ComputerBase Menü
Aktuelles

NAS im eigenen Netzwerk gegen Schadensoftware sichern

D

Daniel Albert

Lt. Commander
Registriert
Okt. 2007
Beiträge
1.188
Hallo, ich habe ein Netzwerk zum größten Teil über Wlanrouter der Marke AVM. Im Netzwerk sind 2 Synology NASen per Netzkabel mit der FritzBox 7490 verbunden. Über diese sind 2 Wlan Router auch der Marke AVM mit dieser verbunden. Auch meine Kinder nutzen das Netzwerk. Wenn Freunde kommen gebe ich immer nur den Gastzugang frei.

Da auch meine Firmenrechner im gleichen Netzwerk sind möchte ich mich gegen Schadsoftware die von den Geräten der Kinder ausgehen. Ist das in diesem Netzwerk so einfach möglich oder was muss ich verändern damit ich Vorkehrungen treffen kann ?

Gruß Daniel
 
Mach mal eine Zeichnung von deinem Netzwerk. Vor allem da du von mehreren Routern sprichst.
Und was willst du vor was schützen? NAS? Firmenrechner?
 
  • Gefällt mir
Reaktionen: KillerCow, erzieler und tollertyp
Meine Meinung: Sofern deine Kinder keine Schreibrechte auf den Systemen haben, dürfte da wenig passieren können.

Bzw: Nur dort, wo deine Kinder Schreibrechte haben, besteht Gefahr.
 
  • Gefällt mir
Reaktionen: redjack1000
Am einfachsten wäre es wohl die Kinder PCd bei der Fritzbox ins Gastnetz zu hängen.
 
  • Gefällt mir
Reaktionen: tollertyp
Da gibt es doch viele Arten! Also so pauschal das zu sagen "Schadsoftware" ist ja nicht einfach!

Lösungen:

1. Die beiden Netzwerke trennen, das wäre die erste Lösung!
2. Ansonsten Backups einrichten.
3. Danach die Benutzerrechte auch so ändern, das es "sicher" ist.
4. Den Mensch kann man selten "sicher" machen.

Also evtl. die Strategie anpassen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: tollertyp, KillerCow, redjack1000 und eine weitere Person
Wenn du das Netzwerk isolierst, ja, sonst musst du deinen Kindern den richtigen Umgang im Internet erklären
 
  • Gefällt mir
Reaktionen: Engaged, duAffentier und tollertyp
Daniel Albert schrieb:
FritzBox 7490 verbunden. Über diese sind 2 Wlan Router auch der Marke AVM mit dieser verbunden.
Zum Vergrößern anklicken....
Meinst du tatsächlich zwei weitere WLAN Router von AVM, also FritzBoxxen oder sind es doch eher FritzRepeater? Bitte möglichst präzise beschreiben und ggfs auch hier die Modellbezeichnungen nennen. Davon hängt jetzt nämlich ab welche Möglichkeiten du mit der aktuellen Hardware hast.


Daniel Albert schrieb:
Wenn Freunde kommen gebe ich immer nur den Gastzugang frei.
Zum Vergrößern anklicken....
Grundsätzlich sage ich es mal so: Es gibt keinerlei Zwang für einen Gastgeber, seinen Gästen WLAN zur Verfügung zu stellen. Ich persönlich sehe mich nicht in der Verantwortung, das Datenvolumen meiner Gäste zu schonen, wenn diese meinen, dass ein 200 MB Tarif ausreicht, aber schon nach kurzer Zeit das Volumen aufgebraucht ist. Just my 2 cents


Daniel Albert schrieb:
Da auch meine Firmenrechner im gleichen Netzwerk sind möchte ich mich gegen Schadsoftware die von den Geräten der Kinder ausgehen.
Zum Vergrößern anklicken....
Hier liegt der Knackpunkt. Was ist wichtiger? Dass die Gäste stets WLAN haben oder dass du ggfs deinen Firmenrechner im Gastnetzwerk von deinen privaten Geräten abschotten kannst?


Prinzipiell gibt es mehrere Ansätze:

- Gäste aus dem Gastnetzwerk verbannen und dafür den Firmenrechner ins Gastnetzwerk hängen (geht via LAN4 auch kabelgebunden). Der Firmenrechner hat dann keinerlei Verbindung mehr zum Hauptnetzwerk, sondern nur noch ins Internet. Leider schließt das aber auch etwaige Drucker, NAS, o.ä. im Hauptnetzwerk mit ein, weil das Gastnetzwerk vollständig isoliert wird.

- Firmenrechner im Hauptnetzwerk belassen, aber dessen Firewall auf das "öffentliche" Profil umschalten. Dieses Profil ist beispielsweise für öffentliche Netzwerke im Hotel, o.ä. gedacht und blockiert weitestgehend allen eingehenden Traffic von anderen Netzwerkteilnehmern. Dies verringert die Gefahr, dass ein infizierter Kinder-PC das Firmengerät direkt infiziert. Indirekt kann es natürlich trotzdem zu einer Infektion kommen, wenn zB der Kinder-PC infizierte Daten auf dem NAS speichert und sie vom Firmen-PC runtergeladen werden.

- eine vermuteten weiteren Fritzboxxen nicht als Access Point, sondern als Router (WAN=LAN1) verwenden und den Firmenrechner dahinter platzieren. Firmenrechner ist vom Hauptnetzwerk aus nicht erreichbar (WAN+Firewall dieser Fritzbox blockiert), kann aber auf alles im Hauptnetzwerk zugreifen (Drucker, NAS, etc). Eine direkt Infektion vom Hauptnetzwerk aus ist hierbei ausgeschlossen (vollständige Isolierung durch den zweiten Router), aber indirekt über infizierte NAS-Dateien kann es natürlich immer noch passieren.
 
Bei uns in der Wohnung wollte ich keine Lankabel verlegen und Powerline funktionierte nur teilweise und wenn mit der hälfte der Leistung. Wir haben von der Telekom Glasfaser bekommen. Von diesem Telekom-Umwandler geht das Netzwerkkabel in die 7490. An der 7490 sind 2 Synology Nasen DS218 +. Eine fungiert nur für die Backups der Laptops und dem Stand-PC. Dann habe ich 3 Räume weiter eine FB 4040 die LAN für den Stand-PC und Wlan für die Geräte in diesem Raum zur Verfügung stellt. Somit habe ich dort auch die 250 Mbit anliegen. Die FB 4040 war die einzige Box die das hinbekommen hat. Von dort geht einmal Powerline in den Keller wo ein kleiner FB Repeater für unsere beiden Wallboxen das Internet zur Verfügung stellt. Ist leider notwendig da ich ein Lastmanagement brauche und das geht nur über eine Internetverbindung. Sonst knallt mir ständig die Sicherung durch wenn beide Elektrofahrzeuge laden. In einem anderen Raum ist eine FB 3000 die mein Sohn nutzt. Dort hängt Playstation und sein PC dran.

Im Grunde brauchen nur meine Arbeitsrechner ein PC, Tablet, Handy und Laptop Zugriff auf das interne Netzwerk für Drucker und Datensicherung auf der einen NAS DS 218 +. Bei dieser verwende ich Clouddrive, Webdav und Ablage der Faxprotokolle der Fritzbox.

Gäste, Eltern und Kinder brauchen eigentlich nur Internet da bei uns das Handynetz extrem bescheiden ist.
Daher würde ich vorab mal alle ins Gastnetzwerk verbannen.

2 voneinander getrennte Netzwerke hmm finde ich recht problematisch oder ?
 
Du willst Ja trennen also musst du zwei Netzwerke machen, oder den Umgang mit Internet …. Ach das schrieb ich schon mal
 
  • Gefällt mir
Reaktionen: Engaged
Mit Consumer-Hardware wie Fritzboxen kommt man bei komplexeren Netzwerkstrukturen recht schnell an seine Grenzen.
Spontan würde ich folgendes Vorschlagen:
Code: 
Internet
   │
   └──7490
      │ │
      │ └─Gäste-(W)LAN
      │
      ├─NAS
      ├─Drucker
      ├─privat-PC
      │
      └─(WAN)Router(LAN)
                     │
                     └─arbeits-PC
Damit haben Geräte im Gäste-(W)LAN nur Zugriff auf das Internet. Geräte im privaten LAN haben Zugriff auf das NAS, während die Arbeits-Geräte durch die Firewall des zusätzlichen Routers geschützt sind, selbst aber Zugriff auf das NAS, Drucker* und das Internet haben.

*Sofern der Druckertreiber Drucker in einem anderen Subnetz unterstützt. Das können einige Drucker nicht, oder nicht so einfach.

