Internes Netzwerk von Grund auf neu aufbauen

[TastyBurrito]

Guten Morgen,

Ich habe momentan ein Netzwerk, das etwas chaotisch ist. Ich wollte dieses nun von Grund auf neu aufbauen.

Das Haus hat 4 Stockwerke. Jedes Zimmer besitzt 2 Ethernet Dosen.

Ich bekomme mein Internetzugang über eine Fritz!Box. Diese wird aber nur zum Internetzugang und DHCP benutzt. Momentan habe ich einen 1Gb Switch, der die Ethernet Verbindungen des Hauses intern verbindet. Es ist aber nur ein normaler Switch.

Da ich das Netzwerk etwas sicherer gestalten wollte, habe ich an einen managed Switch gedacht. Ich habe schon ein wenig über ACL und ACE gelesen, wollte aber mal nachfragen, was ihr an Gedanken habt.

Also meine Idee ist nun:

Die Fritz!Box an einen managed Switch anschließen. (kein DCHP oder irgendwas, nur als reiner "Modem")

Ein Mesh WLAN erstellen (momentan mit Fritz Hardware)

- 0. Stock - Fritz!Box 7530 - (als Mesh Master)

- 1. Stock - Fritz!Box 7490 (als Ethernet AP) + Fritz Repeater 1200 (als Ethernet AP)

- 2. Stock - Fritz Repeater 1750E (als Ethernet AP)

- 3. Stock - Fritz Repeater 1750E (als Ethernet AP)

- Ich habe noch einen Fritz Repeater 1200AX, den ich gegebenenfalls für ein Funkloch ausnutzen kann.

Der mangaged Switch soll auch als DHCP funktionieren.

Alles, was im LAN angeschlossen wird, soll nur Zugang zum internen Netzwerk haben, wenn die MAC Adresse freigeschaltet wurde.

Alles, was im WLAN verbunden wird, soll Zugang zum Internet haben, aber nur durch Freischaltung der Mac Adresse, Zugang zum internen Netzwerk. (wenn möglich sogar bei unbekannten Geräten die Geschwindigkeit drosseln)

Kann man auch Vlans (oder Gruppen) mit Mac Adressen erstellen, oder nur mit den Ports? Ich möchte, dass z.B. meine Amazon/Google Geräte von 19h00-07h00 nicht mehr "nach Hause telefonieren" dürfen .

Nett wäre, wenn ich eine WireGuard Verbindung nach Hause machen könnte, um Zugang zu meinem internen Netzwerk zu haben. Wenn das nicht möglich ist, kann ich immer noch mein Fritz VPN Access nutzen. (Meine IP Kameras sperre ich z.B. das Internet total, wenn ich also darauf zugreifen möchte, verbinde ich mich mit VPN nach Hause und schaue sie dann lokal über meinen NAS Server.)

Gäbe es eine App, mit der man verschiedene Abläufe schneller erledigen könnte. (z.B. wenn ein neues Gerät im WLAN verbunden wird, dass ich die MAC Adresse des Gerätes sofort über die APP annehmen kann und nicht über die ganzen Web Panel fahren muss. Dies ist eine Wunschvorstellung und ich glaube, dass das eher nicht der Fall sein wird )

Ich habe auch einen eigenen internen DNS-Server, was den ganzen heimlichen Datenverkehr der "großen Anbieter" etwas reduziert. Dieser müsste natürlich auch integriert werden.

Ich habe bestimmt noch etwas vergessen, aber das ist jetzt mal das Wichtigste.

Habt ihr vielleicht noch Tipps, was wichtig wäre und welchen managed Switch würdet ihr mir empfehlen, der meine Punkte abdecken würde. Ich bin ganz neu auf dem managed Switch Markt und wenn ich in die richtige Richtung gelenkt werde, werde ich mir auch schnell das Wissen aneignen

Vielen lieben Dank für alle Tipps,

MfG

Marc

 

[RiversOnRevers]

Zeichne doch einen Netzwerkplan was du vor hast. Macht die Angelegenheit etwas einfacher.
Dann kann man dazu zeichnen wo du was integrieren könntest

 

[conf_t]

Ich habe schon ein wenig über ACL und ACE gelesen

ACLs sind nicht Stateful und vor allem was willst du damit erreichen? ACLs sind ja nur ein Baustein und wird nicht nur unbedingt für Sicherheit genutzt. Was willst du denn im Heimnetz einschränken? Ins Internet werden wohl alle Geräte müssen (Updates). Und das ließe sich sogar in der FB regeln. Nicht selten ist eine Netztrennung besser (um z.B. IoT vom Rest zu trennen) am einfachsten mit einer Routerkaskade.

Ergänzung (3. März 2023)

aber nur durch Freischaltung der Mac Adresse

Das ist Schlangenöl, eine MAC ist schnell gefaket und viele Smartphones arbeiten mit virtuellen, generierten MAC Adressen

 

[Drewkev]

Alles, was im WLAN verbunden wird, soll Zugang zum Internet haben, aber nur durch Freischaltung der Mac Adresse, Zugang zum internen Netzwerk. (wenn möglich sogar bei unbekannten Geräten die Geschwindigkeit drosseln)

In meinen Augen unnötiger Aufwand, vor allem weil Smartphones die MAC-Adresse ändern (können) und diese zudem generell relativ leicht änderbar ist.

 

[conf_t]

Kann man auch Vlans (oder Gruppen

Sind ohne Netztrennung per Firewall weitestgehend sinnfrei

Nutze doch das vorhandene:

Alles, was "nicht vertrauenswürdig" ist kommt ins Gast-(W)LAN und alles was vertrauenswürdig ist ins normale (W)LAN. Das Gast-LAN kannst du mit einer zweiten Patchung von Gast-LAN-Port (LAN4) der FB auf den Switch mit dortiger Zuweisung eines eigenen VLANs sogar bis zu der Ethernet-Dose bringen, wo du es ggf brauchst. GastWLAN kommt per Fritz-Mesh bis zu jedem Accesspoint.

Bevor du wild irgendwas implementierst mach dir mal klar, was du erreichen willst, vor was konnkret du dich schützen willst. Formuliere das aus und dann kann man schauen, welche Maßnahmen sinnvoll sind. Ich sage mal so, VLAN und ACL alleine ist so löchrig wie Schweizer Käse.

Weil einfach was implementieren, weil das Gerät es kann bringt nicht mal mehr Sicherheit aber mehr Aufwand und Kosten.

 

[Luftgucker]

Man sollte auch bedenken dass der Kram rund um die Uhr Strom braucht. Weniger ist hier mehr und lieber neue gute Hardware als ein Sack voll altes Zeug.

 

[Joe Dalton]

Moin,

Ich habe momentan ein Netzwerk, das etwas chaotisch ist. Ich wollte dieses nun von Grund auf neu aufbauen.

Es das ist berufliche oder private Spielwiese?

Da ich das Netzwerk etwas sicherer gestalten wollte, habe ich an einen managed Switch gedacht. Ich habe schon ein wenig über ACL und ACE gelesen, wollte aber mal nachfragen, was ihr an Gedanken habt.

Die Zeit kannst Du Dir sparen: ACLs sind nichts, womit man noch einen Blumentopf gewinnen könnte.

Der mangaged Switch soll auch als DHCP funktionieren.

In größeren Netzen ist es sinnvoll, zwei DHCP-Server zu haben. Ob das mit einem Switch sinnvoll ist, darüber lässt sich streiten. Ich würde an der Stelle eher eine Firewall, einen pi-hole oder was anderes machen lassen.

Alles, was im LAN angeschlossen wird, soll nur Zugang zum internen Netzwerk haben, wenn die MAC Adresse freigeschaltet wurde.

Das ist viel Aufwand für wenig Ergebnis... wenn Du Dein Netz absichern willst, dann schaue eher nach 802.1X und RADIUS. Die Absicherung auf Basis von MAC-Adressen ist Kinderkram und nur in wenigen Fällen sinnvoll (und dann auch nur in Kombination mit anderen Maßnahmen).

