22
Wie baue ich ein sicheres Netzwerk auf?
Moin moin zusammen
Die Thema-Überschrift sagt eigtl. schon alles - >
Da ich vermute, dass dies eine doch recht häufige Frage ist, gerne andere Forenbeiträge hier verlinken ... ich lese mich dann durch .... Das erspart euch Zeit und Nerven, einem Laien nochmal alles von vorne zu erklären;))
Einige Fragen habe ich aber trotzdem noch und bin um JEDE Antwort dankbar, die mir einen kleinen Einblick gibt und mich voranbringt .... daher erstmal mein Stand des Wissens:
"Das" sichere Netzwerk gibt es nicht, ein möglichst sicheres aber schon ...Genau das ist mein Ziel.
1.) Daher sollte man ein Netzwerk in zwei sparieren und durch 2 Router ODER einen Router plus externe Firewall trennen ... Aqui hatte da schon einen hervorragenden Artikel, den ich sehr interessiert gelesen habe ... Allerdings: Wo ist der Sicherheitsunterschied, ob ich für meine zwei Netzwerke zwei Router oder einen Router und eine Firewall nehme?
2.) Welche Hardware benötige ich? Lieber Geräte kaufen als selbst zusammen löten ... Das Netzwerk muss nächste Woche einsatzbereit sein ....
3.) Mein Plan wäre folgender: Ich nehme als erstes einen VPN-Router mit dem ich bypassen kann z.B. für Smart TV und Telefonabschluss benötigt. An diesen VPN- Router kommen noch alle "unsicheren" älteren PC-Geräte und Smartphones.... Hinter diesen VPN- Router kommt mein sicheres "Stealth"- Netzwerk ... da schliesse ich nur PC an, die auf dem neuesten Stand sind ...
Frage: 3a) Was haltet ihr von dem Plan?
3b) Habe ich damit mein Ziel, ein möglichst sehr sicheres 2. Netzwerk aufzubauen erreicht? Falls nein, was muss ich anders machen bzw. Wie kann ich verhindern, dass sich z.B. jemand z.B. in mein 1. Netzwerk hackt bzw. mit einem Sniffer von meinem ersten Netzwerk aus allen Traffic des zweiten mitliest ....
Ich warte mal gespannt auf eure Rückmeldungen ^^
Viele Grüße
Die Thema-Überschrift sagt eigtl. schon alles - >
Da ich vermute, dass dies eine doch recht häufige Frage ist, gerne andere Forenbeiträge hier verlinken ... ich lese mich dann durch .... Das erspart euch Zeit und Nerven, einem Laien nochmal alles von vorne zu erklären;))
Einige Fragen habe ich aber trotzdem noch und bin um JEDE Antwort dankbar, die mir einen kleinen Einblick gibt und mich voranbringt .... daher erstmal mein Stand des Wissens:
"Das" sichere Netzwerk gibt es nicht, ein möglichst sicheres aber schon ...Genau das ist mein Ziel.
1.) Daher sollte man ein Netzwerk in zwei sparieren und durch 2 Router ODER einen Router plus externe Firewall trennen ... Aqui hatte da schon einen hervorragenden Artikel, den ich sehr interessiert gelesen habe ... Allerdings: Wo ist der Sicherheitsunterschied, ob ich für meine zwei Netzwerke zwei Router oder einen Router und eine Firewall nehme?
2.) Welche Hardware benötige ich? Lieber Geräte kaufen als selbst zusammen löten ... Das Netzwerk muss nächste Woche einsatzbereit sein ....
3.) Mein Plan wäre folgender: Ich nehme als erstes einen VPN-Router mit dem ich bypassen kann z.B. für Smart TV und Telefonabschluss benötigt. An diesen VPN- Router kommen noch alle "unsicheren" älteren PC-Geräte und Smartphones.... Hinter diesen VPN- Router kommt mein sicheres "Stealth"- Netzwerk ... da schliesse ich nur PC an, die auf dem neuesten Stand sind ...
Frage: 3a) Was haltet ihr von dem Plan?
3b) Habe ich damit mein Ziel, ein möglichst sehr sicheres 2. Netzwerk aufzubauen erreicht? Falls nein, was muss ich anders machen bzw. Wie kann ich verhindern, dass sich z.B. jemand z.B. in mein 1. Netzwerk hackt bzw. mit einem Sniffer von meinem ersten Netzwerk aus allen Traffic des zweiten mitliest ....
Ich warte mal gespannt auf eure Rückmeldungen ^^
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 626320
Url: https://administrator.de/contentid/626320
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
22 Kommentare
Neuester Kommentar
"Das" sichere Netzwerk gibt es nicht, ein möglichst sicheres aber schon ...Genau das ist mein Ziel.
Doch.
Alles einmauern und alle Verbindungen außer Strom nach draußen kappen.
1.) Daher sollte man ein Netzwerk in zwei sparieren und durch 2 Router ODER einen Router plus externe Firewall trennen ... Aqui hatte da schon einen hervorragenden Artikel, den ich sehr interessiert gelesen habe ... Allerdings: Wo ist der Sicherheitsunterschied, ob ich für meine zwei Netzwerke zwei Router oder einen Router und eine Firewall nehme?
Die Anzahl richtet sich nach den jeweiligen Anforderungen Ich kenne Netze, da ist jede Abteilung oder gar Arbeitsgruppe ein eingenes Subnetz und durch Firewalls von den anderen abgetrennt.
2.) Welche Hardware benötige ich? Lieber Geräte kaufen als selbst zusammen löten ... Das Netzwerk muss nächste Woche einsatzbereit sein ....
Fertig vom Dienstleister kaufen und hinstellen lassen.
3.) Mein Plan wäre folgender: Ich nehme als erstes einen VPN-Router mit dem ich bypassen kann z.B. für Smart TV und Telefonabschluss benötigt. An diesen VPN- Router kommen noch alle "unsicheren" älteren PC-Geräte und Smartphones.... Hinter diesen VPN- Router kommt mein sicheres "Stealth"- Netzwerk ... da schliesse ich nur PC an, die auf dem neuesten Stand sind ...
Frage: 3a) Was haltet ihr von dem Plan?
Frage: 3a) Was haltet ihr von dem Plan?
Nichts.
3b) Habe ich damit mein Ziel, ein möglichst sehr sicheres 2. Netzwerk aufzubauen erreicht? Falls nein, was muss ich anders machen bzw. Wie kann ich verhindern, dass sich z.B. jemand z.B. in mein 1. Netzwerk hackt bzw. mit einem Sniffer von meinem ersten Netzwerk aus allen Traffic des zweiten mitliest ....
Nein.
Du mußt erstmal definieren, welches die Angriffsvektoren sind, wogegen Du Dich schützen willst und denemtsprechend Sicherheitsrichtlinien festlegen und daraus dann die Implemantation ableiten.
Ich warte mal gespannt auf eure Rückmeldungen ^^
Du bist recht naiv, mit dieser Freitagsfrage heir aufzuschlagen.
Also: Was willst Du eigentlich erreichen und wovor willst Du Dich schützen?
Das ist die erste Frage, die zu klären wäre.
Alles andere ergibt sich dann daraus.
lks
PS: Sie auch die Anleitung Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät vom Forumskollegen @aqui.
Hallo Lochkartenstanzer,
Danke für deine offene Antwort xDD
Ja Naivität ist immer meine Stärke gewesen ;)
Ok, Ziel ist: möglichst sicher und gerade noch für einen Laien einrichtbar ...
Wovor möchte ich mich schützen? Vor sämtlicher Malware, Hacker-Angriffen, Viren Trojanern ect. ... Was möchte ich noch: Möglichst anonymes, sicheres Surfen, d.h. via VPN wo möglich.
Nachdem ich jetzt einmal eine App auf meinem Smartphone hatte, (Google Play Store geladen) die meine Daten abgegraben hat und ich plötzlich Ungereimtheiten beim amazon, ebay und Online-Bankkonto soll mir das halt nicht noch einmal passieren - > ausserdem finde ich die Materie spannend und lese mich gerne ein
Genau... Diese Anleitung habe ich schon gelesen- > aber warum lieber ein Router plus ne Firewall und nicht gleich zwei Router hintereinander? Das verstehe ich gerade nicht ....
Viele Grüße
Danke für deine offene Antwort xDD
Ja Naivität ist immer meine Stärke gewesen ;)
Ok, Ziel ist: möglichst sicher und gerade noch für einen Laien einrichtbar ...
Wovor möchte ich mich schützen? Vor sämtlicher Malware, Hacker-Angriffen, Viren Trojanern ect. ... Was möchte ich noch: Möglichst anonymes, sicheres Surfen, d.h. via VPN wo möglich.
Nachdem ich jetzt einmal eine App auf meinem Smartphone hatte, (Google Play Store geladen) die meine Daten abgegraben hat und ich plötzlich Ungereimtheiten beim amazon, ebay und Online-Bankkonto soll mir das halt nicht noch einmal passieren - > ausserdem finde ich die Materie spannend und lese mich gerne ein
Genau... Diese Anleitung habe ich schon gelesen- > aber warum lieber ein Router plus ne Firewall und nicht gleich zwei Router hintereinander? Das verstehe ich gerade nicht ....
Viele Grüße
Hallo,
Und warum sollen wir diese "Arbeit" für dich übernehmen? ;)
Nutze doch mal die Suchfunktion und mach dich schlau. Diese Themen werden hier wie du selbst sagt, wöchtentlich disktuiert.
Und dann kannst deine Fragen wie Kollege @Lochkartenstanzer bereits gesagt hat auch besser spezifieren.
Davor wird dich keine Hardware schützen.
Das nennt sich user-awareness. Man sollte sich halt bewusst sein, dass man nicht alles was blinkt und leuchtet anklickt was per Mail daher kommt und man nicht einfach so irgendwelche Apps installiert die man nicht genauer inspiziert hat (welche Berechtigungen möchte die App, wie sind die Reviews (sind die ev. gekauft wenn nur gut etc.)
Dazu kommen sichere Passwörter für deine Accounts (ebay, amazon, etc), die regelmäßig geändert werden sollten und dann hast du 90% deiner Angriffsszenarien schon abgedeckt.
Gruß
Michi
Zitat von @BitLooser:
Da ich vermute, dass dies eine doch recht häufige Frage ist, gerne andere Forenbeiträge hier verlinken ... ich lese mich dann durch .... Das erspart euch Zeit und Nerven, einem Laien nochmal alles von vorne zu erklären;))
Da ich vermute, dass dies eine doch recht häufige Frage ist, gerne andere Forenbeiträge hier verlinken ... ich lese mich dann durch .... Das erspart euch Zeit und Nerven, einem Laien nochmal alles von vorne zu erklären;))
Und warum sollen wir diese "Arbeit" für dich übernehmen? ;)
Nutze doch mal die Suchfunktion und mach dich schlau. Diese Themen werden hier wie du selbst sagt, wöchtentlich disktuiert.
