Die wichtigste Komponente hast du in deinem Setup vergessen: http://bit.ly/1PU36QF
Mein Netz zu Hause - Vorstellung
-
BigChris -
23. Januar 2017 um 13:02 -
Erledigt
-
-
Seh ich ähnlich Ist halt zuviel.
Find es aber gut wenn auch Leute mal eine etwas spezielleres Homenet haben.
-
-
Nicht falsch verstehen, ich finde es auch gut, dass BigChris hier sein Setup vorgestellt hat. Aber für mich wäre es zu kompliziert und etwas zuviel TNO. Wenn man eine einfachere Lösung sucht, um seine "unsicheren" IOT Geräte von den "sicheren" Geräten zu trennen, finde ich den "Three Dumb Routers" Ansatz nicht schlecht. Die Details hat Steve Gibson im Security Now Podcast #545 erläutert. Eine kleine Beschreibung findet man auch hier:
http://www.securityperspectives.com/three-dumb-rou…twork-near-you/ -
Warum die Lösung nun genau einfacher sein soll, erschließt sich mir nicht.
Er hat drei Router, ich habe 4 Ethernetadapter.
Die Lösung mit der pfSense ist auch flexibler, ich kann einfach neue Netze dazuschalten. Z.B. Kind 1, Kind 2, etc.... -
-
Das frag ich mich auch. Das Prinzip ist ja circa das gleiche
-
Einfacher, weil einfacher einzurichten, vermutlich.
-
-
Mal kurz zwsischendurch..
..ein HTPC mit Addons usw. gehört der eurer Meinung nach zu IoT? Anders gefragt. In welchem Netz würdet ihr ihn unterbringen? -
.ein HTPC mit Addons usw. gehört der eurer Meinung nach zu IoT? Anders gefragt. In welchem Netz würdet ihr ihn unterbringen?
Nein, für mich ist das kein IoT, weil ich weiß wie ich den HTPC aufgesetzt habe. In welches Netz der gehört, darüber kann man natürlich philosophieren.
Mein HTPC sollte natürlich auf ein NAS zugreifen können und das muss zwingend im sicheren Netz stehen. Das ist schon mal klar. Denn das NAS ist ein besonders schützenswerter Teil des Netzes und sollte aus dem Internet nicht erreichbar sein. Mein HTPC muss auch aus dem Internet nicht erreichbar sein, dass die bei anderen vielleicht anders aus. Wahrscheinlich muss mal beleuchtet werden, was der HTPC soll und dann kann die Wahl der Zone getroffen werden. Da mein HTPC lediglich Inhalte aus meinen NAS wiedergibt, bzw. von meinem VDR-Server, und ich den HTPC mittels Linux selbst eingerichtet habe, darf der im sicheren grünen Netz stehen bei mir. -
-
Mein HTPC muss auch aus dem Internet nicht erreichbar sein
Zum Verständnis: Muss ein HTPC aus dem Internet erreichbar sein, wenn man VideoAddons verwendet? Denke schon oder?
-
Zum Verständnis: Muss ein HTPC aus dem Internet erreichbar sein, wenn man VideoAddons verwendet? Denke schon oder?
Eigentlich nicht.
Der HTPC baut die Verbindung zum Internet auf, nicht das Internet zum HTPC.Mein NAS ist ja auch nicht aus dem Internet erreichbar, trotzdem kann ich die Updates ziehen.
-
-
Ich glaube er meinte eher, da der Rechner sich mit den Video-Addons theoretisch Viren einfangen kann.
Letztendlich muss jeder für sich selbst entscheiden, wie weit er die Sicherheit umsetzt. Das fängt bei einer Mindestabsicherung an (z.B. alles ein Netz hinter einem normalen Router, viele mit bekannten Sicherheitslücken die nicht mehr geschlossen werden und seine Dienste ins Internet für Fernzugriff freigeschaltet, am besten auch nicht aktualisiert aber wenigstens einigermaßen sichere Kennwörter vergeben.) bis hin zum Netz was komplett vom Internet getrennt ist und ohne WLAN und jedes Gerät theoretisch im eigenen Netz und jeder Datenverkehr zwischen den Geräten geht durch eine Firewall. Iiiiiirgendwo dazwischen liegt für jeden persönlich der richtige Weg um 1. es fachlich umsetzen zu können ohne sich Monate zu beschäftigen mit dem Kram 2. "sicherer" ist als die Mindestabsicherung 3. er selbst gut mit der Lösung leben kann, dass heißt in der Praxis zufrieden ist ohne zu viele Handstände machen zu müssen.
Dieser Zwischenweg könnte für Leute, die sich nicht viel damit beschäftigen wollen folgend aussehen:
- FritzBox internes Netz, WPA2 mit einem sicheren und langen WLAN-Schlüssel (Ziffer, Klein- und Großbuchstaben, einfache Sonderzeichen, keine bekannten Wörter verwenden, mind. 13 Stellen)
- FritzBox Gast Netzwerk aktivieren (Geht übrigens auch für LAN1, an dem man wieder einen Switch hängen könnte) und alle Geräte reinhängen die einem unsicher erscheinen
- Fernzugriff wenn überhaupt eigentlich nur über VPN Zugriff ermöglichen und kein http oder https direkt an ein internes Gerät weiterleiten - hier macht man meiner Meinung schnell den Weg frei für Sicherheitslücken in der Schnittstelle am Gerät wie z.B. Webservices
- sichere Kennwörter verwenden und vor allem für "nichts" das gleiche Kennwort wieder verwenden. Hier kann man sich Eselsbrücken bauen und lieber kleine Abweichungen als gar keine
- Alle Firmware/Software auf dem aktuellen Stand halten um mögliche Sicherheitslücken zu schließenEin Nachteil bei der FritzBox mit Gast Netzwerk könnte sein, dass man eventuell nicht aus dem internen Netzwerk ins Gast Netzwerk kommunizieren könnte oder anders rum. Die FritzBox ist eben keine komplette Firewall.
Da gibt es generell vieles was man beachten kann und es muss einfach jeder selbst entscheiden, was er umsetzen möchte und kann.
-
Klingt nicht schlecht, das stimmt. Und wird für die meisten auch hinreichend sein.
Den Punkt finde ich ganz wichtig:1. es fachlich umsetzen zu können ohne sich Monate zu beschäftigen mit dem Kram 2. "sicherer" ist als die Mindestabsicherung
Es bringt in der Tat nichts, wenn ich Tante Erna sage, so oder gar nicht. Kollegen die in der Netzwerktechnik nicht so firm sind. empfehle ich ebenfalls das Gastnetz der FritzBox.
Einmal muss ich aber noch klugscheißen, ich kann nicht anders:FritzBox Gast Netzwerk aktivieren (Geht übrigens auch für LAN1
Es ist LAN 4
-
-
Moin,
ich muss sagen, ich bin beeindruckt was manche zuhause für einen Aufwand betreiben! Aber dafür sind wir ja alle etwas Nerd hier
Da kommt mir meine Vorstellung von "Sicherheit" geradezu lächerlich vor...
Daher muss ich jetzt einfach mal Fragen:Ich dachte bisher ich bin ziemlich sicher unterwegs... täusche ich mich da etwa??
Mein Setup im Groben:
- Sämtliche Geräte befinden sich im gleichen Netz! (NAS, HTPC, Smarthome etc.).
- Zugang von aussen ausschließlich per VPN und entsprechendem Passwort möglich.
- Sämtlichen Smarthome-Gateways ist der Zugang zum Internet generell per FritzBox-Setting untersagt.
- Fremd-Devices kommen generell nur ins Gäste-WLAN welches zuvor von mir aktiviert werden muss (Ist ansonsten ausgeschaltet!) außerdem gelten die üblichen FritzBox regeln (Nur Surfen + Email erlaubt).
- Portfreigaben nur für Online-Gaming gesetzt.Irre ich mich etwa und bin überhaupt nicht so sicher unterwegs wie ich dachte?
Danke für eine Einschätzung.
grtz
CmdA -
Schauen wir uns das mal an:
Da kommt mir meine Vorstellung von "Sicherheit" geradezu lächerlich vor...
Ach was, jeder hat seine Einstellung und Schutzbedarf.
Sämtliche Geräte befinden sich im gleichen Netz! (NAS, HTPC, Smarthome etc.)
Ok...
Zugang von aussen ausschließlich per VPN und entsprechendem Passwort möglich.
Das ist schon mal gut. Ich nehme an Du hast eine IPSec Verbindung zur Fritzbox? Zertifikatsbasierte Anmeldung wäre schöner, aber wenn du eine Fritz Box hast kann die das leider nicht. Folgendes Problem besteht hier: Wenn beide Gegenstellen eine dynamische IP beziehen, wählt die AVM den "agressive mode" zur Verbindungsherstellung. Hier wird der Hashwert der Preshard Key unverschlüsselt übertragen. --> Angriffspunkt. Die Sicherheit ist hier abhängig vom Schlüssel und Hashverfahren.
Hier kommt wieder meine Paranoia. ICH hätte ein schlechtes Gefühl im Hotel oder so...Sämtlichen Smarthome-Gateways ist der Zugang zum Internet generell per FritzBox-Setting untersagt.
Sehr gut. Du hast ja den Zugriff über VPN sichergestellt.
Fremd-Devices kommen generell nur ins Gäste-WLAN welches zuvor von mir aktiviert werden muss (Ist ansonsten ausgeschaltet!) außerdem gelten die üblichen FritzBox regeln (Nur Surfen + Email erlaubt)
Konsequent gut.
Portfreigaben nur für Online-Gaming gesetzt
Da kann man noch über eine Zeitsteuerung nachdenken.Ich sag mal, dass passt schon. Wobei du dein Samrtphone vielleicht in das Gastnetz stellen könntest. Wen du was bedienen musst, kannst du auch über VPN wieder rein. Und wenn du nichts bedienst, ist das Gerät sicher getrennt.
-
-
Ich muss hier immer mal wieder Zwischenfragen stellen... @C0mmanda hast du mittels Fritzbox den vpn erstellt oder nutzt du irgendein Service?
-
weil der Thread gerade dazu passt, evtl für jemanden hilfreich
http://www.cnx-software.com/2017/01/31/gig…nch-in-q2-2017/
Externer Inhalt www.cnx-software.comInhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.insgesamt wie gemacht für solche Anwendungen und "sollte" nicht übermäßig teuer sein
-
-
Das ist schon mal gut. Ich nehme an Du hast eine IPSec Verbindung zur Fritzbox? Zertifikatsbasierte Anmeldung wäre schöner, aber wenn du eine Fritz Box hast kann die das leider nicht. Folgendes Problem besteht hier: Wenn beide Gegenstellen eine dynamische IP beziehen, wählt die AVM den "agressive mode" zur Verbindungsherstellung. Hier wird der Hashwert der Preshard Key unverschlüsselt übertragen. --> Angriffspunkt. Die Sicherheit ist hier abhängig vom Schlüssel und Hashverfahren.
Hier kommt wieder meine Paranoia. ICH hätte ein schlechtes Gefühl im Hotel oder so...
Erstmal Danke für deine Antworten und Einschätzung.
Dann bin ich ja doch nicht soo blauäugig an die Sache herangegangenJa, ich habe IPSec zur Fritzbox.
Was meinst du genau mit dynamischer IP?
Die interne IP welche dem Device das per VPN auf die Fritte zugreift zugewiesen wird ist eine statische.
(Brauchte das mal für FHEM, ist aber mittlerweile obsolet).Wie auch immer, eine Alternative wäre da nur ein VPN-Dienst, nicht wahr?
Da kann man noch über eine Zeitsteuerung nachdenken.
Per Fritzbox? Das geht?Ich muss hier immer mal wieder Zwischenfragen stellen... @C0mmanda hast du mittels Fritzbox den vpn erstellt oder nutzt du irgendein Service?
Den VPN-Zugang habe ich per FritzBox, bzw. per "eigenem" Config-Skript erstellt. (In Verbindung mit VPN-on-Demand fürs iPhone).grtz
CmdA -
oh mann.. ich komm mit dem nachlesen der ganzen Fachbegriffe nicht hinterher
Hehe -
-
Was meinst du genau mit dynamischer IP?
Die interne IP welche dem Device das per VPN auf die Fritte zugreift zugewiesen wird ist eine statische.Nein, die IP die deine FritzBox und dein Smartphone von deinen Providern bekommt. In der Regel ist diese dynamisch und so wird der aggressive mode benutzt.
Wie auch immer, eine Alternative wäre da nur ein VPN-Dienst, nicht wahr?
Oder halt eine Firewall die das übernimmt, die IPFire z.B.. Die kann mit Zertifikaten umgehen. Evt. geht da auch mit Freetz was, aber da habe ich keine Erfahrungen mit.
-
Mit Freetz würde es auch gehen. Ich bin aber auch davon ab, da die neuesten Firmwares immer schwieriger zu freetzen waren.
-
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!