Sicherheit im eigenem Netzwerk - DMZ?

[ktm-racer-7]

Guten Abend liebe Community,

ich finde dieses Forum mit euch lauter hilfsbereiten Menschen Wahnsinn! Selten so ein ansprechendes Forum gefunden, weshalb ich es "wieder" über diesem Weg versuche.

Kurz vorweg das Ziel der Diskussion: Erfahrungen/Wissen sammeln über - das meines Erachtens wichtigste Thema - die Sicherheit! Zuerst gibt es aber ein bisschen was zu lesen, damit ihr meine Visionen kennt.

Ich selbst habe nun vor ein paar Wochen mir selbst eine DS angeschafft, nicht nur um es mir privat mein Leben in Zukunft "vereinfache", sondern um mich auch langsam aber sicher mit der komplexen Materie auseinanderzusetzen. Natürlich sollte man für eine 100% Sicherheit gar nicht ins Internet, aber klar ist auch, dass das auch nicht der Richtige ist. Es sollte ein gutes vernünftiges Mittelmaß gefunden werden. Ich denke da sollten die meisten zustimmen

Das Grundfundament, wie z.B. nur verschlüsselt ins eigene Netzwerk darauf zugreifen oder auch öffentlich über VPN, soll nicht Teil der Diskussion sein. Ich möchte gerne ein sicheres "großes" Heimnetzwerk aufbauen, bedeutet wie bau ich nun ein eigenes Heimnetzwerk auf? (Bei mir sind es 5 Familienmitglieder mit 3 Wohnungen aber im selben Haus!) Des Öfteren bin ich auch bei dem Thema auf die DMZ gestoßen...klingt alles schlüssig, aber wie sollte man das umsetzen? Braucht man dies überhaupt? (Ich habe keine Homepage, aber evtl. mal einen eigenen Mailserver und Bitwarden ist in Betrieb) Wie bereits erwähnt, möchte ich eine erhöhte Sicherheit herstellen. Denn scheinbar haben manche Smart-Geräte wie Smart-Tv (oder Waschmaschine, Spülmaschine, Kühlschrank,.....) nicht die sicherste "Software". Somit gelten diese als "unsicher" und sollte eigentlich nicht ins gleiche Netzwerk wie z.B. das NAS oder Arbeits-Pc. Wo würde man das Handy einordnen? Wie geht man bei einer DMZ-Umsetzung am Besten vor?
Ich vermute das hier einige im Forum mehr Wissen oder gar selbst praktische Erfahrungen sammeln konnten und Ihr Wissen/Erfahrungen teilen möchten. Ich würde mich freuen. Ich selbst habe einen Router als NAT, an dem ein Meshrouter mit erweiterbaren Satelliten hängt.


Der Anreiz für die "neue" Sicherheitsstufe ist, weil ich mein Smart-Home erweitern möchte. Ich möchte mir meine erste Outdoor-Kamera zulegen. (Da freue ich mich dann auch noch über eine Beratung von euch Profis ) Aber erstmal nun langsam Schritt-für-Schritt an die Sache rangehen. Desweiteren möchte ich jetzt kein zusätzliches Fass aufmachen, aber meine Visionen um für eine erhöhte Sicherheit aufzubauen, ist auch die Kommunikation der Geräte innerhalb des Netzwerks (und nach Außen) tlw. zu unterbinden oder verbieten. Als Laie würde ich sagen, sollte PiHole und Unbound auch bald ein "muss" sein? Oder gleich ein Tor-Netzwerk aufbauen? Habt ihr vllt. andere bzw. weitere Empfehlungen?

Mein aktueller Sicherheitsstand den ich mir überlagt habe, lautet folgendermaßen:
- bis jetzt alle Iot-Geräte (TV, Handy, PS4, Tablet, PC.... im selben WLAN)
- Jede Gerätegruppe hat seinen eigenen festen IP-Adressenbereich
-> Jede Gerätegruppe hat dadurch nur Zugriff auf auserwählte "Pakete" der DiskStation
- Zudem gibt es zusätzlich eigene Benutzer für vereinzelte Pakete. (z.B. einen Benutzer für Videostreaming oder AudioStation)

Auch hier freue ich mich über Anmerkungen, kann ja sein, dass der Profi sagt, dass der Gedanke keine erhöhte Sicherheit bietet


Ich hoffe das Alles kommt nicht Paranoid rüber, aber Datenschutz ist mir "leider" nicht ganz so egal wie vielen anderen, weswegen z.B. nie eine Alexa bei mir stehen wird. Lieber Vorsicht als später Nachsicht Nun hoffe ich konnte ich euch einen kleinen Einblick über meine Gedanken geben und freue mich über zahlreiche Kommentare.

