Heimnetz Sicherheits-Checkliste

[Nilo]

Hallo,
ich möchte mein Heimnetz so sicher, wie ohne größere Nutzungseinschränkungen möglich, machen.
Dafür wäre ich sehr dankbar, wenn wir hier eine Checkliste für die wichtigsten Einstellungen, etc am Router und PC zusammenstellen können. Dabei geht es mir hauptsächlich darum, "Angriffe von außen" abzuwehren.
Einige Bedenken bereiten mir z.b. das momentan aufgrund der NAS Festplatte an der Fritzbox SMB1 an allen Win 10 Rechnern aktiviert ist. Außerdem ist die Firewall zumindest an meinem PC relativ "nachsichtig" eingestellt, da einige Games sonst nicht funktionieren, und ich den PC manchmal als Server für Games nutze.
Und ja mir ist jetzt bewusst, das ich so niemals 99% Sicherheit erreichen kann, aber 50% sind besser als 0% also helft mir bitte dabei, alles ohne Einschränkungen im Nutzungsverhalten so sicher wie möglich zu machen.
Denn leider blicke ich bei den ganzen Guides im Internet nicht durch und möchte heute Mal alles sammeln.

Im Netz ist eine Fritzbox 7490, 3 Desktop PCs, 1 Laptop, mehrere Android Smartphones und 3 PlayStation's
Hauptsächliches OS ist Win10 (Pro)

Vielen Dank!

 

[chrigu]

Lass alles auf Standard, dann bist du gut geschützt. Stellst du im Router Sachen ein/frei ist die Sicherheit eingeschränkt. Ergo... du kannst über deine Sicherheit selber entscheiden. Smb1 zu aktivieren ist sehr schlecht. 50% Sicherheit ist 50% keine Sicherheit... respektive die Chance steht 50 zu 50 das jemand schlauer ist als du. 0% Sicherheit... auweia

 

[Merle]

ich kenne den Standard bei AVM hier nicht, aber wenn wider Erwarten UPnP aktiv sein sollte würde ich es deaktivieren.
Ports sollte man so minimalistisch und eingeschränkt wie möglich freigeben.
Zusätzliche Sicherheit bieten tatsächliche Firewalls.
Unify Security Gateway und dahinter gelagerter Switch als Beispiel.
Dir muss aber klar sein, dass Sicherheit immer, unabweichlich, Kompromisse in der Einfachheit der Bedienung bedeutet.
Bei dir, mit der FW, würde das zB ggf für Spiele auf 2 Gateways Freischaltungen bedeuten pro benötigtem Port/Range.
Ansonsten sind es in der Tat sehr selten „einfach so Angreifer von außen“ ohne politisches oder wirtschaftliches Motiv. Es sind zu 90%+ Infektionen durch Nachsichtigkeit oder Naivität beim Surfen oder in Bezug auf Mails.
Schule lieber die Anwender über Passwörter, Passwortmanager im Notfall, verschiedene Passwörter für kritische Dienste, (Spear)phishing, Zertifikatsvalidierung im Browser, Dateierweiterungen bla bla bla

 

[Nilo]

Dir muss aber klar sein, dass Sicherheit immer, unabweichlich, Kompromisse in der Einfachheit der Bedienung bedeutet.

Das ist mir völlig klar, deswegen möchte ich den für mich besten Kompromiss finden und nach Möglichkeit alle Optionen und Einstellungen richtig verwenden um bei dieser Nutzung das Maximum an Sicherheit rauszuholen.

Extra Firewall wäre zwar interessant, für meine Zwecke aber dann vlt doch etwas über dimensioniert und aufwendig...

 

[Falc410]

Es gibt weder 90% noch 50% Sicherheit, das kannst du nicht messen.
Der tipp mit UPnP ist schon gut, ansonsten solange du keine Ports freigeschalten hast, kommt so leicht niemand in dein Netz von außen - aussser es gibt eine Lücke in der Fritzbox Software - und da kannst du nichts machen.
Wichtiger ist es deine Systeme aktuell zu halten (Updates) und keine komischen Attachments zu öffnen ohne Virenscanner. Windows Defender ist schon mal ganz ok.