Alles, was im WLAN verbunden wird, soll Zugang zum Internet haben, aber nur durch Freischaltung der Mac Adresse, Zugang zum internen Netzwerk. (wenn möglich sogar bei unbekannten Geräten die Geschwindigkeit drosseln)

siehe oben: 802.1X
Abgesehen davon bräuchtest Du eine Firewall um die Netze sinnvoll zu trennen.

Kann man auch Vlans (oder Gruppen) mit Mac Adressen erstellen, oder nur mit den Ports? Ich möchte, dass z.B. meine Amazon/Google Geräte von 19h00-07h00 nicht mehr "nach Hause telefonieren" dürfen .

Was möchtest Du damit erreichen? Die gesammelten verschicken sie dann halt um 07:01 Uhr. Wichtiger wäre es eher, wenn sie in separaten Netzen laufen würden.

Nett wäre, wenn ich eine WireGuard Verbindung nach Hause machen könnte, um Zugang zu meinem internen Netzwerk zu haben. Wenn das nicht möglich ist, kann ich immer noch mein Fritz VPN Access nutzen. (Meine IP Kameras sperre ich z.B. das Internet total, wenn ich also darauf zugreifen möchte, verbinde ich mich mit VPN nach Hause und schaue sie dann lokal über meinen NAS Server.)

Lass eine vernünftige Firewall laufen, die Dir Deine Netze trennt und nach außen VPN anbietet.

Gäbe es eine App, mit der man verschiedene Abläufe schneller erledigen könnte. (z.B. wenn ein neues Gerät im WLAN verbunden wird, dass ich die MAC Adresse des Gerätes sofort über die APP annehmen kann und nicht über die ganzen Web Panel fahren muss. Dies ist eine Wunschvorstellung und ich glaube, dass das eher nicht der Fall sein wird )

siehe oben: Absicherung auf Basis von MAC-Adressen hat mehr etwas von Arbeitsbeschaffungsmaßnahmen.

Ich habe auch einen eigenen internen DNS-Server, was den ganzen heimlichen Datenverkehr der "großen Anbieter" etwas reduziert. Dieser müsste natürlich auch integriert werden.

Jepp... eigene DNS-Server verhindern so etwas... nicht.
Schau Dir mal an, was DNS macht und wozu es gebraucht wird. Wenn jemand etwas "heimlich" verschicken will, dann ist er mit Sicherheit nicht auf Deinen DNS-Server angewiesen.

Ich habe bestimmt noch etwas vergessen, aber das ist jetzt mal das Wichtigste.

Außer Paranoia lese ich jetzt nichts wesentliches auf der Anfrage raus.
Beschäftige Dich mit den Grundlagen von DNS und 802.1X/RADIUS. Damit kannst Du Dir dann überlegen, wie Du Dein Netz gestalten willst und ob es Dir den Aufwand wert ist.

Habt ihr vielleicht noch Tipps, was wichtig wäre und welchen managed Switch würdet ihr mir empfehlen, der meine Punkte abdecken würde. Ich bin ganz neu auf dem managed Switch Markt und wenn ich in die richtige Richtung gelenkt werde, werde ich mir auch schnell das Wissen aneignen

Switch mit Unterstützung für 802.1X, dito für WLAN.

Grüße,
Christian

 

[Raijin]

Ich fürchte, dass du grundlegend falsche Vorstellungen hast.

Da ich das Netzwerk etwas sicherer gestalten wollte, habe ich an einen managed Switch gedacht.

Was ist deine Definition von "Sicherheit"? Wovor willst du dich konkret schützen? Es gibt nicht die eine Gefahr im Netzwerk und nicht den einen Schutz, der vor allem schützt. Es gibt verschiedene Angriffsvektoren wie zB Angriffe aus dem Internet auf Portweiterleitungen, lokale Angriffe auf das WLAN oder auch Angriffe von innen durch Geräte, die mit Malware infiziert sind. Verschiedene Angriffe, die verschiedene Maßnahmen erfordern - und vor allem ein gewisses KnowHow über die Art der Angriffe selbst.

Die Fritz!Box an einen managed Switch anschließen. (kein DCHP oder irgendwas, nur als reiner "Modem")
[..]
Der mangaged Switch soll auch als DHCP funktionieren.

Fritzboxxen unterstützen keinen Modem-Modus mehr. Und selbst wenn, bräuchtest du dann einen Router, der dieses Modem bedient. Ein managed Switch bietet zwar "Inter-VLAN-Routing", ist aber dennoch kein Router im eigentlichen Sinne, weil er nur rudimentäre Routing-Funktionen übernimmt.

Ein Mesh WLAN erstellen (momentan mit Fritz Hardware)
[..]
Kann man auch Vlans (oder Gruppen) mit Mac Adressen erstellen, oder nur mit den Ports?

FritzHardware unterstützt keinerlei VLANs. Mit Fritz könntest du maximal das Haupt- und das Gastnetzwerk als VLANs im Haus verteilen. Außerdem sind VLANs unterm Strich nur verschiedene (virtuelle) Netzwerke, die für sich genommen erstmal 0 Sicherheit bieten, weil "eine Straße" auch keine Sicherheit bietet, sondern nur einen asphaltierten Weg, nicht mehr und nicht weniger. Mit einem managed Switch kann man VLANs routen, aber wie beschrieben hat das Grenzen, weil der Anwendungsfall nicht 1:1 dem eines Internetrouters entspricht.

Alles, was im LAN angeschlossen wird, soll nur Zugang zum internen Netzwerk haben, wenn die MAC Adresse freigeschaltet wurde.
[..]
Alles, was im WLAN verbunden wird, soll Zugang zum Internet haben, aber nur durch Freischaltung der Mac Adresse, Zugang zum internen Netzwerk.

Bitte nicht. Bist du dir darüber im Klaren, dass DU der einzige bist, der sich damit einen nicht zu unterschätzenden Aufwand einhandelt? MAC-Spoofing ein Begriff? Jeder potentielle Angreifer kann und wird binnen Sekunden eine gültige MAC-Adresse gefunden und bei sich eingestellt haben. MAC-Filter bieten keinerlei Sicherheit. Sowas wird nicht mal in Firmen-Netzwerken gemacht bzw. da setzt man maximal Port Security an den managed Switches ein, die den Port hart abschalten, wenn eine fremde MAC erkannt wird. Für private Netzwerke ist das aber - sorry - vollkommener Unsinn. Einzige Ausnahme wäre vielleicht eine LAN-Dose im Außenbereich, die frei zugänglich ist.

Ich möchte, dass z.B. meine Amazon/Google Geräte von 19h00-07h00 nicht mehr "nach Hause telefonieren" dürfen

Wieso nur nachts? Glaubst du Amazon/Google interessiert dein Zeitplan? Wenn die was nach Hause schicken wollen, tun sie das um 09:12, 15:46, 17:23, aber sicherlich auch um 20:38 oder gar um 04:56. Wenn man solchen Geräten nicht traut, dreht man ihnen komplett den Weg ins Internet ab oder man verwendet sie gar nicht.

Nett wäre, wenn ich eine WireGuard Verbindung nach Hause machen könnte, um Zugang zu meinem internen Netzwerk zu haben.

Kannst du doch jetzt schon, die Fritzbox macht's möglich.


Alles in allem ehrt dich dein Tatendrang, aber ich fürchte einfach, dass du vollkommen falsche Vorstellungen hast und dir darüber hinaus einfach die Kenntnisse fehlen, deine Vorstellungen umzusetzen. Sicherheit im Netzwerk kommt nicht allein durch aufgeschnappte Begriffe wie ACL, VPN, managed Switch, VLAN, etc., sondern einzig und allein durch die fachgerechte Konfiguration eben dieser Dinge. Nein, kein Youtube-Video nachklicken, sondern Hintergrundwissen und Verständnis der genannten Techniken.

