sommelier
Goto Top

Sicherheit im Heimnetz

Guten Morgen zusammen.

Ich habe hier im Forum einen Thread entdeckt, in dem es um die Sicherheit im Heimnetz geht. Leider finde ich den nimmer über die SuFu, da ich vermutlich nach den falschen Stichwörtern suche.

Deswegen muss ich die Frage leider auch stellen. Bzw. mein Aufbau ist auch etwas anders.


Ich habe ebenfalls wie der Nutzer vom anderen Thread eine Fritzbox und dahinter einen Router. Die Fritzbox ist jedoch in den Bridgemode geschaltet, wodurch der gesamte Traffic inkl. der öffentlichen IP am dahinterhängenden Router "ankommt".
Somit kann man die Fritte ja eigentlich ja als Modem bezeichnen, richtig?

Jedenfalls habe ich am Router dann diverse VLANs eingerichtet, welche gegeneinander isoliert sind, sodass kein Traffic außer dem erwünschten stattfinden kann.

Ein VLAN wurde speziell für Webserver bereitgestellt. Dort befindet sich ein Reverse-Proxy zur Umleitung der Anfragen auf Port 80/443 an die entsprechenden Dienste (Nextcloud, HomeAssistant, Bitwarden etc.)

Braucht es daheim mehr Sicherheit? Meine Hauptsorgen sind natürlich der Passwortmanager und die Nextcloud.

(ja, am besten wäre natürlich gar nichts öffentlich zu haben und alle Zugriffe via VPN zu sichern. Das gestaltet sich jedoch leider schwierig. Und damit meine ich nicht die Bereitstellung des VPN...)


Ich hoffe ihr habt den ein oder anderen Tipp oder ihr segnet das ab und sagt passt so.


Grüße und einen guten Start in den Tag!

Content-ID: 6834184275

Url: https://administrator.de/forum/sicherheit-im-heimnetz-6834184275.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

Visucius
Visucius 19.04.2023 um 08:27:45 Uhr
Goto Top
Sommelier
Sommelier 19.04.2023 um 08:29:11 Uhr
Goto Top
@Visucius
das war es gewesen. Danke!!
radiogugu
radiogugu 19.04.2023 aktualisiert um 08:39:11 Uhr
Goto Top
Morschen.

Zitat von @Sommelier:
(ja, am besten wäre natürlich gar nichts öffentlich zu haben und alle Zugriffe via VPN zu sichern. Das gestaltet sich jedoch leider schwierig. Und damit meine ich nicht die Bereitstellung des VPN...)

Den verstehe ich nicht so ganz.

An welcher Stelle ist das schwierig? Sind die zugreifenden Geräte nicht fähig VPN Verbindungen zu etablieren?

Halte ich aber eher für unwahrscheinlich.

Wenn man ein höchstes Maß an Sicherheit haben will, dann kommt man an VPN nicht vorbei.

Will man ein mittleres Maß an Sicherheit haben, separiert man Webserver und andere im Internetz veröffentlichte Dienste in eigene VLANs und verbietet Traffic von diesen Netzen in das Heimnetz.

Es ist an der Stelle schnell so weit, dass man zwar gewaschen werden möchte, aber kein Wasser auf die Haut gelangen soll face-smile

Gruß
Marc
Visucius
Visucius 19.04.2023 um 08:39:26 Uhr
Goto Top
Somit kann man die Fritte ja eigentlich ja als Modem bezeichnen, richtig
Vodafon?
Dann würde ich es als „gebridgen“ Router betrachten. Du kannst ihn üblicherweise aus dem Heimnetz auch noch aufrufen. Zumindest ist das bei meiner Vodafon-Station so.

Firewalls zwischen vLANs sind ja schön, das wichtige ist aber die FW zum „pösen“ Internet hin – die fehlt aber in Deiner Auflistung?!
aqui
aqui 19.04.2023 aktualisiert um 09:05:34 Uhr
Goto Top
die fehlt aber in Deiner Auflistung?!
Wird ja dann wohl hoffentlich der hinter dem "FB Modem" kaskadierte Router haben?! Wenn nicht wäre das natürlich fatal...
Öffentlich erreichbare Server (Port Forwarding) wie beim oben zitierten Thread gehören natürlich tunlichst in ein abgesichertes DMZ VLAN.
Sommelier
Sommelier 19.04.2023 um 09:15:30 Uhr
Goto Top
Zitat von @radiogugu:
An welcher Stelle ist das schwierig? Sind die zugreifenden Geräte nicht fähig VPN Verbindungen zu etablieren?
Das Problem sind so Sachen wie geblockte Ports im Hotel-Wlan (nur als Beispiel) etc. wo dann diverse VPN-Protokolle nicht funktionieren. Aber auch Unfähigkeit/Lernresistenz bei diversen Nutzern.

Zitat von @Visucius:
Firewalls zwischen vLANs sind ja schön, das wichtige ist aber die FW zum „pösen“ Internet hin – die fehlt aber in Deiner Auflistung?!
Die sind natürlich vorhanden! Habe ich nicht aufgelistet, da ich hoffe, dass das als selbstverständlich angesehen wird.

Will man ein mittleres Maß an Sicherheit haben, separiert man Webserver und andere im Internetz veröffentlichte Dienste in eigene VLANs und verbietet Traffic von diesen Netzen in das Heimnetz.
Also so, wie ich das beschrieben und umgesetzt habe?
Ein VLAN wurde speziell für Webserver bereitgestellt. Dort befindet sich ein Reverse-Proxy zur Umleitung der Anfragen auf Port 80/443 an die entsprechenden Dienste (Nextcloud, HomeAssistant, Bitwarden etc.)

[...] Router dann diverse VLANs eingerichtet, welche gegeneinander isoliert sind

Danke für eure schnellen Antworten!
radiogugu
radiogugu 19.04.2023 um 09:31:41 Uhr
Goto Top
Zitat von @Sommelier:
Zitat von @radiogugu:
An welcher Stelle ist das schwierig? Sind die zugreifenden Geräte nicht fähig VPN Verbindungen zu etablieren?
Das Problem sind so Sachen wie geblockte Ports im Hotel-Wlan (nur als Beispiel) etc. wo dann diverse VPN-Protokolle nicht funktionieren. Aber auch Unfähigkeit/Lernresistenz bei diversen Nutzern.

Bestimmte Standard Ports wie 1194 (OpenVPN) oder 4500 + 500 (IPSEC) sollten überall offen sein. Ansonsten biege den Port auf 443 bei OpenVPN oder Wireguard beispielsweise um, damit würdest du garantiert nirgendswo an Portsperrungen scheitern.

Will man ein mittleres Maß an Sicherheit haben, separiert man Webserver und andere im Internetz veröffentlichte Dienste in eigene VLANs und verbietet Traffic von diesen Netzen in das Heimnetz.
Also so, wie ich das beschrieben und umgesetzt habe?

Korrekt.

Was für ein geheimnisvoller Router ist denn hinter der Fritzbox im Einsatz?

Gruß
Marc
aqui
aqui 19.04.2023 um 09:50:21 Uhr
Goto Top
wo dann diverse VPN-Protokolle nicht funktionieren.
Nicht wenn man z.B. ein SSL basiertes VPN Protokoll wie z.B. Wireguard mit Ports in der Ephemeral Range 49152 bis 65535 nutzt! Man muss es nur intelligent einrichten. face-wink
Sommelier
Sommelier 19.04.2023 um 09:56:33 Uhr
Goto Top
Es handelt sich um Edelschrott der Marke Ubiquity, genauer Unifi Dream-Machine Pro. Hat alles total schön ausgesehen mit viel bling bling und so... Naja. Schön wenn es toll aussieht. In einem Rack... im Keller...

Hauptproblem ist, dass mit jedem Firmware-Update irgendwas anderes plötzlich nicht mehr funktioniert. Aber der Hersteller soll nicht zum großen Thema werden. Darüber gibt's mehr als genug Unmut im Netz. Hab ich jetzt eben (leider) aktuell und muss ich nutzen, bis ich mein Netzwerk auf andere Hardware umgestellt habe. Dann hoffentlich mit eigener pfSense etc. Aktuell nur leider gar keine Zeit, um mich derartiges zu Hause zu kümmern.
aqui
aqui 19.04.2023 um 10:00:19 Uhr
Goto Top
Es handelt sich um Edelschrott der Marke Ubiquity
Du Armer! Aber da hält sich ein Forenbeileid dann sehr in Grenzen denn DU selber bist ja dann der Grund. Zeit Ausreden zeigen aber auch das es ja nicht wirklich wichtig ist, also who cares?!
Dann hoffentlich mit eigener pfSense etc.
Ein weiser Entschluß!! 😉
Sommelier
Sommelier 19.04.2023 um 10:14:09 Uhr
Goto Top
Zitat von @aqui:
Du Armer!
Naja, als ich damit angefangen habe, ging es tatsächlich nur um ein paar VLANs und WPA-Enterprise. Das bekamen sie sogar hin. Mittlerweile habe ich sogar damit teilweise Schwierigkeiten, bzw. Ausfälle. (WLan-Auth über Nutzername + Passwort funktioniert. Zertifikat vom Gerät geht nicht mehr seit Update).
Also für den etwas ambitionierteren Heimanwender ist das sicherlich ganz okay, wenn man seine IoTs vom Rest trennen will und ein Captive-Portal für WLan-Gäste einrichten will.

Grüße ;)
aqui
aqui 25.04.2023 um 09:36:06 Uhr
Goto Top
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!
Sommelier
Sommelier 25.04.2023 um 17:15:33 Uhr
Goto Top
Jawohl. Ganz vergessen.....