Mein Netz zu Hause - Vorstellung

    Nicht falsch verstehen, ich finde es auch gut, dass BigChris hier sein Setup vorgestellt hat. Aber für mich wäre es zu kompliziert und etwas zuviel TNO. Wenn man eine einfachere Lösung sucht, um seine "unsicheren" IOT Geräte von den "sicheren" Geräten zu trennen, finde ich den "Three Dumb Routers" Ansatz nicht schlecht. Die Details hat Steve Gibson im Security Now Podcast #545 erläutert. Eine kleine Beschreibung findet man auch hier:
    http://www.securityperspectives.com/three-dumb-rou…twork-near-you/

    Warum die Lösung nun genau einfacher sein soll, erschließt sich mir nicht.
    Er hat drei Router, ich habe 4 Ethernetadapter.
    Die Lösung mit der pfSense ist auch flexibler, ich kann einfach neue Netze dazuschalten. Z.B. Kind 1, Kind 2, etc....

    Zitat von pauabaer

    .ein HTPC mit Addons usw. gehört der eurer Meinung nach zu IoT? Anders gefragt. In welchem Netz würdet ihr ihn unterbringen?

    Nein, für mich ist das kein IoT, weil ich weiß wie ich den HTPC aufgesetzt habe. In welches Netz der gehört, darüber kann man natürlich philosophieren.
    Mein HTPC sollte natürlich auf ein NAS zugreifen können und das muss zwingend im sicheren Netz stehen. Das ist schon mal klar. Denn das NAS ist ein besonders schützenswerter Teil des Netzes und sollte aus dem Internet nicht erreichbar sein. Mein HTPC muss auch aus dem Internet nicht erreichbar sein, dass die bei anderen vielleicht anders aus. Wahrscheinlich muss mal beleuchtet werden, was der HTPC soll und dann kann die Wahl der Zone getroffen werden. Da mein HTPC lediglich Inhalte aus meinen NAS wiedergibt, bzw. von meinem VDR-Server, und ich den HTPC mittels Linux selbst eingerichtet habe, darf der im sicheren grünen Netz stehen bei mir.

    Zitat von pauabaer

    Zum Verständnis: Muss ein HTPC aus dem Internet erreichbar sein, wenn man VideoAddons verwendet? Denke schon oder?

    Eigentlich nicht.
    Der HTPC baut die Verbindung zum Internet auf, nicht das Internet zum HTPC.

    Mein NAS ist ja auch nicht aus dem Internet erreichbar, trotzdem kann ich die Updates ziehen.

    Ich glaube er meinte eher, da der Rechner sich mit den Video-Addons theoretisch Viren einfangen kann.

    Letztendlich muss jeder für sich selbst entscheiden, wie weit er die Sicherheit umsetzt. Das fängt bei einer Mindestabsicherung an (z.B. alles ein Netz hinter einem normalen Router, viele mit bekannten Sicherheitslücken die nicht mehr geschlossen werden und seine Dienste ins Internet für Fernzugriff freigeschaltet, am besten auch nicht aktualisiert aber wenigstens einigermaßen sichere Kennwörter vergeben.) bis hin zum Netz was komplett vom Internet getrennt ist und ohne WLAN und jedes Gerät theoretisch im eigenen Netz und jeder Datenverkehr zwischen den Geräten geht durch eine Firewall. Iiiiiirgendwo dazwischen liegt für jeden persönlich der richtige Weg um 1. es fachlich umsetzen zu können ohne sich Monate zu beschäftigen mit dem Kram 2. "sicherer" ist als die Mindestabsicherung 3. er selbst gut mit der Lösung leben kann, dass heißt in der Praxis zufrieden ist ohne zu viele Handstände machen zu müssen.

    Dieser Zwischenweg könnte für Leute, die sich nicht viel damit beschäftigen wollen folgend aussehen:
    - FritzBox internes Netz, WPA2 mit einem sicheren und langen WLAN-Schlüssel (Ziffer, Klein- und Großbuchstaben, einfache Sonderzeichen, keine bekannten Wörter verwenden, mind. 13 Stellen)
    - FritzBox Gast Netzwerk aktivieren (Geht übrigens auch für LAN1, an dem man wieder einen Switch hängen könnte) und alle Geräte reinhängen die einem unsicher erscheinen
    - Fernzugriff wenn überhaupt eigentlich nur über VPN Zugriff ermöglichen und kein http oder https direkt an ein internes Gerät weiterleiten - hier macht man meiner Meinung schnell den Weg frei für Sicherheitslücken in der Schnittstelle am Gerät wie z.B. Webservices
    - sichere Kennwörter verwenden und vor allem für "nichts" das gleiche Kennwort wieder verwenden. Hier kann man sich Eselsbrücken bauen und lieber kleine Abweichungen als gar keine
    - Alle Firmware/Software auf dem aktuellen Stand halten um mögliche Sicherheitslücken zu schließen

    Ein Nachteil bei der FritzBox mit Gast Netzwerk könnte sein, dass man eventuell nicht aus dem internen Netzwerk ins Gast Netzwerk kommunizieren könnte oder anders rum. Die FritzBox ist eben keine komplette Firewall.