Die meisten "Angriffe" sind nämlich Dateien die du herunterlädst oder veraltete Browser.

 

[Nilo]

Es gibt weder 90% noch 50% Sicherheit, das kannst du nicht messen

Ja die Zahlen dienten auch mehr der Veranschaulichung, da es ja hier auch Leute gibt die einem raten, gleich das Internet abzuschalten wenn man beste Sicherheit will...

Die meisten "Angriffe" sind nämlich Dateien die du herunterlädst oder veraltete Browser.

Ja, aber davon bin ich erstmal nicht betroffen, alle Nutzer bei mir im Heimnetz weißen dahingehend genügend Vorsicht und Verstand auf. Systeme sind natürlich aktuell und auch komplette Viren und Malware scanns werden regelmäßig durchgeführt.

Mir ging es jetzt eher wirklich um die Sicherheit im Netzwerk und WLAN und da alle Sicherheitslücken zu minimieren

 

[Falc410]

Wie gesagt, deine Fritzbox macht das schon. WLAN solltest du auf WPA2 setzen damit das nicht so leicht entschlüsselt werden kann (falls du z.B. Angst hast, dass Leute von der Straße sich in dein WLAN hacken wollen).

Alles andere an zusätzlicher Hardware / Monitoring ist für Privatanwender eher overkill. Du könntest dir theoretisch einen eigenen Router mit Firewall basteln (z.B. ein pi+ oder einen richtigen Server mit pfSense) aber 1. muss man davon viel Ahnung haben 2. Paranoid sein 3. verbessert es die Sicherheit nur minimal, hilft eher beim erkennen 4. benötigt das regelmäßige Pflege und viel Zeit um die Ergebnisse auszuwerten

Laien denken oft - ich installiere mir ein Programm und dann bin ich sicher. So funktioniert das leider nicht.

 

[Nilo]

Gut, aber gibt es denn Ausser UpnP, SMB1, WPA2, Ports und Updates irgendwelche weiteren Punkte, auf die ich explizit achten sollte?
Wenn der PC im Router selbstständige Portfreigabe aktiviert hat, kann ich das so lassen?

 

[andy_m4]

ich möchte mein Heimnetz so sicher, wie ohne größere Nutzungseinschränkungen möglich, machen.

Ist so wie "wasch mich aber mach mich nicht nass".
Klar kann man was machen. Aber wenn es eher so halbherzig a-la 'ein bisschen Schutz ist besser als nix' macht, kann man es schon fast wieder sein lassen.

Dabei geht es mir hauptsächlich darum, "Angriffe von außen" abzuwehren.

Die Unterteilung ist nur bedingt sinnvoll. Irgendein Download mit schadensbringenden Potential kommt zwar irgendwie von außen, entfaltet aber seine Wirkung drinne.

Denn leider blicke ich bei den ganzen Guides im Internet nicht durch und möchte heute Mal alles sammeln.

Sicherheit ist durchaus ein komplexes Thema. Allerdings gibts da tatsächlich ein paar Maßnahmen, die relativ einfach sind und gleichzeitig viel bringen.
Allen voran wäre es sinnvoll den Einsatz von Windows für Internetgeschichten (z.B. zum Beispiel das umhersurfen; das geht mit jedem anderen System genauso gut) zu minimieren. Denn Windows ist nun mal ein überproportional häufig angegriffenes System. Wenn man das an möglichst vielen Stellen aus dem Spiel nimmt, ist schon viel gewonnen.

Einige Bedenken bereiten mir z.b. das momentan aufgrund der NAS Festplatte an der Fritzbox SMB1 an allen Win 10 Rechnern aktiviert ist.

Ja. Gleich in mehrfacher Hinsicht eine schlechte Idee. Neben dem schon genannten SMBv1, sollte man Router und Fileserver möglichst nicht auf die gleiche Hardware packen. Und wenn man das schon unbedingt tut, sauber trennen.

und auch komplette Viren und Malware scanns werden regelmäßig durchgeführt.

