meinen Glasfaseranschluss nicht verwenden konnte) davor hängt ein Fiber zu Ethernet converter der, oh Wunder :D , das Fiber in Ethernet umwandelt also theoretisch mein Modem ist.

 

Ich hatte das Früher mal so das ich mein gesamtes Netz das ich im Internet freigegeben hab (Docker, VM's) in Unraid einen eigenen NIC zugeteilt hab (192.168.0.x Netz) und für die interne Nutzung den 10Gbit Glasfaserlink (10.0.0.x Netz) hatte.

 

Der NIC der nur für die Sachen die aus dem Netz erreichbar zuständig war war an eine eigene Schnittstelle am Alix APU angeschlossen und war somit isoliert und wenn ein Dienst aus dem LAN zugreifen wollte hab ich das vorher mit einer dementsprechenden Regel in pfSense eingestellt.

 

Nun zum großen Problem...

Da wir hier mit Docker hantieren und sollte es mal gelingen einem Angreifer aus dem Container aus bzw. einzubrechen (ich kenne niemand der sich den ganzen Quellcode der container durchließt) ist es unter Umständen möglich das er Zugriff auf das ganze Hostsystem bekommt, nichts ist heutzutage sicher...

Aber die Wahrscheinlichkeit ist verschwindend gering das es jemals dazu kommt.

 

Nochmal zum Thema Firewall ich weiß die Geräte häufen sich aber hier mal ein paar Vorschläge @binhex hat mir zum Beispiel mal diesen link geschickt:

Klick

Oder das hier

 

 

EDIT: VLAN ist theoretisch nicht unsicherer als eine physische Verbindung wenn sie richtig eingerichtet wird.

Link to comment
15 minutes ago, ich777 said:

Nun zum großen Problem...

Da wir hier mit Docker hantieren und sollte es mal gelingen einem Angreifer aus dem Container aus bzw. einzubrechen (ich kenne niemand der sich den ganzen Quellcode der container durchließt) ist es unter Umständen möglich das er Zugriff auf das ganze Hostsystem bekommt, nichts ist heutzutage sicher...

Aber die Wahrscheinlichkeit ist verschwindend gering das es jemals dazu kommt.

 

EDIT: VLAN ist theoretisch nicht unsicherer als eine physische Verbindung wenn sie richtig eingerichtet wird.

Daher eventuell für die extern laufenden Apps eine eigene VM in einer DMZ einsperren?

 

Wer verbindet bzw. trennt denn das LAN / VLAN bzw. VLAN / VLAN voneinander? Hab da irgendwie Kopfkino.

Link to comment
8 minutes ago, Smolo said:

Daher eventuell für die extern laufenden Apps eine eigene VM in einer DMZ einsperren?

VM? Dein ernst? :D

Also jetzt im ernst... Das ist nicht besser als eine Firewall in einer VM.

EDIT: Stell dir mal vor der Hypervisor oder irgendwas anders hat einen Bug und macht es angreifbar, evtl bekommst das gar nicht mit da es nicht gleich entdeckt wird, denk nur mal an Heartbleed.

 

8 minutes ago, Smolo said:

Wer verbindet bzw. trennt denn das LAN / VLAN bzw. VLAN / VLAN voneinander? Hab da irgendwie Kopfkino.

Also du übermittelst alles über eine Leitung mittels VLAN-Trunking und dann trennst es wieder per Port oder wie du es hald willst auf am Switch. Muss aber der Switch können hab zB unter anderem sowas zu Hause: CRS309-1G-8S+ & CRS305-1G-4S+IN

Link to comment
22 minutes ago, ich777 said:

Nur um auch meinen Senf dazuzugeben ich für meinen Teil nutze ein Alix APU Board mit pfSense

...hatte ich auch mal...war mir zu lahm.

Und das Firewall Konzept von pfsense will einfach nicht in meinen Kopf...das von Mikrotik passt ;-)

 

22 minutes ago, ich777 said:

Nochmal zum Thema Firewall ich weiß die Geräte häufen sich aber hier mal ein paar Vorschläge @binhex hat mir zum Beispiel mal diesen link geschickt:

Klick

Oder das hier

...ich habe so einen, allerdings mit i5 und 6xGbps sogar als unRaid server mit einem pfsense in der feWo

 

7 minutes ago, Smolo said:

Wer verbindet bzw. trennt denn das LAN / VLAN bzw. VLAN / VLAN voneinander? Hab da irgendwie Kopfkino.

 

Also trennen macht der Switch (auch im Router ist i.d.R. einer drin...wenn es da richtig konfiguriert ist...passiert also auf Hardware-Ebene...L2 halt.

Verbinden macht der Router, L3 Firewall.