Innerhalb der Netze musst du dann eben mit entsprechenden Sicherheitsmaßnahmen arbeiten. Beim NAS
z.B.
  • Netzlaufwerke, die dem Backup dienen, nicht dauerhaft einbinden.
  • Benutzerrechte entpsrechend setzen.
  • Firewall aktivieren.
  • Nicht benötigte Dienste deaktivieren.
  • Kein direkten Zugriff aus dem Internet einrichten.
  • Regelmäßig externe Backups machen.

Für den Router zum "Firmennetz" kann man so gut wie jeden günstigen (WLAN-)Router nehmen. Der braucht kein Modem dafür.
Das ganze nennt man dann "Router-Kaskade" oder "DMZ für arme" ;)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Engaged, Daniel Albert, ulrich_v und eine weitere Person
Ok Danke werde mich mit dem Thema mal intensiv auseinandersetzen
 
Raijin schrieb:
- Firmenrechner im Hauptnetzwerk belassen, aber dessen Firewall auf das "öffentliche" Profil umschalten. Dieses Profil ist beispielsweise für öffentliche Netzwerke im Hotel, o.ä. gedacht und blockiert weitestgehend allen eingehenden Traffic von anderen Netzwerkteilnehmern. Dies verringert die Gefahr, dass ein infizierter Kinder-PC das Firmengerät direkt infiziert. Indirekt kann es natürlich trotzdem zu einer Infektion kommen, wenn zB der Kinder-PC infizierte Daten auf dem NAS speichert und sie vom Firmen-PC runtergeladen werden.
Zum Vergrößern anklicken....
Das ist eigentlich diese naheliegendeste Idee und sollte ausreichend sein. Wichtig ist, daß man nich die Sicherheit dadurch auffweicht, das man z.B. Laufwerke des Firmenrechners als SMB Shares freigibt.
Das Windows interne Firewall ist eigentlich sicher genug, um Angriffe über das Netzwerk abzwehren.

Daniel Albert schrieb:
Im Grunde brauchen nur meine Arbeitsrechner ein PC, Tablet, Handy und Laptop Zugriff auf das interne Netzwerk für Drucker und Datensicherung auf der einen NAS DS 218
Zum Vergrößern anklicken....
Das ist eigentlich der größte potentielle Schwachpunkt in Deinem Setup. Wenn der Firmenrechner Zugriff auf das NAS hat, könnte er von dort eine Datei mit einem Verschlüsselungstrojaner herunterladen, die von einem anderen Rechner platziert wurde. Man kann aber per Gruppenrichtline des Ausführen von Dateien von Netzwerkshares verbieten.

Was heißt für Dich denn Arbeitsrechner: Ist es Dein eigener Computer und Du arbeitest damit beruflich, oder ist es ein Rechner eines Arbeitgebers (Firmenrechner). Bei letzterem solltest Du übrigens Deinen Arbeitgeber fragen, ob Du berufliche Dateien auf einem privaten NAS ablegen darfst. In den Richtlinien meines Arbeitgebers ist das nämlich nicht erlaubt.

Falls das aber ok und nötig ist, sollte das dafür genutzte Netzwerkshare nur für Dich (und nicht Deine Familienmitglieder) zugreifbar sein. Ggf. dafür einen eigenen Benutzer einrichten.

Du musst immer bedenken, die meisten erfolgreichen Angriffe auf Clientsysteme finden über mit Schadsoftware ausgestattete Dateien statt, die über „legitime“ Wege von “legitimen“ Benutzern ausgeführt werden. Angriffe über das Netzwerk von nicht authentifzierten Benutzern sind immer seltener, da heutige Betriebssysteme (auch Windows…) relativ gut dagegen geschützt sind.

D.h. auch wenn Du die IP Ebene über kaskadierte Router, VLANs, abschirmst, dann aber Verbindungen auf Anwendungsebene aufrecht erhältst (wie eben Netzwerk-Shares) hast Du nicht viel gewonnen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Georg_Krocker
NAS im zusätzlichen Netzwerk?
Antworten
17
Aufrufe
590
Renegade334
R
T
Netzwerk Setup mit UniFi Dream Router und FritzBox 7490 als VoIP DECT Basis Station
Antworten
13
Aufrufe
4.269
derchris
derchris
T
Mit NAS im Netzwerk bricht Downstream ein.
Antworten
16
Aufrufe
1.320
Lawnmower
Lawnmower
V
Aufbau der richtigen Router Netzwerk Topologie
Antworten
16
Aufrufe
1.871
User007
User007
O
Synology NAS-Geschwindigkeit im Netzwerk
Antworten
9
Aufrufe
2.573
kartoffelpü
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz