Zugriff auf Geräte im verteilten Heimnetzwerk einschränken

Guten Morgen ☕

Vielen lieben Dank für die vielen Antworten in so kurzer Zeit.

@nachgefragt

Von ACL hatte ich gelesen, nur leider habe ich in jedem Managed-Level2-Switch in dessen Handbuch ich geschaut habe (von 3com, Dell PowerConnect, HP ProCurve, Netgear Plus) dazu nur das Blacklisten bzw. Whitelisten von MAC-Adressen an den Ports gelesen.
Port-Authentifizierung gibt es auch noch aber das ist nicht, was ich suche.
Das was dem noch am nächsten kam sind "protected Ports" beim HP ProCurve Switch 2810-24G (siehe Ausschnitt im Anhang) aber das deckt nur ein Teil des Problems ab, oder?


Also quasi ein Firewall-Router?
Das klingt nach einem naheliegend Ansatz und deckt ziemlich gut meine definierten Regeln ab.
Fast schon zu einfach um wahr zu sein, danke


Das wäre mindestens schon ein Level3-Switch (mit eingebautem rudimentärem Router).
Aber wenn das so läuft, wäre das dann nicht einfach ein Router?
Wie muss ich mir das genau vorstellen?
Kenne bisher nur so, dass man konfiguriert, über welche IP-Adresse ein Gateway in welches Subnetz führt.
Das würde aber noch nicht die Möglichkeit bieten, selektiv einzelne IP-Adressen oder Subnetze in eine bestimmte Richtung zu blocken.
Gibt es für das ACL, was du meinst noch andere Begriffe?


Dort könnte ich über einen Switch bzw. VLAN die lokalen Clients rein stecken aber dann könnten Sie nicht mehr auf MFP, NAS und LDAP zugreifen. Reicht also leider nicht aus.

@Avoton


Danke für den Hinweis

@radiogugu


Gibt es - abgesehen von AES-256-Hardware-Implementierung und den empfohlenen allgemeinen Anforderungen in den Tabellen unter https://opnsense.org/users/get-started/ - noch irgendwelche anderen Anforderungen an die Hardware?


Aktuell sind die Wohnungen gar nicht verbunden.
Sie sollen über das Internet per VPN verbunden werden.
Da geografisch betrachtet mehrere Kilometer dazwischen liegen.


Es sollen sämtliche Nutzerkonten für die Windows- und Linux-Clients zentral im LDAP verwaltet werden mit samt Home-Verzeichnissen.
In diesem Server befindet sich ein RAID1 und da die SSD keine eigene PLP besitzen, wird bei einem Stromausfall ein Herunterfahren mit einer APC Back-Ups RS 800 USV (mit frischen Akkus und getauschten Elkos) gesichert.
In regelmäßigen Abständen werden doppelte Offline-Backups im DAR-Format erfolgen die in den beiden Wohnungen gelagert werden um die 3-2-1-Regel einzuhalten.
Das heißt ich mache mir in Bezug auf Ransomware sogar wenig Sorgen um den Server, da es Backups gibt.
Aber so ein Server ist halt fast ein Honeypot und sobald der erst einmal kompromittiert ist, verliere ich unter Umständen alle Clients.
Heißt dass ich dann in 2 Wohnungen alles neu einrichten kann.. und genau das möchte ich nicht riskieren.
Also geht es mir mehr darum die Clients zu schützen und frühzeitig Angriffe erkennen und eindämmen zu können.
Stelle mir also tendenziell auch etwas in Richtung IDS und IPS mit Alert vor.


Das ist nicht der Ansatz den ich suche, sonst würde ich einfach für die Workstation-Clients jeweils eine proprietäre Personal-Firewall kaufen.
Ich suche eine Möglichkeit der Schadensbegrenzung bei einer Infektion des Netzwerkes.


Dazu würde ich gerne mehr wissen.
Habe dazu in den Handbüchern einiger Level2-Switches gelesen und verstehe es so, dass sich ein Client am Switch erst gegen einen Radius-Server authentifizieren muss, um Zugriff zu dem Port und damit zu dem Netzwerk zu erhalten.
Aber ich bin mir nicht sicher, ob ich das Prinzip richtig verstehe.
Für mich sieht das so aus als ob das darauf ausgelegt ist, die Ports zu einem als "vertrauenswürdig" betrachteten Netzwerk (in dem jedes Gerät mit jedem Gerät kommunizieren darf) gegen unerlaubten physischen Zugriff an der Hardware abzusichern.
Das ist aber nicht das was ich suche, da in beiden Wohnungen nur vertrauenswürdige Personen anwesend sind.


Wieso sollte der Komfort darunter leiden?
An den Clients selbst ändert sich doch gar nichts.


Warum andere Endgeräte?
Die Endgeräte selbst können nicht zwangsläufig als vertrauenswürdig betrachtet werden.
Meine Eltern zum Beispiel nutzen Linux-Notebooks und es gibt einen Windows-Gäste-PC.
In der anderen Wohnung steht eine Windows-Workstation, ein Windows-Notebook und ein Windows-Gaming-PC auf dem viele Spiele mit administrativen Rechten ausgeführt werden MÜSSEN, dank zwielichtiger Anti-Cheat-Engine..
Zusätzlich diverse andere Clients, die aber nur Zugriff auf Internet und NAS benötigen wie zum Beispiel die 2 MFP.
Das heißt ich kalkuliere den Verlust mindestens eines Clients und des Servers schon fest mit ein.
Ich möchte nur nicht alle Clients ständig neu einrichten müssen.

@jmueller


Was ist der Unterschied bei Mikrotik-Routern zu normalen Routern?


Das habe ich schon oft gelesen aber verstehe es scheinbar nicht so richtig.
Ich dachte immer, dass ein VLAN bloß die Aufteilung eines physischen Switches auf 2 oder mehr logische Switches bedeutet.
Das wären dann getrennte Subnetze, die ich über einen Router verbinden kann.
Broadcast-Packete würden dann auf das jeweilige Netzwerksegment begrenzt, was die Performance steigern kann.
Aber dann kann doch trotzdem jedes Gerät auf jedes zugreifen, oder nicht?

@aqui


Es soll IPSec werden.
Für Wireguard habe ich bisher einfach zu wenige Hardware-Clients gefunden.


Habe schon gelesen, dass man über den Import einer VPN-Konfiguration bei der Fritzbox auch ein Subnetz festlegen kann, in dem der VPN-Tunnel enden soll.
Aber wenn das auch feingranular geht, so dass ich sogar den Zugriff auf einzelne IP-Adressen einseitig einschränken kann, dann klingt das echt zielführend.
Danke, das schaue ich mir nochmal genauer an


Ich melde mich später nochmal, sobald entweder weitere Fragen auftauchen oder ich irgendwelche Ergebnisse zu berichten habe.


Ganz liebe Grüße,

Vivien

@nachgefragf

Aktuell besitze ich keinen dieser Switches, da ich nicht blind irgendwas kaufen wollte.
Lediglich die 2 FritzBoxen und eben die Clients und MFP's usw..

Wenn ich das "protected port" Feature mal Stück für Stück durchdenke..

Sähe das Netzwerk wie folgt aus (zunächst ohne zusätzliche UTM Firewall gedacht):

• in der Wohnung mit dem Server existieren 2 Segmente (VLAN).
• In dem einen Segment befinden sich dortiger MFP, Server
• In dem anderen Segment befinden sich alle Clients (dass WLAN dazu noch einen extra AP getrennt zur Fritzbox erfordern könnte, ignorieren wir hier erstmal)
• Die Fritzbox dient wie vorgeschlagen als VPN-Server und ist per manuellem Config-Import so eingestellt, dass VPN-Clients in das Subnetz mit den lokalen Clients kommen.

Dann wäre folgendes Möglich:

• Die lokalen Clients können auf Server und MFP zugreifen
• Die lokalen Clients können nicht auf sich untereinander zugreifen (GUT).
• Server und MFP können auf die lokalen Clients zugreifen (SCHLECHT).
• Clients welche über das VPN im selben Subnetz wie die lokalen Clients landen, können trotzdem auf alles Zugreifen, auch andere Clients, da sie sich physisch nicht am Switch befindet, sondern nur logisch und das "protected Ports" Feature nur auf OSI Level 2 arbeitet (SCHLECHT)
• Lokale Clients können trotzdem auf die fremden Clients welche über VPN kamen zugreifen, da die per VPN verbundenen Clients sich physisch nicht am Switch befindet, sondern nur logisch und das "protected Ports" Feature nur auf OSI Level 2 arbeitet (SCHLECHT)

Verstehe ich das richtig so? 🙂

@aqui


Achso verstehe, also sind damit dann bereits L3-Switches gemeint, das ergibt natürlich Sinn.

Aber wenn wir bereits bei L3-Switches sind, warum dann nicht gleich ein Router?
Wo ist da dann noch der Unterschied?


Danke, dann habe ich das schon richtig vermutet.


Das sieht schon mal gut aus, habe aber nun in der Zwischenzeit nochmals nachgedacht und neue Impulse erhalten, wodurch mir eines klar wurde:

Selbst wenn ich die Fritzbox passend einrichten kann, dann benötige ich trotzdem noch mindestens ein weiteres Gerät für OpenLDAP, NAS, HomeBox usw..

Warum also nicht gleich alles auf diesem Gerät lösen. Inklusive VPN Server und Firewall.
Also ein System auf dem Proxmox Virtual Environment (PVE) läuft und darin OPNsense, VPN Server, OpenLDAP, usw..

Vielleicht einfach alles auf einer alten Sophos UTM 220 installieren um erstmal zu testen was Sinn macht?
Zumindest Intel VT unterstützen die ja.


Ist mir bewusst aber genau das möchte ich nicht.
Auf dem Clients als den eigentlichen Endgeräten beim Nutzer soll keine VPN-Konfiguration stattfinden.

@aqui


Danke für den Hinweis, wird gemacht, wenn es endlich soweit ist
Vorher melde ich mich aber mit einer Lösung.
Aktuell bin ich immer noch nicht so weit.
Das Thema wird sich ziemlich sicher noch einige Wochen hin ziehen, bis ich eine Lösung weiß.

Ich hätte zu dem Thema übrigens noch eine grundlegende Frage:

Sowohl in L2-Switches mit DHCP-Server als auch bei VPN-Servern/Clients (z.B. FritzBox) habe ich die Möglichkeit, einzelen Geräten IP-Adressen zu vergeben.

Im Falle des L2-Switches werden aber scheinbar nur die IP-Adressen vergeben, was mir eine manuelle Zuweisung erspart.
Ein Routing findet scheinbar nicht statt.

Wie sieht das im Falle der Verwendung einer FritzBox als VPN-Client/Server aus?
Routet diese Funktion dann auch zwischen den Subnetzen oder findet hier genau wie beim L2-Switch nur die Adressvergabe statt, wenn ich die FritzBox an einem Router angeschlossen habe?
In so einem Fall fungieren ihre LAN-Anschlüsse doch nur noch als Switch, oder?
Ihr VPN dann auch?
Oder kann man das nicht so betrachten?

Ich beziehe mich dabei auf diese Anleitung:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6591-Cable/1627_IP ...
Speziell den Teil mit der Zuweisung einzelner Subnetze.

Noch eine andere, sicher banale Frage:

Wie zum Teufel finde ich eine Switch, der VLAN und IP-basierte ACL kann?
Ich suche jetzt schon seit Tagen nach 2 passenden Switches und kann die vielen Datenblätter kaum noch sehen.

Habe letztens durch Zufall einen gebrauchten sehr alten Switch auf Kleinanzeigen gefunden, bei dem im Datenblatt etwas von "ACL MAC/IP Erlauben/Verbieten" stand.
Aber ich benötige davon noch einen Zweiten und im Idealfall kein Uraltgerät.

Nach was muss ich suchen?
Ich gehe mal davon aus, dass ich bei L3-Switches IP ACL vorraussetzen kann.
Aber die sind dann auch gleich mal deutlich teuerer, lauter, komplizierter und deutlich stromhungriger.
Zuletzt zwei alte Quanta Switches mit redundanten Netzteilen gefunden.
Aber das fühlt sich an, wie mit Kanonen auf Spatzen zu schießen.

Wenn ich es ganz einfach und billig haben will, könnte ich doch einfach folgendes tun:

• billigen Level 2 Switch kaufen der kein ACL, Routing oder VLAN aber zumindest Port Aggretation kann.
• Server kaufen, der 4 Ports und Proxmox VE installiert hat

Sämtlicher Verkehr im Netzwerk wird dann einfach per Port Aggregation zu dem Server geleitet.
Dort läuft dann das Routing, die Firewall, ACL per IP und alle Dienste die benötigt werden.

Ist das richtig und eine gute Idee?
Weiß mir langsam einfach nicht mehr anders zu helfen.

Muss aber sagen, dass ich keine Ahnung von Proxmox habe.

@aqui


Wenn ich aber zum Beispiel in das Datenblatt und Handbuch des Dell PowerConnect 2824 schaue, dann sehe ich dort "DHCP Server" aber keine "IP ACL" und auch kein "Statisches Routing".
Das ist nicht der einzige Switch, den ich fand.

Darum gestaltet sich die Suche auch so schwierig.


Stimmt, so offensichtlich, tut mir leid.


Genau so mache ich es nun auch.
Dachte es gibt vielleicht irgendwelche Suchbegriffe, mit denen ich explizit nach geeigneten Switches googlen kann.
Denn aktuell die entsprechenden Switches der Hersteller Modell für Modell durchzugehen ist echt mühselig und dauert lange.


Ja, leider schon oft gelesen.
So ein Marketing-Bullshit.


Ich weiß, eher Billig-Kram.
Aber die Ausstattung war gut.
Allerdings habe ich von denen gelesen, dass sie ziemlich kompliziert seien und 4 Lüfter + 2 Netzteile (mit jeweils auch nochmal 2 Lüftern) sind einfach zu viel für zu Hause.
Da hilft dann auch kein Fan-Mod mehr.


Ich bin mit dem OSI-Refernzmodell vertraut.
Dachte Level und Layer sind hier Synonyme?
Was definierst du denn als "Level"?


Benötige übrigens mindestens 4Gbit/s, sonst habe ich einen Flaschenhals, also 4 Ports.


Cool, dann ist das also durchaus eine mögliche Lösung, danke
Das hilft mir erstmal bei meinen weiteren Überlegungen.