Super interessante Videoreihe! Abbo ist gesetzt! Habe selber nun ein Proxmox auf einer dedizierten Kiste eines Anbieters aufgesetzt. Aktuell noch über die öffentliche IP erreichbar. Wollte mir da jetzt eine opnsense aufsetzen, um Wireguard zu meinem Homenetzwerk aufzubauen und meine container/vms über die sense zu managen. Wäre super interessant, wenn du mal ein bisschen über deine/eure Netzwerkstruktur in Verbindung mit der Pfsense zeigst. Habe da auch Mailserver etc bei euch gesehen. Videomaterial ist auf jeden Fall genug da 😄. Mach weiter so!
Tagchen, du machst in etwa das, was wir uns aufgebaut haben. Proxmox läuft bei einem Dienstleister auf einem Dedizierten Server. Als Eingang benutzen wir pfSense und dahinter hat jeder sein Netz. Mach da gerne mal ein Video dazu. Auf dem APU Board läuft auch aktuell ein pfSense (Virtualisiert) und mein Pi-Hole, das wird demnächst aber umgebaut.
Ich finde deine Videos gut, du bringst die Sachen auf den Punkt und quatschst nicht zu viel, zu schnell oder zu langsam. Mach weiter so! Deine Begeisterung für Fail2ban kann ich nicht ganz teilen. Die Idee dahinter ist gut, aber die Logs zu nutzen halte ich für den falschen Ansatz. Wenn man wirklich das Login schützen möchte, würde ich eher zu pam_shield github.com/jtniehof/pam_shield oder/und pam_tally2 raten, die brauchen deutlich weniger Ressourcen, werden direkt als Modul bei der Authentifikation eingeklinkt und bieten dadurch weniger Potential für Fehler/Fehlverhalten. Diese beiden Module funktionieren allerdings nur für PAM, für andere Dienste werden andere Lösungen gebraucht. Fail2ban als zusätzlicher Layer kann auch durchaus eine Option sein, es wäre aber definitiv nicht meine Goto-Lösung, jedenfalls nicht als alleinige Absicherung.
Danke für das Tolle Feedback. Hab auch schon mal von pam shield gehört, aber nicht ehrlich noch nicht mit beschäftigt. Fail2ban ist einfach etwas, was mich seit Jahren verfolgt und einen super Einsatz zeigt. Man kann es eben auch anpassen auf ALLES was man sich vorstellen kann. Danke dir :)
Gutes Video und gut erklärt👍 Hätte da mal eine Frage: Habe folgenden Aufbau geplant: router -> firewall -> proxmox (fw hat nur 1 nic für wan und 1 nic für lan) Lohnt es sich da vlans einzurichten für die vms und Administration oder einfach am proxmox eine zweite nic nur für Administration einbauen (wo man sich dann nur über diese nic auf die proxmox gui schalten kann?). Proxmox selber würde ich planen nur für Updates nach wan eine Verbindung zu haben. Aber wie mache ich das dann für die vms? Die brauchen ja auch internet. Also dafür die vlans? Da muss ich mir dann nur switche suchen, die vlan fähig sind. Also habe ich das richtig verstanden, dass über 1 nic beim proxmox das vlan in der firewall erlaubt werden kann neben dem proxmox, dass dann keine wan Verbindung bekommt?
Kann ich die Firewall auf dem WAN Port des Proxmox Host (vmbr0?) weglassen, wenn ich direkt dahinter eine pfSense-Instanze betreibe, die das Filtern übernimmt?
Zum Thema "Erst mal alles zu": Ich teile deine Meinung nicht. Ja, das ist anfangs unbequem. Aber man gewöhnt sich daran. Die "Mach alles zu"-Politik hat sich nach Pentests bei uns etabliert, denn nur auf dem Weg kommt man sauber durch. Nur das Minimalprinzip führt zu einigermaßen sicheren Systemen. Das gilt auch für die installierten Pakete. Wenn ich dein Szenario noch ergänzen darf: Setz einen Reverse Proxy vor den Proxmox, so dass du Client-Zertifikate einsetzen kann. Und falls du eine feste IP daheim hast oder in der Firma, sorge dafür, dass nur von diesen IPs das Webinterface erreichbar ist. Naja, und dann natürlich das übliche Hardening durchführen. Abschalten, was abzuschalten geht, wenn es nicht gebraucht wird.
Ich habe nichts hinzuzufügen. Alles richtig was du schreibst. Die "Mach alles zu" Politik ist mich Sicherheit richtig, aber ich als NICHT Security Mensch hasse es wie die Pest!! NUR ganz wichtig, diese Politik ist auf seine Art und Weise richtig. Ja klar, davor einen Reverse Proxy kann natürlich auch helfen. Kann nur leider nicht immer alles in den Videos unterbringen. Was mir beim quatschen immer so alles einfällt... dann wären die Videos Stunden lang. Aber Danke dir für dein Input, für andere sehr wertvoll.
Das mit der Firewall kann ich dir gerne mal erklären und unzählige echte Beispiele nennen wieso man IMMER genau in der FW definieren sollte wer wohin und wie spricht. Eigentlich sollte man immer DMZen bauen. Security ist mühselig aber mittlerweile notwendig. Für privat muss man es aber nicht so krass übertreiben.
ICMP!=Ping, sehr wichtig! Ping zu verbieten ist wirklich doof. Generell ICMP zu erlauben, leider auch. Echo request, echo reply, time exceeded, destination unreachable, pmtud sind ok, rest DROP. Aber sonst super Videos. Danke.
Ich würde da lieber eine pfsense Vorhängen, nur da habe ich das Problem das ich wenn ich verschiedene ct/VMs habe ich alle Ports von den verschiedenen VMs über eine IP und dann verschiedene Ports nutzen muss
Gibt es von Proxmox eine API oder eine Lösung dass ich wie die Hoster per Website VMs erstellen, starten und stoppen kann? Edit: Ich habe gesehen das es so eine API mit sehr vielen Funktionen gibt, kannst du vielleicht mal zeigen wie man diese effizient und vorallem sicher verwendet? Es soll dadurch ja keine Sicherheitslücke entstehen
Ja Proxmox bietet so eine API auf basis einer REST API an. Wenn ich mir das so richtig anschaue, dann kann die alles was so benötigt wird, damit man selber kleiner Hoster spielen kann. VMs erstellen, VMs auslesen usw usw... Bin mir nicht sicher ob ein Video das die breite Masse interessiert. Hier der Link zur API: pve.proxmox.com/pve-docs/api-viewer/index.html
@@RaspberryPiCloud Vielen Dank für deine schnell Antwort. Ich fänd das ganze ganz interessant das auf einer eigenen Website einzubinden aber du hast schon Recht. Ist die Frage wie viele das interessiert.
Bin gestern auf deinen Kanal gestoßen! Sehr gute Videos, bitte weiter so!
Okay, cool danke für das Lob. Ich bleibe am Ball!
Super interessante Videoreihe! Abbo ist gesetzt! Habe selber nun ein Proxmox auf einer dedizierten Kiste eines Anbieters aufgesetzt. Aktuell noch über die öffentliche IP erreichbar. Wollte mir da jetzt eine opnsense aufsetzen, um Wireguard zu meinem Homenetzwerk aufzubauen und meine container/vms über die sense zu managen. Wäre super interessant, wenn du mal ein bisschen über deine/eure Netzwerkstruktur in Verbindung mit der Pfsense zeigst. Habe da auch Mailserver etc bei euch gesehen. Videomaterial ist auf jeden Fall genug da 😄. Mach weiter so!
Tagchen, du machst in etwa das, was wir uns aufgebaut haben. Proxmox läuft bei einem Dienstleister auf einem Dedizierten Server. Als Eingang benutzen wir pfSense und dahinter hat jeder sein Netz. Mach da gerne mal ein Video dazu. Auf dem APU Board läuft auch aktuell ein pfSense (Virtualisiert) und mein Pi-Hole, das wird demnächst aber umgebaut.
Ich finde deine Videos gut, du bringst die Sachen auf den Punkt und quatschst nicht zu viel, zu schnell oder zu langsam. Mach weiter so!
Deine Begeisterung für Fail2ban kann ich nicht ganz teilen. Die Idee dahinter ist gut, aber die Logs zu nutzen halte ich für den falschen Ansatz. Wenn man wirklich das Login schützen möchte, würde ich eher zu pam_shield github.com/jtniehof/pam_shield oder/und pam_tally2 raten, die brauchen deutlich weniger Ressourcen, werden direkt als Modul bei der Authentifikation eingeklinkt und bieten dadurch weniger Potential für Fehler/Fehlverhalten. Diese beiden Module funktionieren allerdings nur für PAM, für andere Dienste werden andere Lösungen gebraucht. Fail2ban als zusätzlicher Layer kann auch durchaus eine Option sein, es wäre aber definitiv nicht meine Goto-Lösung, jedenfalls nicht als alleinige Absicherung.
Danke für das Tolle Feedback. Hab auch schon mal von pam shield gehört, aber nicht ehrlich noch nicht mit beschäftigt. Fail2ban ist einfach etwas, was mich seit Jahren verfolgt und einen super Einsatz zeigt. Man kann es eben auch anpassen auf ALLES was man sich vorstellen kann. Danke dir :)
Gutes Video und gut erklärt👍
Hätte da mal eine Frage: Habe folgenden Aufbau geplant: router -> firewall -> proxmox (fw hat nur 1 nic für wan und 1 nic für lan)
Lohnt es sich da vlans einzurichten für die vms und Administration oder einfach am proxmox eine zweite nic nur für Administration einbauen (wo man sich dann nur über diese nic auf die proxmox gui schalten kann?).
Proxmox selber würde ich planen nur für Updates nach wan eine Verbindung zu haben. Aber wie mache ich das dann für die vms? Die brauchen ja auch internet. Also dafür die vlans? Da muss ich mir dann nur switche suchen, die vlan fähig sind.
Also habe ich das richtig verstanden, dass über 1 nic beim proxmox das vlan in der firewall erlaubt werden kann neben dem proxmox, dass dann keine wan Verbindung bekommt?
Kann ich die Firewall auf dem WAN Port des Proxmox Host (vmbr0?) weglassen, wenn ich direkt dahinter eine pfSense-Instanze betreibe, die das Filtern übernimmt?
Mega. Danke. Gute Tipps dabei
Zum Thema "Erst mal alles zu": Ich teile deine Meinung nicht. Ja, das ist anfangs unbequem. Aber man gewöhnt sich daran. Die "Mach alles zu"-Politik hat sich nach Pentests bei uns etabliert, denn nur auf dem Weg kommt man sauber durch. Nur das Minimalprinzip führt zu einigermaßen sicheren Systemen. Das gilt auch für die installierten Pakete.
Wenn ich dein Szenario noch ergänzen darf: Setz einen Reverse Proxy vor den Proxmox, so dass du Client-Zertifikate einsetzen kann. Und falls du eine feste IP daheim hast oder in der Firma, sorge dafür, dass nur von diesen IPs das Webinterface erreichbar ist. Naja, und dann natürlich das übliche Hardening durchführen. Abschalten, was abzuschalten geht, wenn es nicht gebraucht wird.
Ich habe nichts hinzuzufügen. Alles richtig was du schreibst. Die "Mach alles zu" Politik ist mich Sicherheit richtig, aber ich als NICHT Security Mensch hasse es wie die Pest!! NUR ganz wichtig, diese Politik ist auf seine Art und Weise richtig. Ja klar, davor einen Reverse Proxy kann natürlich auch helfen.
Kann nur leider nicht immer alles in den Videos unterbringen. Was mir beim quatschen immer so alles einfällt... dann wären die Videos Stunden lang. Aber Danke dir für dein Input, für andere sehr wertvoll.
Ich finde Proxmox eine super Hypervisor Lösung. Kostenlos und hat viele Features.
Hast du auch Mal ESXi genutzt?
I wish I could understand.. I don't speak English. Did you happen to get this info from an English website.
Das mit der Firewall kann ich dir gerne mal erklären und unzählige echte Beispiele nennen wieso man IMMER genau in der FW definieren sollte wer wohin und wie spricht. Eigentlich sollte man immer DMZen bauen. Security ist mühselig aber mittlerweile notwendig. Für privat muss man es aber nicht so krass übertreiben.
ICMP!=Ping, sehr wichtig! Ping zu verbieten ist wirklich doof. Generell ICMP zu erlauben, leider auch. Echo request, echo reply, time exceeded, destination unreachable, pmtud sind ok, rest DROP. Aber sonst super Videos. Danke.
Okay, das ist jetzt schon sehr speziell, aber sicherlich richtig. So tief in der Materie stecke ich nun nicht. :) Danke dir
Ich würde da lieber eine pfsense Vorhängen, nur da habe ich das Problem das ich wenn ich verschiedene ct/VMs habe ich alle Ports von den verschiedenen VMs über eine IP und dann verschiedene Ports nutzen muss
Gibt es von Proxmox eine API oder eine Lösung dass ich wie die Hoster per Website VMs erstellen, starten und stoppen kann?
Edit:
Ich habe gesehen das es so eine API mit sehr vielen Funktionen gibt, kannst du vielleicht mal zeigen wie man diese effizient und vorallem sicher verwendet? Es soll dadurch ja keine Sicherheitslücke entstehen
Ja Proxmox bietet so eine API auf basis einer REST API an. Wenn ich mir das so richtig anschaue, dann kann die alles was so benötigt wird, damit man selber kleiner Hoster spielen kann. VMs erstellen, VMs auslesen usw usw...
Bin mir nicht sicher ob ein Video das die breite Masse interessiert.
Hier der Link zur API: pve.proxmox.com/pve-docs/api-viewer/index.html
@@RaspberryPiCloud
Vielen Dank für deine schnell Antwort. Ich fänd das ganze ganz interessant das auf einer eigenen Website einzubinden aber du hast schon Recht. Ist die Frage wie viele das interessiert.
4:40 hängt das Ding im Internet
Ich glaube für meinen Server interessiert sich eh niemand