 

[chrigu]

Mac Adresse im Zusammenhang mit Sicherheit passt nicht zusammen. Weder wlan noch lan.
Avm Produkte sind Consumer Geräte…. Die können nur „normale“ Sachen wie mesh (konfigurationsloses wlan) , Gast Zugang über lan und wlan und Telefon. Mehr ist nicht nötig.
Wenn du getrennte Netzwerke willst im eigenen Netz, sogenanntes vlan, musst du andere Geräte haben, und zwar inklusive Router, nicht nur Switch!

 

[Millkaa]

n meinen Augen unnötiger Aufwand, vor allem weil Smartphones die MAC-Adresse ändern (können) und diese zudem generell relativ leicht änderbar ist.

Genau das, MAC sind nicht wirklich sicher.
Ich habe es auf der Arbeit mehrfach gehabt, dass Jugendliche ohne größere IT Kenntnisse sich MAC Adressen geholt haben, die einen WLAN Code hatte, obwohl deren "Smartphone" per MAC gesperrt war.

 

[Maximilian.1]

Der mangaged Switch soll auch als DHCP funktionieren.

Du hast Vorstellungen.... das macht doch deine Kaffeemaschiene

DHCP ist ein Serverdienst und muss mit dem DNS vernünftig integriert werden. Wenn Du die rudimentären Dienste im Router nicht nutzen möchtest, musst Du dafür einen Server verwenden.

802.1X und die Notwendigkeit eines VLAN-fähigen Routers wurde ja auch schon erwähnt, daher gehe ich darauf nicht näher ein.

 

[TheHille]

AVM ist ein stimmiges Ökosystem, aber hat noch nicht die Funktionen, die komplexere Netzwerke nutzen.
Damit muss man sich stückweit abfinden.

Wenn du es recht benutzerfreundlich haben willst, schau dir mal die Produkte von Ubiquiti an. Auch ein tolles Ökosystem mit mehr Möglichkeiten, aber natürlich teurer.

Wenn alles Selbstbau sein soll, dann empfehle ich dir Draytek-DSL-Modem, OPNsense/PFSense, gute managed-switche, Ubiquiti WLAN mit Controller und mindestens eine kleine TK-Anlage/DECT-Sender (Gigaset Go Box 100).

 

[TastyBurrito]

wow ok, das sind viele Infos, danke euch, ich kucke mir die Vorschläge heute Abend wenn ich zu Hause bin einmal in Ruhe an. In meiner Motivation, habe ich mir das etwas anders vorgestellt. Pi-Hole habe ich im Netzwerk laufen. Also würdet ihr meinen, dass ein managed Switch keinen Sinn macht für meinen privaten Gebrauch.

Die Fritzbox würde ich nicht im Modem Modus benutzen, sondern mit "Modem" meinte ich dass ich den Switch an den Ethernet Port der Fritzbox anschliessen wollte um dann mein Internet dort abzuzapfen.

Die fehlenden Kenntisse bei mir sind eben auf der managed Switch Ebene und deshalb habe ich ja auch hier nachgefragt.

Begriffe wie VPN und DNS sind mir schon geläufig. OK der PiHole ist ein "DNS sinkhole" und kein Server. Da habe ich mich falsch ausgedrückt. Die Fritzbox Erreichbarkeit per Vpn nutze ich momentan, jedoch wollte ich, wenn ich schon ein neues System einfügen würde, schauen, ob dieses nicht alles übernehmen könnte.

Danke euch

Ergänzung (3. März 2023)

OPNsense/PFSense ist mir bekannt, dachte auch schon ein System mit der Soft zu benutzen um die Fritzbox ganz wegzulassen. Ich kucke mir diese Ubiquiti Sachen mal an, vielen Dank @TheHille

 

[TheHille]

Les dich da gut ein, das ist je nach Kenntnisstand kein Pappenstiel. Aber du kannst bei den ***Sense-Produkten auch dich immer weiter langhangeln und wachsen lassen.

