13
Sicherheit im Heimnetz
Guten Morgen zusammen.
Ich habe hier im Forum einen Thread entdeckt, in dem es um die Sicherheit im Heimnetz geht. Leider finde ich den nimmer über die SuFu, da ich vermutlich nach den falschen Stichwörtern suche.
Deswegen muss ich die Frage leider auch stellen. Bzw. mein Aufbau ist auch etwas anders.
Ich habe ebenfalls wie der Nutzer vom anderen Thread eine Fritzbox und dahinter einen Router. Die Fritzbox ist jedoch in den Bridgemode geschaltet, wodurch der gesamte Traffic inkl. der öffentlichen IP am dahinterhängenden Router "ankommt".
Somit kann man die Fritte ja eigentlich ja als Modem bezeichnen, richtig?
Jedenfalls habe ich am Router dann diverse VLANs eingerichtet, welche gegeneinander isoliert sind, sodass kein Traffic außer dem erwünschten stattfinden kann.
Ein VLAN wurde speziell für Webserver bereitgestellt. Dort befindet sich ein Reverse-Proxy zur Umleitung der Anfragen auf Port 80/443 an die entsprechenden Dienste (Nextcloud, HomeAssistant, Bitwarden etc.)
Braucht es daheim mehr Sicherheit? Meine Hauptsorgen sind natürlich der Passwortmanager und die Nextcloud.
(ja, am besten wäre natürlich gar nichts öffentlich zu haben und alle Zugriffe via VPN zu sichern. Das gestaltet sich jedoch leider schwierig. Und damit meine ich nicht die Bereitstellung des VPN...)
Ich hoffe ihr habt den ein oder anderen Tipp oder ihr segnet das ab und sagt passt so.
Grüße und einen guten Start in den Tag!
Ich habe hier im Forum einen Thread entdeckt, in dem es um die Sicherheit im Heimnetz geht. Leider finde ich den nimmer über die SuFu, da ich vermutlich nach den falschen Stichwörtern suche.
Deswegen muss ich die Frage leider auch stellen. Bzw. mein Aufbau ist auch etwas anders.
Ich habe ebenfalls wie der Nutzer vom anderen Thread eine Fritzbox und dahinter einen Router. Die Fritzbox ist jedoch in den Bridgemode geschaltet, wodurch der gesamte Traffic inkl. der öffentlichen IP am dahinterhängenden Router "ankommt".
Somit kann man die Fritte ja eigentlich ja als Modem bezeichnen, richtig?
Jedenfalls habe ich am Router dann diverse VLANs eingerichtet, welche gegeneinander isoliert sind, sodass kein Traffic außer dem erwünschten stattfinden kann.
Ein VLAN wurde speziell für Webserver bereitgestellt. Dort befindet sich ein Reverse-Proxy zur Umleitung der Anfragen auf Port 80/443 an die entsprechenden Dienste (Nextcloud, HomeAssistant, Bitwarden etc.)
Braucht es daheim mehr Sicherheit? Meine Hauptsorgen sind natürlich der Passwortmanager und die Nextcloud.
(ja, am besten wäre natürlich gar nichts öffentlich zu haben und alle Zugriffe via VPN zu sichern. Das gestaltet sich jedoch leider schwierig. Und damit meine ich nicht die Bereitstellung des VPN...)
Ich hoffe ihr habt den ein oder anderen Tipp oder ihr segnet das ab und sagt passt so.
Grüße und einen guten Start in den Tag!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6834184275
Url: https://administrator.de/contentid/6834184275
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
13 Kommentare
Neuester Kommentar
@Visucius
das war es gewesen. Danke!!
das war es gewesen. Danke!!
1
Morschen.
Den verstehe ich nicht so ganz.
An welcher Stelle ist das schwierig? Sind die zugreifenden Geräte nicht fähig VPN Verbindungen zu etablieren?
Halte ich aber eher für unwahrscheinlich.
Wenn man ein höchstes Maß an Sicherheit haben will, dann kommt man an VPN nicht vorbei.
Will man ein mittleres Maß an Sicherheit haben, separiert man Webserver und andere im Internetz veröffentlichte Dienste in eigene VLANs und verbietet Traffic von diesen Netzen in das Heimnetz.
Es ist an der Stelle schnell so weit, dass man zwar gewaschen werden möchte, aber kein Wasser auf die Haut gelangen soll
Gruß
Marc
Zitat von @Sommelier:
(ja, am besten wäre natürlich gar nichts öffentlich zu haben und alle Zugriffe via VPN zu sichern. Das gestaltet sich jedoch leider schwierig. Und damit meine ich nicht die Bereitstellung des VPN...)
(ja, am besten wäre natürlich gar nichts öffentlich zu haben und alle Zugriffe via VPN zu sichern. Das gestaltet sich jedoch leider schwierig. Und damit meine ich nicht die Bereitstellung des VPN...)
Den verstehe ich nicht so ganz.
An welcher Stelle ist das schwierig? Sind die zugreifenden Geräte nicht fähig VPN Verbindungen zu etablieren?
Halte ich aber eher für unwahrscheinlich.
Wenn man ein höchstes Maß an Sicherheit haben will, dann kommt man an VPN nicht vorbei.
Will man ein mittleres Maß an Sicherheit haben, separiert man Webserver und andere im Internetz veröffentlichte Dienste in eigene VLANs und verbietet Traffic von diesen Netzen in das Heimnetz.
Es ist an der Stelle schnell so weit, dass man zwar gewaschen werden möchte, aber kein Wasser auf die Haut gelangen soll
Gruß
Marc
1
Somit kann man die Fritte ja eigentlich ja als Modem bezeichnen, richtig
Vodafon?Dann würde ich es als „gebridgen“ Router betrachten. Du kannst ihn üblicherweise aus dem Heimnetz auch noch aufrufen. Zumindest ist das bei meiner Vodafon-Station so.
Firewalls zwischen vLANs sind ja schön, das wichtige ist aber die FW zum „pösen“ Internet hin – die fehlt aber in Deiner Auflistung?!
1
die fehlt aber in Deiner Auflistung?!
Wird ja dann wohl hoffentlich der hinter dem "FB Modem" kaskadierte Router haben?! Wenn nicht wäre das natürlich fatal...Öffentlich erreichbare Server (Port Forwarding) wie beim oben zitierten Thread gehören natürlich tunlichst in ein abgesichertes DMZ VLAN.
1Zitat von @radiogugu:
An welcher Stelle ist das schwierig? Sind die zugreifenden Geräte nicht fähig VPN Verbindungen zu etablieren?
Das Problem sind so Sachen wie geblockte Ports im Hotel-Wlan (nur als Beispiel) etc. wo dann diverse VPN-Protokolle nicht funktionieren. Aber auch Unfähigkeit/Lernresistenz bei diversen Nutzern.An welcher Stelle ist das schwierig? Sind die zugreifenden Geräte nicht fähig VPN Verbindungen zu etablieren?
Zitat von @Visucius:
Firewalls zwischen vLANs sind ja schön, das wichtige ist aber die FW zum „pösen“ Internet hin – die fehlt aber in Deiner Auflistung?!
Die sind natürlich vorhanden! Habe ich nicht aufgelistet, da ich hoffe, dass das als selbstverständlich angesehen wird.Firewalls zwischen vLANs sind ja schön, das wichtige ist aber die FW zum „pösen“ Internet hin – die fehlt aber in Deiner Auflistung?!
Will man ein mittleres Maß an Sicherheit haben, separiert man Webserver und andere im Internetz veröffentlichte Dienste in eigene VLANs und verbietet Traffic von diesen Netzen in das Heimnetz.
Also so, wie ich das beschrieben und umgesetzt habe?Ein VLAN wurde speziell für Webserver bereitgestellt. Dort befindet sich ein Reverse-Proxy zur Umleitung der Anfragen auf Port 80/443 an die entsprechenden Dienste (Nextcloud, HomeAssistant, Bitwarden etc.)
[...] Router dann diverse VLANs eingerichtet, welche gegeneinander isoliert sind
Danke für eure schnellen Antworten!
Zitat von @Sommelier:
Zitat von @radiogugu:
An welcher Stelle ist das schwierig? Sind die zugreifenden Geräte nicht fähig VPN Verbindungen zu etablieren?
Das Problem sind so Sachen wie geblockte Ports im Hotel-Wlan (nur als Beispiel) etc. wo dann diverse VPN-Protokolle nicht funktionieren. Aber auch Unfähigkeit/Lernresistenz bei diversen Nutzern.An welcher Stelle ist das schwierig? Sind die zugreifenden Geräte nicht fähig VPN Verbindungen zu etablieren?
Bestimmte Standard Ports wie 1194 (OpenVPN) oder 4500 + 500 (IPSEC) sollten überall offen sein. Ansonsten biege den Port auf 443 bei OpenVPN oder Wireguard beispielsweise um, damit würdest du garantiert nirgendswo an Portsperrungen scheitern.
Will man ein mittleres Maß an Sicherheit haben, separiert man Webserver und andere im Internetz veröffentlichte Dienste in eigene VLANs und verbietet Traffic von diesen Netzen in das Heimnetz.
Also so, wie ich das beschrieben und umgesetzt habe?Korrekt.
Was für ein geheimnisvoller Router ist denn hinter der Fritzbox im Einsatz?
Gruß
Marc
1wo dann diverse VPN-Protokolle nicht funktionieren.
Nicht wenn man z.B. ein SSL basiertes VPN Protokoll wie z.B. Wireguard mit Ports in der Ephemeral Range 49152 bis 65535 nutzt! Man muss es nur intelligent einrichten. 
1
Es handelt sich um Edelschrott der Marke Ubiquity, genauer Unifi Dream-Machine Pro. Hat alles total schön ausgesehen mit viel bling bling und so... Naja. Schön wenn es toll aussieht. In einem Rack... im Keller...
Hauptproblem ist, dass mit jedem Firmware-Update irgendwas anderes plötzlich nicht mehr funktioniert. Aber der Hersteller soll nicht zum großen Thema werden. Darüber gibt's mehr als genug Unmut im Netz. Hab ich jetzt eben (leider) aktuell und muss ich nutzen, bis ich mein Netzwerk auf andere Hardware umgestellt habe. Dann hoffentlich mit eigener pfSense etc. Aktuell nur leider gar keine Zeit, um mich derartiges zu Hause zu kümmern.
Hauptproblem ist, dass mit jedem Firmware-Update irgendwas anderes plötzlich nicht mehr funktioniert. Aber der Hersteller soll nicht zum großen Thema werden. Darüber gibt's mehr als genug Unmut im Netz. Hab ich jetzt eben (leider) aktuell und muss ich nutzen, bis ich mein Netzwerk auf andere Hardware umgestellt habe. Dann hoffentlich mit eigener pfSense etc. Aktuell nur leider gar keine Zeit, um mich derartiges zu Hause zu kümmern.
Es handelt sich um Edelschrott der Marke Ubiquity
Du Armer! Aber da hält sich ein Forenbeileid dann sehr in Grenzen denn DU selber bist ja dann der Grund. Zeit Ausreden zeigen aber auch das es ja nicht wirklich wichtig ist, also who cares?!Dann hoffentlich mit eigener pfSense etc.
Ein weiser Entschluß!! 😉1
Naja, als ich damit angefangen habe, ging es tatsächlich nur um ein paar VLANs und WPA-Enterprise. Das bekamen sie sogar hin. Mittlerweile habe ich sogar damit teilweise Schwierigkeiten, bzw. Ausfälle. (WLan-Auth über Nutzername + Passwort funktioniert. Zertifikat vom Gerät geht nicht mehr seit Update).
Also für den etwas ambitionierteren Heimanwender ist das sicherlich ganz okay, wenn man seine IoTs vom Rest trennen will und ein Captive-Portal für WLan-Gäste einrichten will.
Grüße ;)
Also für den etwas ambitionierteren Heimanwender ist das sicherlich ganz okay, wenn man seine IoTs vom Rest trennen will und ein Captive-Portal für WLan-Gäste einrichten will.
Grüße ;)
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!
Jawohl. Ganz vergessen.....
