pfffff
Goto Top

Wie mein Heimnetzwerk besser absichern?

Hallo Forum,

ich kenne mich mit Netzwerken rudimentär aus. in einer Skala von 1-10 (10 = Experte) würde ich meinen Skill auf eine 3 setzen.
Deshalb poste ich auch hier, damit ich Input von erfahreneren Experten in dem Gebiet bekomme.

Zur Sache:
Ich habe ein Heimnetzwerk indem zwei Raspbian-Server (1x Nextcloud & 1x Wordpress) hängen. Diese sind via Portfreigabe über eine DynDNS-Adresse (habe auch eine "echte" öffentliche IPv4 Adresse) erreichbar.

Um diese beiden Server abzugrenzen, habe ich diese an einen OpenWRT-Router gehängt. Dieser Router hängt an der Fritzbox (die als Modem für das Kabelinternet dient)

Habe meine Paint-Skills (die ungefähr auf dem Level meiner Netzwerkskill sind ;)) ausgepackt und das folgende Schaubild erstellt, damit es klarer wird wie es momentan aussieht:


Damit kann ich mit am OpenWRT-Router angeschlossenen Geräten nichts im Fritzbox-Netz scannen. Auch Portscans mit Nmap wurden geblockt.

Wie bewertet ihr die Sicherheitsarchitektur? Habe ich einen Fehler/Denkfehler?
Wären noch andere Maßnahmen sinnvoll oder vielleicht sogar sinnvoller?
pfff

Content-ID: 6811048225

Url: https://administrator.de/forum/wie-mein-heimnetzwerk-besser-absichern-6811048225.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

Visucius
Visucius 17.04.2023 aktualisiert um 19:05:57 Uhr
Goto Top
Ne bestimmt doofe Frage:

Warum nicht anders herum? Zuerst (Fritze) das „unsichere“ Netz und dahinter dann das „sichere“ Netz?
aqui
aqui 17.04.2023 aktualisiert um 21:02:12 Uhr
Goto Top
Ist gar nicht so doof, denn das o.a. Design ist eigentlich unsinnig. Gut gedacht aber völlig falsch umgesetzt.
Es ist ja nicht anderes als eine DMZ des kleinen Mannes.
Nur das hier der Fauxpas begangen wurde ungeschützen Internet Traffic nicht nur in die DMZ zu senden sondern sie auch noch gleich weiter ins private Netz. Damit führt man so ein Konzept natürlich völlig ad absurdum.
Die im Internet freigegebenen Rechner gehören in logischerweise die DMZ (Koppelnetz zw. FB und OpenWRT) damit das private Netz.
So wie oben ist der kaskadierte Router nur ein unnützer Durchlauferhitzer der Strom frisst.
Fritzbox (die als Modem für das Kabelinternet dient)
Die FritzBox ist kein Modem sondern ein Router! Kleiner aber feiner Unterschied!
pfffff
pfffff 17.04.2023 um 22:00:31 Uhr
Goto Top
Zitat von @Visucius:

Ne bestimmt doofe Frage:

Warum nicht anders herum? Zuerst (Fritze) das „unsichere“ Netz und dahinter dann das „sichere“ Netz?

Weil ich die Fritzbox als erste Komponente wegen ihrer Modem-Funktionalität (dh Das Internet kommt als Koaxial an und muss zu RJ45 "umgesetzt" werden) brauche. Der OpenWRT ist nur ein alter TP-Link, mit dem man so etwas nicht machen kann.
Warum ich die Fritze als "sicheres"/Hauptnetz habe ist, weil es nicht nur als VPN Entrypoint dient, sondern vor allem Wifi6 bietet (was für die "sicheren" Geräte von Vorteil ist), etwas was der alte TP-Link nicht bietet


Zitat von @aqui:

Ist gar nicht so doof, denn das o.a. Design ist eigentlich unsinnig. Gut gedacht aber völlig falsch umgesetzt.
Es ist ja nicht anderes als eine DMZ des kleinen Mannes.
Nur das hier der Fauxpas begangen wurde ungeschützen Internet Traffic nicht nur in die DMZ zu senden sondern sie auch noch gleich weiter ins private Netz. Damit führt man so ein Konzept natürlich völlig ad absurdum.
Die im Internet freigegebenen Rechner gehören in logischerweise die DMZ (Koppelnetz zw. FB und OpenWRT) damit das private Netz.
So wie oben ist der kaskadierte Router nur ein unnützer Durchlauferhitzer der Strom frisst.
Fritzbox (die als Modem für das Kabelinternet dient)
Die FritzBox ist kein Modem sondern ein Router! Kleiner aber feiner Unterschied!

Der "unsichere" Traffic wird doch nur im Rahmen der Port-Weiterleitung ("Was auf Port 443 kommt, schicke weiter an OpenWRT-Router") durchgeschleust und Geräte vom OpenWRT-Netz können nicht auf das Fritzboxnetz zugreifen. Deshalb dürfte doch eigentlich keine Gefahr vorherrschen, oder?

Mein Ziel war, die Server vom Fritzboxnetz abzuschotten, das wenn da etwas am Server passiert, der Rest nicht betroffen ist.

Leider kann ich die Reihenfolge beider Router (erst Fritze dann OpenWRT) nicht umändern. Weil irgendwie vom Koaxial auf RJ45 gekommen werden muss. Das meinte ich mit "Modemfunktion" der Fritze.
Und die Clients umändern (dh. unsichere Netz die Fritze und sicheres der OpenWRT) geht nicht, weil ich die Wifi6-Funktion, Telefonanlage und VPN-Funktionalität der Fritzbox brauche.
techSmile
techSmile 17.04.2023 aktualisiert um 22:30:55 Uhr
Goto Top
Nun, was spricht dagegen alles auf dem Raspi auszuführen? Backup natürlich vorausgesetzt

DHCP der FRITZ!Box aus und das auf den Raspi verlagern, inkl. der erforderlichen Portfreigaben. Mit diesem lässt sich so einiges realisieren, was den OpenWRT Router eigentlich überflüssig macht und du durch den nicht verbrauchten Strom auch nochmal ein paar Euronen sparen kannst.

Beschäftige dich mit folgenden Themen:
UFW
Reverseproxy (um beide Dienste auf einem Raspi laufen zu lassen)
NAT

Edit: Ich habe einen Denkfehler - was spricht dagegen Raspi und FRITZ!Box im gleichen Netz laufen zu lassen? Gateway ist dann aber der Raspi der alles weiterleitet und über die FW nochmal absichert?

Doppel-NAT macht für die Sicherheit irgendwie keinen Sinn für mich.

Gruß
aqui
aqui 18.04.2023 um 09:06:43 Uhr
Goto Top
Doppel-NAT macht für die Sicherheit irgendwie keinen Sinn für mich.
Ginge ja auch ohne wenn man das NAT auf dem OpenWRT deaktiviert! face-wink
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
commodity
commodity 18.04.2023 aktualisiert um 09:27:02 Uhr
Goto Top
Deshalb dürfte doch eigentlich keine Gefahr vorherrschen, oder?
Die Gefahr ist nicht besonders groß, aber eben strukturell angelegt:
Du setzt den OpenWRT mit der Portweiterleitung dem Traffic aus dem Internet aus. Eine Lücke auf dem OpenWRT kann zu dessen Übernahme führen und damit ist der Angreifer auch im "sicheren" Netz, was bei Dir ja das Koppelnetz ist.

Bei der klassischen "DMZ des kleinen Mannes" (Frauen eingeschlossen) verhindert die NAT-(Paketfilter-)Funktionalität des zweiten Routers den Durchgriff ins sichere Netz, selbst wenn der zum Internet exponierte Router übernommen wird.

Das Konzept ist daher fehlerhaft. Wenn man in so einem Setup eine Fritzbox-Funktionalität braucht, kommt sie nach hinten. Nur für die Wifi6-Funktionalität (Du meinst eher WPA3) eine DMZ aufzuweichen ist sicherlich kein Plus in Sachen Sicherheit. WPA2 ist, zumal auf einem OpenWRT sicher genug.

Viele Grüße, commodity

Edit: Double-NAT ist imo Grundlage des Konzepts der "DMZ des kleinen Mannes" und sollte dort nicht deaktiviert werden. In der bestehenden Umsetzung kann man es sich allerdings sparen.
Visucius
Visucius 18.04.2023 um 12:56:14 Uhr
Goto Top
Wären noch andere Maßnahmen sinnvoll oder vielleicht sogar sinnvoller?
Tausch der Netze, wie oben schon mehrfach geschrieben und ergänze eben einen Wifi6-Accesspoint am, bzw. hinter dem OpenWRT-Router. Mit der richtigen HW könntest Du dann auch (zusätzlich) noch vLANs einführen.
pfffff
pfffff 18.04.2023 um 13:54:13 Uhr
Goto Top
Verstehe.

Das Problem des "Feld von hinten aufrollen" (was commodity beschrieb) ist einleuchtend, ich weiß aber echt nicht wie ich das anders lösen sollte mit den vorhandenen Mitteln.
Wie kann ich die Fritze "nach hinten" stellen, wenn sie als Coaxial -> Ethernet RJ45 Wandler dient? Deshalb ja auch die ganze Bastelei.

Um eine richtiges DMZ-Konzept zu haben müsste ich also im Grund ein weiteres Gerät (Kabelmodem) holen.
Dann könnte ich die Netze auch wirklich trennen: "Modem -> Switch -> Router 1 & Router 2 an unterschiedlichen SwitchPorts".

Hatte gehofft man kann ein Netz auch innerhalb eines anderen Netzes mit OpenWRT so abschotten, das es sicher ist, ohne das man man wieder einiges umbauen bzw neue Gerätschaften holen muss.

@techSmile
Spricht nichts dagegen mit UFW einen Raspi so abzuschotten, wie es der OpenWRT momentan macht, nur geht es nicht nur um den einen Raspi, sondern auch um andere Raspis (Hyperlapse-Kamera) und Gerätschaften wie TVs.
So ist das halt recht komfortable:
1) Bekommt der OpenWRT-Router- dadurch das er an der Fritze hängt - einen pihole als DNS-Server.
Dh jedes Gerät - selbst im unsicheren Netz - bekommt nur einen gefilterte DNS - ohne das der pihole im unsicheren Netz hängen muss.
2) Kann man schnell einfach neue Geräte anhängen, ohne das man lokal auf den Maschinen etwas in der Firewall (wenn es überhaupt geht) blockieren muss.
commodity
Lösung commodity 18.04.2023 um 17:17:41 Uhr
Goto Top
Um eine richtiges DMZ-Konzept zu haben müsste ich also im Grund ein weiteres Gerät (Kabelmodem) holen.
Das ist Variante 1. Variante 2 hat Kollege @Visucius schon beschrieben. Variante 3: Ohne Wifi6 leben und den OpenWRT das WLAN machen lassen. Geht inzwischen auch mit WPA3.

Viele Grüße, commodity
improver
improver 24.04.2023 um 10:21:08 Uhr
Goto Top
Hallo zusammen,
ich lese gerne Beiträge zu dem Thema Netzwerk, insbesondere die Absicherung eines Netzwerks:

Gibt es Literatur / Online Kurse, welche empfehlenswert sind?

Ein "lab" habe ich hier, nur keine Idee, was alles so möglich ist mit, wenn ich an Stichpunkte denke wie,
vlan, routing, dpi, ids

grundsätzlich ist mir Tanenbaums "Computer Networks" bekannt, jedoch noch nicht gelesen.

für jeden Hinweis im voraus dankbar.
aqui
aqui 24.04.2023 um 11:47:47 Uhr
Goto Top
Wenn du in deinem "Lab" eine Firewall wie z.B. pfSense oder OPNsense dein eigen nennst (kann gerne auch eine VM sein) dann kannst du doch schonmal fröhlich loslegen und dich an Firewall Regeln abarbeiten:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bei einem Layer 3 VLAN Switch sind es dann IP Accesslisten oder sofern vorhanden, dort auch eine embeddete Firewall.
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Die Security Spielwiese ist bekanntlich riesengroß... 😉
improver
improver 24.04.2023 um 15:46:07 Uhr
Goto Top
Danke aqui!
und chapeau: sehr umfangreich erstellte Beiträge, daran sitze ich die kommenden Tage.

Eine OPNSense steht zur Verfügung.

Ist dir vielleicht ein Buch zur OPNSense bekannt, oder ein anderes welches Netzwerkthemen durcharbeitet?
Ich bin grundsätzlich Pragmatiker, also "learning by doing",
doch ein Nachschlagewerk mit Stichwortverzeichnis wäre sehr hilfreich, so etwas wie die Westermann Bücher.
Noch schicker wären
"die Abenteuer eines Datenpakets"
face-smile

Gruß
pi
commodity
commodity 24.04.2023 um 16:39:10 Uhr
Goto Top
Lesen ist immer super!

https://docs.opnsense.org/
https://docs.netgate.com/pfsense/en/latest/

Wenn Du auf Prosa verzichten kannst. Der Tanenbaum ist Prosa und sehr zu empfehlen (alt aber (macht sich) bezahlt...).

Viele Grüße, commodity
improver
improver 24.04.2023 um 17:42:11 Uhr
Goto Top
Dankeschön!

Den Tanenbaum habe ich in 5ter Version.
aqui
aqui 24.04.2023 aktualisiert um 17:51:10 Uhr
Goto Top
Ist dir vielleicht ein Buch zur OPNSense bekannt
Sollte eigentlich jedem bekannt sein der eine OPNsense stehen hat oder in der Lage ist bei Amazon nach entsprechender Literatur zu suchen. face-wink
Guckst du HIER.
improver
improver 26.04.2023 um 17:01:25 Uhr
Goto Top
Danke dir, dieses Buch habe auch ich als einziges Nachschlagewerk gefunden.
Hast du das Buch gelesen und kannst es direkt empfehlen?

Es ist ein so umfangreiches Thema, ich komme mir vor wie vor 25 Jahren, als ich meinen ersten Windows Rechner dazuzustehen hatte und nicht wusste, wo ich anfangen soll.

Ich werde mich zunächst durch deine (@aqui) Beiträge arbeiten und sehe dann weiter.

Am liebsten würde ich 2 Wochen an einem Kurs teilnehmen, alle Arbeit liegen lassen und dann "frisch gedopt" wieder ans Werk zurück.
aqui
aqui 26.04.2023 aktualisiert um 18:18:45 Uhr
Goto Top
Kann man empfehlen!
Es ist ein so umfangreiches Thema
Nein nicht wirklich. Simple Basics, aber was umfangreich ist und was nicht ist ja wie immer relativ im Auge des Betrachtes.
Setze dir ganz einfach 2 lokale LAN Segmente auf an deiner Firewall und setze in jedes dieser Segmente mal einen PC oder Raspberry Pi oder was auch immer und spiel dort einfach mal mit dem Regelwerk etwas rum.
Zuerst machst du mal alles mit einer any zu any Regel auf und checkst die Connectivity der Rechner. Dann blockst du mal gewisse Dinge und prüfst ob das die erwartbaren Auswirkungen hat.
Z.B. indem du auf einem PC mal einen kleinen Webserver startest wie HFS der keine Installation benötigt und einfach mal den Webzugang mit TCP 80 blockierst.
https://www.rejetto.com/hfs/
Unverzichtbar ist auch der Wireshark mit dem du genau sehen kannst welche Pakete wo ankommen und ob das gewollt ist oder nicht und wie diese sich im Netzwerk bewegen. Das schafft jede menge Aha Erlebnisse!
https://www.wireshark.org
https://www.heise.de/ratgeber/Fehler-erschnueffeln-221587.html

Nimm dir pro Abend, Nachmittag oder Wochenende eine Firewall Aufgabe vor was du realisieren willst, setzt das auf und testest das.
Das ist dann "Selbstdoping" und hat den Vorteil das da viel mehr hängen bleibt vom Wissen als wenn du im Kurs etwas theoretisch vorgekaut bekommst.
So kannst du dich spielerisch wunderbar Schritt für Schritt an das Thema herantasten und viel lernen durch Praxis.
Solltest du partout nicht weiterkommen, dann weisst du ja jetzt wo du fragen musst! 😉
commodity
commodity 26.04.2023 um 23:39:12 Uhr
Goto Top
Unverzichtbar ist auch der Wireshark...
Das kann ich nur unterschreiben. Hat mir gerade wieder den Weg geleitet face-smile

Es ist ein so umfangreiches Thema
Ja, wenn man nicht @aqui ist, ist das so. Vor allem am Anfang. Schon allein die Menge an "Basics" erschlägt. Und vieles hängt zusammen. Aber die Hinweise des Kollegen @aqui stimmen auch didaktisch zu 100%. Schritt für Schritt vorgehen und sich immer wieder an kleinen Zielen versuchen. Und versuchen, die Ergebnisse zu verstehen. Drüber schlafen, mal eine Woche sacken lassen, oder einen Monat - immer im eigenen Tempo bleiben und nicht eilig werden.

Viele Grüße, commodity
improver
improver 30.04.2023 um 01:36:14 Uhr
Goto Top
@aqui und commodity:
herzlichen Dank!

Der Vorschlag "Ziel für Ziel" hilft mir sehr und nimmt den Druck raus.

Mit dieser Unterstützung freue ich mich aufs "Selbstdoping" face-smile

Gruß
pi