 

[E.o.B]

Du hast viel vor, wenn du so etwas umsetzten möchtest. Ich würde dir vorschlagen so was nicht aus der kalten raus zu machen.
Installiere dir EVE-NG link (oder gns3 link),
füge ein paar Router/Switche z.B. mittels RouterOS von Mikrotik link und/oder Linux-Server + paar VPC als Hosts hinzu (mit dem RouterOS kannst du Netzwerktechnisch eigentlich alles realisieren ),
und teste was du dir vorstellst und taste dich an alles ran,

Gruß,
Peter

 

[Raijin]

Für Otto Normal ist es in der Regel vollkommen ausreichend, wenn man Geräte wie Amazon Echo, o.ä. in das Gastnetzwerk packt. Das Gastnetzwerk ist vom Hauptnetzwerk isoliert und so könnten die Alexas gar keine Informationen aus dem lokalen Netzwerk abgreifen, selbst wenn sie wollten. Das ändert natürlich nichts daran, dass Sprachassistenten womöglich nicht für sie bestimmte Gesprächsfetzen aufschnappen und zur Spracherkennung in die Cloud schicken - egal zu welcher Uhrzeit.

Anonsten gilt:

• Vor Angriffen aus dem Internet schützt man sich, indem die Angriffsfläche reduziert wird. Das heißt: Keine unnötigen Portweiterleitungen bzw. idealerweise gar keine oder maximal den/die Port(s) für eine VPN-Verbindung zu einem VPN-Server daheim. Der VPN-Server im Router benötigt selbst diese Weiteleitungen nicht.
  
  
• Vor Angriffen auf die WLAN-Infrastruktur schützt man sich durch eine adäquate Verschlüsselung (min. WPA2) sowie ein starkes Passwort. Weder SSID verstecken noch MAC-Filter haben einen nennenswerten Effekt, nur die Verschlüsselung und das Passwort sind entscheidend.
  
  
• Vor Angriffen auf die LAN-Infrastruktur schützt man sich dadurch, dass man öffentliche Zugänge zum LAN vermeidet (zB LAN-Dose auf der Terrasse).
  
  
• Vor Angriffen aus dem eigenen Netzwerk heraus (Stichwort: Malware) schützt man sich durch Vermeidung von Downloads aus unbekannten Quellen (zB Downloads aus der ... .. .. Grauzone), regelmäßige Updates sowie Malware-Scanner und dergleichen. Fremde Geräte bekommen gar keinen Zugang zum Netzwerk bzw. maximal zum Gastnetzwerk.

Weitere Maßnahmen kann man ergreifen, aber wie bereits erwähnt sind das keine Selbstläufer. Sicherlich kann man sein Netzwerk mit VLANs segmentieren und über managed Switches (seien es L2+ oder L3) sowie ggfs über VLAN-fähige Access Points im Haus verteilen, aber erst danach kommt die eigentliche Arbeit: Die Firewall, die all diese Netze miteinander verknüpft und die gegenseitigen Zugriffe reglementiert. DAS ist das Kernstück der Sicherheit. Macht man hier Fehler, weil man es einfach nicht besser weiß, ist auch die Sicherheit hinfällig. Gleiches gilt für Konzepte wie zB mit einem RADIUS-Server. Weiß man nicht was man da tut, bringt es nichts.

Alles in allem ist es mit IT-Security wie mit Autos. Vermutlich jeder kann mit einem Maulschlüssel und einem Schraubenzieher umgehen, aber das befähigt einen noch lange nicht, am eigenen Auto den Motor aus- und einen neuen einzubauen. Die Wahrscheinlichkeit, dass das Auto hinterher nicht mehr anspringt, weil man einfach keine Ahnung davon hat, ist beliebig hoch. Ja, man kann sich in Firewalls und Co einlesen, aber nur weil man weiß wo man klicken muss, heißt das eben noch nicht, dass man auch verstanden hat was konkret hinter diesem Klick steckt.

 

[TastyBurrito]

Du hast viel vor, wenn du so etwas umsetzten möchtest. Ich würde dir vorschlagen so was nicht aus der kalten raus zu machen.
Installiere dir EVE-NG link (oder gns3 link),
füge ein paar Router/Switche z.B. mittels RouterOS von Mikrotik link und/oder Linux-Server + paar VPC als Hosts hinzu (mit dem RouterOS kannst du Netzwerktechnisch eigentlich alles realisieren ),
und teste was du dir vorstellst und taste dich an alles ran,

Gruß,
Peter

Danke für die Tips, ich schaue mir das mal an.
Ja ich weiss dass ich villeicht zuviel für den Anfang vorhabe, aber irgendwo muss man ja anfangen
Und es ist noch kein Meister vom Himmel gefallen.

 

[Raijin]

Und es ist noch kein Meister vom Himmel gefallen.

Das ist richtig, aber viele hier im Forum haben beruflich mit sowas zu tun und eine entsprechende Ausbildung oder gar ein Studium hinter sich. Das heißt nicht, dass man das nicht auch in Eigenregie lernen kann, aber das Themenfeld ist sehr breit und erfordert viel Fachwissen. Ich bin schon lange dabei und habe auch den einen oder anderen mittlerweile versierten Nutzer auf diesem Weg begleitet, aktiv oder passiv. Der Weg ist aber sehr steinig und auf diesem Weg stehen die Chancen gut, dass aus einer prachtvollen Mähne auf dem Kopf nur noch vereinzelte Haare übrig bleiben, weil du dir permanent die Haare gerauft hast, "weil dieses schei****** NAS nicht erreichbar ist?!?"

Für den Einstieg solltest du dich daher zunächst auf Literatur beschränken und dir die Grundlagen aneignen. Um beispielsweise eine Firewall zu konfigurieren, muss man erstmal wissen wie Netzwerk-/Internetverbindungen überhaupt funktionieren, zB connection states. Weiß man das nicht und klickt einfach ein Tutorial nach, kann man auch nicht einschätzen ob das, was man geade tut, auch richtig ist. Die meisten Tutorials beschreiben nämlich nur sehr rudimentäre Szenarien und passen oft nicht 1:1 auf den eigenen Anwendungsfall. Dadurch entstehen zwangsläufig Fehler und aus der gewünschten Sicherheit wird maximal eine gefühlte Sicherheit, aber mehr auch nicht.

 

[TastyBurrito]

Für Otto Normal ist es in der Regel vollkommen ausreichend, wenn man Geräte wie Amazon Echo, o.ä. in das Gastnetzwerk packt. Das Gastnetzwerk ist vom Hauptnetzwerk isoliert und so könnten die Alexas gar keine Informationen aus dem lokalen Netzwerk abgreifen, selbst wenn sie wollten. Das ändert natürlich nichts daran, dass Sprachassistenten womöglich nicht für sie bestimmte Gesprächsfetzen aufschnappen und zur Spracherkennung in die Cloud schicken - egal zu welcher Uhrzeit.

Anonsten gilt:

• Vor Angriffen aus dem Internet schützt man sich, indem die Angriffsfläche reduziert wird. Das heißt: Keine unnötigen Portweiterleitungen bzw. idealerweise gar keine oder maximal den/die Port(s) für eine VPN-Verbindung zu einem VPN-Server daheim. Der VPN-Server im Router benötigt selbst diese Weiteleitungen nicht.
  
  
• Vor Angriffen auf die WLAN-Infrastruktur schützt man sich durch eine adäquate Verschlüsselung (min. WPA2) sowie ein starkes Passwort. Weder SSID verstecken noch MAC-Filter haben einen nennenswerten Effekt, nur die Verschlüsselung und das Passwort sind entscheidend.
  
  
• Vor Angriffen auf die LAN-Infrastruktur schützt man sich dadurch, dass man öffentliche Zugänge zum LAN vermeidet (zB LAN-Dose auf der Terrasse).
  
  
• Vor Angriffen aus dem eigenen Netzwerk heraus (Stichwort: Malware) schützt man sich durch Vermeidung von Downloads aus unbekannten Quellen (zB Downloads aus der ... .. .. Grauzone), regelmäßige Updates sowie Malware-Scanner und dergleichen. Fremde Geräte bekommen gar keinen Zugang zum Netzwerk bzw. maximal zum Gastnetzwerk.

Weitere Maßnahmen kann man ergreifen, aber wie bereits erwähnt sind das keine Selbstläufer. Sicherlich kann man sein Netzwerk mit VLANs segmentieren und über managed Switches (seien es L2+ oder L3) sowie ggfs über VLAN-fähige Access Points im Haus verteilen, aber erst danach kommt die eigentliche Arbeit: Die Firewall, die all diese Netze miteinander verknüpft und die gegenseitigen Zugriffe reglementiert. DAS ist das Kernstück der Sicherheit. Macht man hier Fehler, weil man es einfach nicht besser weiß, ist auch die Sicherheit hinfällig. Gleiches gilt für Konzepte wie zB mit einem RADIUS-Server. Weiß man nicht was man da tut, bringt es nichts.

Alles in allem ist es mit IT-Security wie mit Autos. Vermutlich jeder kann mit einem Maulschlüssel und einem Schraubenzieher umgehen, aber das befähigt einen noch lange nicht, am eigenen Auto den Motor aus- und einen neuen einzubauen. Die Wahrscheinlichkeit, dass das Auto hinterher nicht mehr anspringt, weil man einfach keine Ahnung davon hat, ist beliebig hoch. Ja, man kann sich in Firewalls und Co einlesen, aber nur weil man weiß wo man klicken muss, heißt das eben noch nicht, dass man auch verstanden hat was konkret hinter diesem Klick steckt.

Hallo,

Ports habe ich keine weitergeleitet.
Als WLAN Passwort habe ich 32 Stellen mit verschiedenen spezial Charakter drin, Nummern, Gross/Kleinschreibung usw.
Lan Ports sind bei mir nur im Haus selbst.
Das mit dem Gast Netz fürs WLAN hatte ich eigentlich nicht mehr so auf dem Schirm, was aber eigentlich eine sehr einfache und gute Lösung für die Alexas sind.

Es ist mir schon klar dass man sehr viel falsch machen kann und wenn ich mich in Sachen einlese und es nicht ganz verstehe, bin ich auch nicht so blauäugig und kaufe mir dann trotzdem alles. Ich bin aber auch kein Mensch der sagt ... oh nein ... alles zu schwerig ... das werde ich nie verstehen.

Alles in allem habe ich ein gutes technisches Verständnis (auch studiert, jedoch keine Netzwerkstrukturen) und traue mir auch einige Sachen zu ohne mich aber dabei zu überschätzen. Es ist mir bewusst, dass ich kein System brauche wie ein Multimillionen Euro Unternehmen, jedoch ist meins etwas fragwürdig im Moment und würde dann schon gerne einige Massnahmen ergreifen um es dann doch noch etwas upzugraden.

Ich weiss, dass ich wahrscheinlich nie sicher sein werde, wenn wirklich jemand in mein System eindringen will.


in diesem Sinne,

mfG

Marc

 

[Raijin]

Dann will dich auch niemand von deinem Vorhaben abhalten.

Ohne Portweiterleitungen, mit gutem WLAN-Passwort und allgemeiner Vorsicht im Umgang mit dem Internet bist du aber bereits jetzt ausreichend sicher, soviel sei gesagt. Das Auslagern von Geräten ins Gastnetzwerk gibt noch einen kleinen Push ebenso wie zB das Abdrehen der Internetverbindung von IP-Kameras wie du es ja schon eingerichtet hast. Viel bleibt da in privat relevanten Dimensionen tatsächlich nicht mehr übrig.

Neben dem Aneignen der Grundlagen kann man beispielsweise auch mit Virtuellen Maschinen ein kleines Labor-Netzwerk aufbauen und daran Firewall, Routing, etc. üben. Dazu benötigt man also keine zusätzliche Hardware und die VMs selbst benötigen keine nennenswerten Ressourcen - vermutlich geht das sogar mit einer Handvoll Docker-Containern, habe ich aber nie ausprobiert. So kann man mit recht simplen Mitteln das Erlernte anwenden bzw. ausprobieren. Natürlich kann man sich auch direkt einen MikroTik hEX (S) o.ä. zulegen und damit experimentieren. Hat an ein adäquates Setup gefunden, kann man es zu gegebener Zeit in das Hausnetzwerk integrieren.