    Da gibt es generell vieles was man beachten kann und es muss einfach jeder selbst entscheiden, was er umsetzen möchte und kann.

    Klingt nicht schlecht, das stimmt. Und wird für die meisten auch hinreichend sein.
    Den Punkt finde ich ganz wichtig:

    Zitat von FTimo

    1. es fachlich umsetzen zu können ohne sich Monate zu beschäftigen mit dem Kram 2. "sicherer" ist als die Mindestabsicherung

    Es bringt in der Tat nichts, wenn ich Tante Erna sage, so oder gar nicht. Kollegen die in der Netzwerktechnik nicht so firm sind. empfehle ich ebenfalls das Gastnetz der FritzBox.
    Einmal muss ich aber noch klugscheißen, ich kann nicht anders:

    Zitat von FTimo

    FritzBox Gast Netzwerk aktivieren (Geht übrigens auch für LAN1

    Es ist LAN 4 ;)

    Moin,

    ich muss sagen, ich bin beeindruckt was manche zuhause für einen Aufwand betreiben! Aber dafür sind wir ja alle etwas Nerd hier ;)

    Da kommt mir meine Vorstellung von "Sicherheit" geradezu lächerlich vor... :(
    Daher muss ich jetzt einfach mal Fragen:

    Ich dachte bisher ich bin ziemlich sicher unterwegs... täusche ich mich da etwa??

    Mein Setup im Groben:

    - Sämtliche Geräte befinden sich im gleichen Netz! (NAS, HTPC, Smarthome etc.).
    - Zugang von aussen ausschließlich per VPN und entsprechendem Passwort möglich.
    - Sämtlichen Smarthome-Gateways ist der Zugang zum Internet generell per FritzBox-Setting untersagt.
    - Fremd-Devices kommen generell nur ins Gäste-WLAN welches zuvor von mir aktiviert werden muss (Ist ansonsten ausgeschaltet!) außerdem gelten die üblichen FritzBox regeln (Nur Surfen + Email erlaubt).
    - Portfreigaben nur für Online-Gaming gesetzt.

    Irre ich mich etwa und bin überhaupt nicht so sicher unterwegs wie ich dachte?

    Danke für eine Einschätzung.

    grtz
    CmdA

    Meine Hardware

    [contentbox]TV-Server/NAS:
    Gigabyte GA-B85M-D2V | Intel G1840 | 4GB RAM | 1x SSD 120GB System | 1x SSD 30GB Kodi Thumbs & mySQL | 3x HDD (9TB) |
    DD Cine S2 6.5 4Tuner | OMV 2.x[/contentbox][contentbox]Backup-Server: AMD Athlon 64 X2 | 1GB RAM | 5,5 TB | OMV 2.x[/contentbox]

    [contentbox] HTPC | Asrock Q1900-ITX | 4GB RAM | 120Gb Samsung SSD | OpenELEC 5.0.8
    2x RasPi 1 | OpenELEC 5.0.8
    RasPi 2 | OpenELEC 5.0.8
    MacBook Pro | Kodi 14.2[/contentbox]

    Schauen wir uns das mal an:


    Zitat von C0mmanda

    Da kommt mir meine Vorstellung von "Sicherheit" geradezu lächerlich vor...

    Ach was, jeder hat seine Einstellung und Schutzbedarf.


    Zitat von C0mmanda

    Sämtliche Geräte befinden sich im gleichen Netz! (NAS, HTPC, Smarthome etc.)

    Ok...


    Zitat von C0mmanda

    Zugang von aussen ausschließlich per VPN und entsprechendem Passwort möglich.

    Das ist schon mal gut. Ich nehme an Du hast eine IPSec Verbindung zur Fritzbox? Zertifikatsbasierte Anmeldung wäre schöner, aber wenn du eine Fritz Box hast kann die das leider nicht. Folgendes Problem besteht hier: Wenn beide Gegenstellen eine dynamische IP beziehen, wählt die AVM den "agressive mode" zur Verbindungsherstellung. Hier wird der Hashwert der Preshard Key unverschlüsselt übertragen. --> Angriffspunkt. Die Sicherheit ist hier abhängig vom Schlüssel und Hashverfahren.
    Hier kommt wieder meine Paranoia. ICH hätte ein schlechtes Gefühl im Hotel oder so...


    Zitat von C0mmanda

    Sämtlichen Smarthome-Gateways ist der Zugang zum Internet generell per FritzBox-Setting untersagt.

    Sehr gut. Du hast ja den Zugriff über VPN sichergestellt.


    Zitat von C0mmanda

    Fremd-Devices kommen generell nur ins Gäste-WLAN welches zuvor von mir aktiviert werden muss (Ist ansonsten ausgeschaltet!) außerdem gelten die üblichen FritzBox regeln (Nur Surfen + Email erlaubt)

    Konsequent gut.


    Zitat von C0mmanda

    Portfreigaben nur für Online-Gaming gesetzt


    Da kann man noch über eine Zeitsteuerung nachdenken.


    Ich sag mal, dass passt schon. Wobei du dein Samrtphone vielleicht in das Gastnetz stellen könntest. Wen du was bedienen musst, kannst du auch über VPN wieder rein. Und wenn du nichts bedienst, ist das Gerät sicher getrennt.

    Zitat von BigChris

    Das ist schon mal gut. Ich nehme an Du hast eine IPSec Verbindung zur Fritzbox? Zertifikatsbasierte Anmeldung wäre schöner, aber wenn du eine Fritz Box hast kann die das leider nicht. Folgendes Problem besteht hier: Wenn beide Gegenstellen eine dynamische IP beziehen, wählt die AVM den "agressive mode" zur Verbindungsherstellung. Hier wird der Hashwert der Preshard Key unverschlüsselt übertragen. --> Angriffspunkt. Die Sicherheit ist hier abhängig vom Schlüssel und Hashverfahren.
    Hier kommt wieder meine Paranoia. ICH hätte ein schlechtes Gefühl im Hotel oder so...


    Erstmal Danke für deine Antworten und Einschätzung.
    Dann bin ich ja doch nicht soo blauäugig an die Sache herangegangen ;)

    Ja, ich habe IPSec zur Fritzbox.
    Was meinst du genau mit dynamischer IP?
    Die interne IP welche dem Device das per VPN auf die Fritte zugreift zugewiesen wird ist eine statische.
    (Brauchte das mal für FHEM, ist aber mittlerweile obsolet).

    Wie auch immer, eine Alternative wäre da nur ein VPN-Dienst, nicht wahr?

    Zitat von BigChris

    Da kann man noch über eine Zeitsteuerung nachdenken.


    Per Fritzbox? Das geht?

    Zitat von pauabaer

    Ich muss hier immer mal wieder Zwischenfragen stellen... @C0mmanda hast du mittels Fritzbox den vpn erstellt oder nutzt du irgendein Service?


    Den VPN-Zugang habe ich per FritzBox, bzw. per "eigenem" Config-Skript erstellt. (In Verbindung mit VPN-on-Demand fürs iPhone).

    grtz
    CmdA

    Meine Hardware

    [contentbox]TV-Server/NAS:
    Gigabyte GA-B85M-D2V | Intel G1840 | 4GB RAM | 1x SSD 120GB System | 1x SSD 30GB Kodi Thumbs & mySQL | 3x HDD (9TB) |
    DD Cine S2 6.5 4Tuner | OMV 2.x[/contentbox][contentbox]Backup-Server: AMD Athlon 64 X2 | 1GB RAM | 5,5 TB | OMV 2.x[/contentbox]

    [contentbox] HTPC | Asrock Q1900-ITX | 4GB RAM | 120Gb Samsung SSD | OpenELEC 5.0.8
    2x RasPi 1 | OpenELEC 5.0.8
    RasPi 2 | OpenELEC 5.0.8
    MacBook Pro | Kodi 14.2[/contentbox]

    Zitat von C0mmanda

    Was meinst du genau mit dynamischer IP?
    Die interne IP welche dem Device das per VPN auf die Fritte zugreift zugewiesen wird ist eine statische.

    Nein, die IP die deine FritzBox und dein Smartphone von deinen Providern bekommt. In der Regel ist diese dynamisch und so wird der aggressive mode benutzt.

    Zitat von C0mmanda

    Wie auch immer, eine Alternative wäre da nur ein VPN-Dienst, nicht wahr?

    Oder halt eine Firewall die das übernimmt, die IPFire z.B.. Die kann mit Zertifikaten umgehen. Evt. geht da auch mit Freetz was, aber da habe ich keine Erfahrungen mit.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden