Bestimmte Hosts/Ports nur von/ins Internet lassen

[Patrick M. Hausen]

Wenn nun allerdings ein Angreifer Kontrolle über einen Host bekommt, kann er da natürlich auch die Firewall Rules ändern.

Ein Angreifer erlangt die Kontrolle über einen - bleiben wir mal beim Klischee - Windows PC. Wieso hat er jetzt auch die Kontrolle (also das Admin-Login) über die Firewall, um da Regeln zu ändern?

Es kann deshalb sicherer sein, die von Host(s) ausgehende Kommunikation auf dem Router/Switch zu konfigurieren. Ich denke da an meinen Host dem Smart-Home drauf. Die angeschlossenen, funkenden Geräte sind bekanntlich nicht gut geschützt.

Jo, die packst du ein ein extra VLAN, wenn dein Smarthome-Kram ohne "Cloud" vom Anbieter läuft, lässt du sie gar nicht ins Internet, ... etc.

Dieser Host ist zwar in einem entsprechenden VLAN, dort aber auch nicht allein. Nun war die Idee, ihn in diesem VLAN zusätzlich zu isolieren.

Dann pack ihn alleine in ein VLAN, erlaube von deinem normalen Heimnetz den Zugriff auf den Host und vom Host-VLAN aus den Zugriff auf die ganzen IoT-Teile ...

Alles was eine eigenständige Policy braucht in eine extra Zone. Einschränkungen auf IP-Adress-Basis (außer für inbound) funktionieren meiner Erfahrung nach nicht. Also skalieren nicht, sind fehleranfällig, Adressen können gefälscht werden, etc.

[Tuxtom007]

Es mag sein, dass meine Anforderungen für ein Heimnetzwerk übertrieben sind. Es geht mir aber auch um das theoretische Wissen. Außerdem macht mir das Phänomen "Jump Host" Sorgen.

Nimm dir mal ein Blatt Papier - neumodisch auch ne Excel-Tabelle - schreibe dir auf, welche unterschiedlichen System du in deinem Netzt hast und wo es Sinn macht, diese in einem eigenen Netz zu haben und dann machst du dir Gedanken darüber, wer über haupt mit wem sprechen muss und welches System in Internet müssen und welche nicht.

Nennt sich dann Kommunikationsmatrix.

Ich hab das auch so gemacht, Server haben einges VLAN, Notebooks, Smartphone etc in einem VLAN, ganz Smarthomezeug in einem inkl. des Servers, Mediageräte für Amazon-Alexa, FireTV usw. in einem, IoT in einem, Telefon in einem usw.

Meine Telefone müssen mit der FritzBox sprechen können also sind die im selben VLAN, aber es braucht von aussen nur mein Notebook darauf zuzugreifen um die zu konfigurieren.

[meyergru]

Übrigens: Wenn Deine Switches das erlauben, kannst Du "port isolation" in bestimmten VLANs machen, wobei dann nur derjenige Port davon ausgenommen wird, wo das Gateway drauf läuft. Damit sehen sich die Geräte in diesen VLANs nicht, sonden müssen über das Gateway (= Firewall) kommunizieren. In diesem Fall kannst Du dann auch auf der Firewall den VLAN-internen Traffic regeln.

Unifi kann das z.B. auf Switches und auch für ganze WLANs.

[zeropage]

Nimm dir mal ein Blatt Papier ... Nennt sich dann Kommunikationsmatrix.

Ich finde das mit der Matrix einen interessanten Ansatz zur Veranschaulichung und habe das gleich mal angewendet (siehe Anhang). Wie man sieht, darf VLAN10 überall hin, VLAN20 nur eingeschränkt und VLAN30 nur ins Internet.

Insbesondere bei dem DNS-Server und dem Reverse-Proxy bin ich mir nicht sicher, in welches Subnetz diese Dienste gehören. Der DNS-Server muss von allen (außer den Gästen) erreichbar sein. Sollte aber gleichfalls vor Manipulation gut geschützt sein. Der Reverse Proxy muss vom Internet erreichbar sein, baut seinerseits aber geschützte Verbindungen zum NAS auf.

[zeropage]

Übrigens: Wenn Deine Switches das erlauben, kannst Du "port isolation" in bestimmten VLANs machen...

Ich habe einen Zyxel GS 1920 und wenn ich es richtig sehe, kann er das. Danke für den Hinweis.

Inzwischen hatte ich allerdings mal etwas in dessen Guide gestöbert und eine ACL bestehend aus Classifier und Policy Rules für den Smart Home Server konfiguriert. Es funktioniert.

[zeropage]

Wenn nun allerdings ein Angreifer Kontrolle über einen Host bekommt, kann er da natürlich auch die Firewall Rules ändern.

Ein Angreifer erlangt die Kontrolle über einen - bleiben wir mal beim Klischee - Windows PC. Wieso hat er jetzt auch die Kontrolle (also das Admin-Login) über die Firewall, um da Regeln zu ändern?

Oh, ich habe mich diesbezüglich wohl missverständlich ausgedrückt. Mit "kann er da natürlich auch die Firewall Rules ändern." meinte ich die Firewall des Hosts selbst. Nicht die Regeln auf einer Firewall im Netzwerk oder auf einem Switch.

Sprich: Ich kann auf dem Smart-Home-Server in der iptables outgoing alles mögliche verbieten. Das nützt aber nix, wenn jemand die Zigbee-Glühbirne hackt und darüber auf den Server kommt. Im Prinzip gleich verhält es sich mit dem Wifi-AP. Oder ist das zu paranoid?

[Patrick M. Hausen]

Weshalb solltest du dich auf einzelnen Hosts mit iptables rumschlagen, wenn du eine OPNsense hast? Ich zumindest mache ungern alles doppelt.

Und wie das mit der "Glühbirne hacken" geht, wenn die nicht ins Internet darf und auch von draußen keine Verbindungen reinkommen, begreife ich auch nicht. Häng das Zeug in isolierte Zonen mit restriktiver Policy und gut ist.

Anmerkung: es mag zugegebenermaßen andere Zugriffsmöglichkeiten auf dieses IoT Zeug geben, die gar nichts mit WiFi und IP zu tun haben, und die ich nicht kenne. Solches Zeug kommt mir persönlich aber gar nicht erst ins Haus. Dinge, die nicht 100% lokal funktionieren sondern nur über eine "Cloud", Dinge, die über was anderes kommunizieren als IP. Njet.

[zeropage]

Dinge, die nicht 100% lokal funktionieren sondern nur über eine "Cloud", Dinge, die über was anderes kommunizieren als IP. Njet.

Oh, hier muss ich dringend etwas klarstellen: Meine IoT-Geräte laufen grundsätzlich ohne Anbindung an eine Hersteller-Cloud. Alles läuft lokal per MQTT und OpenHAB. Der Server (ein Raspi) kann lediglich über Port 443 mit dem Internet kommunizieren, um Updates installieren zu können.

Das wiederum in einer Wohnung in einem Mehrfamilienhaus. Nun möchte ich allerdings den Aufwand vermeiden, meine Wohnung mit Alufolie zu tapezieren, um Nachbarn funktechnisch den Zugang in mein Netzwerk erschweren.

[Patrick M. Hausen]

Also das Zeugs kommuniziert per Funk mit dem Raspi. Und ist theoretisch auch per Funk angreifbar. Dann steckst du den in ein extra VLAN und erlaubst genau gar nichts. Tust du ja schon. Allerdings von allen "freundlichen" Netzen den Zugriff auf die Anwendung (Homeassistant?). Und damit ist doch alles in Butter.