PDA

Bekijk Volledige Versie : newbie vraag over IPSEC



hostedcomputing
23/07/07, 10:34
Hoi,

Laat ik eerst wat over mezelf vertellen. Ik heb de afgelopen jaren veel met Windows Terminal Server en Citrix gewerkt, en heb een paar servers in een datacenter hangen om zo wat kleinere klanten van een gehoste desktop te voorzien. Daarnaast heb ik voor een paar klanten een online backup service ingericht.

Omdat de infra er nu toch ligt, ben ik eens gaan zoeken of ik niet wat meer diensten kan aanbieden. Ik zit zelf te denken aan gamehosting , hosted exchange en webhosting.

Omdat met name game/webhosting een andere tak van sport is, heb ik de afgelopen weken regelmatig dit forum bezocht om zo meer informatie te krijgen.

Aangezien ik uit de Windows hoek kom, wil ik hier ook op voortborduren en op Windows gaan draaien. Ik begrijp dat een hoop hosters hier succesvol Windows draaien (no offense, ik ben niet van plan een Windows/Ux discussie te starten hier) en begrijp dat men vaak alleen gebruik maakt van IPSEC i.c.m. gezond verstand.

De servers die ik wil gebruiken hebben 2 NIC's en 1 iLo port. Ik zit eraan te denken om de NIC die aan het Internet hangt dicht te zetten met IPSEC voor alleen 80, 443, 21 en 53, en de andere NIC te gebruiken voor backend verkeer, om zo bijvoorbeeld te connecten met de SUS server.

Is dit common practice of ben ik zo niet goed bezig ? Ik ben gewend om met ISA te werken en het werken zonder firewall is nieuw voor me.

Verder vraag ik me af wat jullie als controlpanel gebruiken. Ik heb al getest met dotnetpanel en tcadmin als game panel, maar alternatieven zijn altijd welkom.

Alle tips/hulp is welkom.

gjtje
23/07/07, 10:38
Dat is helemaal correct, voor instelling van IIS voor passive ftp zijn genoeg instellingen te vinden. Het beste kan je een vbs-scriptje schrijven voor de filter instellingen aangezien je geen ranges kan toevoegen.
Vergeet ook niet de ALG service te disablen anders werkt het nog niet. ;)

Als je groot denkt te worden zou je kunnen overwegen een centrale AD neer te zetten zodat je eenvoudig centraal dit soort dingen, en accounts natuurlijk, kan beheren. De meeste controlpanels kunnen daar ook mee overweg.

hostedcomputing
23/07/07, 11:30
@gjtje

Ik was in de veronderstelling dat men IIS servers niet in een domein had hangen. Maar aangezien ik al een infra heb met daarin een DC, zou ik meteen de webservers in de AD kunnen hangen.

Voordeel hiervan is dat ik de (IPSEC) policy's van de webservers centraal kan regelen.

Kan iemand me iets meer vertellen over gameservers ? Ik heb een tijd geleden een UT2004 server gehost, en ik kan me herinneren dat hier nogal wat porten voor open moesten. Ik wil dit niet in de ISA server doen, maar de gameservers via een andere manier aan het Internet hangen. Is hier ook weer IPSEC de boodschap ?

Ik vermoed dat ik, als ik meerdere UT servers wil hosten, ik OF meerdere IP adressen moet gebruiken OF elke game een andere port te laten gebruiken.

Ingvald
23/07/07, 12:30
@gjtje

Ik was in de veronderstelling dat men IIS servers niet in een domein had hangen. Maar aangezien ik al een infra heb met daarin een DC, zou ik meteen de webservers in de AD kunnen hangen.

Voordeel hiervan is dat ik de (IPSEC) policy's van de webservers centraal kan regelen.

IIS webservers kunnen perfect in een domein hangen.

Qua control panel gebruiken wij DotNetPanel, we hebben in het verleden ook Helm en Plesk gebruikt, maar daar zijn onze ervaringen minder mee. Niet dat ik ze afraad, maar wij hebben veel betere ervaringen met Dotnetpanel (zowel qua software zelf als qua support).

Wij maken ook gebruik van IPSEC om overbodige poorten te sluiten.

hostedcomputing
23/07/07, 12:56
@Ingvald
hebben jullie de IIS server zoals ik in mijn startpost vermeld met 1 NIC aan het internet en met 1 NIC aan het LAN hangen. Dus met IPsec alleen NIC1 dichtzetten en NIC2 gebruiken voor AD verkeer e.d. ?

Ik ben dit soort setups gewend voor Citrix/TS, dus al het client verkeer over 1 NIC, en backend verkeer over de andere NIC. Voor IIS lijkt het met soortgelijk. Alles wat naar de clients (Internet) gaat over de front-end NIC dichtzetten met IPsec, en op een apart VLAN het backend verkeer naar servers.

Misschien stel ik stomme vragen, maar dat hoort er een beetje bij als newbie :)

Ingvald
24/07/07, 12:37
@Ingvald
hebben jullie de IIS server zoals ik in mijn startpost vermeld met 1 NIC aan het internet en met 1 NIC aan het LAN hangen. Dus met IPsec alleen NIC1 dichtzetten en NIC2 gebruiken voor AD verkeer e.d. ?

Ik ben dit soort setups gewend voor Citrix/TS, dus al het client verkeer over 1 NIC, en backend verkeer over de andere NIC. Voor IIS lijkt het met soortgelijk. Alles wat naar de clients (Internet) gaat over de front-end NIC dichtzetten met IPsec, en op een apart VLAN het backend verkeer naar servers.

Misschien stel ik stomme vragen, maar dat hoort er een beetje bij als newbie :)

idd, NIC1 = WAN en NIC2 = LAN

hostedcomputing
25/07/07, 11:55
Thanx zover. Wat betreft de webservers ben ik er wel uit, denk ik. LAN-NIC gebruiken voor het inspoelen met bijv. RIS, updaten met WSUS, IPsec policies applyen en dan pas NIC2 (internet) open stellen.

Beveiligen jullie de gameservers ook alleen via IPSEC ? Je moet per game nogal wat porten openzetten. Het valt natuurlijk te scripten of met AD policies te doen, maar weten jullie een betere/makkelijker manier ?

Ik heb al iets gelezen op dit forum over een transparante firewall, maar ik krijg het idee dat de meeste van jullie geen firewall gebruiken, maar jullie game/webservers direct aan het Internet hangen met de nodige IPsec policies en overige hardening technieken. Klopt dit ?

gjtje
25/07/07, 12:06
Het aantal poorten valt op zich wel mee, de tijd dat je 100 gameservers op 1 machine installeerde is toch voorbij. :)

IPSEC is hier geen firewall, het wordt gebruikt als een packet filter. Vooral het ontbreken van een statefull gedeelte betekent dat het wat gelimiteerd is (dat was ook nooit het doel van IPSEC). Ook zaken als portknocking en dergelijk zijn hierdoor niet mogelijk. Voor eenvoudige zaken werkt het prima, voor complexere configuraties zal je toch een externe firewall nodig hebben, software of hardware matig.

Je kan natuurlijk prima een ISA server hiervoor gebruiken, een degelijke configuratie zou zonder problemen 1Gbps moeten verstouwen.

hostedcomputing
25/07/07, 13:27
Ik heb momenteel al een ISA server draaien in test voor Hosted Exchange. Ik kan de game/webservers natuurlijk altijd via deze ISA naar buiten sturen. Maar omdat de config van de ISA nog niet optimaal is, wil ik voorlopig de web/game servers met IPSEC beveiligen.

Qua kosten maakt het straks niet zoveel uit. Onder SPLA moet ik sowieso een licentie voor ISA afnemen als alles in produktie gaat draaien.

Aangezien ik waarschijnlijk met DotNetPanel aan de slag wil, lijkt het me verstandig om de webservers niet via ISA aan te sluiten. Ik moet dan nl. voor elke nieuwe website/domein een rule aanmaken in ISA. Voor zover ik gelezen heb maakt DNP je records aan in DNS en past je host headers aan op je IIS. Geen handmatige actie dus. Bijgebruik van ISA i.p.v. IPSEC moet ik dan (handmatig) rules aanmaken voor de nieuwe websites.

GDL
03/04/08, 22:02
Hoi,

Ik ben zelf een gameserver admin. Heb ruim ervaring met servers COD1 en COD 4. Nou had ik de gedachte om zelf een machine in een datacentrum te huren en er voor een groep mensen een (of meer) servers op te laten draaien.

Nu lees ik hier wat rond, en kom ik termen tegen als DC (zal wel datacenter zijn) en NIC1 NIC2 ISA DNP inspoelen en weeet ik veel wat nog al meer.

Het lijkt me duidelijk (duh) dat ik dus schijnbaar niet weet hoe het internet in elkaar steekt, en hoe een server zich hierin bevindt en wat er allemaal bij komt kijken in termen vanbeveiliging, routing, etc etc

Tis wel luek dat ik weet hoe ik al die servertjes kan configureren, tweaken, modden etc, maar nu ben ik nieuwschierig geworden naar de rest.

Als ik me die stof eigen wil maken, kan iemand me dan vertellen waar ik het beste zou kunnen beginnen?

Alvast bedankt

Mo

Hollanda
04/04/08, 03:14
met een servertje thuis en veel lezen!

hostedcomputing
04/04/08, 09:40
@GDL,
PM me even. Jij hebt blijkbaar verstand van games, wij snappen iets van servers en Internet. Misschien kunnen we elkaar helpen.

Gr,
Edwin