Also jetzt lassen wir doch zu viele achteraus.
Ausgangspunkt war ja der Übergriff einer im Internet stehenden ioBroker-Installation mit Zugriff auf die Syno. Hier war nun die Empfehlung, die Portfreigabe möglichst zu vermeiden und mit VPN zu arbeiten - erstmal nix Neues. Jetzt war der nächste Schritt, ioBroker und auch andere von aussen zugreifbare Dienste in eine DMZ zu stellen und von der Syno und anderen LAN-Geräten zu trennen. Dies geht entweder über einen Router, der mehrere Zonen beherrscht oder über einen weiteren Router. Tatsächlich ginge das sogar mit einer 2. Fritzbox - sicher besser als keine Trennung, aber auch nicht gerade empfehlenswert. Auf administrator.de gibt es da gute Tutorials zu. Aus meiner Sicht braucht es die Trennung unbedingt, wenn man Dienste von aussen zugreifbar haben möchte.
Jetzt haben wir die nächste Baustelle aufgemacht für die armen Leute da draussen, die jetzt gar nix mehr verstehen. Um es zu vereinfachen: Wer IoT-Geräte im Hause hat kann diese imho auch im gleichen Netz betreiben, ohne jetzt ein vergleichbar hohes Risiko zu haben wie im Fall oben. Man sollte dann den Zugriff auf die Syno durch die Syno-Firewall unterbinden bzw. nur auf notwendige Dienste einschränken. Zudem sollte man sich eben darüber im Klaren sein, dass diese jede Menge Informationen an ggf. völlig unbekannte Ziele senden. Dies als Lösung für den Normalnutzer.
Für diejenigen, die bei sich eine Netzwerksegmentierung eingerichtet haben, gehören IoT-Geräte ebenfalls in ein eigenes Netz. Ich würde es nicht DMZ nennen, um den Unterschied zur oben skizzierten Lösung aufzuzeigen. Bei mir sind es sogar zwei IoT-Netze, eines für die ganz bösen Geräte, denen ich auch den Zugriff ins Internet gesperrt habe, und eines für die IoT-Geräte, die ins Internet müssen (Netradio). Auf beide habe ich vom LAN Zugriff, beide haben aber keinen Zugriff ins LAN!
Zur Router bzw. Firewall-Frage kann ich nur meinen persönlichen Weg beschreiben: Ich hatte mit einer pfSense begonnen und bin inzwischen bei Mikrotik gelandet. Beide sind imho Router und Firewall in einem. Bei Mikrotik bekommt man schon für kleines Geld Geräte mit einem sehr grossen Funktionsumfang, aber es braucht schon eine gehörige Portion Wissen, um die Geräte sicher zu konfigurieren.
Ausgangspunkt war ja der Übergriff einer im Internet stehenden ioBroker-Installation mit Zugriff auf die Syno. Hier war nun die Empfehlung, die Portfreigabe möglichst zu vermeiden und mit VPN zu arbeiten - erstmal nix Neues. Jetzt war der nächste Schritt, ioBroker und auch andere von aussen zugreifbare Dienste in eine DMZ zu stellen und von der Syno und anderen LAN-Geräten zu trennen. Dies geht entweder über einen Router, der mehrere Zonen beherrscht oder über einen weiteren Router. Tatsächlich ginge das sogar mit einer 2. Fritzbox - sicher besser als keine Trennung, aber auch nicht gerade empfehlenswert. Auf administrator.de gibt es da gute Tutorials zu. Aus meiner Sicht braucht es die Trennung unbedingt, wenn man Dienste von aussen zugreifbar haben möchte.
Jetzt haben wir die nächste Baustelle aufgemacht für die armen Leute da draussen, die jetzt gar nix mehr verstehen. Um es zu vereinfachen: Wer IoT-Geräte im Hause hat kann diese imho auch im gleichen Netz betreiben, ohne jetzt ein vergleichbar hohes Risiko zu haben wie im Fall oben. Man sollte dann den Zugriff auf die Syno durch die Syno-Firewall unterbinden bzw. nur auf notwendige Dienste einschränken. Zudem sollte man sich eben darüber im Klaren sein, dass diese jede Menge Informationen an ggf. völlig unbekannte Ziele senden. Dies als Lösung für den Normalnutzer.
Für diejenigen, die bei sich eine Netzwerksegmentierung eingerichtet haben, gehören IoT-Geräte ebenfalls in ein eigenes Netz. Ich würde es nicht DMZ nennen, um den Unterschied zur oben skizzierten Lösung aufzuzeigen. Bei mir sind es sogar zwei IoT-Netze, eines für die ganz bösen Geräte, denen ich auch den Zugriff ins Internet gesperrt habe, und eines für die IoT-Geräte, die ins Internet müssen (Netradio). Auf beide habe ich vom LAN Zugriff, beide haben aber keinen Zugriff ins LAN!
Zur Router bzw. Firewall-Frage kann ich nur meinen persönlichen Weg beschreiben: Ich hatte mit einer pfSense begonnen und bin inzwischen bei Mikrotik gelandet. Beide sind imho Router und Firewall in einem. Bei Mikrotik bekommt man schon für kleines Geld Geräte mit einem sehr grossen Funktionsumfang, aber es braucht schon eine gehörige Portion Wissen, um die Geräte sicher zu konfigurieren.
