Welkom op het IT blog van Bouke Jasper Henstra. Hier vindt u posts over uiteenlopende onderwerpen.
Vragen, op- of aanmerkingen? Klik hier voor het contactformulier om snel, eenvoudig en veilig uw bericht te versturen.
In this article, we delve into the practicalities of establishing an affordable self-hosted environment tailored for home labs, home offices, and small to medium-sized enterprises. Prioritizing a 'lean' approach that minimizes both effort and cost, our goal is to navigate complexities within a reasonable timeframe.
Enige tijd terug publiceerde ik een post over het extraheren van IP-adressen met grep en regex. In deze nieuwe post borduur ik daarop voort.
In deze post laat ik door middel van een praktijkvoorbeeld zien hoe ik een lijst met verdachte IPv4-adressen blokkeer, met slechts enkele commando's. Het doel is dat er geen verkeer meer geaccepteerd wordt door mijn mail server, wat afkomstig is van de IPv4-adressen uit de samengestelde lijst.
Een IT-omgeving ontstaat vaak door gebruik te maken van de beschikbare middelen. Er ligt geen ontwerp aan de IT-omgeving ten grondslag en door de tijd wordt er steeds iets toegevoegd (lapwerk). In het begin werkt zo'n omgeving "prima". Het voorziet immers in een behoefte. Maar op den duur lijkt de omgeving op een lappendeken. Er ontstaan barstjes in (de werking van) de IT-omgeving naarmate de organisatie groeit. De complexiteit neemt toe, de afstemming is niet meer voldoende en de beheersbaarheid neemt af.
Vaak worden de IT-taken naast de bestaande werkzaamheden ingevuld door één van de medewerkers. De benodigde documentatie is nog niet aan het papier toevertrouwd.
Het resultaat is vaak de noodzaak tot een doordacht (her)ontwerp van de IT-omgeving. Daarnaast groeit de noodzaak om IT-taken te verdelen of uit te besteden. Bovendien is er een noodzaak om de omgeving te documenteren.
Herkenbaar? Dit artikel heeft als doel om een kleine organisatie (of eenmanszaak) te helpen met het opzetten van een goede IT-omgeving.
Een thuis- of klein bedrijfsnetwerk bestaat vaak uit een enkel "plat" netwerk. Dat betekent dat binnen zo'n netwerk alle apparatuur met elkaar kan communiceren.
Aan de ene kant is het handig dat alles (binnen het netwerk) met elkaar communiceert. Maar helaas schuilt daar echter een gevaar. Er is directe toegang mogelijk op alle niveaus. Daardoor is de apparatuur in het netwerk - ook voor ongenode gasten - snel te vinden en dus onnodig kwetsbaar.
Eén van de oplossingen om de netwerkbeveiliging te verbeteren is door het netwerk op te splitsen in aparte (kleinere) netwerken. Door het netwerk op te splitsen zal apparatuur minder snel te vinden en minder gemakkelijk te benaderen zijn. De apparatuur wordt hierdoor minder kwetsbaar omdat er sprake is van een barrière.
Het opsplitsen van een netwerk kan op verschillende manieren. Bijvoorbeeld door aparte fysieke netwerken aan te leggen. Echter is een fysieke splitsing kostbaar. Een andere (meer gebruikelijke) aanpak bestaat uit het netwerk opsplitsen in virtuele netwerken. Dit betekent dat er meerdere netwerken geconfigureerd worden op dezelfde netwerkapparatuur. Vervolgens wordt de aan te sluiten apparatuur over de desbetreffende VLAN's verdeeld.
De techniek die gebruikt wordt heet virtual LAN's of VLAN's. Het toepassen van VLAN's wordt ook wel virtuele netwerksegmentatie genoemd. De bedoeling is om toegang vanuit het ene netwerk (VLAN) naar het andere netwerk (VLAN) alleen bij uitzondering toe te staan - waar dat nodig is. Dit is een groot verschil ten opzichte van één enkel "plat" netwerk (waarbij alle apparatuur met elkaar kan communiceren).
Reeds meerdere jaren heb ik goede ervaring met APU boards van PC Engines. Alle APU2, 3 en 4 modellen met 4GB RAM heb ik toegepast. Vooral als router/firewall blijken de APU boards zeer betrouwbaar. Maar ook als maatwerktoepassing waar een Pi niet voldoende is, kan een APU board uitkomst bieden.
Alle APU boards hebben meerdere netwerkpoorten. Een grote wens was een board met een SFP+ slot. PC Engines heeft deze wens in vervulling laten gaan met de APU6. Het gaat om de APU6B4 om precies te zijn.
Ik was benieuwd of dit board net zo goed als de andere modellen presteert. Daarnaast wilde ik nog eens de installatie van pfSense beschrijven. In deze post beschrijf ik hoe een APU voorzien kan worden van een pfSense installatie - en hoe deze vervolgens presteert.