Meinungen zu meiner Netzwerkkonfiguration und Sicherheit

[Wassergekühlt]

Guten Morgen,

ich habe mir vor ein paar Wochen ein neues Modem gekauft und dahinter einen Unifi Cloud Gateway Ultra geschaltet,
Der Hardwaretausch wurde ursprünglich durch eine defekte Fritz getriggert, machte aber in meinen Augen sowieso Sinn, da ich bisher keinerlei Firewallrules o.Ä. hatte welche interne Geräte voneinander trennen.

Da ich wie gesagt Neuling bin wollte ich nach eurer Meinung fragen was ihr von meiner Konfiguration haltet und wo ich nachbesserungspotential seht.

Nachdem ich meine Geräte etwas sortiert habe, habe ich VLANs angelegt. Diese habe ich entsprechend bereits bei der Anlage Internetzugang gewährt oder eben nicht sowie teilweise komplett isoliert.
Dann habe ich die ein oder andere Firewallregel angelegt. Grob gesagt schauts aktuell in etwa so aus.

VLAN1	LOCAL	Alle Router, Switches und Access Points	Zugriff von dedizierten Geräten bzw. bei direktem Anstöpseln an LAN1
VLAN20	HEIMNETZ	Alle privaten Computer welche ausschließlich lokal betrieben werden	Internet Kann in ausgewählte VLANs Aktuell kein zugiff von anderen VLANs ins Heimnetz
VLAN30	MOBILE GERÄTE	Tablets, Smartphones, Laptops	Internet Kann in ausgewählte VLANs Aktuell kein zugiff von anderen VLANs ins Heimnetz
VLAN40	MULTIMEDIA	AmazonSticks, AppleTV, ...	Internet kein Internet kein Zugriff in andere VLANs Zugriff von ausgewählten VLANs ins Netzwerk
VLAN50	IoT LOCAL	Alles IoT was keine Internetkommunikation benötigt. z.B. 3D Drucker und Shellys	kein Internet kein Zugriff in andere VLANs Zugriff von VLAN20+VLAN30 ins Netzwerk
VLAN60	IoT Cloud	Alles dubioses was nur über ne eigene Cloud läuft. Hab da z.B. nen Luftfilter	Internet aber sonst Isoliert von allen Netzwerken
VLAN80	HOME OFFICE	Eigenes Netz ausschließlich für Geräte des Arbeitgebers	Internet aber sonst Isoliert von allen Netzwerken
VLAN90	GUEST	Gästenetz	Internet aber sonst Isoliert von allen Netzwerken

Zusätzlich dazu habe ich einen WireGuard Server angelegt welcher nun ein paar Clients hat. Ich habe davor schon eine Firewall Regel angelegt welche all RFC1918 aus dem VPN Blockiert um dann den einzelnen VPN Clients über die IP Gruppe der Clients zugang zu dedizierten Geräten (auch über die IP) zu geben. Beispiel: Das Smartphone von mir kann über VPN auf den 3D Drucker und alle Shellys die zu jenem gehöhren zugreifen.

Soweit denke ich passt das, oder habt ihr weitere Empfehlungen?
Ich frage mich ob ich die Sicherheit des VPNs (oder generell?) weiter erhöhen kann in dem man anstatt mit IPs zusätzlich das explizite Gerät mit in die Rules aufnimmt? Ich denke wir sprechen dann von MAC Adressen oder? Damit kenne ich mich leider kaum aus... Oder ist das alles garnichtmehr nötig oder ich hab hier nen knoten im Kopf?

Als nächstes ist nun die Anschaffung eines NAS geplant. Da dieser auch sensible Daten enthalten wird (stichwort paperless-ngx und vaultwarden) möchte ich diesen eigentlich aussschließlich über den VPN und im Lokalen Netzwerk verfügbar machen.
Zusätzlich würde ich mir aber natürlich wünschen Bilder oder anders explizit mit anderen Personen aus Familie und Freundeskreis teilen zu können, was dann direkt über die NAS ohne eingerichtete VPNs natürlich nicht funktionieren würde.
Ich hatte mir deshalb überlegt ob ich noch einen RPi mit Nextcloud in ein VLAN hänge welches dann nach aussen offen ist um dedizierte Daten von der NAS dort hin schieben zu können um z.B. Bilder nach einem Urlaub teilen zu können.

Ich denke bevor es noch unübersichtlicher wird belassen wir es vorest mal dabei.

Was haltet ihr von diesem Ansatz?
Wie sind eure Gedanken?

Schönen Gruß und an die meisten wohl guten letzten Tag vor Ostern

 

[Tornhoof]

Viel zu kompliziert. Gibt es Gründe wieso du es so kompliziert machen willst?
Gibt es Gründe wieso du denkst dass dein Konzept dir Sicherheit bietet?

 

[Phil_81]

Zu komplex. Ausser, du willst das aus Gründen des self-learnings aufbauen...

 

[yxcvb]

Dir ist schon klar, dass das V in VPN für Virtual steht? Bedeutet, das ist ein virtuelles privates Netz, dass eine Sicherheit suggeriert, die nicht vorhanden ist. Deine Konfiguration liest sich eher nach einer NSA-Außenstelle als nach einer Privatperson.

 

[SavageSkull]

Steht da auch separate Hardware dahinter?
Wenn das nachher über denselben Router/Access Point läuft bringt es schonmal keine Leistung.
Letztlich hast du nur eine Gruppierung für Geräte damit geschaffen.
Die Frage ist, wozu, bzw was erhoffst du dir davon?
Gäste WLAN bzw HomeOffice (so halb) verstehe ich ja noch.
Aber zum Beispiel einem kommendes NAS, was ggfls nacher doch wieder mit eigentlich allen Geräten Sprechen muß, baust du so nur Hürden.
Von der Usability und dem WAF mal gar nicht zu sprechen.

Und nur mal so, mein 3D Drucker hat am Wochenende ein Update aus dem Netz gezogen...

 

[0x7c9aa894]

VPN im lokalen Netz ist totaller Unsinn.

• Ich würde noch eine DHCP Server aufsetzen dann kannst du die Adressen und Namen, nach MAC vergeben.
• Dann noch ein LDAP, oä
• Backup Server
• Intrusion Detection
• Ein schönes Grafana Board samt Monitoring Server

Und dann stellst du noch einen ITler ein, der das Alles managed.

 

[KillerCow]

Und fast noch wichtiger, als das Aufbauen... wie testest du, dass das auch alles so funktioniert, wie du glaubst, dass es das tut?

 

[Wassergekühlt]

Danke, dass ihr eure Gedanken teilt. Ich dachte mir schon, dass es schnell unübersichtlich werden kann (in erster Linie wahrscheinlich nur für mich ;-) )

aus Gründen des self-learnings aufbauen...

Das steckt dahinter, ich bin wie gesagt kompletter Neuling und möchte mich mit dem Thema auseinandersetzen.

Dir ist schon klar, dass das V in VPN für Virtual steht? Bedeutet, das ist ein virtuelles privates Netz, dass eine Sicherheit suggeriert, die nicht vorhanden ist.

Das verstehe ich ehrlichgesagt nicht. Könntest du mich hier erleuchten was das im Bezug auf Sicherheit bedeutet wenn ich von Unterwegs mit meinem Laptop über WireGuard auf mein Lokales Netz zugreife?

Steht da auch separate Hardware dahinter?
Wenn das nachher über denselben Router/Access Point läuft bringt es schonmal keine Leistung.

Das alles läuft über den Unifi Cloud Gateway und einen Access Point der aber je VLAN eine eigene SSID aufspannt. Das ist bei Unifi ja OOTB funktionalität. Reicht das nicht?

und dem WAF mal gar nicht zu sprechen.

Was bedeuted WAF in diesem Kontext?

VPN im lokalen Netz ist totaller Unsinn.

Vielleicht hab ich das falsch formuliert. Der VPN (WireGuard) soll ja nur dazu dienen von Unterwegs in dedizierte VLANs zu kommen.. oder steh ich hier auf dem Schlauch?

Und fast noch wichtiger, als das Aufbauen... wie testest du, dass das auch alles so funktioniert, wie du glaubst, dass es das tut?

Das ist natürlich als Laie doppelt schwierig. Im ersten Schritt geht es mir mal darum gewisse Geräte von anderen zu entkoppeln und sicher von aussen per WireGuard ins Lokale Netz zu kommen und mich mit der Materie ausseinander zu setzen und zu lernen.
Ich selbst bin natürlich nicht in der Lage irgendwelche angriffe zu simulieren.

Und nur mal so, mein 3D Drucker hat am Wochenende ein Update aus dem Netz gezogen...

Das benötigt mein openSource selbstgebauter 3D Drucker eigentlich nicht. Das kann ich auch alles per SD Karte tun oder ihm für kurzen Zeitraum Internet Zugang gewähren (der 3D Drucker gehört auch eigentlich zu den vertrauenswürdigen Geräten, den könnte ich nochmal umswitchen)

 

[norKoeri]

und einen Access Point

Ich selbst bin […] nicht in der Lage irgendwelche Angriffe zu simulieren.

Dann mein Tipp: Alles sein lassen und voll auf die Sicherheit der einzelnen Geräte setzen, also starke Passwörter und immer neuste Firmware. Wenn Du einem Gerät nicht traust, dieses ersetzen oder eine Zeit lang überwachen. Heimsegment und Gast-WLAN ist schon schwer genug. Mehr dazu in unserem Archiv unter dem Stichwort „VLAN“ von Nutzer @Raijin. Denn ohne zu Testen, lernst Du weder etwas, noch kannst Du kontrollieren, dass Du nicht irgendwo riesige Löcher hast. Daher mal ganz anders herum:

1. Hast Du mehr als einen WLAN-Access-Point?
2. Falls ja, welchen Switch verwendest Du (Hersteller, Modell, Hardware-Version, Firmware-Stand)?

Wo seht Ihr Nachbesserungspotential?

Lerne, wie Du das testest.

 

[Able]

Ich habe mein Netzwerk auch segmentiert, allerdings weniger extrem als du.
Hier mal ein paar Lektionen, die ich dabei gelernt habe:

1.) Viele Funktionen wo automatisch Geräte im lokalen Netzwerk gefunden werden, gehen nur wenn die Geräte sich im gleichen Subnetz befinden. Dazu gehören z.B. Airplay oder Spotify's Möglichkeit auf Netzwerklautsprechern abzuspielen. Teilweise gibt es dazu Workarounds (z.B. Bonjour Gateways) aber das ist eine Menge gebastel. Ich würde dir empfehlen Computer, Mobile Geräte und Medienabspieler in ein gemeinsames VLAN zu packen.

2.) Wenn du bestimmten Geräten nicht traust, wie z.B. Smart-TVs, kannst du deren Internetzugriff über die Firewall des Routers blockieren. Dafür benötigst du kein VLAN.

3.) Wenn ich das richtig verstehe planst du einen "Router on a Stick", d.h. der komplette Traffic zwischen VLANs geht über den Router. Du solltest sicherstellen, dass der Router dafür geeignet (also genug Leistung hat) ist und der Uplink zu Switches ausreichend dimensioniert ist, sonst blockiert vielleicht der Transfer vom PC zum NAS den Netflix Stream.

4.) Das VPN zum Zugriff auf dein Netzwerk halte ich für den richtigen Weg. Wichtig ist, dass die Konfiguration korrekt ist. Als Anfänger würde dir dringend davon abraten den Zugriff auf dein Netzwerk über andere Möglichkeiten einzurichten (Portfreigaben usw.).

