Diskstation gehackt

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Also jetzt lassen wir doch zu viele achteraus.
Ausgangspunkt war ja der Übergriff einer im Internet stehenden ioBroker-Installation mit Zugriff auf die Syno. Hier war nun die Empfehlung, die Portfreigabe möglichst zu vermeiden und mit VPN zu arbeiten - erstmal nix Neues. Jetzt war der nächste Schritt, ioBroker und auch andere von aussen zugreifbare Dienste in eine DMZ zu stellen und von der Syno und anderen LAN-Geräten zu trennen. Dies geht entweder über einen Router, der mehrere Zonen beherrscht oder über einen weiteren Router. Tatsächlich ginge das sogar mit einer 2. Fritzbox - sicher besser als keine Trennung, aber auch nicht gerade empfehlenswert. Auf administrator.de gibt es da gute Tutorials zu. Aus meiner Sicht braucht es die Trennung unbedingt, wenn man Dienste von aussen zugreifbar haben möchte.

Jetzt haben wir die nächste Baustelle aufgemacht für die armen Leute da draussen, die jetzt gar nix mehr verstehen. Um es zu vereinfachen: Wer IoT-Geräte im Hause hat kann diese imho auch im gleichen Netz betreiben, ohne jetzt ein vergleichbar hohes Risiko zu haben wie im Fall oben. Man sollte dann den Zugriff auf die Syno durch die Syno-Firewall unterbinden bzw. nur auf notwendige Dienste einschränken. Zudem sollte man sich eben darüber im Klaren sein, dass diese jede Menge Informationen an ggf. völlig unbekannte Ziele senden. Dies als Lösung für den Normalnutzer.
Für diejenigen, die bei sich eine Netzwerksegmentierung eingerichtet haben, gehören IoT-Geräte ebenfalls in ein eigenes Netz. Ich würde es nicht DMZ nennen, um den Unterschied zur oben skizzierten Lösung aufzuzeigen. Bei mir sind es sogar zwei IoT-Netze, eines für die ganz bösen Geräte, denen ich auch den Zugriff ins Internet gesperrt habe, und eines für die IoT-Geräte, die ins Internet müssen (Netradio). Auf beide habe ich vom LAN Zugriff, beide haben aber keinen Zugriff ins LAN!

Zur Router bzw. Firewall-Frage kann ich nur meinen persönlichen Weg beschreiben: Ich hatte mit einer pfSense begonnen und bin inzwischen bei Mikrotik gelandet. Beide sind imho Router und Firewall in einem. Bei Mikrotik bekommt man schon für kleines Geld Geräte mit einem sehr grossen Funktionsumfang, aber es braucht schon eine gehörige Portion Wissen, um die Geräte sicher zu konfigurieren.
 

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
Für diejenigen, die bei sich eine Netzwerksegmentierung eingerichtet haben, gehören IoT-Geräte ebenfalls in ein eigenes Netz. Ich würde es nicht DMZ nennen, um den Unterschied zur oben skizzierten Lösung aufzuzeigen. Bei mir sind es sogar zwei IoT-Netze, eines für die ganz bösen Geräte, denen ich auch den Zugriff ins Internet gesperrt habe, und eines für die IoT-Geräte, die ins Internet müssen (Netradio). Auf beide habe ich vom LAN Zugriff, beide haben aber keinen Zugriff ins LAN!
Danke für die verständliche Erklärung.
So ähnlich habe ich es gemacht. Nur, dass bei mir Geräte, auf welche ich via Airplay/DLNA streame ebenfalls im LAN hängen. Im pihole blocke ich alle Anfragen, die mir seltsam vorkommen. Geht plötzlich eine gewünschte Funktion nicht mehr gebe ich entweder die Adresse wieder frei oder verzichte auf die Funktion.
Wo hast du beispielsweise deinen Drucker/Scanner? LAN oder VLAN, eigentlich muss der ja nicht ins Internet...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Drucker -> eigenes VLAN. Hat auch einen ganz einfachen Grund:

- LAN (Festrechner)
- WLAN (Laptops)
- WLAN (Smartphones)
<- ggf. WLAN (Gäste)>

Alle diese Teilnehmer (wo eine Trennung z.B. auch untereinander sinnvoll sein kann) "könnten" das Bedürfnis haben, auf den Drucker zuzugreifen. Clients zu Drucker ja, Drucker zu Clients nein. Befindet sich der Drucker innerhalb des gleichen Netzes wie ein Teilnehmer, kann die Kommunikation schon garnicht mehr durch zentrale Elemente wie eine Hardware-Firewall unterbunden werden, da die Pakete die Firewall nie erreichen. Insofern wären dann sämtliche Clients anzupassen. Um sich diesen Umstand zu ersparen, würde man halt den Drucker in ein extra Netz setzen, damit die Pakete über die Firewall gehen "müssen" (Routing).

Problem dabei ist allerdings nun auch wieder, dass die MFP-Drucker (und auch Scanner) ganz gerne so einen Mist an Board haben, wie "Senden an PC (NetBIOS-Name)" und auf dem PC noch eine entsprechende Software dazu laufen muss. Bei sowas, macht das Konstrukt natürlich keinen Sinn. Hat man aber ein entsprechend vernünftiges Gerät, (welches man ggf. auch direkt via IP ansprechen kann und dieses ggf. auch in der Lage ist, Scans auf einem SMB-Share abzulegen) steht dem nichts im Wege.
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Ich lese hier immer überwiegend von Microtic und / oder pfSense....

Warum nicht UTM Home? Ich habe das Setup mit einem AP55C und 5 vLANs am laufen.
Es war Anfangs ein Gebastel mit viel Umsteckerei und Ports konfigurieren aber ein Bekannter hier aus dem Forum hat mich wohlwollend unterstützt.
Dieses Setup läuft nun einfach störungsfrei, stabil und zukunftssicher. Die @Home-Lizenz kann zwar "nur" 50 IPs, aber ich halte das selbst für ambitionierte Heimnetze als ausreichend. Notfalls halt segmetieren.
 
  • Like
Reaktionen: blurrrr

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Wenn du utm home auf einem Gerät betreibst, welches nur dafür verwendet wird spricht dagegen gar nichts.

Noch ein PS. zu meinem vorigen Post welche Router empfehlenswert sind. Habe da ganz vergessen auf Ubiqiti einzugehen. Die sind im Prinzip nicht schlecht, mein Aber dazu: Die haben alle kein vollständiges BIOS und man ist gezwungen eine Art Server (es geht auch der eigene PC) laufen zu lassen, mit dem die Komponenten verwaltet werden müssen. Das hat zwar den Vorteil der zentralen Verwaltung, aber den Riesennachteil, dass die Möglichkeiten der Peripherie im standalone markant eingeschränkt sind. Für mich ist ein Gerät, welches ich nicht autark beteriben kann ein Nogo. Von daher ist U. für mich kein Thema mehr. Diese zentrale Verwaltung kann Draytek auch, aber da sind die Komponenten nicht kastriert.
Zu Draytek: VPN Router sind kein Fritzboxen. Daher empfehle ich auf draytek.com bei den Produktspezifikationen die Demo zu den einzelnen Geräten aufzurufen. Hier kann man gut überprüfen, ob man mit den Einstellmöglichkeiten so eines Gerätes klar kommt.
 

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
Wird mein Netz nicht langsam, wenn (fast) alles über den Router läuft? Bisher greifen z.B. die Handys und Medienplayer im gleichen Netzwerk auf die NAS zu:
Handy >>> AP >>> Switch >>> NAS >>> Switch >>> AP >>> Handy

Mit eigenen VLAN:
Handy >>> AP >>> Switch >>> Router(Firewall) >>> Switch >>> NAS >>> Switch >>> Router >>> Switch >>> AP >>> Handy

Es hängt alles mit Gigabit am Switch, auch der Router... Mag beim Handy egal sein, aber wenn jetzt der PC große Datenmengen überträgt.

Edit: zum Thema SmartHome habe ich jetzt mehrere Shelly am laufen. Preislich sehr gut, kann offline, mit Cloud oder mit übergeordneten Systeme betrieben werden. Smart bedeutet für mich, dass ich nichts machen muss, das wird einmal eingestellt und läuft selbstständig.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
@Mettigel : Du sollst auch keine Gummel-Firewall nutzen, der Durchsatz darf schon stimmen (1+GBit, daher muss auch die Hardware passen). "Langsam" wird es nur, wenn die Hardware nicht mehr mitkommt (das merkt man dann aber auch sehr deutlich). Fakt ist aber, dass eine "normale" Firewall (also quasi nur eine Erweiterung dessen, was Du sowieso schon kennst - mit flexibeleren Regelsets (ohne IDS/IPS)) jetzt auch nicht sonderlich viele Ressourcen verbraucht.

Legt man allerdings wert auf div. Extras wie eben IDS/IPS darf die Hardware dann doch schon um einiges potenter sein, da grade diese Geschichten sehr ressourcenhungrig sind (dafür aber auch wesentlich mehr Schutz bieten (und extrem viele Probleme verursachen, wenn man nicht weiss, was man da macht ;)).

Also davon ausgehend, dass das ganze nur als erweiterte Firewall von dem gilt, was man bisher so nutzt, reicht auch schwächere/ältere Hardware im Regelfall dicke aus. Für eine "ganz" grobe Richtung kann man z.B. auch mal hier schauen:

https://docs.netgate.com/pfsense/en/latest/hardware/size.html

Da bei den meisten halt "nur" 1GBit relevant ist, hat man damit schon eine recht passable Anlaufstelle, um sich erstmal einen groben Überblick zu verschaffen... nach oben hin sind natürlich keine Grenzen gesetzt und für 10GBit darf es dann sowieso "einiges" mehr sein ;) Für Geschichten wie IDS/IPS ist ein kleiner Dualcore natürlich nicht wirklich was, da darf es dann schon mindestens ein Quadcore mit etwas mehr Wums sein, IDS/IPS sollte hier aber auch erstmal nicht das Thema sein (zu umfangreich)... VPN-Durchsätze sind auch nochmal ein anderes Thema, aber die sind sowieso erstmal grundlegend von den eigenen Upstreamgeschwindigkeiten abhängig, von daher wird die Firewall da erstmal nicht der Flaschenhals sein. Allerdings sollte man ggf. in Bezug auf VPN schon darauf achten, dass die CPU z.B. AES-NI unterstützt (die Infos dazu findet man eigentlich bei jedem CPU-Hersteller auf der Website der entsprechenden CPU).

Hoffe die Frage nach der "Langsamkeit" wurde damit hinreichend geklärt ?
 

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
Ich nutze die Unifi Dream Machine Pro, sollte leistungstechnisch schon passen, aber die Leitung zum Switch bleibt ja die 1 Gbit Leitung und da muss bei alles durch, wenn ich das so strikt handhabe alles durch. Aktuell müssen nur die Kamerastreams über den Router. Alles "wichtige" hängt im LAN, das geht nur bis zum Switch. Packe ich die NAS aber in ein eigenes VLAN muss alles, was Datenverkehr erzeugt über durch die Firewall, alles sämtlicher Verkehr über diese eine Leitung.

Werde bei Gelegenheit mal folgendes testen:
VLAN für Mediendinge (Kodi, Internetradio, TV)
VLAN für Kameras ohne www (habe ich schon, könnte ich ins IoT offline packen)
VLAN für IoT mit CloudZwang
VLAN für IoT offline
VLAN für NAS und PC
VLAN für Handy und Tablet

Wenn ich so überlege, muss ich nur die Ports für Kodi und die Ports, damit ich mit Handy/Tablet auf die NAS komme weiterleiten

Edit: habe für jedes Netzwerk den Honeypot eingerichtet, der sollte ja Schnüffler aufspüren...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
... ? Die Specs von dem Teil haste aber auch ansatzweise im Kopf? 10GBit-WAN/LAN ist schon mal nicht so ohne... "3.5 Gbps IDS/IPS Throughput"... Quadcore, 4GB RAM... also Du kannst schon davon ausgehen, dass Du vermutlich "nix" merken wirst (ist halt 1 Hop mehr, aber das war es dann auch schon) :)
 

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
Ja, kann 10GBit, aber der 24-Port Switch dahinter nur 1GBit, sonst wäre es ja kein Thema. Und die Switche mit 10GBit sind für meinen Zweck total übertrieben.

PS: die UDMP habe ich für unter 200€ gekauft, da konnte ich nicht wiederstehen
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Kannst auch einen Trunk mit mehreren GBit-Strippen bauen (sofern der Switch das unterstüzt). Pro Client halt nach wie vor nur 1GBit, aber dann können mehrere Clients mit GBit durch die Firewall. :)
 

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
Der Switch unterstützt das, aber die UDMP nicht. Angeblich hat der Switch in der UDM nur 1GBit Backplane... Und unterstützt auch kein LAG
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Dann könntest Du noch immer (sofern der Switch das unterstützt) über den SFP+-Port gehen als Uplink zur Firewall :)

EDIT: Was glaube ich auch so von Unify vorgesehen ist... ;)
 

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Wir reden hier aber nicht von "50"Mbit, sondern schon von GBit (auch durch ein IDS und/oder IPS) ;)
 

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
Ja gut. Ich nutze das halt nur für den Datenverkehr zwischen mir und dem Internet. Wobei der Router eh irgendwann rausfliegen wird, weil er kein VLAN kann.
 
Zuletzt bearbeitet von einem Moderator:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Und dann? Modem? Oder doch ein Router mit Firewall dahinter? Problem dabei ist auch, dass sobald man vom ISP-Gerät abweicht, es gern an der Hotline heisst: Schade, können wir leider nix machen. Ich hab hier 2 ISP-Router (juckt mich auch nicht, da eh nur Netzausgang) und dahinter halt eine Firewall (inkl. Failover, falls die dicke Strippe mal fliegt, ist noch die kleine schmale da - selbiges könnte man sich z.B. mit einem LTE-Stick/Router basteln) :)
 
  • Like
Reaktionen: Michael336

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
Dann könntest Du noch immer (sofern der Switch das unterstützt) über den SFP+-Port gehen als Uplink zur Firewall :)

EDIT: Was glaube ich auch so von Unify vorgesehen ist... ;)
Ja, ich habe den Uplink mit SFP (ohne +). SFP+ kann der Switch nicht.

Ich teste das mit den zus. VLANs einfach mal. Zu 99% der Zeit dümpelt mein Heimnetzwerk eh nur vor sich hin...
Sollte NAS und PC in unterschiedliche VLAN? Wenn sich etwas ein Virus/Trojaner einfängt, dann vermutlich der Windows PC...
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Warum muss das NAS an den Router um VLAN nutzen zu können? Wenn dein Switch das nicht kann brauchst du dir darüber keine Gedanken machen.
 
  • Like
Reaktionen: blurrrr


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat