Portweiterleitung - Netzwerk zusätzlich absichern mit extra Switch?

[garnele05]

Guten Morgen!

Ich habe aktuell folgende Konfiguration in meinem Heimnetzwerk:

Fritz!Box 7490 mit zwei Portweiterleitungen auf mein Synology NAS. Das NAS ist über einen einfachen Netgear Switch mit der Fritzbox verbunden.

Meine Frage jetzt:
Gibt es eine Möglichkeit, mein Netzwerk zusätzlich zu schützen falls es jemand schaffen sollte, mein NAS zu knacken und dadurch zugriff auf das gesamte Netzwerk zu bekommen? Zum Beispiel ein spezieller Switch der abekoppelt vom restlichen Netzwerk ist oder sowas in der Art?

Danke im Voraus!

 

[Ic3HanDs]

Kannst noch eine Firewall dazwischen schalten. Was anderes gibt es nicht. Denn auch mit eigenem Netz müsstest du das NAS ja erreichen, und das wäre wieder nur über Routing möglich.
Bzw. das NAS in eine DMZ packen. Dann hast eine Firewall dazwischen. Aber auch eine Firewall hilft natürlich solange wie Sie die Angriffe erkennt und du nicht alles offen machst

 

[Masamune2]

Möglichkeiten gäbe es, im Heimnetzwerk sind die aber wenig praktikabel. In einer professionellen Umgebung würde die NAS in einer DMZ stehen und du könntest mit Firewallregeln sowohl den Verkehr vom Internet aufs NAS als auch vom NAS auf das lokale Netz kontrollieren. Im Heimbereich fehlt dafür in der Regel die passende Firewall.

Ist aber auch gar nicht so dramatisch. Achte nur drauf, dass die Dienste die nach außen veröffentlicht werden immer aktuell sind (Updates einspielen) und durch gescheite Kennwörter geschützt. Nach außen veröffentlichen solltest du generell nur das aller nötigste, im Idealfall ist das nur ein VPN Server über den du von außen in dein Heimnetz kommst.

 

[t-6]

Ein (einfacher) Switch reicht da nicht. Du bräuchtest einen Router bzw. Firewall anstelle der Fritzbox oder zumindest dahinter, welches mit mehreren Netzen (mehr als 3) umgehen kann & zwischen den Netzen Zugriffsregeln erstellen kann.
Das NAS stellst du in ein eigenes Netz bzw. VLAN. Nennen wir es DMZ.
Dann hast du dein normales internes LAN.

In der Firewall erstellst du nur die ausschließlich nötigen Zugriffsregeln dass bspw. vom LAN in die DMZ (bzw. dem NAS):
-Dateifreigabe (SMB; NFS...)
-Zugriff auf Weboberfläche
...erlaubt sind.

Von der DMZ ins LAN ist nichts erlaubt.

"Kapert" jetzt jemand dein NAS, kommt er - von Sicherheitslücken in der Firewall mal abgesehen - nicht ins LAN weil die Firewall alles in diese Richtung droppt.

Zusätzlich könntest du über die Firewall auch Firewall-Regeln definieren die für die Portweiterleitungen auf das NAS gelten sollen. Möchtest du Risiken minimieren, erlaubst du ausschließlich IP-Bereiche (wenn bekannt und statisch) oder Regionen, von denen aus der Zugriff auf das NAS möglich sein soll.

 

[Lawnmower]

Würde das auch so ändern dass man nur per Fritzbox VPN ins Netz kommt und nicht jeder per Portweiterleitung.