Das sichere, gehobene Netzwerk im Einfamilienhaus

4,90 Stern(e) 10 Votes
Tarnari

Tarnari

Okay, dann kurz:

Ja, kannst du.

Geht eigentlich immer. "Gut" geht's, wenn dein Gerät 802.1x kann. "Weniger gut" geht's, wenn es nur eine MAC-Adresse hat.

Generell würde ich mal realistisch über solche Angriffsszenarien nachdenken. Mit VLANs sperrst du schon mal die Outdoor-Ports vom restlichen Netzwerk ab. Dann bleiben noch bestimmte Routen z.B. ins Internet. Und dann? Dein Besucher kann surfen. Dafür aber so einen Aufwand betreiben, wenn jedes zweite WLAN in der Nachbarschaft schlecht gesichert ist? Da würde mich eher stören, dass mir bei der Gelegenheit einer den AP oder das Gardena-Gateway klaut.
Das ist alles richtig und klar.
Mir ging es nur darum, ob ich das dennoch lösen kann, da ich keine Möglichkeit kenne. Es ging mir nicht um die Wahrscheinlichkeiten von Angriffsszenarien, sondern um die Umsetzbarkeit.
Ich ziehe daraus, dass es offenbar nicht zielführend umsetzbar ist.
 
i_b_n_a_n

i_b_n_a_n

Fing-Box mal angeschaut? … Damit hat’s du wenigstens eine Übersicht wenn ein neues Gerät eingestöpselt wird
 
rick2018

rick2018

Um zu merken ob sich ein neues Gerät angemeldet hat benötigt man keine zusätzliche Box. Das ist eh nur ein Flaschenhals im System…
 
J

JoachimG.

Was je nach eingesetztem Switch, Firewall und APs funktionieren kann:
z.B. FortiGate Firewall mit FortiAP außen:
- An den Ports für die AP DHCP deaktivieren, eigenes VLAN (außen) einrichten.
- 802.1x Server einrichten und die APs und Clients darüber authentifizieren lassen.
- DHCP auf dem AP für die Clients aktivieren und die FortiGate als Gateway und DNS eintragen, dort natürlich die entsprechenden Routen setzen.
Dadurch kriegt nur ein Client nach erfolgreichem 802.1x Auth eine IP vom AP, wenn der AP weg ist, gibt es an diesem Port kein DCHP mehr und ein Angreifer müsste den Adressrange durchprobieren und das VLAN kennen und die 802.1x Credentials kennen. Mit einem zusätzlichen VPN kannst du die Security weiter erhöhen.
An einem anderen Port hängst du dein Gardena Gateway hin, machst ein MAB und eine ACL, das heißt selbst bei einem MAC Spoof kommt der Angreifer nur weiter, wenn der die gleiche Source IP und Destination IPs und Ports des Gardena Gateways nutzt. Sprich er kann höchstens auf die Gardena Dienste zugreifen.

So würde ich es machen.
 
Tarnari

Tarnari

Um das Thema nochmal aufzugreifen…
Kann jemand einen Router empfehlen, der DHCP ins VLAN bringen kann?
Ergänzend dazu, derzeit übernimmt eine Fritte den Netzzugang, wenn man die mit einem Router kombiniert gäbe es doppeltes NAT. Ist das wirklich tragisch, wenn VPN etc keine Rolle spielen? Wie sieht das bei VoIP aus?
Dazu überlege ich, meinen Windows 2016 Server, der 24/7 auf nem Desktop PC läuft, durch ein NAS zu ersetzen. Ich liebäugle mit einer Synology DS920+.
Kann jemand einschätzen, ob das Ding reicht eine Handvoll Window-Server Dienste (als VM) zu ersetzen und gleichzeitig Radius und DNS zu übernehmen?

Ergänzung: ich habe eine legale Windows Server 2016 Datacenter Lizenz. Die würde natürlich all das abdecken, wenn ich alles in VMs machen würde. Ein entsprechender Server kostet natürlich.
Dennoch eine Option?
 
Zuletzt bearbeitet:
rick2018

rick2018

Warum machst du die Fritte nicht auf Bridgemodus oder ersetzt diese durch ein reines Modem? Dann hast du kein doppeltes NAT.
DHCP im VLAN kann eigentlich jeder Router der VLANfähig ist.
Was willst du auf der Synology laufen lassen. RAM solltest du ausbauen. Dann läuft Windows einigermaßen. Aber nichts für rechenintesive Sachen.
Radius und DNS kann man vernachlässigen. Sowieso beimeinem Heimnetzwerk. Sind ja nicht viele Geräte somit keine große Last.
 
Zuletzt aktualisiert 23.11.2024
Im Forum Elektrik / Elektroplanung gibt es 789 Themen mit insgesamt 13172 Beiträgen


Ähnliche Themen zu Das sichere, gehobene Netzwerk im Einfamilienhaus
Nr.ErgebnisBeiträge
1Gardena Irrigation Control - Automatische Bewässerung 18
2Welcher Router in Verbindung mit Ubiquiti Geräten? 18
3Standort WLAN-Router auf Dachboden? 18
4Reicht ein Router für das ganze Haus? 18
5Welchen Router für unseren Neubau? 146
6EDV Kabel und W-lan Router 43
7Fiber to Home FTTH - WLAN Router, Festnetzphone, PC 53

Oben