Und dann kannst deine Fragen wie Kollege @Lochkartenstanzer bereits gesagt hat auch besser spezifieren.
Zitat von @BitLooser:
Wovor möchte ich mich schützen? Vor sämtlicher Malware, Hacker-Angriffen, Viren Trojanern ect. ... Was möchte ich noch: Möglichst anonymes, sicheres Surfen, d.h. via VPN wo möglich.
Wovor möchte ich mich schützen? Vor sämtlicher Malware, Hacker-Angriffen, Viren Trojanern ect. ... Was möchte ich noch: Möglichst anonymes, sicheres Surfen, d.h. via VPN wo möglich.
Nachdem ich jetzt einmal eine App auf meinem Smartphone hatte, (Google Play Store geladen) die meine Daten abgegraben hat und ich plötzlich Ungereimtheiten beim amazon, ebay und Online-Bankkonto soll mir das halt nicht noch einmal passieren - > ausserdem finde ich die Materie spannend und lese mich gerne ein
Davor wird dich keine Hardware schützen.
Das nennt sich user-awareness. Man sollte sich halt bewusst sein, dass man nicht alles was blinkt und leuchtet anklickt was per Mail daher kommt und man nicht einfach so irgendwelche Apps installiert die man nicht genauer inspiziert hat (welche Berechtigungen möchte die App, wie sind die Reviews (sind die ev. gekauft wenn nur gut etc.)
Dazu kommen sichere Passwörter für deine Accounts (ebay, amazon, etc), die regelmäßig geändert werden sollten und dann hast du 90% deiner Angriffsszenarien schon abgedeckt.
Gruß
Michi
Keine Suchfunktion ersetzt die Erfahrung, die mannche Profis hier haben. Auf solche Artikel komme ich mitunter selbst mit den richtigen Schlagwörtern nicht ... Zumal das Selektieren schon wieder sehr viel Wissen voraussetzt-> ergo könnte ich das gar nicht leisten. Daher meine Bitte an euch, eurer Meinang nach wichtige Artikel hier zu verlinken ;)
Eben, und unter User-Awareness verstehe ich eben auch sich mit den Kriterien eines sicheren Heimnetzwerkes zu beschäftigen ... Dafür dachte ich ist eine Routerkaskade eine sinnvolle Massnahme? Es geht ja nicht darum ein virtuelles Fort Knox zu erschaffen, sonden sich vor "normalen" Bedrohungen zu schützen ...
Welche Maßnahmen hierfür sind sinnvoll? Kommt Jungs u. Mädels ... nur 10 Stichpunkte ?
Danke schonmal
Eben, und unter User-Awareness verstehe ich eben auch sich mit den Kriterien eines sicheren Heimnetzwerkes zu beschäftigen ... Dafür dachte ich ist eine Routerkaskade eine sinnvolle Massnahme? Es geht ja nicht darum ein virtuelles Fort Knox zu erschaffen, sonden sich vor "normalen" Bedrohungen zu schützen ...
Welche Maßnahmen hierfür sind sinnvoll? Kommt Jungs u. Mädels ... nur 10 Stichpunkte ?
Danke schonmal
Wie gesagt:
Du hast vorhin Angriffspunkte definiert, gegen die du dich schützen möchtest.
Ich hab dir Vorschläge gemacht wie du das tust.
Ich meine das Ernst: davor wird dich keine Hardware schützen.
Solang du nicht ohne NAT mit dem PC nackt im Internet surfst, bist du sicher genug.
Du kannst natürlich eine Firewall mit VPN Funktionalität anstelle deines Routers nehmen, aber was bringt dir das?
Deshalb surfst du noch nicht sicherer. Du bräuchtest wenn dann einen VPN Server außerhalb deines Wohnbereichs auf den du dich verbinden kannst, damit du verschlüsselt surfen kannst.
Und da du sagst, das Netzwerk müsse nächste Woche einsatzbereit sein, würde ich dir ebenso wie der Kollege oben schon sagt nahelegen, einen Dienstleister zu engagieren, der dir das macht wenn du ihm denn sagen kannst wovor du dich schützen willst. Denn wenn du da selber Hand anlegst, und nicht viel Ahnung hast, machst du das ganze entweder gar nicht funktionsfähig oder noch unsicherer als vorher.
Gruß
Michi
Du hast vorhin Angriffspunkte definiert, gegen die du dich schützen möchtest.
Ich hab dir Vorschläge gemacht wie du das tust.
Ich meine das Ernst: davor wird dich keine Hardware schützen.
Solang du nicht ohne NAT mit dem PC nackt im Internet surfst, bist du sicher genug.
Du kannst natürlich eine Firewall mit VPN Funktionalität anstelle deines Routers nehmen, aber was bringt dir das?
Deshalb surfst du noch nicht sicherer. Du bräuchtest wenn dann einen VPN Server außerhalb deines Wohnbereichs auf den du dich verbinden kannst, damit du verschlüsselt surfen kannst.
Und da du sagst, das Netzwerk müsse nächste Woche einsatzbereit sein, würde ich dir ebenso wie der Kollege oben schon sagt nahelegen, einen Dienstleister zu engagieren, der dir das macht wenn du ihm denn sagen kannst wovor du dich schützen willst. Denn wenn du da selber Hand anlegst, und nicht viel Ahnung hast, machst du das ganze entweder gar nicht funktionsfähig oder noch unsicherer als vorher.
Gruß
Michi
Moin,
ich denke du musst hier halt unterscheiden. Dein Netzwerk wird da nicht das Problem sein - das Problem ist eher auf Layer-8 (also VORM monitor) zu finden. Denn du hast ja idR. Geräte (z.B. NAS, andere Rechner,...) auf die du Zugriff hast und willst -> und die meisten Angriffe zielen eben auch darauf ab. Da hilft dir eine Firewall wenig wenn du eben auf ne lustige Exe-File die per Mail kam klickst. Du HAST ja bereits den Zugriff auf die Resource, damit darf ein Virus auch alles tun was du auch dürftest.
Vor Hacker-Angriffen im Privat-Segment schützt dich ne einfache Fritzbox schon recht gut solang du eben z.B. automatische Portweiterleitungen ausschaltest UND eben keine Ports in dein internes Netz lässt.
Beim VPN musst du dir halt die Frage stellen wo deine Gegenstelle ist - und wenn die nicht in deiner Hand ist wie vertrauenswürdig die ist. Persönlich halte ich von den ganzen möchtegern-anbietern mittlerweile gar nix mehr. Warum sollte mir irgendeiner gegen (kleines) Endgeld einen VPN-Punkt geben der völlig anonym ist und der ggf. sogar dann für Rechteverletzungen grade steht? Also wird da wohl auch protokolliert...
Und ganz klar: Natürlich wird ein richtiger und gezielter Angriff da auch noch Wege finden (entweder indem man als z.B. mit Zugriff auf den Provider Daten injiziert oder dir einfach sehr gut gemachte und spezielle Viren schickt). DAS ist aber eher nicht zu erwarten da sowas eben wirklich speziell dann gemacht wird und nicht diese 08/15-Script-Kiddys sind die zig mal am Tag kommen. Verglichen mit deinem Haus: Wenn jemand wirklich in die Bude will dann kommt der auch rein - es erfordert halt ggf. spezialwerkzeug und einige Kenntnisse über deine Wohnung, ist aber möglich. Du kannst jetzt versuchen das auch noch abzufangen indem du bei deiner Wohnung noch 5 spezialschlösser einbaust, mehrere Alarmanlagen usw. -> aber es ist zu erwarten das dir das nach 4 Wochen selbst aufn Keks geht und du die Schlösser dann eh nich mehr abschließt. Und ein Einbrecher der weiss das es bei dir ggf nen sparbuch mitn paar 100 Euro gibt wird sich auch nicht die Mühe machen da deine Bude speziell anzugehen, der schaut halt einfach beim nachbarn, ggf. hat der die Tür ja auch gar nich abgeschlossen und macht es leichter...
ich denke du musst hier halt unterscheiden. Dein Netzwerk wird da nicht das Problem sein - das Problem ist eher auf Layer-8 (also VORM monitor) zu finden. Denn du hast ja idR. Geräte (z.B. NAS, andere Rechner,...) auf die du Zugriff hast und willst -> und die meisten Angriffe zielen eben auch darauf ab. Da hilft dir eine Firewall wenig wenn du eben auf ne lustige Exe-File die per Mail kam klickst. Du HAST ja bereits den Zugriff auf die Resource, damit darf ein Virus auch alles tun was du auch dürftest.
Vor Hacker-Angriffen im Privat-Segment schützt dich ne einfache Fritzbox schon recht gut solang du eben z.B. automatische Portweiterleitungen ausschaltest UND eben keine Ports in dein internes Netz lässt.
Beim VPN musst du dir halt die Frage stellen wo deine Gegenstelle ist - und wenn die nicht in deiner Hand ist wie vertrauenswürdig die ist. Persönlich halte ich von den ganzen möchtegern-anbietern mittlerweile gar nix mehr. Warum sollte mir irgendeiner gegen (kleines) Endgeld einen VPN-Punkt geben der völlig anonym ist und der ggf. sogar dann für Rechteverletzungen grade steht? Also wird da wohl auch protokolliert...
Und ganz klar: Natürlich wird ein richtiger und gezielter Angriff da auch noch Wege finden (entweder indem man als z.B. mit Zugriff auf den Provider Daten injiziert oder dir einfach sehr gut gemachte und spezielle Viren schickt). DAS ist aber eher nicht zu erwarten da sowas eben wirklich speziell dann gemacht wird und nicht diese 08/15-Script-Kiddys sind die zig mal am Tag kommen. Verglichen mit deinem Haus: Wenn jemand wirklich in die Bude will dann kommt der auch rein - es erfordert halt ggf. spezialwerkzeug und einige Kenntnisse über deine Wohnung, ist aber möglich. Du kannst jetzt versuchen das auch noch abzufangen indem du bei deiner Wohnung noch 5 spezialschlösser einbaust, mehrere Alarmanlagen usw. -> aber es ist zu erwarten das dir das nach 4 Wochen selbst aufn Keks geht und du die Schlösser dann eh nich mehr abschließt. Und ein Einbrecher der weiss das es bei dir ggf nen sparbuch mitn paar 100 Euro gibt wird sich auch nicht die Mühe machen da deine Bude speziell anzugehen, der schaut halt einfach beim nachbarn, ggf. hat der die Tür ja auch gar nich abgeschlossen und macht es leichter...
Solange du mindestens kein SSL-DPI kannst, kannst du das ganze Thema mehr oder weniger vergessen.
In dem Moment wo es einen Zugang zum Internet gibt, gehen die Probleme los.
Eine Firewall ist ganz praktisch.
Sichere Authentifizierung für Internetzugang löst schon mal das Problem, bzw grenzt ein, dass jedes internetfähige Gerät Kontakt mit dem Internet aufnehmen kann.
Ein paar Regeln im Sinne einer klassischen Firewall ermöglichen diversen Gestaltungsspielraum des Traffics.
Jeder halbwegs gut gemachte Schadsoftware arbeitet jedoch mit SSL/TLS und nimmt Kontakt zu Standardports auf.
In dem Moment wo es einen Zugang zum Internet gibt, gehen die Probleme los.
Eine Firewall ist ganz praktisch.
Sichere Authentifizierung für Internetzugang löst schon mal das Problem, bzw grenzt ein, dass jedes internetfähige Gerät Kontakt mit dem Internet aufnehmen kann.
Ein paar Regeln im Sinne einer klassischen Firewall ermöglichen diversen Gestaltungsspielraum des Traffics.
Jeder halbwegs gut gemachte Schadsoftware arbeitet jedoch mit SSL/TLS und nimmt Kontakt zu Standardports auf.
Hab über die Einrichtung eines VLAN oder einer DMZ alias so in der Art nachgedacht : https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html
https://praxistipps.chip.de/was-ist-vlan-einfach-erklaert_46395
Macht die Einrichtung wie im Heise-Artikel geschrieben Sinn oder ist sie völliger Quatsch?
Danke schonmal für eure Einschätzung ...
Mmmm ... Dachte zuerst auch an eine externe Firewall .... Wahrscheinlich bringt mir das aber nix, denn ne Firewall ist ja nur so gut wie ihr Bediener ... und der ist - in meinem Fall - professioneller Laie ....
SSL-DPI ist vom Ansatz aber auch zu hinterfragen oder nicht? https://www.itsicherheit-online.com/news/warnung-vor-sicherheitsluecken- ...
Ich glaube, dass was maretz gesagt hat, trifft den Nagel auf den Kopf-> Bei mir ist eh nichts zu holen insofern brauche ich nicht mehr als "Otto-Normalo-Schutz" und da bin ich mit der 'Semifirewall' meines Routers schon ganz gut aufgestellt.... Zumindest um normale Attacken abzuwehren und jemand der bei mir reinwill kommt eh rein .... nur für den lohnt sichs halt nicht xD
Die einzige Frage ist jetzt wie ich verhindere, dass ein z.B. Computer mit veralteter Software, bzw. ein womöglich infiziertes Gerät die anderen Geräte im Netzwerk ausspäht.
Wäre dafür die oben angesprochene Routerkaskade sinnvoll? Im Grunde wäre es doch auch schon ein Sicherheitsgewinn meine PCs auf Linux bzw. Ubuntu umzurüsten oder ?
https://praxistipps.chip.de/was-ist-vlan-einfach-erklaert_46395
Macht die Einrichtung wie im Heise-Artikel geschrieben Sinn oder ist sie völliger Quatsch?
Danke schonmal für eure Einschätzung ...
Mmmm ... Dachte zuerst auch an eine externe Firewall .... Wahrscheinlich bringt mir das aber nix, denn ne Firewall ist ja nur so gut wie ihr Bediener ... und der ist - in meinem Fall - professioneller Laie ....
SSL-DPI ist vom Ansatz aber auch zu hinterfragen oder nicht? https://www.itsicherheit-online.com/news/warnung-vor-sicherheitsluecken- ...
Ich glaube, dass was maretz gesagt hat, trifft den Nagel auf den Kopf-> Bei mir ist eh nichts zu holen insofern brauche ich nicht mehr als "Otto-Normalo-Schutz" und da bin ich mit der 'Semifirewall' meines Routers schon ganz gut aufgestellt.... Zumindest um normale Attacken abzuwehren und jemand der bei mir reinwill kommt eh rein .... nur für den lohnt sichs halt nicht xD
Die einzige Frage ist jetzt wie ich verhindere, dass ein z.B. Computer mit veralteter Software, bzw. ein womöglich infiziertes Gerät die anderen Geräte im Netzwerk ausspäht.
Wäre dafür die oben angesprochene Routerkaskade sinnvoll? Im Grunde wäre es doch auch schon ein Sicherheitsgewinn meine PCs auf Linux bzw. Ubuntu umzurüsten oder ?
Eine Routerkaskade bringt dir da wenig... Dann würde ich eher VLANs nehmen (sofern dein Switch das unterstützt) und ganz simpel den Zugriff von den "unsicheren" Netzen auf dein internes Netz per Firewall unterbinden. Wenn du da nicht viel brauchst wäre da selbst das "Gastnetzwerk" der Fritte eben ausreichend... Dann kommen die Kisten eben wirklich nur ins Internet - und nich an die internen Geräte ran...
Wo ist der Sicherheitsunterschied, ob ich für meine zwei Netzwerke zwei Router oder einen Router und eine Firewall nehme?
Keiner. Eine Kaskade ist immer eine schlechte technische Lösung. Die Kollegen hier haben es schon gesagt.Eine sauber und korrekte Firewall mit einem NUR Modem davor ist dort vollkommen ausreichend. Gastnetze auf billigen Consumer Routern sollte man immer misstrauen, da man das Regelwerk als Anwender nicht kennt. Man kauft damit also immer latente Unsicherheit ein.
Mit einer pfSense FW auf einem APU und einem reinen Modem davor machst du also nichts falsch.
Alternativ auch ein Router mit onboard SPI Firewall wie Mikrotik RB2011, RB3011, Cisco 926-4P usw. bzw. die anderen üblichen Verdächtigen.
Sicherheit hört aber nicht an der Firewall auf bzw. ist nur ein kleiner Teil, das betrifft auch Zugangsports und ganz besonders das WLAN. Du weisst ja: Die meisten Angriffe kommen von intern...
Guckst du auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Nur um mal rein die Infrastruktur zu beleuchten was Sicherheit angeht.
Dann geht es auf den Clients fröhlich weiter....
@ maretz Switch muss ich noch kaufen ... aber werde darauf achten dass er vlan-fähig ist. Ah okeeeeey .... das klingt nach ner super Idee-> d.h. einfach ne externe Firewall vor meine Fritte hängen und dann das eigtl. Gastnetzwerk der Fritte als "sicheres" Netzwerk nutzen -verstehe ich dich so richtig?
@aqui klingt nach ner Menge Spass die ich noch vor mir habe xDD D.h. ich könnte meine Frittte einfach auch durch einen Router mit onboard SPI- Firewall ersetzen? Wenn ich den dann noch so konfiguriere, dass er mir VLANs aufspannt, müsste es doch klappen oder? Aber ist son Router FritzFon kompatibel oder muss ich für Telefonie die Fritte vor den Cisco/Netgear/Microtic setzen ....
@aqui klingt nach ner Menge Spass die ich noch vor mir habe xDD D.h. ich könnte meine Frittte einfach auch durch einen Router mit onboard SPI- Firewall ersetzen? Wenn ich den dann noch so konfiguriere, dass er mir VLANs aufspannt, müsste es doch klappen oder? Aber ist son Router FritzFon kompatibel oder muss ich für Telefonie die Fritte vor den Cisco/Netgear/Microtic setzen ....
klingt nach ner Menge Spass
In der Tat ! ich könnte meine Frittte einfach auch durch einen Router mit onboard SPI- Firewall ersetzen? Wenn ich den dann noch so konfiguriere, dass er mir VLANs aufspannt, müsste es doch klappen oder?
Das ist richtig und klappt auch so. Typische Verteter sind Mikrotik RB3011 oder RB4011.Aber ist son Router FritzFon kompatibel
Nein, dafür braucht es ein VoIP DECT Telefon wie das_hier z.B. oder die anderen zahlreichen Modelle. Das klemmt man dann direkt ins lokale LAN.Oder wenn man noch analoge Telefone hat mit einem VoIP_Adapter ins lokale LAN.
Es ist so oder so immer besser die Telefonie separat zu betreiben als vom Router abhängig zu sein.
Du kannst die Fritte dann auch wie ein Endgerät als reine dumme Telefonanlage im lokalen LAN betreiben. Das wäre dann für dich die beste Lösung um eine Router Kaskade zu vermeiden.
1
Nur noch mal für mich als Zusammenfassung:
Option 1) Externe Firewall -> Fritzbox -> VLAn fähiger Switch.
Option 2) Neuer Router mit SPI-Firewall und VLan fähig -> Fritzbox als Endgerät zum Telefonieren.
Soweit ich das sehe, sind beide Optionen "gleich sicher, bedienerunfreundlich - für einen Laien - und kommen technisch zum gleichen Ergebnis oder?
Die üblichen Verdächtigen, die du @aqui ja auch schon genannt hast sind vermutlich Mikrotik, Netgear und Cisco - ich denke mal das ist wie ein Vergleich zwischen Ferrari, Porsche und McLarren oder? Nen Fiat oder Opel ist keiner oder .... also falsch machen in der Auswahl kann ich da eh nicht viel oder ? In Punkto Bedienerfreundlichkeit, Sicherheitsanforderungen, Preis/Leistung gibt es da einen persönlichen Favoriten?
Bei den Firewalls ( sei es jetzt integriert im Router oder extern) gibt es ja auch noch Unterschiede hab ich gelesen:
SPI, UTM, NGFW -> ab wann ist es für ein "normales" Netzwerk übertrieben bzw. Was brauche ich davon wirklich oder wann wirds auch einfach zu teuer xD ?
Ahja und ganz herzliches Dankeschön nochmal an alle hier und insbesondere an aqui- dein letzter Beitrag neben den viejen Anleitungen hier im Forum hat mir echt weitergeholfen!
Nette Grüße und einen schönen Samstag ;)
Option 1) Externe Firewall -> Fritzbox -> VLAn fähiger Switch.
Option 2) Neuer Router mit SPI-Firewall und VLan fähig -> Fritzbox als Endgerät zum Telefonieren.
Soweit ich das sehe, sind beide Optionen "gleich sicher, bedienerunfreundlich - für einen Laien - und kommen technisch zum gleichen Ergebnis oder?
Die üblichen Verdächtigen, die du @aqui ja auch schon genannt hast sind vermutlich Mikrotik, Netgear und Cisco - ich denke mal das ist wie ein Vergleich zwischen Ferrari, Porsche und McLarren oder? Nen Fiat oder Opel ist keiner oder .... also falsch machen in der Auswahl kann ich da eh nicht viel oder ? In Punkto Bedienerfreundlichkeit, Sicherheitsanforderungen, Preis/Leistung gibt es da einen persönlichen Favoriten?
Bei den Firewalls ( sei es jetzt integriert im Router oder extern) gibt es ja auch noch Unterschiede hab ich gelesen:
SPI, UTM, NGFW -> ab wann ist es für ein "normales" Netzwerk übertrieben bzw. Was brauche ich davon wirklich oder wann wirds auch einfach zu teuer xD ?
Ahja und ganz herzliches Dankeschön nochmal an alle hier und insbesondere an aqui- dein letzter Beitrag neben den viejen Anleitungen hier im Forum hat mir echt weitergeholfen!
Nette Grüße und einen schönen Samstag ;)
Zitat von @BitLooser:
Nur noch mal für mich als Zusammenfassung:
Option 1) Externe Firewall -> Fritzbox -> VLAn fähiger Switch.
Option 2) Neuer Router mit SPI-Firewall und VLan fähig -> Fritzbox als Endgerät zum Telefonieren.
Soweit ich das sehe, sind beide Optionen "gleich sicher, bedienerunfreundlich - für einen Laien - und kommen technisch zum gleichen Ergebnis oder?
Nur noch mal für mich als Zusammenfassung:
Option 1) Externe Firewall -> Fritzbox -> VLAn fähiger Switch.
Option 2) Neuer Router mit SPI-Firewall und VLan fähig -> Fritzbox als Endgerät zum Telefonieren.
Soweit ich das sehe, sind beide Optionen "gleich sicher, bedienerunfreundlich - für einen Laien - und kommen technisch zum gleichen Ergebnis oder?
Nein, die erste Option ins Blödsinn, weil die Fritte keine VLANs kann.
lks
Zitat von @BitLooser:
Nur noch mal für mich als Zusammenfassung:
Option 1) Externe Firewall -> Fritzbox -> VLAn fähiger Switch.
Option 2) Neuer Router mit SPI-Firewall und VLan fähig -> Fritzbox als Endgerät zum Telefonieren.
Soweit ich das sehe, sind beide Optionen "gleich sicher, bedienerunfreundlich - für einen Laien - und kommen technisch zum gleichen Ergebnis oder?
Die üblichen Verdächtigen, die du @aqui ja auch schon genannt hast sind vermutlich Mikrotik, Netgear und Cisco - ich denke mal das ist wie ein Vergleich zwischen Ferrari, Porsche und McLarren oder? Nen Fiat oder Opel ist keiner oder .... also falsch machen in der Auswahl kann ich da eh nicht viel oder ? In Punkto Bedienerfreundlichkeit, Sicherheitsanforderungen, Preis/Leistung gibt es da einen persönlichen Favoriten?
Bei den Firewalls ( sei es jetzt integriert im Router oder extern) gibt es ja auch noch Unterschiede hab ich gelesen:
SPI, UTM, NGFW -> ab wann ist es für ein "normales" Netzwerk übertrieben bzw. Was brauche ich davon wirklich oder wann wirds auch einfach zu teuer xD ?
Ahja und ganz herzliches Dankeschön nochmal an alle hier und insbesondere an aqui- dein letzter Beitrag neben den viejen Anleitungen hier im Forum hat mir echt weitergeholfen!
Nette Grüße und einen schönen Samstag ;)
Nur noch mal für mich als Zusammenfassung:
Option 1) Externe Firewall -> Fritzbox -> VLAn fähiger Switch.
Option 2) Neuer Router mit SPI-Firewall und VLan fähig -> Fritzbox als Endgerät zum Telefonieren.
Soweit ich das sehe, sind beide Optionen "gleich sicher, bedienerunfreundlich - für einen Laien - und kommen technisch zum gleichen Ergebnis oder?
Die üblichen Verdächtigen, die du @aqui ja auch schon genannt hast sind vermutlich Mikrotik, Netgear und Cisco - ich denke mal das ist wie ein Vergleich zwischen Ferrari, Porsche und McLarren oder? Nen Fiat oder Opel ist keiner oder .... also falsch machen in der Auswahl kann ich da eh nicht viel oder ? In Punkto Bedienerfreundlichkeit, Sicherheitsanforderungen, Preis/Leistung gibt es da einen persönlichen Favoriten?
Bei den Firewalls ( sei es jetzt integriert im Router oder extern) gibt es ja auch noch Unterschiede hab ich gelesen:
SPI, UTM, NGFW -> ab wann ist es für ein "normales" Netzwerk übertrieben bzw. Was brauche ich davon wirklich oder wann wirds auch einfach zu teuer xD ?
Ahja und ganz herzliches Dankeschön nochmal an alle hier und insbesondere an aqui- dein letzter Beitrag neben den viejen Anleitungen hier im Forum hat mir echt weitergeholfen!
Nette Grüße und einen schönen Samstag ;)
Vor was genau willst Du dich eigentlich schützen, wenn Du augenscheinlich wenig Ahnung hast?
Ich behaupte, dass eine Fritzbox Out of the Box für dich völlig reicht. Eine dedizierte Firewall wirst Du vorläufig nicht bedienen können, zumindest sinnvoll und km Sinne von Mehrwert.
Wenn du Zeit mitbringst und du die Internetnutzung einschränken, aber nicht darauf verzichten willst, verwende einfach eine Firewall mit einer Whitelist statt Blacklist.
Also .... nachdem ich jetzt beim Mediamarkt war und selber nochmal recherchiert habe musste ich feststellen-> Fritzbox reicht aus ... alles andere ist auch viel zu teuer ... ich hab gedacht ne gscheide Firewall oder sowas in der art bekommt man für den Preis einer Fritzbox - war echt geschockt als ich gesehen habe wie viel selbst ne kleine watchguard kostet .... Das ist einfach im budget net drin.
Trotzdem einen ganz herzlichen Dank für eure Tipps - sich noch weiter ins Thema einlesen kostet mich ja nix ... zumindest mein Wissen wird hier erweitert- und für nen Hobby-Administrator versuch ich mich erstmal in neuen Konfigurationen in meiner Fritzbox - https://www.pc-magazin.de/ratgeber/fritzbox-sicher-machen-konfiguration- ...
evtl. Dann ja auch eines schönen Tages wenn ich hier fleisdig mitlese mit aquis günstigem Firewall- Eigenbau auf opensense Basis.
Einen guten Tag euch^^
Trotzdem einen ganz herzlichen Dank für eure Tipps - sich noch weiter ins Thema einlesen kostet mich ja nix ... zumindest mein Wissen wird hier erweitert- und für nen Hobby-Administrator versuch ich mich erstmal in neuen Konfigurationen in meiner Fritzbox - https://www.pc-magazin.de/ratgeber/fritzbox-sicher-machen-konfiguration- ...
evtl. Dann ja auch eines schönen Tages wenn ich hier fleisdig mitlese mit aquis günstigem Firewall- Eigenbau auf opensense Basis.
Einen guten Tag euch^^
Ein MT hex kostet 60€ und damit hast du mehr features als du je brauchen wirst, aber nun gut, beim Media Markt hätte ich nach sowas auch nicht gesucht.
Gruß
michi
Gruß
michi
ich hab gedacht ne gscheide Firewall oder sowas in der art bekommt man für den Preis einer Fritzbox
Na ja wenn man völlig laienhaft falsch und unqualifiziert in einem Blödmarkt sucht muss man sich nicht groß wundern.Eine komplette SPI Firewall inklusive 4 Ethernet Ports (2 mehr als ne dumme FritzBox !) bekommst du für popelige 20 Euro:
https://www.varia-store.com/de/produkt/97209-mikrotik-routerboard-rb941- ...
Kollege @michi1983 hat es ja oben schon auf den Punkt gebracht. Wenn es schon an solch banalen Dingen wie einer intelligenten Produktsuche scheitert muss man sich ja nicht groß wundern...
Ernsthaft?
Das Ding ist kleiner Router für Omis Landhaus, aber keine Firewall (für ambitionierte Heimanwender oder Unternehmen).
Alleine 100MBit/s-Ports... das ist doch ein Scherz. Wobei es auch fast egal ist, da die popelige CPU vermutlich eh keine Gigabit-Ports handhaben könnte.
Generell vermutlich nichts Schlechtes, aber hat doch einen "leicht" anderen Einsatzzweck.
Außerdem solltest du vorm rumtrompeten mal dein Wissen bzgl. der "dummen" Fritzboxen auf den aktuellen Stand bringen...
Diese Abschätzigkeit einiger hier gegenüber anderen Forenteilnehmern kann einem schon hart auf die Nerven gehen.
Das Ding ist kleiner Router für Omis Landhaus, aber keine Firewall (für ambitionierte Heimanwender oder Unternehmen).
Alleine 100MBit/s-Ports... das ist doch ein Scherz. Wobei es auch fast egal ist, da die popelige CPU vermutlich eh keine Gigabit-Ports handhaben könnte.
Generell vermutlich nichts Schlechtes, aber hat doch einen "leicht" anderen Einsatzzweck.
Außerdem solltest du vorm rumtrompeten mal dein Wissen bzgl. der "dummen" Fritzboxen auf den aktuellen Stand bringen...
Diese Abschätzigkeit einiger hier gegenüber anderen Forenteilnehmern kann einem schon hart auf die Nerven gehen.
Wenn dann bitte Omis Gartenhaus das wäre der Hardware angepasst...
Du hast die Ironie der Antwort durch die sprichwörtlich blind machende Wut der Abschätzigkeits Unterstellung nicht erfasst. Aber zu dieser Thematik ist eh alles gesagt....
hAP ist noch nicht alles es gibt auch noch heX-S. Dual Core ARM mit Gigabit, Faktor 10 in der Performance und Faktor 100 im Featureset und Sicherheit mehr als eine FB. Das ganze zum Bruchteil des Preises.
Das passt dann auch in Oma Gretes Landhaus...
Du hast die Ironie der Antwort durch die sprichwörtlich blind machende Wut der Abschätzigkeits Unterstellung nicht erfasst. Aber zu dieser Thematik ist eh alles gesagt....
hAP ist noch nicht alles es gibt auch noch heX-S. Dual Core ARM mit Gigabit, Faktor 10 in der Performance und Faktor 100 im Featureset und Sicherheit mehr als eine FB. Das ganze zum Bruchteil des Preises.
Das passt dann auch in Oma Gretes Landhaus...
Zitat von @ichbindernikolaus:
Ernsthaft?
Das Ding ist kleiner Router für Omis Landhaus, aber keine Firewall (für ambitionierte Heimanwender oder Unternehmen).
Ernsthaft?
Das Ding ist kleiner Router für Omis Landhaus, aber keine Firewall (für ambitionierte Heimanwender oder Unternehmen).
Doch, ist es unter anderem. Oder wie definierst Du "Firewall (für ambitionierte Heimanwender oder Unternehmen)"?
Alleine 100MBit/s-Ports... das ist doch ein Scherz. Wobei es auch fast egal ist, da die popelige CPU vermutlich eh keine Gigabit-Ports handhaben könnte.
Generell vermutlich nichts Schlechtes, aber hat doch einen "leicht" anderen Einsatzzweck.
Ab ca. 50 € allerdings auch mit 1G-Ports zu haben.
Zudem hatte der TO keine Anforderungen bzgl. der Bandbreite im Up- oder Downlink genannt.
Außerdem solltest du vorm rumtrompeten mal dein Wissen bzgl. der "dummen" Fritzboxen auf den aktuellen Stand bringen...
Bei FritzBox ist schon Ende Gelände wenn es um simple Firewall-Regeln geht. (Bitte korrigier mich, wenn ich einen veralteten Stand habe)
Da haben die Mikrotiks schon mehr zu bieten.
Gruß
Alex