 

[the other]

Moinsen,
Tja, entgegen deiner Ansage, dass du kein Fass aufmachen willst, tust du genau das...Denn du sprichst da ein komplexes Thema an.
Insgesamt berühren deine Fragen mehrere Bereiche:
1. Du willst dein Netzwerk segmentieren. Mir ist dabei zwar deine Formulierung

Jede Gerätegruppe hat seinen eigenen festen IP-Adressenbereich

nicht so ganz klar (kann es sein dass du Eigene feste IP Adresse meinst, denn wenn du da eigene feste Adressbereiche hättest, dann wäre der Punkt ja schon erledigt ).
Netzwerke kannst du entweder sehr rudimentär mit einer Routerkaskade trennen (nicht so praktikabel auf Dauer und unflexibel) oder du baust dir virtuelle LANs (Vlans). Dafür aber benötigst du a) einen vlanfähigen Router und b) ggf. vlanfähige switches. Das kostet also neben Zeit auch wieder Geld. Wichtig ist dabei, dass du dir vorher überlegen musst, wie du die Aufteilung vornehmen willst. Da gibt es nicht den einen richtigen Weg. Du kannst zb Gerätegruppen als Organisationsgrundlage nehmen, oder die Wohnungen oder oder. Wichtig und sinnig ist es auf jeden Fall, potentiell unsichere clients abzugrenzen, also ein vlan IoT, eines für Gäste, dann zu Wohnungen a, b und c in jeweils eigene VLANs, eines ggf. für die Administration usw. Aber bedenke auch, je komplexer, desto mehr Aufwand. Und wenn dann m Ende eh wieder alle Trennungen durch die Routingregeln bzw Firewallregeln aufgeweicht werden, dann ist auch nix gewonnen.

2. Du willst nicht nur den eingehenden Netzwerkverkehr regeln (aktuell mit NAT), sondern auch ausgehenden sowie (wenn du 1. gelesen hast) auch den traffic zwischen den Segmentierungen. Dafür kannst du zb eine firewall nutzen (sophos, pfsense oder opensense, gute Router wie zb von draytek oder mikrotik). Die können dann eben auch VLANs, diverse VPN Serverprotokolle und einiges mehr. Aber auch hier: komplexes Thema mit steiler Lernkurve am Anfang und Geld- und Zeitkosten.
DMZ ist dabei dann auch ne Möglichkeit, ist es doch ein spezielles,besonders abgeschlossenes Segment. Ob du das brauchst...
Und wenn du das nicht unbedingt brauchst und wirklich Ahnung hast, dann würde ich dir raten das Thema eigener Mailserver mal wieder zu vergessen.

3. Mit pihole kannst du DNS Anfragen filtern. Rufst du ne site auf, die auf der Filterliste vermerkt ist, dann kein aufrufen möglich. Sehr gutes Ding, denn dadurch werden unbemerkt aufgerufene bzw. nachgeladene Werbesites geblockt. Oder auch spam, oder Pornographie oder oder...
Unbound dagegen dient eher dazu, dass dein bisheriger DNS Dienst (vom ISP oder Google oder cloudflare oder oder) nicht mehr deine DNS Anfragen mitlesen kann. Unbound schickt alles DNS bezogene dann direkt an die root authority DNS Server, also ohne Umwege. Ein guter Router bzw. eine gute Firewall hat sowas wie Unbound meist eh schon als DNS resolver an Board.

4. Thema smarthome ist dann eh wieder was besonderes. Willst du alles aus einer Hand, cloud basiert und einfach oder lieber ohne cloud des Herstellers und etwas komplexer? Soll alles auch von extern erreichbar und steuerbar sein? Geschlossenes System a la hue, Bosch und Co, oder lieber offener wie zigbee (wobei hue ja dieses Protokollnutzt) usw? Soll alles zentral zusammengeführt werden mit zb openhab oder homeassistant?
Auch wieder sehr umfangreich und komplex.

5. Und auch wenn du da explizit nicht drüber reden willst, wie du schreibst...das Thema Zugriff von außen ist immer wichtig. Hier kommt es drauf an (wie immer), was du vor hast.

Also, mehr als genug Fässer...

 

[Jim_OS]

Somit gelten diese als "unsicher" und sollte eigentlich nicht ins gleiche Netzwerk wie z.B. das NAS oder Arbeits-Pc.
...
- Jede Gerätegruppe hat seinen eigenen festen IP-Adressenbereich
-> Jede Gerätegruppe hat dadurch nur Zugriff auf auserwählte "Pakete" der DiskStation
- Zudem gibt es zusätzlich eigene Benutzer für vereinzelte Pakete. (z.B. einen Benutzer für Videostreaming oder AudioStation)

the other hat ja schon div. Punkte genannt und erwähnt wie komplex das Thema ist. Von mir nur noch eine Anmerkung dazu: So löblich es ist das Du Dir über das Thema Gedanken machst, aber so einfach wie Du Dir das ggf. vorstellst ist es leider nicht. Bevor Du Dich die nächsten Tage/Wochen/Monaten mit dem Thema DMZ, VLAN, Routing, Firewalls usw. befasst, könntest Du Dir mal überlegen ob nicht bereits die Einrichtung eines Gastnetzwerkes bei Dir ausreichend ist.

Zum Einstieg: Gastnetzwerk

Falls Du wirklich tiefer in das Thema Routing einsteigen willst dann hier ein paar erste Anlaufpunkte:
https://administrator.de/tutorial/v...otik-dd-wrt-oder-cisco-rv-routern-110259.htmlhttps://administrator.de/knowledge/preiswerte-vpn-fähige-firewall-eigenbau-fertiggerät-149915.htmlhttps://administrator.de/tutorial/r...mit-windows-linux-und-router-56073.html#toc16
VG Jim

 

[ktm-racer-7]

Vielen Dank für eure Reaktionen, und sorry für die späte Antwort...(kam was familiäres dazwischen..)

@the other tut mir Leid wenn ich nun doch so viele Fässer aufgemacht habe...aber bei der Komplexität ist das nicht ganz so einfach

Zu 1:
Dadurch das ich mich in diesem Bereich weiterbilden möchte, ist die Zeit und das Geld halt Bildungskosten Aber nun zurück:

Wichtig und sinnig ist es auf jeden Fall, potentiell unsichere clients abzugrenzen

Also sollte ich wohl oder übel VLans einführen? Da wie gesagt, alle meine WLAN-fähigen Geräte im gleichem Wlan hängen. Um den Zugriff auf meine DS noch zu verschärfen, habe ich jedem Gerät eine eigene feste IP zugeteilt. Smart-Tvs haben z.B. XXX.XXX.XXX.100-110. Handys dann von 111-120 usw.
Nun kann ich in der DS-Firewall z.b. sagen das der IP-Bereich 100-110 nur auf den Videoplayer zugreifen kann und mit einem extra Videoplayer-Benutzer nur die Leserechte hat. Dieses Schema war/ist halt meine Hobbylösung.

Zu 3:
Hört sich so an, als sollte ich das zügig mal "installieren" Habe den Standard-Telekom-Router der nicht einmal einen VPN besitzt Mal schauen ob ich das reibungslos hinbekomme

Zu 4:
Da ich mir die DS zugelegt habe, um unabhängig von Drittanbietern zu werden, würde auch beim Thema Smarthome bei mir nur das komplexere ohne Cloud des Herstellers in Frage kommen. Ich möchte ja wissen, wo und wer meine Daten sehen kann. Da bei einem Externen Zugriff das Sicherheitsrisiko sinkt, würde ich das als Laie erstmal nur intern betreiben wollen. Manche Cams haben ja z.B. auch die Funktion, wenns was gibt, dann schicken Sie per Mail ein paar Bilder vom "Auslöser". Das würde mir erstmal reichen...
Da ich "frisch" und langsam ein Smarthome aufbauen möchte, muss es am Anfang nicht gleich das Komplexeste sein was es gibt...Da ich aber in Zukunft immer mehr einbinden& lernen möchte, geht die Zukunft eher in Richtung OpenHab oder Homeassistant. Denn irgendwo macht das "Rumspielen" ja auch Spaß, (sofern es klappt wie man will)


@the other, wo würdest du deiner Meinung nach erstmal anfangen? Ich musste leider doch ein paar Fässer öffnen, damit ihr einen Überblick habt, was ich mir in Zukunft so vorstelle. Damit wollte ich vermeiden, das ihr z.B. mir eine gute Lösung vorschlagt, ich diese einstelle und in ein paar Wochen, komme ich und will ne IP-Cam installieren und dann aber ggf. doch wieder auf ein anderes "System" umstellen.

Vielen Dank für deine ausführlichen Beschreibungen und deiner Hilfe mich zu unterstützen.

 

[ktm-racer-7]

Auch Dir nochmal vielen Dank für deine Reaktion @Jim_OS .

Einfach ist die ganze IT keinesfalls. Weswegen ich ja langsam aber sicher mich damit intensiver beschäftigen möchte, denn wo wird in Zukunft die Reise hingehen? Ich bezweifel das der IT Bereich zurückgehen wird und ich mag es irgendwie nicht, wenn man etwas tagtäglich benutzt aber keine Ahnung von den Chancen und Risiken hat. Komplexität hin oder her, irgendwo/ irgendwann muss man anfangen

Deinen Tipp mit dem Gäste-Wlan verstehe ich nicht ganz. Aktuell habe ich ein Gäste-Wlan, das halt für Gäste bzw. Freunde ist...
Wenn ich nun aber z.B. die unsicheren Smart-Tvs ins Gäste-Wlan packe, dann habe ich mit denen ja keinen Zugriff mehr auf meine DS/Videoplayer? Dann glaub ich würde erstmal eine Routerkaskade oder die komplexeren VLans in Frage kommen.

Vielen Dank für deine Mühe die zahlreichen interessanten Links zu suchen und reinzustellen. Werde ich mir alle gleich mal durchlesen .

 

[Jim_OS]

Moin,

auch wenn ich jetzt wieder eher als Spielverderber klinge. Zum Thema Komplexität:

Du hast 3 Wohnungen, 5 Benutzer + Gäste/Freunde.
Dann hast Du bzw. die Benutzer PC(s), Smartphones und Tablets. Dazu kommen dann noch div. Clients im LAN, wie z.B. das NAS, Drucker, Smart-TV, PS4, demnächst eine IP-Kamera und dann sicherlich weitere SmartHome Komponenten.
Dann soll es z.B. OpenHab oder Home Assistant als zentrale SmartHome Steuerung geben. Auch das muss irgendwo installiert werden. Entweder auf dem NAS, oder auf einem Raspi/Mini-PC.

Jetzt kommt der entscheidende Schritt: Du musst Dir überlegen welche Clients Du in einen "sicheren" Bereich und in einen "unsicheren" (Iot) Bereich packst und dann wer von wo auf was Zugriff hat. Wenn Du eine strickte Trennung zwischen "sicher" und "unsicher" (Iot) haben wolltest, dann dürfte z.B. kein Client aus dem "unsicheren" (Iot) Bereich - also z.B. der Smart-TV oder die IP-Kamera - auf den sicheren Bereich (wo sich ggf. dann das NAS befindet) zugreifen. Ebenso dürfte z.B. ein Arbeits-PC zwar auf das NAS zugreifen, aber er dürfte keinen Zugriff auf die IP-Kamera (Iot) haben und könnte somit diese nicht administrieren.
Usw. usw. usw. und das ist jetzt nur mal ein Beispiel für einen Benutzer/Client.

Wo packst Du dann z.B. OpenHab oder Home Assistant als zentrale SmartHome Steuerung (Iot) hin und welcher Client darf dann darauf wie zugreifen und welcher Client nicht? Und worauf darf OpenHab oder Home Assistant zugreifen und worauf nicht?

Ja Du könntest mit VLANs, Bereichen, Rechten, Firewall-Regeln usw. arbeiten, aber Du kannst das ja erst einmal (gedanklich) für alle Deine Geräte/Clients/Benutzer durchspielen. Dann wirst Du wahrscheinlich feststellen wie aufwendig das ist/wird. Insbesondere dann wenn mal erst anfängt sich mit dem Thema zu befassen.

Oder Du wählst zu Beginn einfach mal die "learning by doing" Methode und besorgst Dir für ein paar Euro einen Mikrotik Router. Mit dem kannst Du dann mal rumspielen und erste Erfahrungswerte sammeln wenn es um VLAN, Firewall usw. geht.

Wie schon gesagt es ist gut und löblich das Du Dir über das Thema Gedanken machst, aber ein "Otto-Normal-Anwender" ist damit sehr schnell überfordert und/oder konfiguriert Dinge die ggf. kontraproduktiv sind und/oder sogar eher schaden als nutzen.

Nachtrag:
Weil Du Routerkaskaden erwähnt hast hier etwas zum (ein)lesen:
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html
VG Jim

 

[the other]

Moinsen,
ich kann da @Jim_OS nur zustimmen:
du schreibst ja selber, dass du aktuell den smart-TV als unsicher einschätzt. Wenn du dann also diesen Client vom NAS per aufwändiger VLAN Segmentierung trennst nur um danach trotzdem den Zugriff wieder zu erlauben, dann ist das alles für die Katz. Sicherlich kann man es alles so einrichten, dass dann von zB VLAN IoT (mit smart TV) auf VLAN NAS nur über einen bestimmten Port für DS Video zugegriffen wird, alles andere verboten wird...aber es ist dann eben wirklich die Frage, ob sich der Aufwand in Zeit und Geld lohnt.

Wenn du also jetzt schon merkst, dass eine Unterbringung des smart TVs im Fritzbox Gäste LAN nix bringt (weil dann eben auch kein Zugriff stattfinden kann), dann lass das.
Ich sage Interessierten immer: bevor du dir da was kaufst und fröhlich loslegst....hol dir n Zettel und n Stift (oder Kohle und Höhlenwand) und mal dir mal auf, welche Geräte du hast, wer von wo worauf zugreifen soll/muss und versuch dann Struktur reinzubringen. Bevor du dir da keinen Plan gemacht hast, ist alles ehrlich gesagt Quatsch (imho).

Bedenke auch: so liebgewonnen Dinge wie DLNA Zugriff (streaming) mit dem NAS auf Internetradio und Tv geht NICHT über Netzwerkgrenzen hinweg, ohne wiederum Aufwand zu treiben.

Und: am Ende geht es um ein Heimnetzwerk, nicht dass ich die Wichtigkeit deiner Daten runterspielen will. Also immer auch realistisch bleiben.

Die Tatsache, dass du insgesamt drei Wohnungen versorgen willst spricht für mich zwar durchaus für eine Segmentierung mit VLANs, aber sowohl dies als auch (ganz besonders) das Thema Firewall und Regeln ist nicht "mal eben so" erlernt und umgesetzt.

Mein Tipp zum Start: das mit dem Zettel und dem Stift. Dann Einsteigen ins Thema VLANs, dann Firewall...und ZEIT LASSEN, es ist nicht alles so easy wie ne Synology NAS. Je mehr du im Vorfeld liest und verstehst, desto leichter dann das eigentliche Einrichten.
Pihole würde ich immer auf nem Raspi laufen lassen, ebenso die diversen smarthome Lösungen (also Home Assistant ebenfalls auf nem Raspi).

 

[ktm-racer-7]

Moin Jim und @the other ,

nein in meinen Augen bist du kein Spielverderber. Ich finde es gut, wenn man kritisiert oder mal in die Schranken weist. So macht man sich umso mehr Gedanken...also nur zu

Denn wie ich merke, ist das wohl alles nicht in einem Monat getan @Jim_OS und @the other ihr habt mich schonmal mehr zum Nachdenken angeregt, und vermutlich ist es erstmal besser alles erstmal so zu verinnerlichen bis man dann mal mit kleineren Versuchen startet. Mein Gedanke war halt zuerst, lieber gleich alles richtig konfigurieren und sich befassen, bevor man alles eingestellt hat und dann wieder ändern muss und gegebenfalls noch gravierende Sicherheitslücken hat. Dennoch werde ich mich mal mit dem Thema beschäftigen.


Wie würdet ihr persönlich das Ganze nun in der "Übergangszeit" aufbauen?
Ist es von der Sicherheit her ausreichend, alle Geräte in einem Wlan-Netzwerk zu haben (altes Haus, ohne Lan-Verkabelung) und "nur" den Zugriff der Geräte auf das NAS beschränken, wie hier beschrieben:

Um den Zugriff auf meine DS noch zu verschärfen, habe ich jedem Gerät eine eigene feste IP zugeteilt. Smart-Tvs haben z.B. XXX.XXX.XXX.100-110. Handys dann von 111-120 usw.
Nun kann ich in der DS-Firewall z.b. sagen das der IP-Bereich 100-110 nur auf den Videoplayer zugreifen kann und mit einem extra Videoplayer-Benutzer nur die Leserechte hat. Dieses Schema war/ist halt meine Hobbylösung.

Bei diesem Schema habe ich mir Gedanken gemacht, welche Geräte eben welches Paket der DS nutzen dürfen, und wo sie überhaupt kein Zugriff brauchen wie z.B. Handy oder SmartTv auf DSM oderso. Zwar nicht mit Stift und Papier, sondern mit Whiteboard und Marker...zum Glück, musste nämlich oft wieder was wegwischen

Ich mein vllt. reicht dies ja auch erstmal aus oder handel ich dann schon etwas fahrlässig in euren Augen? Klar, wie du schon schreibst:

am Ende geht es um ein Heimnetzwerk, nicht dass ich die Wichtigkeit deiner Daten runterspielen will. Also immer auch realistisch bleiben.

Meine "größte" Angst ist eben, das ich durch Unwissenheit schwerwiegende Fehler begehe, wie bsp. ein Szenario: einfach alle Geräte in ein WLan, bei dem dann z.B. Smart-Tvs irgendwas von meiner DS lesen und in die "Außenwelt" senden können. Da ich mich noch nicht mit den Traffics beschäftigt habe, kann ich leider nicht einschätzen ob bzw. wie einfach das gehen würde...

 

[Jim_OS]

das ich durch Unwissenheit schwerwiegende Fehler begehe,

Die Gefahr schwerwiegende Fehler zu begehen ist m.M.n. viel größer wenn Du als Anfänger versuchst Dein Vorhaben mit VLANs, Bereichen, Rechten, Firewall-Regeln usw. zu lösen.

Dir geht es ja in erster Linie darum Daten, die auf dem NAS liegen, zu schützen und Dir ist klar - wie uns allen - das es 100 % Schutz nicht gibt. Daher wäre mein Vorschlag ganz einfach: Richte auf dem NAS entsprechende Bereiche und Zugriffsrechte ein und das war's dann auch schon. D.h. Dein Smart-TV, oder genauer die IP Deines Smart-TV, darf z.B. lesend auf den Bereich/Ordner Video (oder wie auch immer) zugreifen, sofern da dann z.B. Videos liegen die Du auf dem Smart-TV wiedergeben willst. Wenn Deine zukünftige IP-Kamera z.B. Aufnahme auf dem NAS speichern können soll, dann bekommt deren IP einen Bereich/Odner auf den sie schreibend darauf zugreifen kann. Willst Du Dir diese Aufnahmen per Tablet anschauen können bekommt Dein Table (dessen IP) lesend Zugriff auf den Bereich/Odner wo diese Aufnahmen liegen. Usw.

Dann musst Du Dir überlegen wer der 5 Benutzer mit welchen Gerät auf das NAS zugreifen kann und darf und die entsprechenden Berechtigungen und Bereiche einrichten.
Ebenso musst Du Dir überlegen, sofern Kids im Haus sind, was die im LAN alles so machen und dürfen und ob sie überhaupt Zugriff auf das NAS benötigen. Es ist nun mal so das Kids unbedarfter mit dem Thema Internet und Sicherheit umgehen und daher von ihnen ein größeres "Risiko" ausgehen könnte.

Auch sollte man sich genau überlegen welche Software oder Apps man irgendwo installiert hat, sprich aus welchen Quellen diese stammen und ob man diese auch tatsächlich braucht. Ich kenne z.B. Leute die sich hunderte von Apps auf ihrem Smartphone oder Tablet installiert haben, ohne sich überhaupt mal darüber Gedanken gemacht zu haben was das bedeutet bzw. bedeuten könnte.
Ebenso kenne ich Leute die z.B. noch mit Windows 7, oder z.B. Android 5 unterwegs sind, Also BS für die es schon lange keine (Sichheits-)Updates gibt. Da tun sich dann ggf. ganz andere Lücken auf.

Auch was die Software auf dem NAS betrifft verhalte ich mich eher sehr konservativ. Auf meinem NAS, auf dem sich persönliche und private Daten befinden, werden nur Programme installiert die von Synology stammen und nichts anderes. Ich weiß das dazu die Meinungen ganz weiter auseinander gehen, aber auf meinem produktiven NAS haben z.B. Dinge wie ioBroker, OpenHAB usw. nichts zu suchen. Nein ich möchte hier jetzt nicht mit anderen Usern darüber diskutieren warum ich das so sehe/mache.

Für etwas zusätzliche Sicherheit könnte dann noch eine Hard- oder Software Firewall sorgen. Auch damit lassen sich einige Gefahren verringern.

Dann solltest Du Dich in Zukunft immer fortlaufend und regelmäßig auf dem Laufenden halten welche Soft- oder Hardware, die Du im gesamten LAN im Einsatz hast, ggf. irgendwelche Sicherheitslücken aufweist und wie man diese beseitigt. Nur ab und zu mal ein Update einspielen das der Hersteller anbietet reicht da nicht aus. Denn zwischen Lücke und Update kann eine ganze Menge Zeit vergehen.

All das sind Punkte die m.M.n. wichtiger sind als sich darüber Gedanken zu machen ob ein smartes Gerät ggf. Daten in die Außenwelt sendet. An den Daten eines Otto-Normal-Anwenders hat erst einmal niemand von den "bösen Buben" Interesse.

Sollte es tatsächlich mal eine Sicherheitslücke im BS z.B. des Smart-TV geben, sodass ein Scriptkiddie darüber ggf. auf Dein LAN zugreifen kann, dann musst Du Dir überlegen wie weit er in Deinem LAN kommt und ob das überhaupt für ihn von Interesse ist.
Sollte sich mal eine Lücke auftun über die z.B. Code eingeschleust werden kann und wird, dann ist es eh zu spät. So etwas kann man nie zu 100 % verhindern und da helfen auch keine VLANs, weil man vorher nie weiß über welche Lücke der Angreifer in das (V)Lan kommt.

VG Jim

 

[Tommes]

Meine Meinung nach einem Jahr Netzwerkeln zum Thema Routing, VLAN, Firewall, Managed Switchen, Multi-SSID APs...

Man muss schon ziemlich einen an der Klatsche haben um sich sowas freiwillig an zu tun. Mit meiner Motivation von damals und dem Wissen von heute... ich hätt's wohl gelassen. Nichts desto trotz habe ich in dieser Zeit sehr viel gelernt und ein besseres Verständinis darüber erhalten, wie das alles zusammenspielt. Auch habe ich mittlerweile ein relativ gutes Gefühl dabei, ein für meine Verhältnisse sicheres Netzwerk aufgebaut zu haben. In Wirklichkeit kratze ich aber wohl immer noch an der Oberfläche und jeder Netzwerkprofi würde sich wohl die Haare raufen, wenn ich ihm meine Konfiguration erkläre. Von daher...

Ich kann und werde dich weder davon abhalten, noch dazu animieren, es zu versuchen. Aber wenn du Bock auf sowas hast, dann fang einfach irgendwo an. Auf deinem Weg wirst du aber schnell feststellen, das dieser oftmals sehr steinig und voller Weggabelungen ist. Irgendwann kommst du vielleicht an einen Punkt wo du entwerder alles in die Tonne treten wirst oder du dich darüber freust, das das was du dir da aufgebaut hast, funktioniert. Am Ende zählt aber der Nutzen und da kann ich (Standpunkt heute) nur sagen... Brauchen tut man das alles nicht... jedenfalls nicht für den Privatgebrauch.

Tommes

​

 

[Jim_OS]

Meine Meinung nach einem Jahr Netzwerkeln zum Thema Routing, VLAN, Firewall, Managed Switchen, Multi-SSID APs...

Man muss schon ziemlich einen an der Klatsche haben um sich sowas freiwillig an zu tun.

Ich habe das ca. 10 Jahre lang beruflich gemacht (u.a. als Admin im Rechenzentrum einer Hochschule) und ich war dann froh darüber mich damit und vor allen Dingen nicht mehr mit den Usern, rumschlagen zu müssen. Und obwohl ich das vom Wissen her eigentlich könnte, habe ich bei mir zu Hause nichts in der Richtung umgesetzt.

Wir gesagt sehe ich die Prioritäten wo anders, als mir darüber Gedanken zu machen welches Routing ich dann von wo nach wo und für wen gerade wieder einrichten könnte oder müsste. Oder warum gerade ggf. wieder etwas nicht funktioniert weil sich vielleicht eine IP geändert hat.

Weil das Stichwort Home Assistant ja schon gefallen ist und ich damit auch seit ein paar Monaten rumspiele, bzw. darüber meinen SmartHome Klimbim steuere: Für HA gibt u.a. auch eine Integration um z.B. die Fritz!Box oder auch ein Synology NAS einzubinden. Damit das bzw. der Zugriff funktioniert muss man natürlich Username und Passwort der Frizt!Box und dem NAS eingeben. Diese werden dann von HA irgendwo und irgendwie gespeichert. Ich möchte nicht wissen wie viele User das einfach so vollkommen gedankenlos machen. Nach dem Motto: Prima dann erkennt HA über das WLAN der Fritz!Box und über mein Smartphone, wann ich Abends nach Hause komme und kann dann das NAS schon mal hochfahren. Jetzt ratet mal ob ich die HA Integration für die Fritz!Box und das NAS nutze.

Was will ich damit sagen? Vereinfacht ausgedrückt: Ja mehr Sicherheit per VLANs, Bereichen, Rechten, Firewall-Regeln usw. ist gut und nützlich, nur bringt das alles nichts wenn man auf der anderen Seite ggf. möglichen Schachstellen wissentlich akzeptiert, oder sie noch nicht mal erkennt.

VG Jim

 

[ktm-racer-7]

Danke @Jim_OS für deine ausführliche Antwort. Diese hat mir sehr geholfen, und gibt mir ein beruhigendes Gefühl, das Verfahren erstmal so weiter zu verfolgen wie gedacht/gehabt. Aber es hätte ja sein können, dass ich doch auf einem Holzweg bin. Daher bin ich euch allen (auch dich @Tommes), die sich zu Wort gemeldet haben, ihre Erfahrungen geteilt haben und mir einen Einblick/Überblick über die Komplexität gegeben haben.

Dennoch werde ich mich langsam aber sicher mal mit Vlans etc befassen um meinen Horizont zu erweitern.

 

[ktm-racer-7]

Ich habe das ca. 10 Jahre lang beruflich gemacht (u.a. als Admin im Rechenzentrum einer Hochschule)

Uiii, dann habe ich wohl wirklich einen Profi "kennengelernt"....

Weil das Stichwort Home Assistant ja schon gefallen ist und ich damit auch seit ein paar Monaten rumspiele, bzw. darüber meinen SmartHome Klimbim steuere: Für HA gibt u.a. auch eine Integration um z.B. die Fritz!Box oder auch ein Synology NAS einzubinden. Damit das bzw. der Zugriff funktioniert muss man natürlich Username und Passwort der Frizt!Box und dem NAS eingeben. Diese werden dann von HA irgendwo und irgendwie gespeichert. Ich möchte nicht wissen wie viele User das einfach so vollkommen gedankenlos machen. Nach dem Motto: Prima dann erkennt HA über das WLAN der Fritz!Box und über mein Smartphone, wann ich Abends nach Hause komme und kann dann das NAS schon mal hochfahren. Jetzt ratet mal ob ich die HA Integration für die Fritz!Box und das NAS nutze.

Ich hoffe ich habe deine Ironie verstanden... Lässt du dann deinen HA auch über nen Raspi (wie @the other) laufen oder auf der DS?

 

[Jim_OS]

Profi ist relativ. Ich bin zwar schon seit DOS Zeiten dabei und habe im Laufe der Jahre div. Zertifizierungen (MS, Cisco usw.) gemacht, aber die IT ist so komplex das man immer nur bei Ausschnitten tief im Thema drin sein kann. Ein breites Grundlagenwissen ist natürlich immer hilfreich.

Das Du Dich mit dem Thema befassen willst finde ich auch gut und mach das ruhig. Aber nicht gleich alles auf einmal und sensible Clients/Daten solltest Du erst einmal außen vor lassen.

Nein HA läuft bei mir auf einem Intel NUC und HA hat auf meinem produktiven NAS auch nichts zu suchen. Aber das ist, wie ich oben schon ge-/beschrieben habe, meine pers. Ansicht/Einstellung dazu.

VG Jim

 

[the other]

Moinsen, vor den von @Jim_OS genannten home assistant Integrationen kann man nur abraten IMHO.
Nicht nur dass username und password im klartext abgelegt werden (zur Not per secrets etwas verborgen), nein, es muss zb fürs NAS auch gleich der admin account sein
Da kann man für zb presence detection auch andere Wege gehen....fürt hier aber zu ehrlich ins Detail, ist aber ein super Beispiel für so nicht....
Wie gesagt, Liste mal alle clien5auf, überleg wer worauf zugreifen muss (lesend, schreibend) und dann cluster bilden...Und bedenken, dass das ein dynamischer Prozess ist, die Auseinandersetzung damit also stets nachgelegt werden muss.

 

[Jim_OS]

@the other Ich hoffe Du hast meine Ironie bezüglich solcher Integrationen verstanden?

VG Jim

 

[the other]

Moinsen @Jim_OS ...
Ich denke schon. Du warst da ja doch sehr deutlich. Ist m Ende doch ähnlich wie mit nem NAS.... Nur weil vieles geht ist es nicht empfehlenswert alles zu machen. Und gerade in dem Zusammenhang innerhalb dieses threads wichtig, dass du das angesprochen hast.