Vergiss solche Scans. Sie werden maßlos überschätzt. Sie geben Dir ein gutes Gefühl. Verlassen würde ich mich darauf aber nicht.

Mir ging es jetzt eher wirklich um die Sicherheit im Netzwerk und WLAN und da alle Sicherheitslücken zu minimieren

Dann möglichst kein oder wenig WLAN einsetzen. Und die Geräte das was über WLAN angeboten wird, sollte möglichst wenig können. Dafür ist das Gast-WLAN ne relativ brauchbare Funktion. So kriegt man den ganzen Android-Kram einigermaßen gebändigt. Der funktioniert aber Dir kann keiner so ohne Weiteres was, bloß weil da mal ne App "freidreht".

und ich den PC manchmal als Server für Games nutze.

Intern oder auch ins Internet? Wenns ein Server auch zum Internet sein soll, dann sollte man ihn vielleicht zusätzlich absichern.

Wenn der PC im Router selbstständige Portfreigabe aktiviert hat, kann ich das so lassen?

Ich hätte jetzt gedacht, mit selbstständigen Portfreigaben ist UPnP gemeint?
Wie auch immer: Abschalten, da Du Dich (wie oben erklärt) auch vor Angriffen von innen schützen musst.

 

[snaxilian]

UPNP aus, WLAN langen zufälligen Schlüssel wählen, auch Freunden und Gästen nur das Gäste-WLAN anbieten. Adblocker nutzen, ggf. einen Raspi mit PiHole, kein Flash nutzen, (Sicherheits)updates installieren, sowohl OS als auch alle Anwendungen, keine Software aus nicht vertrauenswürdigen Seiten herunterladen, im besten auch nicht hier bei cb sondern stets direkt beim Hersteller/Anbieter/Entwickler, keinen Code ausführen, den man nicht versteht, SMBv1 ausmachen und aus lassen.

Eine extra Firewall bringt kaum Mehrwert für den 0815 Anwender. Entweder ein Port ist offen oder eben nicht. Ob man darüber angreifbar ist hängt davon ab ob die Anwendung, die man bereit stellen will korrekt konfiguriert ist und/oder Lücken aufweist.

Habe stets ein aktuelles Backup. Besser zwei und teste auch den Restore. Denke nach bevor du auf etwas klickst. Hiervon umsetzen was möglich ist: https://twitter.com/frank_rieger/status/1081010587432308738

Selbstständige Portfreigaben ist nur eine schöne Umschreibung für UPNP oder soll sich Malware selbst die Tür aufmachen dürfen?

"Angriffe von außen" sind weniger das Problem, eher inzwischen irgendein "Smarthome" Geraffel (ich empfehle das hier als Pflichtlektüre wenn man so etwas unbedingt will: https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack und immer dran denken: Das s in iot steht für security) oder Angriffe über den Browser oder in Mails eingebettet.

 

[BeBur]

Das was snaxilian schrieb. Lass dich nicht von dem Fließtext abschrecken, dass eine Checkliste die du abhaken kannst.
Will nochmal den Aspekt sicherer Passwörter hervorheben. Speziell bei Wifi gilt: Kurzes WPA2 Passwort = ungefähr so unsicher wie WEP. Ebenso muss auch der Zugang zum Router mit einem sicheren Passwort geschützt sein.

SMB1 sollte bei dir nicht einige Bedenken auslösen sondern "Wo kriege ich eine Zeitmaschine her, damit ich es gestern abschalten kann statt morgen".
Zitat aus dem Microsoft Blog: "Stop using SMB1. Stop using SMB1. STOP USING SMB1!"

 

[Scientist]

Kleine Ergaenzung:
An einem Raspi koenntest du auch deine Platte haengen. Sollte auch etwas schneller sein als an der Fritz.
Und viele Hersteller bieten ein Hash zur Kontrolle der heurntergeladenen Dateien an.
Ueber Sinn oder Unsinn laesst sich streiten, aber es ist eine kleine zusaetzliche Kontrollmoeglichkeit.