Link to comment

nein, es war ne APU, aber der ersten Generation...ohne HW-Encryption

Aber auch die hat keinen Switch Chip...d,h, kein HW-Offloading für L2, wie zB VLAN.

 

In meiner CHR-VM war eine i350-Quad durchgereicht.

Habe ich von einem VLAN ins andere oder ins i-Net (habe 1Gbps/50Mbps Kabel) mal das Gigabit ausgereizt, waren zwei Kerne des i3-8100 schon zur Hälfte beschäfftigt...mit pfsense das Gleiche, nbur braucht die VM da 10x mehr Ressourcen.

Im RB4011, mit HW-Offloading geht einer der 4 ARM-Cores im gleichen Szenario mal um 1% hoch (die anderen sind eh Null)....das Ding würde Kreise um eine APU ziehen....hat 10x1G und 1xSFP+ und kostete vor 6 Monaten 130EUR.

Sorry für die Werbung ;-)

Einziger Vorteil einer pfsense wäre, das ein IPS/IDS wie zB SNORT einfacher zu integrieren wäre als in einen MT.

ABer da würde ich dann evtl doch gleich eine Sophos UTM nehmen auf so einem 4-6xLAN Intel

 

Link to comment
1 minute ago, Ford Prefect said:

Einziger Vorteil einer pfsense wäre, das ein IPS/IDS wie zB SNORT einfacher zu integrieren wäre als in einen MT.

Find ich nicht, ist horror meiner Meinung nach, sieh dir da lieber mal ipFire an, ist viel einfacher.

Ich überleg auch wieder zurückzuwechseln auf ipFire da der bug jetzt gefixt ist.

 

Momentan reicht die Alix APU noch, irgendwann wird mal upgegraded, irgendwann mal... :D

Weißt ja konfig übertragen oder neu machen is auch immer sehr mühsam.

Link to comment

...IPFire, IPCop, pfsense/opnsense, openWRT....ich bin da durch.

Bin gerade voll auf dem MT Pfad, inkl. Switches und zwischenzeitlich auch APs..das P/L-Verhältnis und Ressourcenbedarf ist ungeschlagen...config migrieren geht relativ einfach..und sogar die Switche und APs können RouterOS...IDS/IPS will ich aktuell nicht....habe WAN eh jeweils hinter je einer Fritz, die ja das NAT eh nie ausschalten kann....portforwarding mache ich nicht...nutze quasi LAN-2-Go mittels SDN, zerotier Docker in unRaid.

Link to comment
41 minutes ago, ich777 said:

Da wir hier mit Docker hantieren und sollte es mal gelingen einem Angreifer aus dem Container aus bzw. einzubrechen (ich kenne niemand der sich den ganzen Quellcode der container durchließt) ist es unter Umständen möglich das er Zugriff auf das ganze Hostsystem bekommt, nichts ist heutzutage sicher...

 

Aus einem Container auszubrechen, setzt voraus, dass man erstmal eingebrochen ist. Also muss der Angreifer sowohl eine Lücke über HTTP ausnutzen um auf den Webserver des Containers zu kommen und von da aus muss er eine Lücke in Docker ausnutzen, um auf das Host-System zu kommen. Alles im Bereich des denkbaren, aber da Docker auf cgroups setzt, müsste da schon eine Lücke in Linux selbst vorhanden sein. Ok, es gab schon eine andersartige Lücke, aber die setzte voraus, dass der Container privilegiert gestartet wurde und wer das macht, der hat eben Pech. ^^

 

Wer komplett paranoid ist, kann ja Docker in einer VM laufen lassen. Das wären dann drei Stufen :D

 

 

  • Like 1
Link to comment
3 hours ago, ich777 said:

VM? Dein ernst? :D

Also jetzt im ernst... Das ist nicht besser als eine Firewall in einer VM.

EDIT: Stell dir mal vor der Hypervisor oder irgendwas anders hat einen Bug und macht es angreifbar, evtl bekommst das gar nicht mit da es nicht gleich entdeckt wird, denk nur mal an Heartbleed.

Die Gedanken sind ja bekanntlich frei ;-) Wie würdest du denn bezogen auf mein Konstrukt die Firewalls ausgestalten wirklich zwei dedizierte HW Firewalls?

Link to comment
7 hours ago, Smolo said:

Die Gedanken sind ja bekanntlich frei ;-) 

So war es nicht gemeint... ;)

 

7 hours ago, Smolo said:

Wie würdest du denn bezogen auf mein Konstrukt die Firewalls ausgestalten wirklich zwei dedizierte HW Firewalls?

Sieh dir mal das Konzept von ipFire an die haben bis zu 4 Schnittstellen Rot=WAN, Grün=LAN, Orange=DMZ, Blau=WLAN

Klick

 

Du machst alles auf einer Firewall und teilst dort auf.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.