ComputerBase Menü
Aktuelles

Netzwerkgerät absichern

I

izakstern

Cadet 3rd Year
Registriert
Apr. 2011
Beiträge
49
Hallo zusammen,

ich bräuchte mal ein paar Ideen von Kollegen aus der IT-Welt. Es geht um das Absichern einer Netzwerkkomponente die selbst keine vernünftige Sicherungsmöglichkeit hat. (Hausautomatisierung, aber ist prinzipiell nicht wichtig)

Das Gerät bietet verschiedene Schnittstellen auf verschiedenen Ports, z.B. 80/8181 etc. Das Gerät befindet sich im LAN, überwiegend in Privat-Haushalten d.h. an irgendwelchen Standardroutern. Der Hausbesitzer/Administrator muss auf das Gerät über die verschiedenen Schnittstellen (z.B. eine XML-API) zugreifen können (Windows/Mac/Android/IOS). Andere Netzwerkbenutzer (Gäste, "Nicht-Administrative-Bewohner" etc.) sollen aber keine Möglichkeit haben die Schnittstellen anzusprechen.

Das Gerät selbst bietet keine Sicherheit, d.h. wenn es Netzwerktechnisch erreichbar ist kann auch die Abfrage/Steuerung erfolgen.

Ich suche nach einer Möglichkeit der Umsetzung ohne erheblichen Wartungsaufwand oder Kosten zu erzeugen. D.h. einmal installiert müsste ein Nicht-Techniker relativ Wartungsfrei damit arbeiten können.

Aus dem Buchgefühl hab ich an eine Proxy-/Firewall-Lösung z.B. mit RasperryPi gedacht, in dem Themenbereich bin ich aber leider nicht gerade der Spezialist.

Hat jemand Ideen dafür? Ist es überhaupt machbar?

LG
 
Was du willst ist ein VPN Server der vor dem Netzwerkgerät sitzt. Der Besitzer muss sich dann zuerst mit dem VPN Server verbinden, und kann dann erst auf das Netzwerkgerät zugreifen. Das kann jeder Kleinst PC ab Raspberry Pi bereitstellen. Sofern es erst einmal eingerichtet ist, ist der Wartungsaufwand nicht hoch, teuer ist es auch nicht.
Proxy und Firewall sind die falschen Stichworte.

Der Router in dem Haushalt an dem der RPi und das Gerät hängen muss allerdings einen Port für den VPN Server an den RPi weiterleiten. D.h. ein gewisser Zugriff auf den Router ist notwendig.
 
Du könntest das Netzwerk in 2 VLANs segmentieren: VLAN 1 ist das "normale" LAN wo jeder Client reinkommt (PC, Smartphone, etc) und VLAN 2 ist nur für die Geräte der Hausautomatisierung sowie allfällige Admin Clients.
Das kann man recht einfach mit passendem Switch realisieren, geht z.B. schon mit den günstigen 5 oder 8 Port Smart Managed von Netgear (http://geizhals.at/netgear-prosafe-plus-gs105ev2-gs105e-200pes-gs105e-200uks-a1150353.html?hloc=de bzw http://geizhals.at/netgear-prosafe-plus-gs108ev3-gs108e-300pes-gs108e-300uks-a1168564.html?hloc=de) oder gleich was Full Managed http://geizhals.at/zyxel-dimension-gs2200-8-a757134.html?hloc=de
 
VLAN wäre auch eher meine Empfehlung. Leider kosten Layer3 Switche ne ordentliche Stange Geld und die Lösung via Raspy VPN Server ist wahrscheinlich die cleverere.
 
Wer braucht bei dem Szenario einen Layer3- Switch?
@Topic: Wäre auch für VLANs. Wenn die vorhandene Hardware (Switches etc) damit umgehen kann ist das wohl die Einfachste Lösung.
 
Erstmal Dank an alle für die Antworten.

a) VPN-Netzwerk - In meinem Post habe ich wohl nicht deutlich gemacht dass natürlich der Komfort der Anlage nicht verloren gehen darf. Jedesmal eine VPN-Verbindung aufzubauen, bevor ich auf dem Sofa das Licht ausschalten kann wäre zuviel. Oder hab ich etwas falsch verstanden?

b) VLANS - Hab ich auch schon dran gedacht aber das letzte mal in der Schule konfiguriert. Woran authentifiziert ein Switch denn die VLAN-Zugehörigkeit? An der MAC? Vielen Dank für die Links, hätte gedacht managed Switche sind wesentlich teurer. Also 100-150€ halte ich auch für kleinere Kunden vertretbar.

Ok ich werde mich mal intensiv mit VLANS beschäftigen und sehen was da möglich ist, danke schonmal!

LG
 
Entschuldigung. Bin von größerem Aufbau ausgegangen (und damit automatisch von der Unterverteilung via Switch, da begrenzte Portzahlen nur vorhanden sind). Wenn man natürlich alles hart an den Router anschließt, brauch man keinen L3-Switch, sondern nur einen VLAN fähigen Router.

Zum Einlesen in die Grundideen der VLAN Technik:

https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

http://www.tecchannel.de/netzwerk/m...ge_netzwerk_switch_fuer_die_firma/index9.html

Die Unterscheidung kann via MAC o. IP erfolgen (dynamische VLANs). Oder einfach hart auf einen Port des Switch / Router (integriertem Switch).

Das konfigurieren ist, je nach Interface, gar nicht mal sooo schwer. Es gehört im Vorfeld einfach eine GENAUE Planung dazu für die Gruppe, die abgeschottet werden soll. Hilfreich ist hierbei dann jedesmal das Handbuch des Hardware Herstellers, da nicht alle die Lösung mit den gleichen Schritten ermöglichen... (Hab da mal nen 12 Jahre alten D-Link Switch in den Fingern gehabt... ouh man -.-)


(Die Trennung zwischen L2 u. L3 find ich bissel wischi waschi, denn nach meiner Ansicht gehört eine Trennung via VLANs - und dem damit verbundenen Verteilen / Beschränken der Zugriffe - auf L3. Natürlich gibt es L2 Switche, die VLAN Fähigkeit mitbringen, aber den Rest eines vollwertigen L3 Switch nicht... m.M.n. eine Glaubensfrage.)
 
Zuletzt bearbeitet:
Danke!

Hab ich vllt. nicht klar ausgedrückt, es geht mir gerade um die kleinen meist (privaten/nicht kommerziellen) Infrastrukturen.
 
Ein VLAN Switch allein wird hier nichts bringen. Dann ist die Automation einfach nur abgeschnitten vom Rest des Heimnetzes, aber man soll ja sicher auch von extern zugreifen können.

Ich würde einen kleinen Router mit vernünftigem OS davorsetzen und mittels Firewallregeln die Zugriffsrechte setzen.
 
Ging davon aus dass der Zugriff ausschliesslich im LAN funktionieren muss weil sonst wird es in der Tat komplizierter (Firewall / Router der in mehreren VLANs hängen müsste).
Die Haus-Automation einfach so ins Internet freigeben halte ich für grob fahrlässig (auch mit Firewall Regeln) - dann wäre eine VPN Lösung angebracht.
 
Ich finde eine reine VLAN Lösung auch dann nicht sinnvoll, wenn kein externer Zugriff gewünscht ist.
Sollen da alle steuernden Geräte dauerhaft drinnen hängen? Wie praktikabel ist das mit dem Smartphone? Irgendwie nicht.
 
Wiso? Die Clients die die Haus Automation managen sollen sind dann einfach in beiden VLANs. Ausserdem ist dann der, sagen wir mal "sensible" Teil, getrennt vom "normalen" Zeugs.
 
Zuletzt bearbeitet:
Irgendwie stehen mir zuviele Vermutungen im Raum. Soll die Anlage von außen erreichbar sein? Was für eine Absicherung möchte man genau erreichen? Es ist zB die Frage ob man Absicherung im Sinne von "nur bestimmte Geräte" meint oder ob man quasi einen Login vorschalten möchte?

Wenn man nur mit VLANs arbeitet, ändert das an der Situation wie ich sie aus dem Startpost herauslese so ziemlich gar nichts sofern "Nicht-Administrative-Bewohner" Zugang zu einem Gerät innerhalb des VLANs haben.

Mit einem VPN könnte man einerseits eine Authentifizierungsebene einführen und - falls gewünscht - Zugriff von außen ermöglichen.

Egal wie man es dreht und wendet, Sicherheitsmaßnahmen gehen immer auf Kosten des Komforts. Entweder ist es ein Login oder eine Beschränkung auf bestimmte Quellgeräte..
 
Lawnmower schrieb:
Wiso? Die Clients die die Haus Automation managen sollen sind dann einfach in beiden VLANs. Ausserdem ist dann der, sagen wir mal "sensible" Teil, getrennt vom "normalen" Zeugs.
Zum Vergrößern anklicken....

Einfach in beide? Wie konfigurierst du denn ein Trunk Interface am Smartphone?
 
Hab mein Wissen über VLANs mal auf Stand gebracht, ne wirkliche Lösung hab ich noch nicht gefunden.

Um nochmal Licht in die Sache zu bringen:
Ja, das Gerät (die Zentrale) soll auch aus dem Internet heraus erreichbar sein, hier würde ich mit VPN arbeiten.

Es geht auch nicht um Fort Knox, sondern darum dass kein Script-Kiddie sich "mal eben" Zugang verschafft. Die "Zugangsarten" sind erstmal nicht beschränkt, müssen nur irgendwie "praktikabel" sein.

Deswegen dachte ich zuerst an eine Art Proxy/Firewall, der/die z.B. nur Endgeräte mit bestimmten Zertifikaten durchlässt.

Es würde die Sicherheit schon deutlich erhöhen, wenn man den Zugriff auf Endgeräte beschränken könnte (LAN/WLAN). Jedoch liegen die "bösen" und "guten" Endgeräte oft im selben LAN/WLAN.

Einer Lösung mit "Login" stehe ich skeptisch gegenüber, da ich mir ziemlich sicher bin dass die Applikationen damit nicht zurecht kommen. Außerdem dürfte das maximal eine kurze PIN sein um den Komfort nicht zu vernichten.

Zur Geräteinfo: Es geht wirklich nur um die Zentrale, also ein Gerät welches einen RJ45-Anschluss hat. Die Kommunikation mit den Hausautomatisierungsgeräten erfolgt dann über ein ganz anderes Protokoll (wired+Funk) unabhängig vom LAN/WLAN.

Kleiner Nachtrag: Selbst eine Pseudo-Sicherheit, also z.B. ein MAC-Filter wären schon ein Fortschritt. Die Zentrale hat dort leider nichts zu bieten.



LG
 
Zuletzt bearbeitet:
Na dann, seperates VLAN und IP-Subnetz für "normale" Clients und die zu schützenden Geräte.
Als "Verbinder" ein Router mit Firewall. Da stellt du dann z.B. ein, dass nur das Notebook mit der IP 193.168.1.45 die Geräte verwalten darf.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

memme
Outdoor LAN Anschlüsse (Kamera, AP) absichern, nur wie?
2 3
Antworten
47
Aufrufe
2.695
norKoeri
N
Avenger84
FB7590 spackt: "Die folgenden Netzwerkgeräte haben sich erstmalig mit verbunden. "
Antworten
17
Aufrufe
980
puri
puri
H
Möglichst anonym im Internet unterwegs sein, IP verschleiern, Heimnetzwerk absichern - Netzwerk-Sicherheits-Anfänger fragt
2 3
Antworten
40
Aufrufe
2.881
Thorakon
T
sansetbulewa
32 Netzwerkgeräte (25 WLan + 4 Lan) zu viel ?
2
Antworten
36
Aufrufe
1.421
sansetbulewa
sansetbulewa
192.168.0.1
Diverse Netzwerkgeräte beziehen plötzlich keine IP mehr vom Fritzbox-DHCP
Antworten
19
Aufrufe
2.379
192.168.0.1
192.168.0.1
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz