ᐅ Das sichere, gehobene Netzwerk im Einfamilienhaus
Erstellt am: 06.06.20 23:00
Tarnari 28.09.21 21:15
Araknis schrieb:
Okay, dann kurz:
Ja, kannst du.
Geht eigentlich immer. "Gut" geht's, wenn dein Gerät 802.1x kann. "Weniger gut" geht's, wenn es nur eine MAC-Adresse hat.
Generell würde ich mal realistisch über solche Angriffsszenarien nachdenken. Mit VLANs sperrst du schon mal die Outdoor-Ports vom restlichen Netzwerk ab. Dann bleiben noch bestimmte Routen z.B. ins Internet. Und dann? Dein Besucher kann surfen. Dafür aber so einen Aufwand betreiben, wenn jedes zweite WLAN in der Nachbarschaft schlecht gesichert ist? Da würde mich eher stören, dass mir bei der Gelegenheit einer den Accesspoint oder das Gardena-Gateway klaut.Das ist alles richtig und klar.Mir ging es nur darum, ob ich das dennoch lösen kann, da ich keine Möglichkeit kenne. Es ging mir nicht um die Wahrscheinlichkeiten von Angriffsszenarien, sondern um die Umsetzbarkeit.
Ich ziehe daraus, dass es offenbar nicht zielführend umsetzbar ist.
i_b_n_a_n 03.10.21 18:07
Fing-Box mal angeschaut? … Damit hat’s du wenigstens eine Übersicht wenn ein neues Gerät eingestöpselt wird
rick2018 03.10.21 19:17
Um zu merken ob sich ein neues Gerät angemeldet hat benötigt man keine zusätzliche Box. Das ist eh nur ein Flaschenhals im System…
JoachimG. 09.10.21 09:32
Was je nach eingesetztem Switch, Firewall und APs funktionieren kann:
z.B. FortiGate Firewall mit FortiAP außen:
- An den Ports für die Accesspoint DHCP deaktivieren, eigenes VLAN (außen) einrichten.
- 802.1x Server einrichten und die APs und Clients darüber authentifizieren lassen.
- DHCP auf dem Accesspoint für die Clients aktivieren und die FortiGate als Gateway und DNS eintragen, dort natürlich die entsprechenden Routen setzen.
Dadurch kriegt nur ein Client nach erfolgreichem 802.1x Auth eine IP vom Accesspoint, wenn der Accesspoint weg ist, gibt es an diesem Port kein DCHP mehr und ein Angreifer müsste den Adressrange durchprobieren und das VLAN kennen und die 802.1x Credentials kennen. Mit einem zusätzlichen VPN kannst du die Security weiter erhöhen.
An einem anderen Port hängst du dein Gardena Gateway hin, machst ein MAB und eine ACL, das heißt selbst bei einem MAC Spoof kommt der Angreifer nur weiter, wenn der die gleiche Source IP und Destination IPs und Ports des Gardena Gateways nutzt. Sprich er kann höchstens auf die Gardena Dienste zugreifen.
So würde ich es machen.
z.B. FortiGate Firewall mit FortiAP außen:
- An den Ports für die Accesspoint DHCP deaktivieren, eigenes VLAN (außen) einrichten.
- 802.1x Server einrichten und die APs und Clients darüber authentifizieren lassen.
- DHCP auf dem Accesspoint für die Clients aktivieren und die FortiGate als Gateway und DNS eintragen, dort natürlich die entsprechenden Routen setzen.
Dadurch kriegt nur ein Client nach erfolgreichem 802.1x Auth eine IP vom Accesspoint, wenn der Accesspoint weg ist, gibt es an diesem Port kein DCHP mehr und ein Angreifer müsste den Adressrange durchprobieren und das VLAN kennen und die 802.1x Credentials kennen. Mit einem zusätzlichen VPN kannst du die Security weiter erhöhen.
An einem anderen Port hängst du dein Gardena Gateway hin, machst ein MAB und eine ACL, das heißt selbst bei einem MAC Spoof kommt der Angreifer nur weiter, wenn der die gleiche Source IP und Destination IPs und Ports des Gardena Gateways nutzt. Sprich er kann höchstens auf die Gardena Dienste zugreifen.
So würde ich es machen.
Tarnari 11.10.21 19:42
Um das Thema nochmal aufzugreifen…
Kann jemand einen Router empfehlen, der DHCP ins VLAN bringen kann?
Ergänzend dazu, derzeit übernimmt eine Fritte den Netzzugang, wenn man die mit einem Router kombiniert gäbe es doppeltes NAT. Ist das wirklich tragisch, wenn VPN etc keine Rolle spielen? Wie sieht das bei VoIP aus?
Dazu überlege ich, meinen Windows 2016 Server, der 24/7 auf nem Desktop PC läuft, durch ein NAS zu ersetzen. Ich liebäugle mit einer Synology DS920+.
Kann jemand einschätzen, ob das Ding reicht eine Handvoll Window-Server Dienste (als VM) zu ersetzen und gleichzeitig Radius und DNS zu übernehmen?
Ergänzung: ich habe eine legale Windows Server 2016 Datacenter Lizenz. Die würde natürlich all das abdecken, wenn ich alles in VMs machen würde. Ein entsprechender Server kostet natürlich.
Dennoch eine Option?
Kann jemand einen Router empfehlen, der DHCP ins VLAN bringen kann?
Ergänzend dazu, derzeit übernimmt eine Fritte den Netzzugang, wenn man die mit einem Router kombiniert gäbe es doppeltes NAT. Ist das wirklich tragisch, wenn VPN etc keine Rolle spielen? Wie sieht das bei VoIP aus?
Dazu überlege ich, meinen Windows 2016 Server, der 24/7 auf nem Desktop PC läuft, durch ein NAS zu ersetzen. Ich liebäugle mit einer Synology DS920+.
Kann jemand einschätzen, ob das Ding reicht eine Handvoll Window-Server Dienste (als VM) zu ersetzen und gleichzeitig Radius und DNS zu übernehmen?
Ergänzung: ich habe eine legale Windows Server 2016 Datacenter Lizenz. Die würde natürlich all das abdecken, wenn ich alles in VMs machen würde. Ein entsprechender Server kostet natürlich.
Dennoch eine Option?
rick2018 12.10.21 07:18
Warum machst du die Fritte nicht auf Bridgemodus oder ersetzt diese durch ein reines Modem? Dann hast du kein doppeltes NAT.
DHCP im VLAN kann eigentlich jeder Router der VLANfähig ist.
Was willst du auf der Synology laufen lassen. RAM solltest du ausbauen. Dann läuft Windows einigermaßen. Aber nichts für rechenintesive Sachen.
Radius und DNS kann man vernachlässigen. Sowieso beimeinem Heimnetzwerk. Sind ja nicht viele Geräte somit keine große Last.
DHCP im VLAN kann eigentlich jeder Router der VLANfähig ist.
Was willst du auf der Synology laufen lassen. RAM solltest du ausbauen. Dann läuft Windows einigermaßen. Aber nichts für rechenintesive Sachen.
Radius und DNS kann man vernachlässigen. Sowieso beimeinem Heimnetzwerk. Sind ja nicht viele Geräte somit keine große Last.
Ähnliche Themen