Heimnetz umbauen?

[gabrielsaw]

Hallo zusammen,

Vorhaben:
ich habe aktuell folgenden Plan. Ich möchte von überall aus per Laptop bzw. Smartphone auf meine Diskstation aus zugreifen. Ich möchte dort wahlweise Daten lesen oder auch mal mir herunterladen (z.B. Bilder, Dokumente etc.).

Wissensstand:
Da fängt es schon etwas an. Ich habe leider nicht extrem viel Ahnung aber ich möchte und werde mich in das Thema einarbeiten. Leider habe ich zu Hause nicht viel Equipment, um mich in das Thema "Netzwerke" einzuarbeiten (bin Softwareentwickler). Ich möchte keinen Profi anheuern, da ich davon überzeugt bin das ich das Thema auch für die Arbeit einsetzen kann.

Fragen:
Wie kann ich an das Thema herangehen?
Muss ich mein Heim-LAN ein wenig "umbauen" um es sicherer zu machen? Wenn ja, wie?
Welche Hardware / software sollte ich ggfs. für eine Sicherung meines Heimnetzwerkes verwenden?
Welche Software kann ich für den Zugriff auf mein NAS verwenden?


Hier noch ein paar Eckdaten zu meinem Heim-Netz.

VLAN10 - Management
VLAN20 - Homeoffice (1-2 Computer + Smartphone)
VLAN30 - Unsichere Devices (Alexa, Teufel-Lautsprecher...)
VLAN40 - Gäste

Ich habe mir 4 VLANs gebaut. Das Management-LAN steht dabei für quasi einen "Vollzugriff". Alle dienen etwas zur Sicherheit. Anbei noch ein Bild mit meinem Aufbau.

Aktuell eingesetzte HW:
Ubiquiti DreamMachine (incl. CloudKey)
Ubiquiti 8 Port Switch
Ubiquiti AP/AC Pro
Synology Diskstation 918+
Devolo MAGIC 2 LAN

Clients:
ca. 10


LG gabrielsaw

 

[beni_fs]

Ähm, wundert mich, dass noch keiner geantwortet hat. Entweder ist es einfach oder ich überseh was und es kommt mir nur einfach vor. Ich sehe zwei Möglichkeiten:

• Du stellst es so ein, dass die Diskstation vom Internet aus erreichbar ist (z.B. Portforwarding, würde ich aber nicht empfehlen, weil)
• Du schaltest auf deiner Unifi Dream Machine den VPN Server an und verbindest dich über einen verschlüsselten Tunnel mit deinem Heimnetzwerk (Virtual Private Network)

Welche Geschwindigkeiten die Dream Machine via VPN hinbekommt, kann ich dir nicht sagen. Durch VPN bist du virtuell vor Ort in deinem Heimnetz, deine Diskstation hängt also nicht öffentlich erreichbar im Internet. Dein Heimnetzwerk kannst du auf jedes Gerät ausgedehnen, das Internetzugriff hat und auf dem ein VPN Client läuft, dem du die Zugangsdaten deiner Dream Machine mitteilst. Also nicht ein leicht knackbares Passwort für die Verbindung wählen.​

Offtopic: Wie malt man solche Bilder, bzw. welche Grafikbibliothek ist das?

 

[gabrielsaw]

@beni_fs
Vielen Dank für deine Antwort. Ich werde mich weiter in das Thema einlesen. Ich hätte noch eine Frage. Wie sicher ist VPN? Muss ich mein Heimnetzwerk ggfs. noch so etwas wie mit einer zwischengeschalteten PFSense/OPNSense-Firewall zusätzlich absichern?

zu deiner Offtoppic-Frage. Ich habe das einfach mit der kostenlosen Browser-App https://app.diagrams.net/ gemacht. Ging relativ einfach.

 

[beni_fs]

Puh, das ist nicht so mein Feld. Deine Dream Machine hat ja eine Firewall integriert. Eine PFSense/OPNSense wird dir wahrscheinlich deutlich mehr und feinere Einstellungsmöglichkeiten bieten. Ob die nötig sind und das Netzwerk sicherer machen? Wenn man damit umgehen kann bestimmt, ansonsten ist man mit ner Fritz!Box z.B. ja auch nicht ungeschützt im Internet unterwegs.

Salopp gesagt: Eine Firewall sollte von außen alles abweisen, was nicht auf der "Du darfst"-Liste steht. Auf der "Du darfst"-Liste steht im Normalfall das drauf, was von innen angefordert wird. Wenn du in der Firewall nun z.B. Port 80 sperrst, kannst du keine normalen, unverschlüsselten Webseiten mehr aufrufen. Im Moment wird deine Firewall VPN Anfragen von außen blocken, hat ja keiner von innen angefordert. Wenn du nun auf der Dream Machine den VPN Server einschaltest, leitet die Firwall diese Anfragen von außen an den VPN Server weiter, du bist also noch nicht im Heimnetz. Wenn der VPN Server entscheidet, dass alles gut ist (Verschlüsselung, Benutzername, Passwort, ...), dann lässt dieser dich ins Heimnetz rein. Man muss halt darauf achten (so oder so), dass man Sicherheitsupdates regelmäßig auf der Dream Machine installiert. Normalerweise sollte ein VPN-Verbindung keine offensichtliche Sicherheitslücke erzeugen, bzw. keine Gefahr erzeugen die größer ist als das die, dass du eh schon im Internet unterwegs bist.

Zitat Wikipedia:​

Abhängig vom verwendeten VPN-Protokoll lassen sich die Netzwerkpakete meist verschlüsseln. Da die Verbindung dadurch abhör- und manipulationssicher wird, kann eine Verbindung zum VPN-Partner durch ein unsicheres Netz hindurch aufgebaut werden, ohne dabei ein erhöhtes Sicherheitsrisiko einzugehen. Alternativ dazu lassen sich über VPN auch ungesicherte Klartextverbindungen aufbauen.