• Hallo Gast!
    Noch bis zum 20.07. kannst Du an unserer Umfrage zum Hersteller des Jahres teilnehmen! Als Gewinn verlosen wir unter allen Teilnehmern dieses Mal eine Grafikkarte Eurer Wahl für bis zu 1.000 EUR - über eine Teilnahme würden wir uns sehr freuen!

Wie kann ich mein Heimnetzwerk noch etwas sicherer machen

Swp2000

Swp2000

Enthusiast
Thread Starter
Mitglied seit
03.06.2006
Beiträge
7.935
Ort
Baden-Württemberg
Servus miteinander,

Mein Netzwerk bzw. meine Netzsicherheit unterscheidet sich momentan nicht groß von allen anderen Haus/Wohnungseigentümern. Ein router an der Wand der alles nötige im Netzwerk bereitstellt (Internet,VPN,SFTP) und die ganzen Helferlein mit dem World Wide Web verbindet.
Nun möchte ich das ganze nochmals etwas sicherer gestalten und hier benötige ich eure Hilfe. Was kann ich hier noch verändern um die vorhandene "Feuerwand" ncoh etwas sicherer zu gestalten.
Als erstes dachte ich, da ich noch ein NAS habe, hier das WLAN mittels RADIUS Server etwas weiter abzusichern. Jedoch er einmal sehen ob die ganzen Geräte auch das benötigte Protokoll unterstützen.
Was habt ihr noch an zusätzlicher Sicherheit?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
Zuletzt bearbeitet:
@Swp2000
Erstmal solltest du dir überlegen gegen was du dich überhaupt schützen willst.
Viren, Trojaner, etc?
Dann solltest du dir eher die Computer vornhemen, und weniger das Netzwerk.

Geht es etwa um gezielte Angriffe oder sowas?
Sonst reicht der "Standard" für einen normalen Bürger eigentlich nun wirklich mehr aus (sofern er nicht unwissend, Schutzmaßnahmen aushebelt, Löcher in die Firewall reisst, etc.)...

@TheBigG
Definiere bitte mal "Sicherheit" o_O
 
DragonTear schrieb:
@Swp2000
Erstmal solltest du dir überlegen gegen was du dich überhaupt schützen willst.
Viren, Trojaner, etc?
Dann solltest du dir eher die Computer vornhemen, und weniger das Netzwerk.
Zum Vergrößern anklicken....
Ich möchte mich gegen direkte Hackerangriffe schützen. Bzw. ebenso gegen Viren. Ich dachte das eine zusätzliche Firewall, gerade da ich 2 Ports nach aussen hin geöffnet habe, sinnvoll wären. Ist dem nicht so?
Ich habe auch schon vom NAS her gezielte auschlüsse in der dortigen Firewall gewählt, damit sich beispielsweise keine Nutzer ausserhalb von D verbinden können (geoIP, nennt sich das soweit ich weiß).
Ebenso dachte ich daran, was das WLAN betrifft einen RADIUS Server zu betreiben um auch dort ausschließen zu können, das sich jemand nachts in das Netzwerk einwählen kann der evtl. schonmal das Passwort hatte.
 
Swp2000 schrieb:
Ich möchte mich gegen direkte Hackerangriffe schützen. Bzw. ebenso gegen Viren. Ich dachte das eine zusätzliche Firewall, gerade da ich 2 Ports nach aussen hin geöffnet habe, sinnvoll wären. Ist dem nicht so?
Zum Vergrößern anklicken....

Direkte Hackerangriffe auf eine Privatperson sind zwar nicht auszuschließen aber genauso wenig etwas wogegen man sich gezielt wappnen muss. Ich meine was hast du für Daten die Interessant sein könnten? Das "Script-Kiddie" von Nebenan was mal mit ein paar Darknet Tools rumprobiert wird höchstwahrscheinlich schon an deiner scheinbar gut eingerichteten Standard Consumer Infrastruktur scheitern und "richtige Hacker" wiederum lassen sich nicht von ein paar mehr Sicherheitsschichten abschrecken. Hier ein entsprechendes Sicherheitslevel aufzubauen geht nur mit sehr hohen Aufwand und Enterprise Produkten die im Consumer Bereich nicht wirklich bezahlbar sind.

Gegen Viren kannst du auf Netzwerkebene wenig machen. Da hilft nur ein gutes Antiviren Paket auf dem Client und ganz wichtig ein gesundes Verhalten am PC was die Nutzung von gewissen Teilen und Inhalten des Netzes angeht. Hier kannst du höchstens noch recht einfach eine VM auf dem Client nutzen die die entsprechend für Aktionen im Internet genutzt wird oder eben einen seperaten PC der nur im Internet aber nicht im restlichen Netzwerk hängt.


Ich habe auch schon vom NAS her gezielte auschlüsse in der dortigen Firewall gewählt, damit sich beispielsweise keine Nutzer ausserhalb von D verbinden können (geoIP, nennt sich das soweit ich weiß).
Ebenso dachte ich daran, was das WLAN betrifft einen RADIUS Server zu betreiben um auch dort ausschließen zu können, das sich jemand nachts in das Netzwerk einwählen kann der evtl. schonmal das Passwort hatte.
Zum Vergrößern anklicken....

Für das WLAN kannst du einfach die MAC-Filterung nutzen. So können nur zugelassene Geräte sich ins Netz verbinden. Für Gäste kannst du entsprechend ein Gast-Netz anlegen was du deaktivierst wenn du keine Gäste mehr hast. Den Schlüssel für das private WLAN gibst du dann einfach nicht raus und kannst du auch je nach Wunsch in beliebigen Intervallen ändern. Höherwertige Router/APs unterstützen sowas in der Regel.
Klar kann man das auch umgehen aber auch hier muss man sich die Frage stellen wer sollte dies aus welchen Grund tun und wie ist der Aufwand dafür zu bewerten.

Extra Serverprodukte auf Enterprise Level zu nutzen ist meiner Meinung nach alle oversized und bringt dir außer dem Gefühl dafür viel Geld auszugeben auch nicht viel mehr Sicherheit.
 
Für was wird dann IPFire verwendet? Du meinst dann Radius wäre auch oversized?
Der WRND 1043 TP-Link hat soweit ich weiß keinen Gastzugang. Mal sehen. Ich habe hier im Haus 3 APs bei denen ich dann jeweils die Mac Filterung bzw. die einzelnen Cloents einpflegen muss. Das stimmt doch?
 
Das NAS auf Opensource Basis mit Public key Authentifizierung sowie 802.11i Authentifizierung via Radius fürs WLAN sind schonmal gut. MAC Filter ist nutzlos. Falls du den tp-link-1043ND meinst der kann das Gäste WLAN über ein VLAN sowie anmeldung per Radius wenn da OpenWRT drauf läuft.
 
Generell wäre wohl eher der Standard zu empfehlen... Geräte die von public erreichbar sind, gehören nicht in das interne LAN -> dafür verwendet man eine DMZ, die entsprechend abgeriegelt ist.
Traust du dem ganzen nicht, kannst du das ganze auch physisch trennen, also zwei Firewalls und entsprechend dicht machen, damit nur noch Zugriffe von intern in die DMZ gezielt erlaubt sind und eben Zugriffe von public auf die Services in der DMZ.

Auch zu erwähnen wären noch so Geschichten wie ein IDS/IPS System, ebenso Fail2Ban und Co., die Angriffe erkennen und teils anwehren (können).
Ebenso sind analyse Möglichkeiten des Datenverkehrs im Netzwerk immer gut aufschlussreich um daraus dann zu erkennen, ob unbewusst Daten wandern, die nicht wandern sollten... Bspw. könnte man via Netflow Analysen da ggf. was erreichen.

Thema WLAN -> hier wäre eine zertifikatsbasierte Authentifizierung wohl am sinnvollsten. Das ganze ist halt nur dahingehend problembehaftet, wenn das WLAN Gerät damit nicht umgehen kann. Ansonsten kann und sollte im Optimalfall keiner die Zertifikate aushebeln können, vor allem, wenn du selbst eine sichere Root CA/Issuing CA betreibst mit entsprechendem Konzept dahinter.

Was das Thema Kosten angeht, ja das ist immer so eine Sache... Allerdings bieten sich im Heimgebrauch durchaus ein paar Optionen an, bspw. sind Sophos UTM Appliances im privaten Umfeld generell erstmal kostenfrei -> das ist freilich nicht die ganz hohe Schule der Netzwerksicherheit, aber schonmal ein Anfang ;)


Wie weiter oben aber schon angemerkt wurde, wohl wird der meiste Erfolg beim Umstellen des Anwenderverhaltens eintreten -> das beste Netz nutzt nix, wenn der Anwender prasslig ist und irgendwas ungünstiges ausführt. Man kann allerdings dahingehend ein Stück weit vorbeugen um dem Anwender gewisse Sachen eben nicht erlauben -> Surfen nur über nen Proxy mit Virenscan, Sperren von jeglichen Messagingtools, E-Mail nur über eine Appliance, die die Mails auf Schadcore/Viren und Co. checkt usw. usf. Allerdings beugt das alles eben nur ein Stück weit dem Risiko vor, beheben wirst du das generelle Problem möglicher Angriffe damit aber nicht.
 
Wie lege ich eine DMZ an ? Heißt das ich definiere ein Gerät hinter meiner FritzBox als "Exposed Host'" während die anderen wie bisher auch ganz normal ohne irgendwelche Portweiterleitungen im Netzwerk hängen? Wie füge ich beisplw. hier nun eine zweite Firewall hinzue wird das verkabelt?
Apropo Zertifikat beim RAdius Server, dieses kann ich ja einfach selbst generieren oder meinst du damit ein nicht selbst generiertes Zertifikat?
Bei dieser Sophos Geschichte, habe ich eben gesehen gibt es ja Hardware und nur Software Appliance. Beides jedoch zum download? (Hardware, download). Wie ihr seht ein ganz neues Thema für mich. Die Software sagst du wäre umsonst?
 
Zuletzt bearbeitet:
hi, also eine recht simple und kostenlose methode sich eine netzwerkstruktur ohne passende router aufzubauen ist ipcop.
du brauchst du einen rechner (kann eine billige atombox oder so sein) mit mindestens 2x lan.
da kannst du dir dann virtuelle netze erstellen wovon du recht einfach festlegen kannst was openinternet-dmz-intranet bei dir ist.

IPCop
 
Das was die Fritzbox dort DMZ schimpft hat damit wenig zu tun...
Eine DMZ ist ein Stück Netzwerk, was einfach abgeschottet vom Rest läuft. Es ist als sicherer einzustufen als public WAN und als unsicherer als das interne LAN. Eine Firewall (ggf. + dedizierten Router oder in Kombination in einem Gerät) übernimmt die/das Absicherung/Routing. Mit einer Fritzbox kommst du da allerdings wohl nicht wirklich weit...

IPCop und Co. wäre eine Option. So ne Sophos Appliance (ob als VM, oder native auf eine Hardware installiert, für den Anfang erstmal egal) wäre auch eine Option sowas zu bewerkstelligen. Alternativ ein Hardwarerouter, der sowas kann (ggf. kost das aber ne Stange Geld)

Was die Zertifikate angeht, ja die kannst du selbst ausstellen, allerdings solltest du dir dann erstmal Gedanken über eine CA machen. Und vor allem solltest du dich mal in die Themen einlesen... Wie so oft hat es auch in diesem Thread wieder den Eindruck, als wüsstest du von der Thematik irgendwie fast gar nix ;) Nimms mir bitte nicht übel, aber ich muss immer ein wenig schmunzeln, wenn du Threads aufmachst :wink:

PS: ja, die Sophos UTM Software, ob als VM oder als Install auf einer Hardware ist für den privaten Gebrauch umsonst. Kost dich nur etwas Zeit um einen MyAstaro Account anzulegen und dir dort das License File zu generieren. Diese Lizenz ist dann für eine gewisse Zeit gültig (ich glaube das waren 3 Jahre?) -> du kannst dir nach Ablauf aber halt einfach ein neues ausstellen... So ne Sophos Appliance ansich kann erstmal generell ne relativ große Menge von Features abdecken. Wie sicher und gut das ganze am Ende allerdings ist, sei mal dahingestellt. Da es aber keine 100% Sicherheit gibt und auch nie geben wird, vermittelt dir eine derartige Appliance zumindest grundsätzlich erstmal ein Gefühl der Sicherheit. ;) Du musst dir nur im Klaren sein, was das Teil macht und was du damit bewerkstelligst, die beste Software nutzt gar nix, wenn man sie nicht bedienen kann und vor allem, wenn man nicht weis, was die Auswirkungen der ganzen Schalter und Einstellmöglichkeiten ist...
 
fdsonne schrieb:
Nimms mir bitte nicht übel, aber ich muss immer ein wenig schmunzeln, wenn du Threads aufmachst :wink:
Zum Vergrößern anklicken....

Das mache ich nur wegen dir :banana: Nein, mal im Ernst, was hat es mit den Downloads zu tun: Einmal Software und einmal Hardware.
Das eine ist die reine Software die ich auf jeden belibiegen Rechner installieren kann? Für was ist der Hardware Download dann?

PS: Ich habe mir gerade mal die Software IPFire, IPCop sowie Sophos UTM Home Edition angeschaut. Von der grafischen Oberfläche spricht mich das Sophos am meisten an. Ich denke ich werde dieses Software mal genauer anschauen.
Was mir etwas schwer fällt ist die Auswahl des richtigen Paketes. Einmal gibt es dort ein Sophos UTM Home Edition, einmal Sophos UTM Essential Firewall, und das andere mal.
https://www.sophos.com/de-de/support/utm-downloads.aspx finde ich dieses hier. Welches ist jetzt das richtige für mich? Oder sind das alles ein und dasselbe. Jetzt darfst du auch wieder lachen fdsonne.
 
Zuletzt bearbeitet:
Das Paket für die "Hardware" ist eigens für die Sophos Hardware Appliances geschnürt. Dürfte, wenn mich nicht alles täuscht irgendwie ein SSI (Sophos Smart Installer oder so heißt das) im Namen tragen? -> für die Betankung der Hardware Appliances gibts dort die Möglichkeit, die Software draufzubringen. Via USB Stick bspw.

Für dich ist eher das normale Software Paket interessant. Ggf. noch die VM -> wobei das nicht zwingend notwendig ist. Wenn du VM willst, kannst du diese auch via dem normalen ISO installieren.
Vom Produkt her, Sophos UTM schimpft sich das Teil...
Das Software ISO müsste, wenn ich das recht in Erinnerung habe, "asg" im Namen tragen...


Was die Oberfläche angeht, ja, die UTM Oberfläche ist halt klicki bunti... Man kann einige Sachen machen. Leider ist das Teil mit den Jahren etwas "überladen" und teils auch etwas unübersichtlich geworden. Und es geht natürlich auch bei weitem nicht ALLES, was man sich wünschen würde -> obwohl Sophos das gern mal versucht zu versprechen :fresse:
Bspw. gibt es keinen IGMP Proxy in dem Teil. Willst du bspw. aber Telekom Entertain mit dem Ding über Netze hinweg routen -> brauchst du nen IGMP Proxy... Da die Appliance generell aber relativ weit im Umlauf ist (also nicht wirklich exotisch) gibts natürlich auch ein paar findige Hobby Entwickler, die da Pakete gebaut haben, die man auf der Kommandozeile nachinstallieren kann :fresse: Das gilt allerdings auch für die anderen, üblichen Verdächtigen wie IPCop und Co.


Unterm Strich eher eine Einzelfallentscheidung, was man nutzen will. Um so mehr Features du aus der Sophos Appliance nutzen willst, desto mehr Sinn ergibt das Ding. Theoretisch könntest du mit dem Ding alles in einem Gerät bewerkstelligen. Also von Webproxy über Webserververöffentlichung/Reverse Proxy über normales Firewalling/NAT/Routing bis hin zu Ansätzen von IDS/IPS. Auch Mailsecurity deckt das Ding ab... Selbst WLAN kann da Teil, wobei ich damit absolut gar keine Erfahrung habe!
 
Zuletzt bearbeitet:
Bei VM Installation, was brauche ich da für einen Untersatz? mir wäre es am Liebsten wenn ich den Rechner noch für andere Sachen verwenden könnte, da so wie ich es verstanden habe der Komplette Rechner auf Sophos umgebügelt wird. Brauche ich dann noch eine andere Software dazu oder meintest du mit Sophos als VM das ich diese auf einem Linux bzw. Windows untersatz installieren kann?

Generell was empfiehlst du mir?
 
Zuletzt bearbeitet:
@Swp2000:
Ich finde es immer wunderbar, wenn jemand sich um Datensicherheit kümmert! Aber einen Reality-Check würde ich schon einschalten. Mir ist nicht wirklich klar, worum es dir geht.

Anscheinend hast du noch nie im Leben eine virtuelle Maschine installiert. Was eine DMZ ist, scheinst du auch nicht wirklich zu wissen. Andererseits willst du ein Vorhaben in der Größenordnung umsetzen:

fdsonne schrieb:
Also von Webproxy über Webserververöffentlichung/Reverse Proxy über normales Firewalling/NAT/Routing bis hin zu Ansätzen von IDS/IPS. Auch Mailsecurity deckt das Ding ab... Selbst WLAN kann da Teil, wobei ich damit absolut gar keine Erfahrung habe!
Zum Vergrößern anklicken....

Wenn du das als persönliches Lernprogramm in einem Übungsnetz siehst und dir ein bis zwei Jahre intensive Arbeit vornimmst – wunderbar!

Wenn du tatsächlich ein Sicherheitsproblem lösen willst, und innerhalb nützlicher Frist eine erhöhte Sicherheit brauchst, dann gibt das in die Hände von einem Profi. Dazu musst du natürlich einiges Geld in die Hand nehmen.
 
Zuletzt bearbeitet:
Ich sehe das für mich als Lernprozess, um einfach hier auch die Kenntnisse zu erweitern. Und du hast Recht, ich habe noch nie eine VM aufgesetzt, sonst würde ich auch nicht fragen.
Natürlich brauche ich dafür auch etwas Hardware, ich dachte für Übungszwecke an ein Kleines ITX Board in einem 19". Was kann man hier für den oben genannten Fall empfehlen. Sollte IPMI tauglich sein, da ich am Einsatzort nicht direkt Zugriff auf eine Tastatur nebst Bildschirm habe.
 
Zuletzt bearbeitet:
Willst du all das oben gesagt Umsetzen oder nur den RADIUS Server, nur Firewall,...?

Für den RADIUS Server würde sicher ein PI ausreichen für den Rest brauchst du je nach Internetverbindung aber etwas stärkere Hardware gerade die Firewall wenn du eine etwas größere Leitung hast. Ein ITX Board mit zwei LAN Anschlüssen, 16GB RAM und ein i3 oder Ähnliches im Xeon Bereich damit man auch virtualisieren kann. Willst du alles auf Hardwarebene angehen kann es sicher auch weniger sein (vor allem weniger RAM)
 
Zuletzt bearbeitet:
Ich dachte zumindest an RADIUS, Proxy, Firewall.
 
Anmelden, um zu antworten.

Ähnliche Themen

mtheis1987
  • Artikel
[User-Review] FRITZ!Box 5690 Pro
Antworten
7
Aufrufe
5K
Zeitmangel
Z
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh