HOME NAS explizit nur im HOME LAN freigeben. Kein Internetzugriff. Wie am schnellsten umsetzbar?
Hallo zusammen!
kurze allgemeine Frage zu "Sicherheit Allgemein"
Nehmen wir an, Kunde A (jung, sexy, paranoid) kauft sich im
XXXMarkt ein Home NAS, da 2 stück im SuperSonder Sale%%%
1x WD MYCLOUD NAS (1 slot) click
und
1x SYNOLOGY NAS DS 116 (1 slot) click
Zuhause angekommen, hängt er beide Geräte fröhlich fromm und frisch an seinen Home-NAT-Standard-Router
und sieht sofort beginnende Updates (Firmware Software "etc").
Soweit so gut, alles erledigt. Geräte konfiguriert und läuft auch direkt an allen PCs.
es sieht bei ihm dann ZB so aus :
Aufgabe
nun möchte Kunde A aber (ausser Frage steht, warum)
den Zugriff aufs Internet für BEIDE NAS gleichzeitig explizit verbieten.
(dies einfach schon mal deshalb, weil es in der NAS Software keinen Schalter gibt
auf dem steht "erlaube nur PC Zugriff über LAN, verweigere Internet Ein / Ausgehend"
und bei Updates hängt er die Dinger einfach um")
Frage :
A.) Welche Voraussetzungen müsste(n) sein Home-NAT-Standard-Router und HeimNetz können, um dies erreichen zu können ?
B.) Was müsste Kunde A an Hardware kaufen, um diese strikte Trennung ermöglichen zu können ?
C.) Würden hier 2 VLAN Switche ausreichen oder ein Layer3 Router oder gäbe es hier eine noch einfachere Lösung, indem man einfach nur etwas
VOR das NAS hängen würde? (Kunde A braucht die einfachste aber korrekte Lösung)
Tausend Dank !
KoN
kurze allgemeine Frage zu "Sicherheit Allgemein"
Nehmen wir an, Kunde A (jung, sexy, paranoid) kauft sich im
XXXMarkt ein Home NAS, da 2 stück im SuperSonder Sale%%%
1x WD MYCLOUD NAS (1 slot) click
und
1x SYNOLOGY NAS DS 116 (1 slot) click
Zuhause angekommen, hängt er beide Geräte fröhlich fromm und frisch an seinen Home-NAT-Standard-Router
und sieht sofort beginnende Updates (Firmware Software "etc").
Soweit so gut, alles erledigt. Geräte konfiguriert und läuft auch direkt an allen PCs.
es sieht bei ihm dann ZB so aus :
Aufgabe
nun möchte Kunde A aber (ausser Frage steht, warum)
den Zugriff aufs Internet für BEIDE NAS gleichzeitig explizit verbieten.
(dies einfach schon mal deshalb, weil es in der NAS Software keinen Schalter gibt
auf dem steht "erlaube nur PC Zugriff über LAN, verweigere Internet Ein / Ausgehend"
und bei Updates hängt er die Dinger einfach um")
Frage :
A.) Welche Voraussetzungen müsste(n) sein Home-NAT-Standard-Router und HeimNetz können, um dies erreichen zu können ?
B.) Was müsste Kunde A an Hardware kaufen, um diese strikte Trennung ermöglichen zu können ?
C.) Würden hier 2 VLAN Switche ausreichen oder ein Layer3 Router oder gäbe es hier eine noch einfachere Lösung, indem man einfach nur etwas
VOR das NAS hängen würde? (Kunde A braucht die einfachste aber korrekte Lösung)
Tausend Dank !
KoN
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 329365
Url: https://administrator.de/contentid/329365
Ausgedruckt am: 13.11.2024 um 08:11 Uhr
14 Kommentare
Neuester Kommentar
aehm NEIN.. bzw... ja, aus deinem anderen Kommentar, aber aufgrund mangelnden Wissens...
Ja, das Produkt bleibt. Das ist für Anfänger die einfachste Methode sich mit dem Thema zu beschäftigen.Schöne klickibunti GUI und alles was man sich wünscht (und meist noch einiges mehr).
Die Firewall hängst bestenfalls direkt hinter ein reines Modem und lässt die Firewall die Einwahl vornehmen.
Wenn das nicht geht, dann als Kaskade hinter dem Provider Router.
Hier sind dann noch ein paar Einstellungen zu beachten, steht aber alles in z.B. diesem Tutorial.
wie könnte Kunde a das von extern testen lassen wenn er seine externe IP kennt.. ?
Was hat das jetzt mit extern zu tun? Du redest ja von einem internen LAN?!Ob DHCP off oder on ist im Router ist egal.
Sobald du ein Gerät im Netzwerk manuell konfigurierst und ihm kein Gateway mitgibst, sondern lediglich eine statische IP (natürlich außerhalb der DHCP Scope), kommt dieses Gerät nicht mehr ins Internet und kann auch nur mehr im internen LAN "kommunizieren".
Gruß
DIN ISO Zertifiziert ?
Was willst Du den damit?-im Router bereits DHCP OFF?
Warum ?-im NAS kein gateway angeben?
Im NAS eine Feste IP Adresse eintragen die nicht im DHCP-Bereich liegt. Und das Gateway wird leer gelassen.Solage das NAS kein Gateway hat kann es auch nicht nach draußen.
-alle PCs manuell eintragen IP, DNS, GATEWAY & Co.
Im NAS würde es reichen, aber DHCP ist auch in Ordnung wenn UPNP aus ist und man dadurch nicht die Firewalleinstellungen vom Router umgehen kann.-kein forwarding
Weinn keine Ports auf das Teil weitergeleitet werden dann kann das von draußen auch keiner erreichen, außer das Teil kann selber Raus und baut VPN Verbindungen zu sonstwem auf....(aber das ist dann selber eingerichtet oder jemand war so lieb...)-kein DMZ und sonstiger schnickschnack
Eine DMZ macht man für Geräte die aus dem Internet erreichbar sein sollen, aber das willst Du ja laut Aussage verhindern.wie könnte Kunde a das von extern testen lassen wenn er seine externe IP kennt.
Einen Portscan über alle 65535 PCP und UDP PortsGruß
Chonta
Zitat von @konstrukt777:
aehm NEIN.. bzw... ja, aus deinem anderen Kommentar, aber aufgrund mangelnden Wissens...
du sagst also: eine Firewall zusätzlich kaufen, und wo hängt Kunde A das " physikalisch"dann hin ?
zwischen router und wolke ?
zwischen router und Geräten ?
(sorry, für dummies
aehm.. das geht ? ist das dann auch DIN ISO Zertifiziert ? oO
also verstehe ich euch richtig?
a. -im Router bereits DHCP OFF?
b. -im NAS kein gateway angeben?
c. -alle PCs manuell eintragen IP, DNS, GATEWAY & Co.
d. -upnp ist immer aus.
e. -kein forwarding
f. -kein DMZ und sonstiger schnickschnack..
?? das wars schon ?
wie könnte Kunde a das von extern testen lassen wenn er seine externe IP kennt.. ?
vielen Dank soweit, muchas gracias !
aehm NEIN.. bzw... ja, aus deinem anderen Kommentar, aber aufgrund mangelnden Wissens...
du sagst also: eine Firewall zusätzlich kaufen, und wo hängt Kunde A das " physikalisch"dann hin ?
zwischen router und wolke ?
zwischen router und Geräten ?
(sorry, für dummies
Zitat von @Looser27:
In der Netzwerk Konfiguration kein Gateway eintragen. Geht am schnellsten.
Gruß Looser
In der Netzwerk Konfiguration kein Gateway eintragen. Geht am schnellsten.
Gruß Looser
Zitat von @Chonta:
Hallo,
wenn die NAS nicht ins Internet sollen, dann manuelle Netzwerkeinstellungen und kein Gateway vergeben, ohne Gateway nix interent.
Sollen andere aus dem Internet nicht aufs NAS, dann darf kein upnp an sein und wenn auf dem Router aus machen und keine Portweiterleitungen und fertig.
Gruß
Chonta
Hallo,
wenn die NAS nicht ins Internet sollen, dann manuelle Netzwerkeinstellungen und kein Gateway vergeben, ohne Gateway nix interent.
Sollen andere aus dem Internet nicht aufs NAS, dann darf kein upnp an sein und wenn auf dem Router aus machen und keine Portweiterleitungen und fertig.
Gruß
Chonta
aehm.. das geht ? ist das dann auch DIN ISO Zertifiziert ? oO
also verstehe ich euch richtig?
a. -im Router bereits DHCP OFF?
b. -im NAS kein gateway angeben?
c. -alle PCs manuell eintragen IP, DNS, GATEWAY & Co.
d. -upnp ist immer aus.
e. -kein forwarding
f. -kein DMZ und sonstiger schnickschnack..
?? das wars schon ?
wie könnte Kunde a das von extern testen lassen wenn er seine externe IP kennt.. ?
vielen Dank soweit, muchas gracias !
Sorry, aber bei so trivialen Fragen bist du dir sicher dass du der richtige für den Job bist?
Gruß Looser
den Zugriff aufs Internet für BEIDE NAS gleichzeitig explizit verbieten.
Da ein NAS wie ein Server zu sehen ist und damit eine feste statische IP Im Netzwerk bekommen sollte ist die Lösung kinderleicht.Das Einfachste ist schlicht kein Gateway in die IP Adress Konfig der NAS Systeme konfigurieren !!
Kein Gateway = Kein Internet, da technisch unmöglich.
Daür sollte auch der Wissenstand des TO reichen, denn das weiss ja mittlerweile jeder Grundschüler.
Ist übrigens auch der Trick wie man den heimischen Smart TV sicher hindert einen auszuschnüffeln.
Simpel und absolut wasserdicht und... in 10 Sekunden erledigt !
Einfacher gehts nicht.
Ja, wenn man die Kindersicherung für Kinder einsetzt. Aber ich glaube nicht, daß die NAS-Firmware so schlau ist, die Fritzbox umgehen zu wollen.
Bei mir privat hält die Kindersicherung der Fritzbox die ganzen Drucker im Haus davon ab, regelmäßig dem Hersteller zu sagen, was und wieviel ich drucke.
lks
Dann gibst du als Standargateway eben eine unbenutzte IP oder die deines Druckers an.
Hat den gleichen Effekt auch dann gibt es kein Internet für das NAS.
Mac Adressen sind frei wählbar wie jeder weiss also nicht wirklich sicher.
Mal ganz abgesehen davon das die Internet Kommunikation ja nun wohl kaum auf Mac Adress basis passiert sondern vie jedermann weiss über IP.
Da ist es dann recht sinnfrei mit Mac Filtern zu arbeiten.
Fazit: Mal lesen wie die OSI Layer 2 (Mac) und 3 (IP) so werkeln !! Wikipedia ist deine Freundin !
Hat den gleichen Effekt auch dann gibt es kein Internet für das NAS.
Mac Adressen sind frei wählbar wie jeder weiss also nicht wirklich sicher.
Mal ganz abgesehen davon das die Internet Kommunikation ja nun wohl kaum auf Mac Adress basis passiert sondern vie jedermann weiss über IP.
Da ist es dann recht sinnfrei mit Mac Filtern zu arbeiten.
Fazit: Mal lesen wie die OSI Layer 2 (Mac) und 3 (IP) so werkeln !! Wikipedia ist deine Freundin !