Hallo Liebe Forennutzer, ich wollte mal in die Runde fragen wie ihr euer Heimnetz aufgebaut habt. Gerade solche Geschichten wie Gastnetz und IOT kommt ja immer mehr. Und auch was die Sicherheit von Routern angeht gab es ja auch immer mal wieder was in den Medien. Aktuell habe ich eine Fritzbox (von Kabel) und überlege jetzt eine eigene Router Lösung zu machen (IPFire o.ä.). Wie seht ihr denn das mit der Sicherheit und lohnt sich der Aufwand? Es würde mich auch interessieren was ihr an Software nutzt und welche Maßnahmen ihr so ergriffen habt.
Claus M. schrieb: > Wie seht ihr denn das mit der Sicherheit und lohnt sich der Aufwand? Echte Sicherheit bedarf immer eines großen Aufwands. Ein umfangreiches Sicherheitssystem muss auch bedient werden können. Es reicht nicht, eine "Firewall" hinzustellen und das Netzwerk ist sicher. Das Betriebssystem muss immer auf dem aktuellen Stand gehalten werden und daher natürlich zukunftssicher sein. Es wird ein Firewall-Router mit mehreren getrennten Netzsegmenten benötigt. Der Datenverkehr zwischen den Segmenten ist möglichst gering zu halten und auf das notwendigste zu beschränken. Dann muss natürlich jeder Übertritt sofort angemahnt und beseitigt werden. Am besten ist noch eine Verhaltenserkennung, die bei unnormaler Nutzung der zugelassenen Verbindungen reagiert. Oder gleich deep packet inspection inklusive Aufbrechen von verschlüsselten Verbindungen. Damit kann natürlich ein Bösewicht immer noch genug Schindluder treiben. Meine Empfehlung für den Heimbedarf und wenn Du nichts selber bauen willst: DrayTek Vigor Such Dir dort etwas passendes mit mindestens vier Subnetzen (Rechner, Multimedia, IoT, Gast) aus. Wenn Du basteln willst: pfSense/opnSense
Claus M. schrieb: > ich wollte mal in die Runde fragen wie ihr euer Heimnetz aufgebaut habt. > Gerade solche Geschichten wie Gastnetz und IOT kommt ja immer mehr. Und > auch was die Sicherheit von Routern angeht gab es ja auch immer mal > wieder was in den Medien. Aktuell habe ich eine Fritzbox (von Kabel) und > überlege jetzt eine eigene Router Lösung zu machen (IPFire o.ä.). Wie > seht ihr denn das mit der Sicherheit und lohnt sich der Aufwand? Es > würde mich auch interessieren was ihr an Software nutzt und welche > Maßnahmen ihr so ergriffen habt. Ja der Aufwand lohnt sich die IOT-Devices in eine anderes Netzwerk zu packen und denen den Internetzugriff beschränken. Außerdem kann es helfen Radius zu verwenden. Und nicht zu vergessen: Das WLAN zu verschlüsseln/schützen. Beitrag "WLAN hacken, wozu?"
Sicherheit für oder gegen was? Ein 0815-Heimnetz ohne von aussen erreichbare Server ist mit einer Fritzbox oder vergleichbaren Routern ausreichend "sicher". Da hackt sich keiner mal so eben rein, vor allem allerdings deshalb nicht, weil es keinen interessiert. Die größte Gefahr sitzt eh vor dem Rechner. Gegen DAUs, die auf jeden email-Anhang klicken, oder ihre Passwörter und sonstigen Zugangsdaten in jedes Webformular eintragen, hilft gar nix. Wer eigene Server betreibt, muß mehr Aufwand treiben. Oliver
Ich würde auch sagen das sich der Aufwand lohnt. Bei den selbstbau Lösungen sollte man allerdings etwas spaß am Probieren und auch etwas Zeit haben. Bei mir ist die Fritz Box zu einem Kabelmodem degradiert worden. Für mein Netzwerk nutze ich OPNSense als Firewall mit 3 Netzen. Ich habe ein Lokales Netzt, eins für das Gast WLAN und eins für IOT, Heimautomatisierung, etc. WLAN machen bei mir mehrere Ubiquiti APs mit VLAN fürs Gastnetz und MAC Authentifizierung über Radius für das normale WLAN. OPNSense kann ein paar ganz nette Sachen wie beispielsweise IP Tables (FireHOL etc.) oder Intrusion Detection/Prevention. Von außen kommt man bei mir nur über VPN (Zertifikat+UserAuth+2FA) auf irgendwas im Heimischen Netz. Was ich irgendwann, wenn Zeit ist mal noch mache ist ein transparenter Proxy da hatte ich bisher aber noch keine Muse dazu.
Claus M. schrieb: > Gerade solche Geschichten wie Gastnetz und IOT kommt ja immer mehr. Die Sicherheit nach aussen ist das eine - schwieriges Thema ABer innerhalb meines Netzes - ja, ich habe einen Gastzugang - SSID ist Pxxn_for_free - um die Nachbarn zu ärgern, aber Freunde die zu Besuch sind bekommen auch gerne meinen normalen Internetzugang Finde es idiotisch das ich Leute in mein Haus lasse, aber dann Angst habe das sie meinen Internetanschluss missbrauchen - da könnten sie weit Schlimmeres anrichten
:
Bearbeitet durch User
Heinz R. schrieb: > aber Freunde die zu Besuch > sind bekommen auch gerne meinen normalen Internetzugang Man sollte wissen, was man im Netz hat. Wenn noch ein Datenträger an der Fritzbox hängt, wäre ich etwas vorsichtiger mit Zugängen (um Unsinn zu vermeiden).
oszi40 schrieb: > Man sollte wissen, was man im Netz hat. Wenn noch ein Datenträger an der > Fritzbox hängt, wäre ich etwas vorsichtiger mit Zugängen (um Unsinn zu > vermeiden). Meine Freunde kommen her um zu reden, essen, Party zu machen - nicht um mein Netzwerk zu hacken Wenn sie mein Netzwerk hacken würden - würde mir größere Sorgen machen das sie meinen Safe knacken
Claus M. schrieb: > Gerade solche Geschichten wie Gastnetz Deine Gäste sollen sich mit Dir beschäftigen. Nur um im Netz zu surfen brauchen die nicht zu Dir kommen.
:
Bearbeitet durch User
Ist doch einfach, wenn man nicht faul ist. Der Gast-Zugang ist ein GAST-Zugang. Ist der Gast weg, schalte ich den Zugang AUS, oder ändere das Passwort. Wobei ich mir 10 x überlege ob ich das überhaupt einrichte. Die Gäste sollen gefälligst mal ein paar Std. ohne Internet auskommen. Haben sie damals ja auch. ;) Und ich spiele nicht "Das perfekte Geheimnis" ;) Gruß Pucki
Guest schrieb: > Bei mir ist die Fritz Box zu einem Kabelmodem degradiert worden. > Für mein Netzwerk nutze ich OPNSense als Firewall mit 3 Netzen. Hier gibt es kein Fritzchen, sondern eine Zugangsbox mit Router, der den Namen Router zu recht trägt. Für drei (und mehr) Netze brauche ich keine externe Maschine, das gibt bintec von Haus aus her. Bintec ist nicht nenneswert teurer als die Luxus-Fritzchen, aber von der Einrichtung her nicht Heimbastlertauglich.
Manfred schrieb: > Bintec ist nicht nenneswert teurer als die Luxus-Fritzchen, aber von der > Einrichtung her nicht Heimbastlertauglich. Der Kabelfritz ist mir für die Kabler etwas zu einsehbar, also kam ein Mikrotik Router (hAP ac²) ins Netz, um das lokale Inventar abzutrennen. Auch der ist recht anspruchsvoll in der Konfiguration. Mittlerweile steht da eine Fritzbox 4040 (*). Zuerst war OpenWRT drauf, über dessen Stabilität ich aber auch nicht nur glücklich war. Nun ists wieder die Originalfirmware. Will man auf IPv6 nicht gleich ganz verzichten, muss man in einer solchen Konstellation etwas auf Interoperabilität achten, denn die Adressraumvergabe funktioniert bei IPv6 völlig anders (kein NAT) und nicht überall funktioniert das wie geschmiert. So hat die 6490 in der aktuellen Firmware einen Bug, der bei aktivem Filter (die "Kindersicherung") den Adressraum des lokalen Routers blockiert. Ebenso durfte ich feststellen, dass sich diese Dinger nicht zu dicht auf die Pelle rücken sollten. Mit WLAN auf beiden litt die Stabilität der 4040, wenn dicht neben der 6490 platziert. In respektvollem Abstand harmonieren Plasterouter besser. *: In der 4040 steckt die gleiche Hardware drin wie beim Mikrotik. Im Vergleich zum 6490 lässt die WLAN-Performance bei beiden zu wünschen übrig.
