Das sichere, gehobene Netzwerk im Einfamilienhaus

4,90 Stern(e) 10 Votes
Zuletzt aktualisiert 09.12.2023
Sie befinden sich auf der Seite 6 der Diskussion zum Thema: Das sichere, gehobene Netzwerk im Einfamilienhaus
>> Zum 1. Beitrag <<

Tarnari

Tarnari

Okay, dann kurz:

Ja, kannst du.

Geht eigentlich immer. "Gut" geht's, wenn dein Gerät 802.1x kann. "Weniger gut" geht's, wenn es nur eine MAC-Adresse hat.

Generell würde ich mal realistisch über solche Angriffsszenarien nachdenken. Mit VLANs sperrst du schon mal die Outdoor-Ports vom restlichen Netzwerk ab. Dann bleiben noch bestimmte Routen z.B. ins Internet. Und dann? Dein Besucher kann surfen. Dafür aber so einen Aufwand betreiben, wenn jedes zweite WLAN in der Nachbarschaft schlecht gesichert ist? Da würde mich eher stören, dass mir bei der Gelegenheit einer den AP oder das Gardena-Gateway klaut.
Das ist alles richtig und klar.
Mir ging es nur darum, ob ich das dennoch lösen kann, da ich keine Möglichkeit kenne. Es ging mir nicht um die Wahrscheinlichkeiten von Angriffsszenarien, sondern um die Umsetzbarkeit.
Ich ziehe daraus, dass es offenbar nicht zielführend umsetzbar ist.
 
i_b_n_a_n

i_b_n_a_n

Fing-Box mal angeschaut? … Damit hat’s du wenigstens eine Übersicht wenn ein neues Gerät eingestöpselt wird
 
rick2018

rick2018

Um zu merken ob sich ein neues Gerät angemeldet hat benötigt man keine zusätzliche Box. Das ist eh nur ein Flaschenhals im System…
 
J

JoachimG.

Was je nach eingesetztem Switch, Firewall und APs funktionieren kann:
z.B. FortiGate Firewall mit FortiAP außen:
- An den Ports für die AP DHCP deaktivieren, eigenes VLAN (außen) einrichten.
- 802.1x Server einrichten und die APs und Clients darüber authentifizieren lassen.
- DHCP auf dem AP für die Clients aktivieren und die FortiGate als Gateway und DNS eintragen, dort natürlich die entsprechenden Routen setzen.
Dadurch kriegt nur ein Client nach erfolgreichem 802.1x Auth eine IP vom AP, wenn der AP weg ist, gibt es an diesem Port kein DCHP mehr und ein Angreifer müsste den Adressrange durchprobieren und das VLAN kennen und die 802.1x Credentials kennen. Mit einem zusätzlichen VPN kannst du die Security weiter erhöhen.
An einem anderen Port hängst du dein Gardena Gateway hin, machst ein MAB und eine ACL, das heißt selbst bei einem MAC Spoof kommt der Angreifer nur weiter, wenn der die gleiche Source IP und Destination IPs und Ports des Gardena Gateways nutzt. Sprich er kann höchstens auf die Gardena Dienste zugreifen.

So würde ich es machen.
 
Tarnari

Tarnari

Um das Thema nochmal aufzugreifen…
Kann jemand einen Router empfehlen, der DHCP ins VLAN bringen kann?
Ergänzend dazu, derzeit übernimmt eine Fritte den Netzzugang, wenn man die mit einem Router kombiniert gäbe es doppeltes NAT. Ist das wirklich tragisch, wenn VPN etc keine Rolle spielen? Wie sieht das bei VoIP aus?
Dazu überlege ich, meinen Windows 2016 Server, der 24/7 auf nem Desktop PC läuft, durch ein NAS zu ersetzen. Ich liebäugle mit einer Synology DS920+.
Kann jemand einschätzen, ob das Ding reicht eine Handvoll Window-Server Dienste (als VM) zu ersetzen und gleichzeitig Radius und DNS zu übernehmen?

Ergänzung: ich habe eine legale Windows Server 2016 Datacenter Lizenz. Die würde natürlich all das abdecken, wenn ich alles in VMs machen würde. Ein entsprechender Server kostet natürlich.
Dennoch eine Option?
 
Zuletzt bearbeitet:
rick2018

rick2018

Warum machst du die Fritte nicht auf Bridgemodus oder ersetzt diese durch ein reines Modem? Dann hast du kein doppeltes NAT.
DHCP im VLAN kann eigentlich jeder Router der VLANfähig ist.
Was willst du auf der Synology laufen lassen. RAM solltest du ausbauen. Dann läuft Windows einigermaßen. Aber nichts für rechenintesive Sachen.
Radius und DNS kann man vernachlässigen. Sowieso beimeinem Heimnetzwerk. Sind ja nicht viele Geräte somit keine große Last.
 
Zuletzt aktualisiert 09.12.2023
Im Forum Elektrik / Elektroplanung gibt es 748 Themen mit insgesamt 12770 Beiträgen

Ähnliche Themen
16.08.2020Gardena Irrigation Control - Automatische Bewässerung Beiträge: 18
14.07.2022Technikraum / Router / Access-Points / Switches Beiträge: 99
18.08.2021Hager Technikzentrale oder Serverschrank? Beiträge: 55
23.08.2021Reicht ein Router für das ganze Haus? Beiträge: 18
10.01.2023Welchen Router für unseren Neubau? Beiträge: 146
06.02.2014Standort WLAN-Router auf Dachboden? Beiträge: 18

Alle Bilder dieser Forenkategorie anzeigen
Oben