konstrukt777
Goto Top

HOME NAS explizit nur im HOME LAN freigeben. Kein Internetzugriff. Wie am schnellsten umsetzbar?

Hallo zusammen!

kurze allgemeine Frage zu "Sicherheit Allgemein"

Nehmen wir an, Kunde A (jung, sexy, paranoid) kauft sich im
XXXMarkt ein Home NAS, da 2 stück im SuperSonder Sale%%%


1x WD MYCLOUD NAS (1 slot) click
und
1x SYNOLOGY NAS DS 116 (1 slot) click

Zuhause angekommen, hängt er beide Geräte fröhlich fromm und frisch an seinen Home-NAT-Standard-Router
und sieht sofort beginnende Updates (Firmware Software "etc").
Soweit so gut, alles erledigt. Geräte konfiguriert und läuft auch direkt an allen PCs.


es sieht bei ihm dann ZB so aus :
ist3

Aufgabe
nun möchte Kunde A aber (ausser Frage steht, warum)
den Zugriff aufs Internet für BEIDE NAS gleichzeitig explizit verbieten.
(dies einfach schon mal deshalb, weil es in der NAS Software keinen Schalter gibt
auf dem steht "erlaube nur PC Zugriff über LAN, verweigere Internet Ein / Ausgehend"
und bei Updates hängt er die Dinger einfach um")

Frage :



A.) Welche Voraussetzungen müsste(n) sein Home-NAT-Standard-Router und HeimNetz können, um dies erreichen zu können ?

B.) Was müsste Kunde A an Hardware kaufen, um diese strikte Trennung ermöglichen zu können ?

C.) Würden hier 2 VLAN Switche ausreichen oder ein Layer3 Router oder gäbe es hier eine noch einfachere Lösung, indem man einfach nur etwas
VOR das NAS hängen würde? (Kunde A braucht die einfachste aber korrekte Lösung)

Tausend Dank !
KoN

Content-Key: 329365

Url: https://administrator.de/contentid/329365

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: michi1983
Lösung michi1983 14.02.2017 um 14:42:00 Uhr
Goto Top
Hallo,

Firewall (Vorschlag kennst du ja eh schon).

Gruß
Mitglied: Looser27
Lösung Looser27 14.02.2017 um 14:43:03 Uhr
Goto Top
In der Netzwerk Konfiguration kein Gateway eintragen. Geht am schnellsten.

Gruß Looser
Mitglied: Chonta
Lösung Chonta 14.02.2017 um 14:43:22 Uhr
Goto Top
Hallo,

wenn die NAS nicht ins Internet sollen, dann manuelle Netzwerkeinstellungen und kein Gateway vergeben, ohne Gateway nix interent.
Sollen andere aus dem Internet nicht aufs NAS, dann darf kein upnp an sein und wenn auf dem Router aus machen und keine Portweiterleitungen und fertig.

Gruß

Chonta
Mitglied: konstrukt777
konstrukt777 14.02.2017 um 14:55:50 Uhr
Goto Top
Zitat von @michi1983:

Hallo,

Firewall (Vorschlag kennst du ja eh schon).

Gruß

aehm NEIN.. bzw... ja, face-smile aus deinem anderen Kommentar, aber aufgrund mangelnden Wissens...
du sagst also: eine Firewall zusätzlich kaufen, und wo hängt Kunde A das " physikalisch"dann hin ?
zwischen router und wolke ?
zwischen router und Geräten ?
(sorry, für dummies face-smile


Zitat von @Looser27:

In der Netzwerk Konfiguration kein Gateway eintragen. Geht am schnellsten.

Gruß Looser

Zitat von @Chonta:

Hallo,

wenn die NAS nicht ins Internet sollen, dann manuelle Netzwerkeinstellungen und kein Gateway vergeben, ohne Gateway nix interent.
Sollen andere aus dem Internet nicht aufs NAS, dann darf kein upnp an sein und wenn auf dem Router aus machen und keine Portweiterleitungen und fertig.

Gruß

Chonta

aehm.. das geht ? ist das dann auch DIN ISO Zertifiziert ? oO
also verstehe ich euch richtig?

a. -im Router bereits DHCP OFF?
b. -im NAS kein gateway angeben?
c. -alle PCs manuell eintragen IP, DNS, GATEWAY & Co.
d. -upnp ist immer aus.
e. -kein forwarding
f. -kein DMZ und sonstiger schnickschnack..

?? das wars schon ?
wie könnte Kunde a das von extern testen lassen wenn er seine externe IP kennt.. ?

vielen Dank soweit, muchas gracias !
face-smile
Mitglied: michi1983
michi1983 14.02.2017 aktualisiert um 15:00:24 Uhr
Goto Top
aehm NEIN.. bzw... ja, aus deinem anderen Kommentar, aber aufgrund mangelnden Wissens...
Ja, das Produkt bleibt. Das ist für Anfänger die einfachste Methode sich mit dem Thema zu beschäftigen.
Schöne klickibunti GUI und alles was man sich wünscht (und meist noch einiges mehr).
Die Firewall hängst bestenfalls direkt hinter ein reines Modem und lässt die Firewall die Einwahl vornehmen.
Wenn das nicht geht, dann als Kaskade hinter dem Provider Router.
Hier sind dann noch ein paar Einstellungen zu beachten, steht aber alles in z.B. diesem Tutorial.


wie könnte Kunde a das von extern testen lassen wenn er seine externe IP kennt.. ?
Was hat das jetzt mit extern zu tun? Du redest ja von einem internen LAN?!

Ob DHCP off oder on ist im Router ist egal.
Sobald du ein Gerät im Netzwerk manuell konfigurierst und ihm kein Gateway mitgibst, sondern lediglich eine statische IP (natürlich außerhalb der DHCP Scope), kommt dieses Gerät nicht mehr ins Internet und kann auch nur mehr im internen LAN "kommunizieren".

Gruß
Mitglied: Chonta
Chonta 14.02.2017 um 15:03:01 Uhr
Goto Top
DIN ISO Zertifiziert ?
Was willst Du den damit?

-im Router bereits DHCP OFF?
Warum ?

-im NAS kein gateway angeben?
Im NAS eine Feste IP Adresse eintragen die nicht im DHCP-Bereich liegt. Und das Gateway wird leer gelassen.
Solage das NAS kein Gateway hat kann es auch nicht nach draußen.

-alle PCs manuell eintragen IP, DNS, GATEWAY & Co.
Im NAS würde es reichen, aber DHCP ist auch in Ordnung wenn UPNP aus ist und man dadurch nicht die Firewalleinstellungen vom Router umgehen kann.

-kein forwarding
Weinn keine Ports auf das Teil weitergeleitet werden dann kann das von draußen auch keiner erreichen, außer das Teil kann selber Raus und baut VPN Verbindungen zu sonstwem auf....(aber das ist dann selber eingerichtet oder jemand war so lieb...)

-kein DMZ und sonstiger schnickschnack
Eine DMZ macht man für Geräte die aus dem Internet erreichbar sein sollen, aber das willst Du ja laut Aussage verhindern.

wie könnte Kunde a das von extern testen lassen wenn er seine externe IP kennt.
Einen Portscan über alle 65535 PCP und UDP Ports

Gruß

Chonta
Mitglied: Looser27
Looser27 14.02.2017 um 15:16:02 Uhr
Goto Top
Zitat von @konstrukt777:

Zitat von @michi1983:

Hallo,

Firewall (Vorschlag kennst du ja eh schon).

Gruß

aehm NEIN.. bzw... ja, face-smile aus deinem anderen Kommentar, aber aufgrund mangelnden Wissens...
du sagst also: eine Firewall zusätzlich kaufen, und wo hängt Kunde A das " physikalisch"dann hin ?
zwischen router und wolke ?
zwischen router und Geräten ?
(sorry, für dummies face-smile


Zitat von @Looser27:

In der Netzwerk Konfiguration kein Gateway eintragen. Geht am schnellsten.

Gruß Looser

Zitat von @Chonta:

Hallo,

wenn die NAS nicht ins Internet sollen, dann manuelle Netzwerkeinstellungen und kein Gateway vergeben, ohne Gateway nix interent.
Sollen andere aus dem Internet nicht aufs NAS, dann darf kein upnp an sein und wenn auf dem Router aus machen und keine Portweiterleitungen und fertig.

Gruß

Chonta

aehm.. das geht ? ist das dann auch DIN ISO Zertifiziert ? oO
also verstehe ich euch richtig?

a. -im Router bereits DHCP OFF?
b. -im NAS kein gateway angeben?
c. -alle PCs manuell eintragen IP, DNS, GATEWAY & Co.
d. -upnp ist immer aus.
e. -kein forwarding
f. -kein DMZ und sonstiger schnickschnack..

?? das wars schon ?
wie könnte Kunde a das von extern testen lassen wenn er seine externe IP kennt.. ?

vielen Dank soweit, muchas gracias !
face-smile

Sorry, aber bei so trivialen Fragen bist du dir sicher dass du der richtige für den Job bist?

Gruß Looser
Mitglied: konstrukt777
konstrukt777 14.02.2017 um 15:46:47 Uhr
Goto Top
Sorry, aber bei so trivialen Fragen bist du dir sicher dass du der richtige für den Job bist?

Gruß Looser
JA, da der einzige.
Und solange mir kein Morpheus gegenüber sitzt und mich grinsend fragt, ob ich lieber die rote oder die blaue Pille möchte... ;)

Danke für eure Lösungen !

Die Hauptproblematik wurde erst einmal gelöst durch einfaches weglassen des Gateway Entries innerhalb der NAS.

MfG u eine gute Zeit
Kon
Mitglied: aqui
aqui 14.02.2017 um 17:59:18 Uhr
Goto Top
den Zugriff aufs Internet für BEIDE NAS gleichzeitig explizit verbieten.
Da ein NAS wie ein Server zu sehen ist und damit eine feste statische IP Im Netzwerk bekommen sollte ist die Lösung kinderleicht.
Das Einfachste ist schlicht kein Gateway in die IP Adress Konfig der NAS Systeme konfigurieren !!
Kein Gateway = Kein Internet, da technisch unmöglich.
Daür sollte auch der Wissenstand des TO reichen, denn das weiss ja mittlerweile jeder Grundschüler.
Ist übrigens auch der Trick wie man den heimischen Smart TV sicher hindert einen auszuschnüffeln.
Simpel und absolut wasserdicht und... in 10 Sekunden erledigt !
Einfacher gehts nicht.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.02.2017 aktualisiert um 07:07:49 Uhr
Goto Top
Moin,

Die einfachste Metohde: Fitzbox mit Kindersicherung, die den NASsen verbietet internet zu haben.

Ansonsten eine ordentliche Firewall.

lks
Mitglied: aqui
aqui 15.02.2017 um 10:20:38 Uhr
Goto Top
Kindersicherung hebelt man aber in 3 Sekunden aus...siehe YouTube face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.02.2017 aktualisiert um 10:36:41 Uhr
Goto Top
Zitat von @aqui:

Kindersicherung hebelt man aber in 3 Sekunden aus...siehe YouTube face-wink

Ja, wenn man die Kindersicherung für Kinder einsetzt. Aber ich glaube nicht, daß die NAS-Firmware so schlau ist, die Fritzbox umgehen zu wollen. face-smile

Bei mir privat hält die Kindersicherung der Fritzbox die ganzen Drucker im Haus davon ab, regelmäßig dem Hersteller zu sagen, was und wieviel ich drucke. face-smile

lks
Mitglied: RainerLi
RainerLi 05.06.2018 um 19:10:34 Uhr
Goto Top
was spricht dagegen im Router den Internetzugriff via MAC-Filter zu blocken... Noch einfacher oder? v.a. da die NAS einen Standard Gateway verlangt
Mitglied: aqui
aqui 06.06.2018 um 15:24:59 Uhr
Goto Top
Dann gibst du als Standargateway eben eine unbenutzte IP oder die deines Druckers an.
Hat den gleichen Effekt auch dann gibt es kein Internet für das NAS.

Mac Adressen sind frei wählbar wie jeder weiss also nicht wirklich sicher.
Mal ganz abgesehen davon das die Internet Kommunikation ja nun wohl kaum auf Mac Adress basis passiert sondern vie jedermann weiss über IP.
Da ist es dann recht sinnfrei mit Mac Filtern zu arbeiten.
Fazit: Mal lesen wie die OSI Layer 2 (Mac) und 3 (IP) so werkeln !! Wikipedia ist deine Freundin !