:
Bearbeitet durch User
Was willst du schützen und vor welcher Bedrohung. Müssen lokale Geräte über das Internet erreichbar sein brauchst du ein entsprechendes Gerät, das sicherstellt, dass Verbindungsversuche von nicht autorisierten Geräten unterbunden werden und dass sich Geräte authentisieren müssen. Wichtig in diesem Zusammenhang ist eine Protokollfunktion. 100% Sicherheit gibt es nie, aber wenn mal etwas schief gegangen ist dann sind Protokolle sehr hilfreich um den Schaden zu identifizieren. Wenn kein Zugang aus dem öffentlichen Netz nötig ist, dann reichen die einfachen Firewallfunktionen der üblichen Endgeräte und die entsprechenden Einstellungen dazu. Das wesentlich grössere Problem sind "Seuchen" die man sich herunterlädt. Sei das a via Bowser, Download, e-Mail. Hier hilft nur das Hirn einschalten. Eine Firewall mit entsprechenden Filter ist ein grosser Aufwand und eine Firewall ist immer veraltet. D.h. man muss sie regelmässig (mehr als einmal pro Woche) überprüfen. Will man sicherstellen, dass andere Familienmitglieder sicherer Surfen können (wobei ich nicht einsehe warum Kinder alleine im Internet herumsurfen sollen ohne Schutz, man lässt ja 12-jährige auch nicht Nachts um 10Uhr alleine in der Stadt um die Häuser ziehen) dann kann ein DNS Filterservice nützlich sein. Etwa OpenDNS. Hat man eine grössere Zahl von Geräten (etwa IOT) die ins Internet müssen, dann schlage ich vor, diese Geräte in ein eigenes LAN zu packen und die Kommunikation von Geräten an anderen LAN auf diese Geräte und umgekehrt auf ein Minimum einzuschränken. Aka DMZ für IOT. Ebenso empfehle ich für Geräte die garantiert nicht mit dem Internet kommunizieren müssen (etwa der lokale managebare LAN Switch, management Interface der WLAN Access Points etc.) ein eigenes LAN aufzubauen, dass mit keinem anderen LAN kommunizieren kann. Wenn ich eines dieser Geräte bedienen muss dann gibt es extra einen dedizierten Port auf dem Switch an welchem ich meinen Computer anschliessen kann damit ich die Geräte bedienen oder konfigurieren kann. Gäste haben ein eigenes WLAN. Ich traue den Geräten der Gäste nicht. Welche Hardware du einsetzt ist eigentlich egal, viel wichtiger ist, dass du die Konfigurationsdetails der Geräte kennst und sie im Schlaf bedienen kannst. Ein super-duper-firewall-router den du nicht vollständig beherrschst ist gefährlich, zu schnell übersieht man es in der Konfiguration eine Lücke zu schliessen.
Schonmal Danke für die ganzen Beiträge, die meisten bestätigen ja mehr oder Weniger meine Ansichten. Gerade was das Gastzugang fürs WLAN angeht sehe ich das durchaus Kritischer als so manche andere hier. Natürlich kommen meine Freunde und Bekannte auch zu mir um zu essen zu Trinken und Spaß zu haben, aber sind wir ehrlich Jeder schaut mal ab und an aufs Handy und der Empfang bei uns hier ist nicht gerade prickelnd. Außerdem sind hier noch 2 Teenager im Haus und die bringen auch mal Freunde mit. Das Nutzen dann natürlich den Internetzugang zum Spielen und die haben im Heimnetz definitiv nichts zu suchen. Wie Peter meinte, ich traue den Geräten anderer nicht, zumindest nicht vollkommen. Ich denke ich schaue mir mal PFSense bzw. OPNSense an. Da in näherer Zukunft auch etwas Heimautomatisierung und IOT ins Heimische Netzwerk kommt ist das denke ich eine gute Lösung. @Guest: Die Ubiquiti APs sehen sehr interessant aus, welche sind denn da zu empfehlen. Brauche ich da das ganze Ökosystem inklusive Switch und Router oder gehen die auch Standalone?
Die meisten Heimnetze sind heute gegen Angriffe von außen recht sicher, solange die Router-Firmware auf aktuellem Stand gehalten wird bzw. upgedated wird wenn Schwachstellen bekannt werden. Unsichere Kennwörter (WLAN oder Routerkonfiguration) sind hier das größere Risiko. Die größte Unsicherheit sind Angriffe von innen, z.B. über die immer noch beliebten eMail-Anhänge oder präparierte Webseiten - wobei man sich gegen einen Phishing-Angriff über solche Webseiten mit dem sichersten Heimnetz nicht schützen kann.
Claus M. schrieb: > @Guest: > Die Ubiquiti APs sehen sehr interessant aus, welche sind denn da zu > empfehlen. Brauche ich da das ganze Ökosystem inklusive Switch und > Router oder gehen die auch Standalone? Ich habe die UAP-AC-Pro die bieten eigentlich ein gutes Gesamtpaket. Es gibt noch die Long Range, die haben etwas mehr Reichweiter zulasten der Geschwindigkeit. Ich habe lieber zwei Pro genommen, da sollte die Abdeckung idr. besser sein. Etwas neuer sind die nanoHD die haben 1,7Gbps sind aber auch nochmal ein gutes Stück teurer und so viele Geräte die das wirklich können gibt es auch nicht, zumal das auch nur klappt, wenn du direkt neben den APs sitzt. Auch die 1,3Gbps bei dem Pro sind so eine Sache, ehrliche 866Mbps bekommt man auch noch mit etwas Abstand vom AP. Reicht meiner Meinung nach aber auch vollkommen aus. Das Ökosystem brauchst du nicht zwingend. Es ist zwar recht einfach zu bedienen und weitestgehend Plug and Play aber das kostet auch entsprechend. Bei den APs sind POE Injektoren dabei, du brauchst also keine besondere Hardware. Wenn du ein Gast WLAN nutzen möchtest brauchst du einen Switch der VLANs unterstützt und musst das natürlich auch an den Router entsprechend weiterleiten. Um die APs zu konfigurieren braucht man die Software von Ubiquiti, das geht entweder über die eingeschränkte App (Gratis) oder mit dem UnifiController. Letzteren gibt es als Hardware von Ubiquiti oder als Download (Gratis) für Linux. Das läuft zum Beispiel auf einem Raspberry PI. Ich würde den Controller empfehlen, der läuft bei mir in einer VM, früher halt auf einem PI.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.