Wie Netzwerk sicher aufbauen

[Ilsan]

Hallo es geht darum dass ich mein Netzwerk welches bislang aus einfachen unmanaged Switches und APs mit Single SSID erweitern möchte/muss.

Es gibt ein Hauptgebäude und ein Nebengebäude (Garage, Schuppen, ausgebauter Hobbyraum) welches mit dem Netzwerk verbunden werden sollen.

Zwischen den Gebäuden liegt aktuell ein Telefonkabel und ein Netzwerkkabel.

Problem: Die Garage ist zwar abschließbar, doch vergisst man das manchmal schon. Hier möchte ich nicht dass jemand sich da einfach ins Netzwerk einklinken kann und dann sämtlichen Zugriff hat.

Grobe Ideen von mir sind bislang wie folgt:

VLAN1: VOIP (aktuell nur eine DECT Basisstation)
VLAN2: LAN (Normales LAN)
VLAN3: Gastnetzwerk (für WLAN Gastzugang aber auch optional für Netzwerkdosen im Gebäude)
VLAN4: Management (Konfigurationswebseite des Routers, NAS Management usw.)
VLAN5: KNX Router (Soll keine Verbindung zum Internet haben, außer zum Syncronisieren der Zeit)

Meine Fragen sind wie folgt: Gibt es da erstmal weitere Ideen und Verbesserungen?
Problem welches ich sehe: Wenn der WLAN AP in der Garage steht so benötigt er ja VLAN2, VLAN3 und VLAN4. Hier wäre man schon direkt in allen 3 VLANs drin, insbesondere bei 2 und 4 wäre das außerst kritisch. Wie kann ich das besser machen?

Bringt es etwas Drucker nochmal in ein eigenes VLAN zu packen?

 

[SoDaTierchen]

Der Gedanke, dass jemand in deine Garage eindringt um sich Zugang zu deinem NETZWERK zu verschaffen ist schon absurd, wenn dieser jemand doch einfach Teile des Inventars entwenden könnte.

Aber sei es drum. Hast du dich mal mit IPsec befasst? Du verschlüsselst einfach sämtlichen Datenverkehr und erlaubst nur authentifizierten Clients die Kommunikation innerhalb deines Netzwerkes. Jeder Client muss sich also in dein Netzwerk einwählen, oder kommt nicht an deine Daten ran. Die Garage selbst bietet also keinen direkten Zugang zu deinem Netz, sondern nur die Kabel, um sich in dein Netz einzuwählen. Wer so eine Paranoia pflegt darf auch getrost voraussetzen, dass jedes Gerät im Netzwerk über einen VPN-Client verfügt.

Alternativ: Du sicherst nicht dein Netzwerk, sondern deine Daten. Dann kann dir das mit der Netzwerksicherung fast egal sein.

 

[owned_you]

wenn jemand direkten physischen Zugang zu deinem Netzwerk hat, hast du keine Chance das irgendwie abzusichern da nützt dir auch ein Verschlüsselung nix, die verhindert zwar das ich deinen Daten direkt einpacken kann, aber bei physischem Zugriff kann ich dir jede Zeroday Lücke die ich kenne locker installieren, das Keybord aufschrauben und nen Hardware Keylocker installieren der von keiner Sicherheitssoftware erkannt wird; ne BIOS / Firmwarmalware installieren usw.

Bei physischen Zugriff bist du erledigt!

Die einzige Frage ist da: wie wahrscheinlich ist das? gesuchter Top-Terrorist? sehr wahrscheinlich! Jon Doe? ehr nicht!

 

[Braubär]

Die Trennung in VLANs ist mal ein guter Anfang um die Angriffsfläche zu reduzieren. Im Firmenumfeld würde ich managed Switche und eine Port Security Software vorschlagen - für Privat ist das aber dann doch ne Ecke zu teuer.

Alternativ die Garage in eine DMZ hängen und die Einwahl nur über einen Radiusserver in dieser erlauben.

Mal eine etwas pragmatischere Idee, häng dden LAN Anschluss für Garage auf einen eigenen Switch/Router im Haus, welcher an einer Funksteckdose hängt. Die Fernbedienung für die Steckdose kommt in der Garage in eine Geldkasette oder abschließbare Schublade.

 

[chrigu]

häng doch ein ein/aus schalter an den switch oder router zur garage, den montierst du bei der wohnungstür... (gibt ja auch solche mit funk).
so und nun, jedesmal wenn du aus dem haus gehst... klick klack, kein strom, kein netzwerk.

 

[Matusalem]

Im folgenden ein paar Punkte welche mir spontan für Deine Frage und bei Deiner Beschreibung in den Sinn kommen:

1) Es gibt Sicherheitslösungen das sich Geräte ersteinmal anmelden und authentifzieren müssen, bevor Zugriff auf ein Netzwerk gewährt wird. Solche Lösungen werden typischerweise in einem professionellen Unternehmensumfeld eingesetzt.
2) Etwas einfacher im privatgen Umfeld kann es sein die Teilnahme an VLANs auf bestimmte Geräte einzuschränken (per MAC Adresse). Das kann das "Garagen Problem" entschärfen.
3) Sein Netzwerk zu unterteilen (z.B. über VLANs) kann sinnvoll sein. Ich persönlich sehe aber den Hauptnutzen darin es aus dem Internet (nicht aus der Garage) eingedrungenen Schädlingen so schwer wie möglich zu machen sich im eigenen Netzwerk zu verbreiten und umzusehen.
4) Physisch vor Ort in ein Netzwerk einzudringen kann nur dann lukrativ sein, wenn die "Hacker" konkret Informationen darüber haben das es sich lohnt. Sowohl der Punkt "lohnen" als auch der Punkt "konkrete Informationen" läßt für mich ein solches Szenario weitestgehend unrealistisch erscheinen.
5) WLAN AP in der Garage: Wie stark wird das Signal im Hauptgebäude gedämpft und reduziert damit die WLAN Leistung.
6) Netzwerkkabel zwischen Haupt- und Nebengebäude: Ist das Kabel geschirmt, ausreichend gegen Überspannung geschützt und beide Seiten der Schirmung an einem Potentialausgleich angeschlossen? Alternative Glasfaser, dann sind die eben erwähnten Probleme direkt passe.

 

[Drexel]

Wenn Du Angst hast, dass sich jemand in Dein Netzwerk hackt, der schon genügend kriminelle Energie hatte Deinen privaten Grund zu betreten, bringt MAC Adressen Sicherheit nichts. Das ist das was Du brauchst, um die Sicherheit Deines Netzwerks zu gewährleisten:

https://de.wikipedia.org/wiki/IEEE_802.1X

Somit wäre zumindest Dein Netzwerk sicher, zum Thema der physischen Sicherheit wurde sonst ja schon alles gesagt.

 

[DJ91]

Wenn du oft vergisst die Garagentür zu schließen kann ich nur ein elektrisches Schloss empfehlen. Ist gleich eingebaut kostet nicht die Welt und lässt sich mit Pin oder Fingerabdruck entsperren und sperrt selbständig zu. Nutze ich auch und vorallem sparst du dir einen haufen Arbeit an deiner Netzwerkinfrastruktur.

 

[DerGast]

Ich hoffe Du hast untagged/tagged VLAN bedacht.
Oder möchtest Du vollends auf untagged setzen? Ich bezweifel nämlich dass alle deine Endgeräte mit 802.1q klar kommen.

Beispiel WLAN AP Garage.
Das ginge nur wenn er 802.1q unterstützt (tagged vlan).
Die Netzwerkkonfiguration möchtest Du dann statisch vornehmen? Oder unterstützt dein Router mehrere DHCP Server an unterschiedlichen ports?
Bei dieser Konfiguration benötigst Du also 1. einen passablen Switch (was kein Problem darstellt, da würde ich was gebrauchtes kaufen) und in meinen Augen auch eine Firewall/UTM um die Konfiguration sauber zu hinterlegen.
Ich nutze für solche Späße eine Sophos Firewall, kann hier Gäste WLANs einrichten (Kontingent, Voucher, Terms of Use...), nutze den Webfilter (Content Block), pro Port/VLAN einen eigenen DHCP Server, etc. pp.

Edit: es gibt auch vandalismusgeschützte Netzwerkdosen und auch runde Stecker. Wenn man ein wenig bastelt kann man den RJ45 ersetzen.
Aber im Grunde wäre hier ein Schutz wie Mac Security einfacher realisierbar.

 

[Ilsan]

Der Gedanke, dass jemand in deine Garage eindringt um sich Zugang zu deinem NETZWERK zu verschaffen ist schon absurd, wenn dieser jemand doch einfach Teile des Inventars entwenden könnte.

Aber sei es drum. Hast du dich mal mit IPsec befasst? Du verschlüsselst einfach sämtlichen Datenverkehr und erlaubst nur authentifizierten Clients die Kommunikation innerhalb deines Netzwerkes. Jeder Client muss sich also in dein Netzwerk einwählen, oder kommt nicht an deine Daten ran. Die Garage selbst bietet also keinen direkten Zugang zu deinem Netz, sondern nur die Kabel, um sich in dein Netz einzuwählen. Wer so eine Paranoia pflegt darf auch getrost voraussetzen, dass jedes Gerät im Netzwerk über einen VPN-Client verfügt.

Alternativ: Du sicherst nicht dein Netzwerk, sondern deine Daten. Dann kann dir das mit der Netzwerksicherung fast egal sein.

Sehe ich anders. Wenn ich ohne vlans arbeiten würde hätte jemand von der Garage aus auch vollen Zugriff auf den Knx Router. Genauso wie jedes Gerät im Netzwerk was damit überhaupt nicht kommunizieren muss. Sprich dringt jemand in ein Netzwerk ein ist er direkt in allen.

 

[Raijin]

Denkbar wäre auch ein VPN. Es gibt zB Systeme wie FortiNet, bei denen ein (W)LAN zusätzlich durch ein VPN gesichert ist. Heißt: Das (W)LAN als solches stellt lediglich die Möglichkeit eines VPNs bereit, direkter Zugriff auf den Rest des Netzwerks (zB das NAS) ist per Firewall blockiert. Wählt man sich nun per VPN ein, wird der eigentliche Traffic ja getunnelt und somit auch durch die Firewall zugelassen und zum NAS weitergeleitet.

Im Endeffekt ist das sowas wie ein MAC-Filter im WLAN, der allerdings über ein VPN-Zertifikat fungiert. MACs kann man schon mit Windows Bordmitteln ändern, ein VPN zu knacken ist aber schon etwas anderes. Dennoch: Auch hier gilt natürlich, dass physischer Zugriff auf ein VPN-Zertifikat das System aushebeln kann, sofern das Zertifikat selbst nicht zB durch ein Passwort gesichert ist, das man bei jedem Verbindungsaufbau eingeben muss. Bei FortiNet gibt's dafür zB sogenannte Tokens, die man zB auf einem USB-Stick liegen, den man dann jedes Mal vorher anstecken muss.

Sowas wird aber vorwiegend in professionellen Umgebungen eingesetzt. Für privat halte ich das für völlig oversized. Wenn jemand in meine Garage einbricht, ist eine Netzwerkdose meine kleinste Sorge.

Was machst du zB wenn du die Maler im Haus hast? Also ich für meinen Teil lasse den/die Maler dann ihre Arbeit machen und stehe nicht die ganze Zeit daneben (dann könnte ich es ja gleich selbst machen). In einem unbeobachteten Moment könnte der Maler sich also auch kurz in dein LAN einklinken und Unsinn treiben..


Ich persönlich fand die Idee mit dem Killswitch für die Garage ganz charmant. Einfach ein Schalter im Haus, der die Garage abkoppelt, physisch. Du musst halt bedenken, dass mit jedem Level an Sicherheit auch die Komplexität steigt und gleichzeitig der Komfort sinkt. Obige VPN-Lösung zB habe ich mal spaßeshalber in meinem WLAN daheim eingerichtet, just4fun. Ohne VPN nix da, mit VPN Vollzugriff. Mein i3-Server schafft knappe 800-850 Mbit/s mit OpenVPN, also auch ein NAS wäre kein Problem. Dumm nur, dass ich auch WLAN-Radios habe, dumme Geräte, die eben kein VPN können. Ach, dann war da ja noch ein Smartphone ohne Root und eins, das einfach zu lahm war für VPN. Satz mit x, war wohl nix.

 

[Ilsan]

Ja deswegen gilt es ja eine. Passenden Weg zu finden. Mein Netzwerk muss ich beispielsweise nicht von der Garage aus administrieren können ebenso muss ich von da keine Änderungen an der Knx Anlage vornehmen können. Ergo wäre es doch sinnvoll diese Netzwerke nur da zur Verfügung zu stellen wo sie benötigt werden.
Jetzt ist mir nur unklar wie das läuft denn jeder WLAN ap muss doch schonmal in 3 vlans hängen: privates lan, Gästelan, Management.

Wenn ich aber Management bis an den ap führen muss wäre es ja doch wieder draußen?
Also kann man sich nicht dagegen schützen dass jemand den ap abbaut und sein Laptop anschließt? Mal von von Lösungen abgesehen.
Auch ist mir nicht klar wieso ein mac Filter nicht sicher sein sollte wen ich mit Port Isolation arbeite zB.
Wenn ich an meinem Switch einstelle der Port für den Downlink zur Garage soll nicht mit dem Port kommunizieren können wo der Knx Router dran hängt dann wäre doch selbst ohne vlans schon gar kein Zugriff möglich weil ein Angreifer doch unweigerlich die besagte mac Adresse des Knx Routers benutzen müsste.

Wäre es eventuell sinnvoll für draußen nochmal eigene vlans zu benutzen? Also ein vlan Management im Haus und dann nochmal ein vlan Management für draußen und dazwischen nur die benutzten ip/ports Routen und alles weitere nicht? So könnte ich doch unterbinden dass jemand im vlan Management draußen alles sieht was sich im vlan Management drinnen befindet?

Mit vpn möchte ich nicht arbeiten zumindest nicht für die "normalen" Clients die das Netzwerk nur benutzen aber keinerlei Admin Aufgaben durchführen müssen.

Um von draußen im WLAN dann doch mal auf den Knx Router zuzugreifen mit dem Laptop könnte ich mir aber vpn vorstellen um in das entsprechende vlan dann zu kommen. Macht das Sinn?

 

[Raijin]

MAC Adressen kann man mit Windows Bordmitteln ändern, dauert ca. 7 Sekunden. Hat man physischen Zugriff auf ein berechtigtes Gerät, steht die MAC Teilweise sogar auf einem Aufkleber auf der Rückseite drauf. Notfalls kann man mit einem Netzwerksniffer binnen weniger Sekunden die MAC des Geräts mitschneiden. MAC-Filter sind reine Augenwischerei. Das ist ungefähr so sicher wie ein Streifen Tesa auf dem Türschloss - also eine unüberwindbare Hürde *g*


VLANs: Wenn du von der Garage aus eh nicht alles tun können musst, kannst du die Garage selbst ganz einfach in ein eigenes VLAN packen, inkl. AP bzw. das WLAN am AP. Von dort aus geht dann eben nur "Standard". Die Hausautomatisierung läuft in einem anderen VLAN und wird per Firewall eben vom Garagen-VLAN getrennt. Willst du dann trotzdem zB ins KNX System, wäre das eben über ein internes VPN durch das Garagen-VLAN durch denkbar.

Sobald du aber von der Garage aus eben auch direkt auf dein NAS zugreifen willst, muss dort auch in irgendeiner Form das passende Netz rauskommen, sei es ein zusätzliches VLAN oder eben durch das Garagen-VLAN geroutet. Bricht nun einer in deine Garage ein, hat er den vielzitierten physischen Zugang dazu und kann eben auch theoretisch auf das NAS - sofern das nicht seinerseits gesichert ist.


Für so einen Zweck habe ich mir das noch nie überlegt, aber evtl. wäre auch eine Art Captive Portal denkbar. Von der Garage aus käme man dann immer erst auf eine Anmeldeseite, die erst nach erfolgreicher Authentifizierung den Zugriff freigibt. Da sind wir aber wieder bei der Komplexität und dem Komfort. Das WLAN-Radio in der Garagenecke kann kein Captive Portal bedienen.



Vielleicht wäre auch ein anderer Ansatz sinnvoller: Die Garage abschließen. Häng nen Zettel an die Tür oder bau von mir aus ein elektronisches Schloss ein, o.ä.

 

[Ilsan]

MAC Adressen kann man mit Windows Bordmitteln ändern, dauert ca. 7 Sekunden. Hat man physischen Zugriff auf ein berechtigtes Gerät, steht die MAC Teilweise sogar auf einem Aufkleber auf der Rückseite drauf. Notfalls kann man mit einem Netzwerksniffer binnen weniger Sekunden die MAC des Geräts mitschneiden. MAC-Filter sind reine Augenwischerei. Das ist ungefähr so sicher wie ein Streifen Tesa auf dem Türschloss - also eine unüberwindbare Hürde *g*

Aber doch nicht bei Port Isolation. Auf was willst du deine "Sender MAC" denn ändern wenn der Switch das Ziel blockt?
Bei Port Isolation kannst du dagegen nix machen, da müsstest du dann schon an den Switch, welcher im Haus steht.

Sobald du aber von der Garage aus eben auch direkt auf dein NAS zugreifen willst, muss dort auch in irgendeiner Form das passende Netz rauskommen, sei es ein zusätzliches VLAN oder eben durch das Garagen-VLAN geroutet. Bricht nun einer in deine Garage ein, hat er den vielzitierten physischen Zugang dazu und kann eben auch theoretisch auf das NAS - sofern das nicht seinerseits gesichert ist.

Ja das ist mir schon klar, aber was braucht denn der WLAN AP alles? ich habe hier ein System von Ubiquiti welches über die Unifi Software läuft.
Die ganze Geschichte würde ich ins VLAN für Management packen, sofern das Sinn macht.
Dies bräuchte der WLAN AP in der Garage aber halt auch wieder.
Da im VLAN Management auch andere Dinge hängen wie KVM Geschichten welche ich wiederum draußen nicht brauche wäre es doch eigentlich klever nur den Port in die Garage zu routen den die Unifi Software benötigt? (Auf das Management VLAN bezogen)

Willst du dann trotzdem zB ins KNX System, wäre das eben über ein internes VPN durch das Garagen-VLAN durch denkbar.

Wie geschieht das in der IT denn in der Regel für den Admin? Also wie kommt der in das VLAN fürs Management, über VPN über das normale LAN? Oder über einen PC im Serverraum der mit dem VLAN verbunden ist? Oder über ne eigene SSID die mit dem VLAN verbunden ist und er wechselt dann das WLAN Netz entsprechend?

In meinen Augen würde ein internes VPN am meisten Sinn machen sofern man keinen dedizierten PC dafür abstellen will

Habe von Gira dazu ein PDF gefunden an welches ich mich teilweise halten möchte:
(http://download.gira.de/data2/empfehlung_it_knx_infrastruktur_erhoehte_anforderungen.pdf)

•VLAN10: Haustechnik (KNX; Home/FacilityServer, X1,andere Bus Systeme)
•VLAN20: Voller Internetzugang für Firewall und andere Zwecke
•VLAN30: Daten-Netz für PC, Drucker, Tablets etc.
•VLAN40: Heizung/Klima/Lüftung, für z.B. Wartungszwecke
•VLAN50: Audio/Video/Multimedia Anwendungen
•VLAN60: IP-Kameras für z.B. die Gebäudeaußenüberwachung
•VLAN70: IP Gastzugang (für z.B. WLAN und reglementierte Zugänge)
•VLAN80: Internet-Telefonie, Voice over IP
•VLAN90: unbenutztes VLAN für unbenutzte physikalische Ports

Das administrative VLAN1 ist getrennt von anderen V
LAN eingerichtet. Um ein Routing
zwischen den VLAN zu ermöglichen, ist mit getrennte
n IP-Kreisen (Sub-Net) zu arbeiten.

In VLAN30 müsste dann auch das NAS.
Hinter VLAN50 sehe ich aber keinen wirklichen Sinn für mich, das würde solche Dinge wie Airplay vom iMac beispielsweise (oder Handy) doch nur erschweren.
Auch Apps um Hifi Geräte zu bedienen per Netzwerk würde es erschweren weil man sich dann doch jedesmal um das Routing der Ports kümmern müsste.
DLNA wäre auch noch so ein Ding was eher dafür sprechen würde VLAN30 und VLAN50 eher zusammen zu legen.

VLAN1 wird oft untagged gemacht, hat das einen speziellen Grund wieso ausgerechnet das Netz und kein anderes?

Mein Netzwerk würde ich dementsprechend noch um ein VLAN2 erweitern um den Zugang von VLAN2 (Garage) zu VLAN1 einzuschränken.

VLAN30 würde ich dann aber entsprechend nicht weiter absichern in der Garage.
Ins Smarthome VLAN oder ins Admin VLAN käme man von da ohne weiteres ja sowieso nicht.

Sehe ich das richtig dass ich einen Layer 3 Switch nur benötige wenn ich "Performance" benötige, also hohe Datenraten zwischen den VLANs habe?
Solange ich nicht VLAN übergreifend Streame sondern nur manage kann ich darauf doch verzichten?

 

[WeltalsWille]

Sobald eine Host VLAN-übergreifend zugreifen können soll, ist ein VLAN-fähiger Router erforderlich. Bei der GIRA-Empfehlung ist diese Erfordernis offensichtlich. Ohne VLAN-Router könnte man bspw. nicht von einem PC aus dem VLAN30 ins Internet oder kein externes Telefonat führen. Die Schnittstelle ins WAN, der Internetrouter, befindet sich ja im VLAN20.

 

[Ilsan]

Schon klar die Frage war aber eher ob auch Layer 3 Switches benötigt werden

 

[WeltalsWille]

Sofern einen anderes Gerät vorhandenen ist, dass zwischen VLAN routen kann, wie z.B. eine pfSense, ein Edgerouter, oder eine Mikrotik Router, wird lediglich ein L2-Switch benötigt. Ein L3-Switch, wie der Cisco SG300, dürfte aber in Bezug auf die Komplexität des Gesamtaufbaus sowie den Einarbeitungs- und langfristigen Bedienaufwand die bessere Lösung sein.