hintenlinks
Goto Top

Verbesserung der Heimnetzsicherheit: Rolle unterschiedlicher Hardwarekomponenten

Hallo zusammen,

interessiert lese ich seit einigen Tagen einzelne Beiträge in diesem Forum. Wie ich feststelle, gibt es nicht viele Plattformen im deutschsprachigen Internet, wo ein derart detaillierter Austausch zu spezifischen Netzwerkthemen stattfindet.

Die Fragen die ich habe, dürften die meisten Leser hier vermutlich langweilen, weil ich ein Null-Acht-Fünfzehn-Vorhaben umsetzen möchte: Seit einigen Wochen besitze ich einen Raspberry Pi zum herumspielen und bin in diesem Zusammenhang erstmals damit konfrontiert worden Ports an meinem Router freizugeben. Da ich momentan die Standard-Ausrüstung jedes x-beliebigen Internetnutzers, bestehend lediglich aus einem vom Internetprovider bereitgestelltem Modem/WLAN-Router, besitze, kommt unweigerlich ein ungutes Gefühl im Magen auf.

Folgende einfache Situation möchte ich daher verbessern:
Über eine DSL-Verbindung sollen mehrere mobile WLAN-Geräte, ein kabelgebundener Desktop-PC, zwei ebenfalls kabelgebundene Fernseher und der Raspberry Pi (Webserver und Owncloud) Zugang zum Internet erhalten. Dabei ist es mir wichtig mittels geeigneter Vorgehensweise (wenn ich es richtig verstehe eigenen sich hierfür VLANs und eine Firewall) mehrere logische Netzwerke innerhalb des Heimnetzes einzurichten, so dass vor allem der Pi abgekapselt von allen übrigen Netzwerkteilnehmern agieren kann.

Solche Fälle wurden hier offenbar schon zahlreiche Male diskutiert. Was ich aus den Beiträgen nicht herauslesen konnte sind Informationen darüber, wie viele unterschiedliche Hardwarekomponenten nötig sind, um gewisse Anforderungen abzudecken. Da meine Anforderungen rein privater Natur sind, gedenke ich die Apparatur so schmal wie möglich zu gestalten. Auch der Energieverbrauch spielt bei dieser Überlegung eine Rolle, aber natürlich auch die Anschaffungskosten.

Durch einige der hier veröffentlichten Beiträge interessieren mich vor allem die „kleinen“ Produkte von Mikrotek. Zuletzt habe ich gelesen, dass es, bspw. mit dem RB951G-2HnD, einen WLAN-fähigen Router gibt, der offenbar sowohl die Interneteinwahl beherrscht, als auch eine Managed-Switch-Funktionalität besitzt und über eine Firewall verfügt. Klingt nach der eierlegenden Wollmilchsau für mich, allerdings befürchte ich, dass der Eindruck täuscht. An dieser Stelle hätte ich nun gerne einen Rat der Community, denn ich frage mich, ob ich mit einem einzelnen Gerät all meine oben beschriebenen Anforderungen abdecken kann. Falls ja, an welcher Stelle macht man ggf. Abstriche und welche Verbesserungen erhält man, wenn man weitere Hardewarekomponenten hinzufügt. Ich würde die Auswirkungen und Möglichkeiten gerne schrittweise (in Abhängigkeit der Anzahl der Komponenten) verstehen. Gegebenenfalls erfahre ich auch, dass die Komponentenanzahl in meinem Fall keinen Unterscheid macht.

Insbesondere frage ich mich, ob ich mit einem einzelnen Gerät den gleichen Sicherheitsgrad verwirklichen kann wie mit mehreren Komponenten (die für den jeweiligen Anwendungsfall richtige Konfiguration vorausgesetzt). Welche Auswirkung hat es, wenn dasjenige Gerät, dass den Internetzugang herstellt auch als Switch und als AP fungiert? Ist eine Aufteilung in verschiedene VLANs dann überhaupt realisierbar?

Ich hoffe ich konnte meine Fragen verständlich beschreiben und insbesondere diejenigen Punkte hervorheben, die aus meiner Sicht aus anderen Beiträgen nicht explizit hervorgehen. Sollte ich bei meiner Recherche schlampig gewesen sein, so verzeihe man mir und gebe mir ein paar hilfreiche Links.

Besten Dank im Voraus!

Content-Key: 250591

Url: https://administrator.de/contentid/250591

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: keine-ahnung
keine-ahnung 30.09.2014 um 21:53:21 Uhr
Goto Top
Hi und willkommen auf dem board,
ich habe dohoam eine Fritte, einen Windows-Server, drei Windows-Clients, 2 iphöner, 2 ipätter, einen smart-TV, eine smarthome-Steuerung und vermutlich noch ganz doll viele smarte Geschichten, die ich mal installiert und dann wieder vergessen habe face-wink.
Mir reicht eigentlich die Fritte als firewall + kostenfreie Virenscanner auf den Windows-Kisten - warum mehr? VPN über die Fritzbox, wenn ich mal das Bedürfnis haben sollte, mich von aussen in die Wohnung reinzuwählen ... ich hatte nur das Bedürfnis noch nie.
Auf Arbeit sieht das wieder ganz anders aus - aber Dienst ist Dienst und Schnaps ist Schnaps ... was genau willst Du erreichen?

LG, Thomas
Mitglied: 108012
108012 30.09.2014 um 22:43:00 Uhr
Goto Top
Hallo,

hol Dir eine AVM Fritz!Box 7390 oder 7490 und dann einen kleinen VLAN fähigen Switch der
es Dir ermöglicht Dein Netzwerk in VLANs aufzuteilen und mach den RaspBerry PI gleich noch
zu einem Radius Server für die WLAN Klienten und gut ist es.

Den MikroTik Router in allen Ehren aber dann lieber ein RB2011 oder gleich ein RB1200
und man spart auch noch den Switch dazu.

Aber eine Fritz!Box und ein D-Link DGS1500-20 dazu und das läuft alles wie gewünscht!

Später noch mal ein NAS und/oder ein Alix APU Board dazu zum spielen und man ist happy
zu Hause.

Gruß
Dobby
Mitglied: aqui
aqui 01.10.2014 um 08:50:00 Uhr
Goto Top
Die generell Frage die du stellen musst ist wie dein Sicherheits Bauchgefühl aussieht. Bedenke das alles für den Heimbereich ist, was aber natürlich nicht heissen muss das man alle Schleusen öffnet,
Das der RasPi ja quasi dein Tor nach draussen ist, gilt es den sicher abzutrennen. Das musst du natürlich nicht, denn du kannst wie Millionen unbedarfte User auch mit ganz einfachem Port Forwarding arbeiten ins Heimnetz.
Sicher ist das natürlich nicht...klar, und du tust gut daran etwas mehr Sicherheit walten zu lassen.
Deine Überlegungen sind also schon ganz richtig....
Da der RasPi vermutlich immer nur fest stationär als Web bzw. Owncloud Server arbeitet würde es Sinn machen den in ein separates Segment zu setzen also sowas wie ein DMZ was schon reichen würde.
Die Frage ist jetzt was dir diese DMZ und deine Sicherheit wert ist ? Diese Frage kannst nur du entscheiden und beantworten.
Generell hast du 2 Optionen:
1.) Einen Router mit mehreren Ports und das damit abbilden. Hat den Nachteil das die Firewall auf diesen Systemen nicht stateful ist und es meist nur einfache Accesslisten sind und damit mit limitierter Funktion.
Auch einen Kaskade als sog. "DMZ_des_kleinen_Mannes" (Alternative 2) ist denkbar.
Alles funktioniert, ist besser als das direkte Heimnetz und ist preiswert mit geringsten Mitteln umzusetzen aber nicht das Optimum.
2.) Das wäre dann eine kleine_Firewall mit der du alle Security Optionen offen hast.
Idealerweise koppelst du die mit einem Modem (kein Router) direkt an deinen Internet Provider oder eben als Kaskade und hast damit dann eine wirkliche "Wollmilchsau" die dir von SPI, VPN, usw. alles bietet.
Nachteil ist das sie etwas teurer ist, aber das ist wie im richtigen Leben....
Mitglied: hintenlinks
hintenlinks 01.10.2014 um 09:02:49 Uhr
Goto Top
Hi,

und danke für die schnelle Antwort. Was will ich erreichen: Ich möchte

1. besser verstehen, welche Verbesserungen/Verschlechterungen es mit sich bringt, wenn ich (um Dein Beispiel aufzugreifen) zusätzlich zu einer Fritzbox auch noch mit einem managebaren Switch dahinter arbeite, oder ob es dadurch überhaupt zu einer Verbesserung/Verschlechterung kommt.

2. möchte ich aus diesen Erkenntnissen im besten Fall ableiten, wie ich mein kleines Heimnetz einrichten muss, damit ich den Webserver möglichst von allen übrigen Netzwerkteilnehmern abschirmen kann, so dass das Risiko durch geöffnete Ports abgeschwächt wird.
Mitglied: hintenlinks
hintenlinks 01.10.2014 aktualisiert um 09:16:19 Uhr
Goto Top
Hallo aqui,

genau diese beiden Richtungen wollte ich besser verstehen, insofern schon jetzt vielen Dank für das Aufzeigen der Alternativen. Wenn ich mich für Lösung 2, also die "Wollmilchsau", entscheiden würde möchte ich noch besser verstehen, wie viele Hardwarekomponenten ich mindestens benötige. Mir ist teilweise nicht klar, welche der Funktionen (Modem, Firewall, Router und AP) ich in einem Gerät bündeln kann/sollte und welche besser getrennt voneinander platziert sein sollten.

Auf Dein Beispiel mit der kleinen Firewall bezogen: Verstehe ich es richtig, dass ich dort mindestens folgende Komponenten brauche, die jeweils ein separates Stück Hardware darstellen. Modem -> Firewall -> managebarer Switch (ginge hier auch ein Router, der auch als AP fungiert?) -> Access Point