13
Modem im LAN angebunden Netzwerk Konstellation
Hallo Leute,
ich bin neu auf der Plattform und hab leider nichts gefunden was meine Frage beantwortet.
Ich betreue schon seit einigen Jahren einige Kanzleien und Praxen bisher ohne größere Probleme.
Vor einiger Zeit hat ein Kunde von mir den Wunsch verspürt sich eine Firewall zuzulegen. Er hat eine Firma kontaktiert die darauf spezialisiert ist und hat sie machen lassen. Die Installation verlief lang, doch irgendwann erfolgreich. Was am Ende raus gekommen ist, hat mich nicht gerade erfreut da es in meinen Augen als eine Sicherheitslücke durchgehen könnte.
IST-ZUSTAND
Das Signal kommt von der Straße, geht in die Fritz Box rein. In der Fritz Box sind keine PPOE Daten eingetragen. Es ist lediglich WLAN aktiviert und DHCP deaktiviert. Somit dient die Fritz Box nur als reines Modem.
Ein Kabel geht dann in die Firewall, da sind auch die PPOE Daten für den Internet Anschluss eingetragen. Anschließend geht die LAN Seite von der Firewall in den Switch.
In dem switch geht einmal das Kabel von der Fritz Box und das Kabel von der LAN Seite der Firewall. Das Kabel wird benötigt damit die WLAN Geräte per DHCP von der Firewall eine IP Adresse erhalten.
Die Spezialisten sind der Meinung das diese Konstellation total sicher ist und es nicht möglich ist das Modem von extern zu erreichen oder zu übernehmen. Da nur das Gerät was die PPOE Daten hat von extern erreichbar ist.
Wenn ich mich recht entsinne gab es vor ein paar Jahren einen Skandal wegen unsicheren Modems und in meinen Augen ist das eine Sicherheitslücke, im Internet sind alle Anleitungen auch so das, dass Modem getrennt ist vom LAN für den Fall der Fälle. Er ist der Meinung das nichts passieren kann, da er ja einen MAC Adress Filter eingerichtet hat.
Hab ich eine falsche Ansicht und möchte genug wissen oder werde ich gerade zum Narren gehalten. Was ist eure Meinung zu dieser Konstellation, vertretbar oder nicht nachvollziehbar?
Vielen Dank im voraus.
Gruß MiSys21
ich bin neu auf der Plattform und hab leider nichts gefunden was meine Frage beantwortet.
Ich betreue schon seit einigen Jahren einige Kanzleien und Praxen bisher ohne größere Probleme.
Vor einiger Zeit hat ein Kunde von mir den Wunsch verspürt sich eine Firewall zuzulegen. Er hat eine Firma kontaktiert die darauf spezialisiert ist und hat sie machen lassen. Die Installation verlief lang, doch irgendwann erfolgreich. Was am Ende raus gekommen ist, hat mich nicht gerade erfreut da es in meinen Augen als eine Sicherheitslücke durchgehen könnte.
IST-ZUSTAND
Das Signal kommt von der Straße, geht in die Fritz Box rein. In der Fritz Box sind keine PPOE Daten eingetragen. Es ist lediglich WLAN aktiviert und DHCP deaktiviert. Somit dient die Fritz Box nur als reines Modem.
Ein Kabel geht dann in die Firewall, da sind auch die PPOE Daten für den Internet Anschluss eingetragen. Anschließend geht die LAN Seite von der Firewall in den Switch.
In dem switch geht einmal das Kabel von der Fritz Box und das Kabel von der LAN Seite der Firewall. Das Kabel wird benötigt damit die WLAN Geräte per DHCP von der Firewall eine IP Adresse erhalten.
Die Spezialisten sind der Meinung das diese Konstellation total sicher ist und es nicht möglich ist das Modem von extern zu erreichen oder zu übernehmen. Da nur das Gerät was die PPOE Daten hat von extern erreichbar ist.
Wenn ich mich recht entsinne gab es vor ein paar Jahren einen Skandal wegen unsicheren Modems und in meinen Augen ist das eine Sicherheitslücke, im Internet sind alle Anleitungen auch so das, dass Modem getrennt ist vom LAN für den Fall der Fälle. Er ist der Meinung das nichts passieren kann, da er ja einen MAC Adress Filter eingerichtet hat.
Hab ich eine falsche Ansicht und möchte genug wissen oder werde ich gerade zum Narren gehalten. Was ist eure Meinung zu dieser Konstellation, vertretbar oder nicht nachvollziehbar?
Vielen Dank im voraus.
Gruß MiSys21
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 362736
Url: https://administrator.de/contentid/362736
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
ich würde dem Laden einfach einen 30 Euro WLAN-AP spendieren, dann kann das FB <-> LAN Kabel weg und fertig. Der aktuellen Konstellation würde ich tatsächlich auch nicht trauen.
lg,
Slainte
ich würde dem Laden einfach einen 30 Euro WLAN-AP spendieren, dann kann das FB <-> LAN Kabel weg und fertig. Der aktuellen Konstellation würde ich tatsächlich auch nicht trauen.
lg,
Slainte
Moin,
wenn die Fritzbox kein HDCP und kein PPOE macht, warum genau hängt das Gerät dann überhaupt am Switch?
Abziehen und fertig. Wenn man von intern auf das Modem muss, kann man auch ein NAT oder eine Maskierung drauf schalten.
Natürlich ist die jetzige Konstellation Sicherheitstechnisch "Schrott"
Gruß, V
wenn die Fritzbox kein HDCP und kein PPOE macht, warum genau hängt das Gerät dann überhaupt am Switch?
Abziehen und fertig. Wenn man von intern auf das Modem muss, kann man auch ein NAT oder eine Maskierung drauf schalten.
Natürlich ist die jetzige Konstellation Sicherheitstechnisch "Schrott"
Gruß, V
Hallo,
Das einzige was mir sorgen machen würden ist die LAN-Verbindung zwischen FB<->Switch.
Der Rest ist soweit ok, wie die Regeln auf der Firewall eingerichtet sind.
lg,
apex
Das einzige was mir sorgen machen würden ist die LAN-Verbindung zwischen FB<->Switch.
Der Rest ist soweit ok, wie die Regeln auf der Firewall eingerichtet sind.
lg,
apex
@Voiper
Die FB BEKOMMT DHCP von der FW, deswegen die FB -> LAN Verbindung.
@MiSys21
Ist an der FB das Gast-Wlan akiviert, und ist der Switch mit LAN 4 der FB verbunden? Dann "könnte" man das sogar als einigermassen sicher betrachten... besser ist ein separater AP aber trotzdem
wenn die Fritzbox kein HDCP und kein PPOE macht, warum genau hängt das Gerät dann überhaupt am Switch?
Den Post des Fragestellers mal richtig komplett durchlesen würden helfen Die FB BEKOMMT DHCP von der FW, deswegen die FB -> LAN Verbindung.@MiSys21
Ist an der FB das Gast-Wlan akiviert, und ist der Switch mit LAN 4 der FB verbunden? Dann "könnte" man das sogar als einigermassen sicher betrachten... besser ist ein separater AP aber trotzdem
Zitat von @SlainteMhath:
@Voiper
Die FB BEKOMMT DHCP von der FW, deswegen die FB -> LAN Verbindung.
@Voiper
wenn die Fritzbox kein HDCP und kein PPOE macht, warum genau hängt das Gerät dann überhaupt am Switch?
Den Post des Fragestellers mal richtig komplett durchlesen würden helfen Die FB BEKOMMT DHCP von der FW, deswegen die FB -> LAN Verbindung.Asche auf mein Haupt
Danke für den Hinweis
So wie ist das verstanden hab, war die Spezialisten Firma sich zu geizig einen billigen AP zu kaufen und hat stattdessen sich für diese Alternative entschieden. Von der FB LAN 1 geht auf die Firewall und LAN 2 direkt auf dem Switch. Das Gäste WLAN ist auf der FB deaktiviert. Ich hab mir überlegt das ich entweder ein reines Modem setze und die FB von ihrer Qual befreie oder wie oben geschrieben einen extra AP installieren und die FB vom Switch abklemme.
Da traurige ist, dass die Installation mehrere tausend Euro gekostet hat und dan sowas dabei raus kommt. Ein zusätzlicher AP wäre bei dem Betrag eh nicht mehr aufgefallen.
Da traurige ist, dass die Installation mehrere tausend Euro gekostet hat und dan sowas dabei raus kommt. Ein zusätzlicher AP wäre bei dem Betrag eh nicht mehr aufgefallen.
Moin,
darf ich fragen, was Ihr für eine Firewall einsetzt?
Gruß, V
darf ich fragen, was Ihr für eine Firewall einsetzt?
Gruß, V
Es handelt sich um eine sonic wall.
Moin,
das Kabel ist wie Kollege @Voiper schon angemerkt hat sinnlos. Durch korrekte NAT oder Regelung kann genau der selbe Effekt über die bestehende Verbindung zur FB realisiert werden.
Hier werden eben nur zwei verschiedene Protokolle gesprochen (Lasst mich lügen "PPP" und "IP"). Diese können in der Konstellation parallel über Ethernet betrieben werden.
Habe ich hier zuhause auch, allerdings nur zu Managementzwecken. Aus dem Netz der FB darf allerdings nichts heraus.
Bei uns in der Firma würde eine derartige Security Lösung nie implementiert werden.
Ich nehme an, dass der Standort so klein ist, dass wie oben schon genannt ein einfacher AP eine Runde Lösung schaffen würde.
Gruß
Spirit
das Kabel ist wie Kollege @Voiper schon angemerkt hat sinnlos. Durch korrekte NAT oder Regelung kann genau der selbe Effekt über die bestehende Verbindung zur FB realisiert werden.
Hier werden eben nur zwei verschiedene Protokolle gesprochen (Lasst mich lügen "PPP" und "IP"). Diese können in der Konstellation parallel über Ethernet betrieben werden.
Habe ich hier zuhause auch, allerdings nur zu Managementzwecken. Aus dem Netz der FB darf allerdings nichts heraus.
Bei uns in der Firma würde eine derartige Security Lösung nie implementiert werden.
Ich nehme an, dass der Standort so klein ist, dass wie oben schon genannt ein einfacher AP eine Runde Lösung schaffen würde.
Gruß
Spirit
Hallo Spirit,
also bist du der Meinung das bei dieser Konstellation keine Sicherheitsbedenken bestehen.
Keine Sorge ist, dass die Fritz Box von extern übernommen wird und dann im Netzwerk etwas anstellt.
Hab bei einem Kunden schon mal erlebt, dass eine Fritz Box von extern übernommen wurde. War nicht schön.
Ein zusätzlichen AP werde ich demnächst installieren. Der Standort besteht auf 5 PCs und einigen Laptops.
Also ziemlich klein.
Gruß MiSys21
also bist du der Meinung das bei dieser Konstellation keine Sicherheitsbedenken bestehen.
Keine Sorge ist, dass die Fritz Box von extern übernommen wird und dann im Netzwerk etwas anstellt.
Hab bei einem Kunden schon mal erlebt, dass eine Fritz Box von extern übernommen wurde. War nicht schön.
Ein zusätzlichen AP werde ich demnächst installieren. Der Standort besteht auf 5 PCs und einigen Laptops.
Also ziemlich klein.
Gruß MiSys21
Nein!
Rein Technisch ist ohne dein zutun in der Konstellation Tür und Tor für denjenigen offen, der die FB übernimmt.
Das habe ich auch so geschrieben.
Rein Technisch ist ohne dein zutun in der Konstellation Tür und Tor für denjenigen offen, der die FB übernimmt.
Das habe ich auch so geschrieben.
Okay alles klar vielen dank Spirit. Ich werde diesen Fehler aus der Welt schaffen und damit sowas nie wieder passiert.
Moin,
Wenn du dich damit auseinander setzen möchtest schlage ich vor, dich mit den Protokollen zu beschäftigen.
Da hast du dann die Bestätigung wie die Konstellation funktioniert und warum dies ein Risiko darstellt. Kurz ist es eine Brücke um die Firewall.
Bitte markiere das Thema den Richtlinien entsprechend als gelöst.
Dir noch einen schönen Abend.
Wenn du dich damit auseinander setzen möchtest schlage ich vor, dich mit den Protokollen zu beschäftigen.
Da hast du dann die Bestätigung wie die Konstellation funktioniert und warum dies ein Risiko darstellt. Kurz ist es eine Brücke um die Firewall.
Bitte markiere das Thema den Richtlinien entsprechend als gelöst.
Dir noch einen schönen Abend.