 

[KillerCow]

natürlich nicht in der Lage irgendwelche angriffe zu simulieren

Warum nicht? Gibt genug OSS Tools und im einfachsten Fall versucht man erstmal nur gezielt aus einem Netz in ein anderes zu kommen (z.B. via manueller Routen). Müssen ja nicht immer gleich komplexe Angriffe sein.

Ganz wichtig in dem Kontext ist auch zu verstehen, was genau ein VLAN (im Kontext von Ethernet/Layer 2) ist und was nicht. Tonnenweise VLANs bringen dir halt null "Sicherheit", wenn Firewall/Router/L3-Switch munter die IP-Netze untereinander routen oder man sogar (versehentlich) mehrere IP-Netze durch ein VLAN jagt. Ganz gefährlich sind Geräte mit beinen in mehreren IP-Netzen, die nicht Router oder Firewall sind.

Auf jeden Fall ein spannendes Projekt. Im Zweifel erstmal umsetzen, testen, lernen, besser machen. Das ist eh ein ewiger Kreislauf

 

[wern001]

ich würde das auf max 3 oder 4 VLans zusammenstreichen.

Bei geräten die kein internet bekommen sollen einfach eine feste IP-Adresse ohne Gateway geben.

 

[sh.]

Das steckt dahinter, ich bin wie gesagt kompletter Neuling und möchte mich mit dem Thema auseinandersetzen.

Dann mach dich mal schlau warum es ein Fehler ist VLAN1 zu verwenden oder ist das ein Schreibfehler und es soll VLAN10 heißen?

 

[Wassergekühlt]

Warum nicht? Gibt genug OSS Tools und im einfachsten Fall versucht man erstmal nur gezielt aus einem Netz in ein anderes zu kommen (z.B. via manueller Routen). Müssen ja nicht immer gleich komplexe Angriffe sein.

Gibts ne Empfehlung für einen Ort wo ich mich dazu schlau machen kann?

Dann mach dich mal schlau warum es ein Fehler ist VLAN1 zu verwenden oder ist das ein Schreibfehler und es soll VLAN10 heißen?

Was spricht gegen VLAN1 wenn kein LAN Port mit VLAN1 getagged ist ausser einer an dem mein Hauptrechner sitzt?

Meines Wissens kann ich das Unifi Cloud Gateway nicht aus dem Standard VLAN1 (local) herausnehmen.

 

[KillerCow]

Gibts ne Empfehlung für einen Ort wo ich mich dazu schlau machen kann?

Das ganze wird schnell ein unglaublich komplexes Thema und ich kann dir leider auch nur sagen: Guck ins Internet, Thema "pentesting" Vielleicht hat wer anders noch gute Einstiegspunkte.
Ich denke in deinem Fall ist es aber schon gut, wenn du dir überlegst, wer mit wem reden können soll bzw. was verboten sein soll und dann testest du genau das gezielt. Tools dafür sind dann die gängigen Dinge, wie ping, telnet, curl. Guck dir vielleicht auch nmap an und von da kommst du bestimmt von ganz alleine zu weiteren Tools, sofern dich das Thema interessiert.
Mach dich vielleicht noch Richtung Multicast schlau, weil man mit der "richtigen" Konfiguration damit VLANs überbrücken kann (sollte standardmäßig aber nicht so sein).

Was @Wassergekühlt mit VLAN1 anspricht, ist durchaus ein bisschen Recherche wert. Dazu finden sich aber genügend Infos im Netz.

 

[GrillSgt]

Was @Wassergekühlt mit VLAN1 anspricht, ist durchaus ein bisschen Recherche wert. Dazu finden sich aber genügend Infos im Netz.

Und trotz allem wird es nicht selten für's Management selbst in großen Netzen hergenommen

 

[Wassergekühlt]

Meines Wissens kann ich VLAN1 bei UniFi nicht abändern.
Dort wird es Standardmäßig für local verwendet. Oder weiß hier einer mehr dazu?

Ich bin mir nicht ganz sicher ob ich die VLAN Thematik richtig verstanden habe. Aber sollte es nicht reichen VLAN1 von den Ports zu nehmen die zugänglich sind und den Zugriff aus anderen VLANs dort hin einzuschränken?

 

[GrillSgt]

Das Problem mit VLAN1 ist, dass selbst nicht explizit VLAN1 getaggte Ports oftmals VLAN1 sind. Viele Hersteller, Ubiquiti eingeschlossen soweit ich weiß, verwenden VLAN1 als Native "default" VLAN. Soll heißen, packst du den Switch aus, schließt ihn an, hast du an allen Ports VLAN1 - auch wenn das nicht epxlizit mit VLAN1 getaggt ist.

Zumeist gehen jetzt viele hin, bauen ihre VLANs und lassen aber das Management der Netzwerkgeräte auf dem "Native VLAN" (also VLAN1). Das ist aber nicht empfehlenswert, stöpselt sich jmd. irgendwo in den Switch ist er sofort im Management Netzwerk. Das ist so der Standard wenn man es nicht explizit "wegkonfiguriert".
Insofern reicht es auch nicht, das Tag wegzunehmen. Es bleibt ja VLAN1. Mindestens müssten die Ports auf ein nicht genutztes VLAN konfiguriert (z. Bsp. 666 - Number of the beast) oder abgeschaltet werden. Stöpselt sich dann jmd. ein, kommt er erstmal nirgens hin.

Im Besten Fall, gehst du noch nen Schritt weiter und daher vollständig vom VLAN1 weg. Soll heißen, das Management deiner Netzwerkkomponenten wie Switch, den Access Points änderst du ab, weg von VLAN1. Dann lässt du das Native VLAN "links liegen". Der Schritt wird aber von einigen gescheut, da die Möglichkeit besteht sich theoretisch vom Management des Netzwerkgeräts auszusperren bei einer fehlerhaften Konfiguration.

Theoretisch, kann man das Native VLAN auch ändern auf z. Bsp. 666 oder Gast VLAN, aber - und das ist ein Problem (bei Ubiquiti zumindest): Initial, wenn du neue APs, Switches etc. hinzufügst findet leider der Unifi Controller die Geräte leider nur automatisch wenn sie sich im "untagged" (also Native VLAN) befinden.
Im Nachgang, wenn du die Geräte in deinem Unifi Controller hast, ist es kein Problem. Dann kann das VLAN für die APs, Switches etc. geändert werden.

 

[qiller]

Also ich hab in der Firma auch einfach VLAN1 fürs Mng genommen, ABER: sämtliche anderen Ports, die da nicht reingehören, sind auch entsprechend in andere VLANs eingeteilt. Und auch bei unserm HPE Switch ist es so, dass standardmäßig erstmal alle Ports im VLAN1 sind, das sollte man dann schon wissen. Wer sich mit der Umkonfigurierung nicht beschäftigen will, sollte tatsächlich das Mng-Netz auf ein anderes VLAN legen.

 

[h00bi]

Was ich überhaupt nicht sehe ist ein NAS / Home Server. Der ist ja meistens das Gerät, auf das man aus ganz vielen deiner VLANs drauf will.
Hast du nichts derartiges, dann ist das ja praktisch. Kommt sowas dazu, wird die Nummer deutlich komplexer.


Was erhoffst du dir von der Trennung VLAN20 und 30?

LAN40

MULTIMEDIA

AmazonSticks, AppleTV, ...

Internet kein Internet

Ich denke da kann man völlig zu recht sagen: Zu kompliziert und deswegen Fehler eingebaut.
Ob der Fehler nur in der Tabelle ist oder nicht sei mal dahin gestellt, es ist meiner Meinung nach zu kompliziert.

VLAN80

HOME OFFICE

Eigenes Netz ausschließlich für Geräte des Arbeitgebers

Internet aber sonst Isoliert von allen Netzwerken

Wie realisierst du denn, dass an der LAN Buchse im Büro auch VLAN80 ankommt?
Oder arbeitest du per WLAN?