Forum: Mikrocontroller und Digitale Elektronik Sicherheit von Heimnetzen


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Claus M. (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo Liebe Forennutzer,

ich wollte mal in die Runde fragen wie ihr euer Heimnetz aufgebaut habt. 
Gerade solche Geschichten wie Gastnetz und IOT kommt ja immer mehr. Und 
auch was die Sicherheit von Routern angeht gab es ja auch immer mal 
wieder was in den Medien. Aktuell habe ich eine Fritzbox (von Kabel) und 
überlege jetzt eine eigene Router Lösung zu machen (IPFire o.ä.). Wie 
seht ihr denn das mit der Sicherheit und lohnt sich der Aufwand? Es 
würde mich auch interessieren was ihr an Software nutzt und welche 
Maßnahmen ihr so ergriffen habt.

von Christian H. (netzwanze) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Claus M. schrieb:
> Wie seht ihr denn das mit der Sicherheit und lohnt sich der Aufwand?

Echte Sicherheit bedarf immer eines großen Aufwands. Ein umfangreiches 
Sicherheitssystem muss auch bedient werden können. Es reicht nicht, eine 
"Firewall" hinzustellen und das Netzwerk ist sicher. Das Betriebssystem 
muss immer auf dem aktuellen Stand gehalten werden und daher natürlich 
zukunftssicher sein.

Es wird ein Firewall-Router mit mehreren getrennten Netzsegmenten 
benötigt. Der Datenverkehr zwischen den Segmenten ist möglichst gering 
zu halten und auf das notwendigste zu beschränken. Dann muss natürlich 
jeder Übertritt sofort angemahnt und beseitigt werden. Am besten ist 
noch eine Verhaltenserkennung, die bei unnormaler Nutzung der 
zugelassenen Verbindungen reagiert. Oder gleich deep packet inspection 
inklusive  Aufbrechen von verschlüsselten Verbindungen.

Damit kann natürlich ein Bösewicht immer noch genug Schindluder treiben.

Meine Empfehlung für den Heimbedarf und wenn Du nichts selber bauen 
willst: DrayTek Vigor
Such Dir dort etwas passendes mit mindestens vier Subnetzen (Rechner, 
Multimedia, IoT, Gast) aus.

Wenn Du basteln willst: pfSense/opnSense

von TR.0LL (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Claus M. schrieb:

> ich wollte mal in die Runde fragen wie ihr euer Heimnetz aufgebaut habt.
> Gerade solche Geschichten wie Gastnetz und IOT kommt ja immer mehr. Und
> auch was die Sicherheit von Routern angeht gab es ja auch immer mal
> wieder was in den Medien. Aktuell habe ich eine Fritzbox (von Kabel) und
> überlege jetzt eine eigene Router Lösung zu machen (IPFire o.ä.). Wie
> seht ihr denn das mit der Sicherheit und lohnt sich der Aufwand? Es
> würde mich auch interessieren was ihr an Software nutzt und welche
> Maßnahmen ihr so ergriffen habt.

Ja der Aufwand lohnt sich die IOT-Devices in eine anderes Netzwerk zu 
packen und denen den Internetzugriff beschränken. Außerdem kann es 
helfen Radius zu verwenden.

Und nicht zu vergessen: Das WLAN zu verschlüsseln/schützen.
Beitrag "WLAN hacken, wozu?"

von Oliver S. (oliverso)


Bewertung
-2 lesenswert
nicht lesenswert
Sicherheit für oder gegen was?

Ein 0815-Heimnetz ohne von aussen erreichbare Server ist mit einer 
Fritzbox oder vergleichbaren Routern ausreichend "sicher". Da hackt sich 
keiner mal so eben rein, vor allem allerdings deshalb nicht, weil es 
keinen interessiert.

Die größte Gefahr sitzt eh vor dem Rechner. Gegen DAUs, die auf jeden 
email-Anhang klicken, oder ihre Passwörter und sonstigen Zugangsdaten in 
jedes Webformular eintragen, hilft gar nix.

Wer eigene Server betreibt, muß mehr Aufwand treiben.

Oliver

von Guest (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Ich würde auch sagen das sich der Aufwand lohnt. Bei den selbstbau 
Lösungen sollte man allerdings etwas spaß am Probieren und auch etwas 
Zeit haben.

Bei mir ist die Fritz Box zu einem Kabelmodem degradiert worden. Für 
mein Netzwerk nutze ich OPNSense als Firewall mit 3 Netzen. Ich habe ein 
Lokales Netzt, eins für das Gast WLAN und eins für IOT, 
Heimautomatisierung, etc. WLAN machen bei mir mehrere Ubiquiti APs mit 
VLAN fürs Gastnetz und MAC Authentifizierung über Radius für das normale 
WLAN. OPNSense kann ein paar ganz nette Sachen wie beispielsweise IP 
Tables (FireHOL etc.) oder Intrusion Detection/Prevention. Von außen 
kommt man bei mir nur über VPN (Zertifikat+UserAuth+2FA) auf irgendwas 
im Heimischen Netz.

Was ich irgendwann, wenn Zeit ist mal noch mache ist ein transparenter 
Proxy da hatte ich bisher aber noch keine Muse dazu.

von Heinz R. (heijz)


Bewertung
0 lesenswert
nicht lesenswert
Claus M. schrieb:
> Gerade solche Geschichten wie Gastnetz und IOT kommt ja immer mehr.

Die Sicherheit nach aussen ist das eine - schwieriges Thema
ABer innerhalb meines Netzes - ja, ich habe einen Gastzugang - SSID ist 
Pxxn_for_free - um die Nachbarn zu ärgern, aber Freunde die zu Besuch 
sind bekommen auch gerne meinen normalen Internetzugang
Finde es idiotisch das ich Leute in mein Haus lasse, aber dann Angst 
habe das sie meinen Internetanschluss missbrauchen - da könnten sie weit 
Schlimmeres anrichten

: Bearbeitet durch User
von oszi40 (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Heinz R. schrieb:
> aber Freunde die zu Besuch
> sind bekommen auch gerne meinen normalen Internetzugang

Man sollte wissen, was man im Netz hat. Wenn noch ein Datenträger an der 
Fritzbox hängt, wäre ich etwas vorsichtiger mit Zugängen (um Unsinn zu 
vermeiden).

von Heinz R. (heijz)


Bewertung
0 lesenswert
nicht lesenswert
oszi40 schrieb:
> Man sollte wissen, was man im Netz hat. Wenn noch ein Datenträger an der
> Fritzbox hängt, wäre ich etwas vorsichtiger mit Zugängen (um Unsinn zu
> vermeiden).

Meine Freunde kommen her um zu reden, essen, Party zu machen - nicht um 
mein Netzwerk zu hacken

Wenn sie mein Netzwerk hacken würden - würde mir größere Sorgen machen 
das sie meinen Safe knacken

von René H. (mumpel)


Bewertung
0 lesenswert
nicht lesenswert
Claus M. schrieb:
> Gerade solche Geschichten wie Gastnetz

Deine Gäste sollen sich mit Dir beschäftigen. Nur um im Netz zu surfen 
brauchen die nicht zu Dir kommen.

: Bearbeitet durch User
von Alexander K. (pucki)


Bewertung
-1 lesenswert
nicht lesenswert
Ist doch einfach, wenn man nicht faul ist.

Der Gast-Zugang ist ein GAST-Zugang. Ist der Gast weg, schalte ich den 
Zugang AUS, oder ändere das Passwort. Wobei ich mir 10 x überlege ob ich 
das überhaupt einrichte. Die Gäste sollen gefälligst mal ein paar Std. 
ohne Internet auskommen. Haben sie damals ja auch. ;)

Und ich spiele nicht "Das perfekte Geheimnis" ;)

Gruß

  Pucki

: Bearbeitet durch User
von Manfred (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Guest schrieb:
> Bei mir ist die Fritz Box zu einem Kabelmodem degradiert worden.
> Für mein Netzwerk nutze ich OPNSense als Firewall mit 3 Netzen.

Hier gibt es kein Fritzchen, sondern eine Zugangsbox mit Router, der den 
Namen Router zu recht trägt. Für drei (und mehr) Netze brauche ich keine 
externe Maschine, das gibt bintec von Haus aus her.

Bintec ist nicht nenneswert teurer als die Luxus-Fritzchen, aber von der 
Einrichtung her nicht Heimbastlertauglich.

von A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Manfred schrieb:
> Bintec ist nicht nenneswert teurer als die Luxus-Fritzchen, aber von der
> Einrichtung her nicht Heimbastlertauglich.

Der Kabelfritz ist mir für die Kabler etwas zu einsehbar, also kam ein 
Mikrotik Router (hAP ac²) ins Netz, um das lokale Inventar abzutrennen. 
Auch der ist recht anspruchsvoll in der Konfiguration. Mittlerweile 
steht da eine Fritzbox 4040 (*). Zuerst war OpenWRT drauf, über dessen 
Stabilität ich aber auch nicht nur glücklich war. Nun ists wieder die 
Originalfirmware.

Will man auf IPv6 nicht gleich ganz verzichten, muss man in einer 
solchen Konstellation etwas auf Interoperabilität achten, denn die 
Adressraumvergabe funktioniert bei IPv6 völlig anders (kein NAT) und 
nicht überall funktioniert das wie geschmiert. So hat die 6490 in der 
aktuellen Firmware einen Bug, der bei aktivem Filter (die 
"Kindersicherung") den Adressraum des lokalen Routers blockiert.

Ebenso durfte ich feststellen, dass sich diese Dinger nicht zu dicht auf 
die Pelle rücken sollten. Mit WLAN auf beiden litt die Stabilität der 
4040, wenn dicht neben der 6490 platziert. In respektvollem Abstand 
harmonieren Plasterouter besser.

*: In der 4040 steckt die gleiche Hardware drin wie beim Mikrotik. Im 
Vergleich zum 6490 lässt die WLAN-Performance bei beiden zu wünschen 
übrig.

: Bearbeitet durch User
von Peter S. (cbscpe)


Bewertung
0 lesenswert
nicht lesenswert
Was willst du schützen und vor welcher Bedrohung. Müssen lokale Geräte 
über das Internet erreichbar sein brauchst du ein entsprechendes Gerät, 
das sicherstellt, dass Verbindungsversuche von nicht autorisierten 
Geräten unterbunden werden und dass sich Geräte authentisieren müssen. 
Wichtig in diesem Zusammenhang ist eine Protokollfunktion. 100% 
Sicherheit gibt es nie, aber wenn mal etwas schief gegangen ist dann 
sind Protokolle sehr hilfreich um den Schaden zu identifizieren.

Wenn kein Zugang aus dem öffentlichen Netz nötig ist, dann reichen die 
einfachen Firewallfunktionen der üblichen Endgeräte und die 
entsprechenden Einstellungen dazu.

Das wesentlich grössere Problem sind "Seuchen" die man sich 
herunterlädt. Sei das a via Bowser, Download, e-Mail. Hier hilft nur das 
Hirn einschalten. Eine Firewall mit entsprechenden Filter ist ein 
grosser Aufwand und eine Firewall ist immer veraltet. D.h. man muss sie 
regelmässig (mehr als einmal pro Woche) überprüfen.

Will man sicherstellen, dass andere Familienmitglieder sicherer Surfen 
können (wobei ich nicht einsehe warum Kinder alleine im Internet 
herumsurfen sollen ohne Schutz, man lässt ja 12-jährige auch nicht 
Nachts um 10Uhr alleine in der Stadt um die Häuser ziehen) dann kann ein 
DNS Filterservice nützlich sein. Etwa OpenDNS.

Hat man eine grössere Zahl von Geräten (etwa IOT) die ins Internet 
müssen, dann schlage ich vor, diese Geräte in ein eigenes LAN zu packen 
und die Kommunikation von Geräten an anderen LAN auf diese Geräte und 
umgekehrt auf ein Minimum einzuschränken. Aka DMZ für IOT.

Ebenso empfehle ich für Geräte die garantiert nicht mit dem Internet 
kommunizieren müssen (etwa der lokale managebare LAN Switch, management 
Interface der WLAN Access Points etc.) ein eigenes LAN aufzubauen, dass 
mit keinem anderen LAN kommunizieren kann. Wenn ich eines dieser Geräte 
bedienen muss dann gibt es extra einen dedizierten Port auf dem Switch 
an welchem ich meinen Computer anschliessen kann damit ich die Geräte 
bedienen oder konfigurieren kann.

Gäste haben ein eigenes WLAN. Ich traue den Geräten der Gäste nicht.

Welche Hardware du einsetzt ist eigentlich egal, viel wichtiger ist, 
dass du die Konfigurationsdetails der Geräte kennst und sie im Schlaf 
bedienen kannst. Ein super-duper-firewall-router den du nicht 
vollständig beherrschst ist gefährlich, zu schnell übersieht man es in 
der Konfiguration eine Lücke zu schliessen.

von Claus M. (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Schonmal Danke für die ganzen Beiträge, die meisten bestätigen ja mehr 
oder Weniger meine Ansichten.

Gerade was das Gastzugang fürs WLAN angeht sehe ich das durchaus 
Kritischer als so manche andere hier. Natürlich kommen meine Freunde und 
Bekannte auch zu mir um zu essen zu Trinken und Spaß zu haben, aber sind 
wir ehrlich Jeder schaut mal ab und an aufs Handy und der Empfang bei 
uns hier ist nicht gerade prickelnd. Außerdem sind hier noch 2 Teenager 
im Haus und die bringen auch mal Freunde mit. Das Nutzen dann natürlich 
den Internetzugang zum Spielen und die haben im Heimnetz definitiv 
nichts zu suchen. Wie Peter meinte, ich traue den Geräten anderer nicht, 
zumindest nicht vollkommen.

Ich denke ich schaue mir mal PFSense bzw. OPNSense an. Da in näherer 
Zukunft auch etwas Heimautomatisierung und IOT ins Heimische Netzwerk 
kommt ist das denke ich eine gute Lösung.

@Guest:
Die Ubiquiti APs sehen sehr interessant aus, welche sind denn da zu 
empfehlen. Brauche ich da das ganze Ökosystem inklusive Switch und 
Router oder gehen die auch Standalone?

von Ben B. (Firma: Funkenflug Industries) (stromkraft)


Bewertung
-1 lesenswert
nicht lesenswert
Die meisten Heimnetze sind heute gegen Angriffe von außen recht sicher, 
solange die Router-Firmware auf aktuellem Stand gehalten wird bzw. 
upgedated wird wenn Schwachstellen bekannt werden. Unsichere Kennwörter 
(WLAN oder Routerkonfiguration) sind hier das größere Risiko.

Die größte Unsicherheit sind Angriffe von innen, z.B. über die immer 
noch beliebten eMail-Anhänge oder präparierte Webseiten - wobei man sich 
gegen einen Phishing-Angriff über solche Webseiten mit dem sichersten 
Heimnetz nicht schützen kann.

von Guest (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Claus M. schrieb:
> @Guest:
> Die Ubiquiti APs sehen sehr interessant aus, welche sind denn da zu
> empfehlen. Brauche ich da das ganze Ökosystem inklusive Switch und
> Router oder gehen die auch Standalone?

Ich habe die UAP-AC-Pro die bieten eigentlich ein gutes Gesamtpaket. Es 
gibt noch die Long Range, die haben etwas mehr Reichweiter zulasten der 
Geschwindigkeit. Ich habe lieber zwei Pro genommen, da sollte die 
Abdeckung idr. besser sein. Etwas neuer sind die nanoHD die haben 
1,7Gbps sind aber auch nochmal ein gutes Stück teurer und so viele 
Geräte die das wirklich können gibt es auch nicht, zumal das auch nur 
klappt, wenn du direkt neben den APs sitzt. Auch die 1,3Gbps bei dem Pro 
sind so eine Sache, ehrliche 866Mbps bekommt man auch noch mit etwas 
Abstand vom AP. Reicht meiner Meinung nach aber auch vollkommen aus.

Das Ökosystem brauchst du nicht zwingend. Es ist zwar recht einfach zu 
bedienen und weitestgehend Plug and Play aber das kostet auch 
entsprechend. Bei den APs sind POE Injektoren dabei, du brauchst also 
keine besondere Hardware. Wenn du ein Gast WLAN nutzen möchtest brauchst 
du einen Switch der VLANs unterstützt und musst das natürlich auch an 
den Router entsprechend weiterleiten. Um die APs zu konfigurieren 
braucht man die Software von Ubiquiti, das geht entweder über die 
eingeschränkte App (Gratis) oder mit dem UnifiController. Letzteren gibt 
es als Hardware von Ubiquiti oder als Download (Gratis) für Linux. Das 
läuft zum Beispiel auf einem Raspberry PI. Ich würde den Controller 
empfehlen, der läuft bei mir in einer VM, früher halt auf einem PI.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.