[SOLVED] Unterteilung Netzwerk - Sicherheitsaspekte

[meschmesch]

Hallo,
für das Familiennetzwerk zuhause zerbreche ich mir den Kopf, ob/wie ich hier durch Subnetze mehr Sicherheit ins Spiel bringen kann. Gerne würde mich eure Meinung hierzu interessieren. Stand der Dinge:
1. Gast Netzwerk dass nur nach ins WAN funken darf. Da sind auch die PCs der Kinder drin und deren Handys.
2. LAN Netzwerk mit NAS, Smart TV, Handys, PCs, WLAN-Steckdosen, sowie einem Raspberry sowohl als Heimautomationsserver und DNS-Server. NAS ist auch aus dem WAN erreichbar (SSH + Netxcloud).

Der Vorteil, alles im LAN Netzwerk zu haben ist, dass ich Bilder vom Handy auf dem Smart TV zeigen kann, sowie von allen Geräten (inkl. Smart TV und Handys) jederzeit über SMB auf Bilder und Videos der NAS zugreifen kann. Und mit jedem Handy und PC kann ich durch Zugriff auf den Raspberry Dinge im Haus steuern.

Das NAS und den Raspberry in ein separates Netzwerk zu stecken bringt vermutlich nicht viel, da ich auf die dort laufenden Dienste von allen Geräten aus zugreifen muss? Ich könnte höchstens die Handys (Wlan) und PCs in separaten Netzwerken unterbringen, sehe aber den Sicherheitsgewinn auch nicht so richtig. Bleiben nur die Geräte der Heimautomation, auf die ein direkter Zugriff mit PC/Handy/SmartTV nicht nötig ist.

Was übersehe ich? Ist eben ein ungutes Gefühl. Zu viele Einfallstore von außen, und keine Absicherung.

[lfirewall1243]

Muss der NAS direkt aus dem Internet erreichbar sein?

Den per zusätzlicher Authentifizierung (HAProxy) oder VPN abzusichern, würde schon einen großen Gewinn bringen.
Damit hättest du die Tür von Außen schon mal geschlossen.

[meschmesch]

Hallo, ja muss. Über Nextcloud werden Adressbücher synchronisiert, Bilder innerhalb der weiten Familie verteilt usw... NAS in ein eigenes Netzwerk könnte den Vorteil haben, dass wen das NAS gehackt ist ein weiterer Zugriff auf PCs usw. nicht möglich ist. Das ist aber auch schon alles.

[lfirewall1243]

Hallo, ja muss. Über Nextcloud werden Adressbücher synchronisiert, Bilder innerhalb der weiten Familie verteilt usw...

Ist ja kein Grund gehen eine zusätzliche Authentifizierung, erhöht ja nicht nur die Sicherheit deines restlichen Netzwerkes, sondern auf der Daten auf deinem NAS.
Gerade bei NAS Geräten hört man ja des öfteren von irgendwelchen Sicherheitslücken, wovon du die meisten einfach nicht aktiv nutzbar machst, wenn das Gerät nicht direkt im Internet hängt.

NAS in ein eigenes Netzwerk könnte den Vorteil haben, dass wen das NAS gehackt ist ein weiterer Zugriff auf PCs usw. nicht möglich ist. Das ist aber auch schon alles.

Das wäre ein guter Plan. Und für viele Dienste welche per Brodacast arbeiten, sollte der IGMP Proxy funktionieren.

[meschmesch]

Also NAS in ein eigenes Netzwerk, Heimautomation + DNS Server in ein eigenes Netzwerk, Handys + SmartTV in ein eigenes Netzwerk, PCs in ein eigenes Netzwerk, Gästenetzwerk.   

[lfirewall1243]

Du kannst am Ende auch für jedes Gerät ein eigenes Netzwerk schaffen

Würde ehr

LAN: PC, Handys, SmartTV
Gast: alle Geräte die nur stumpfes Internet brauchen
DMZ: NAS Speicher

DNS Server auf der OPNsense

[chemlud]

Trennung in LAN und IoT/SmartTV/sonstiger Müll, bei dem das Betriebssystem nicht deiner Kontrolle unterliegt is m.E. immer sinnvoll.

Ich habe ein eigenes Netz für Windowsschrott und andere Betriebssysteme (kein Android/Apple, die würde ich ehr zu Windows packen, da können sie sich dann gegenseitig "telemetrisieren")

[meschmesch]

Perfekt, das hilft schon mal. Danke für Euren Input!!!

[meschmesch]

Ach noch eine Frage, "DNS auf Opnsense". Opnsense kann aber nicht pihole. Ich möchte aber denselben Schutz über Filterlisten wie bei pihole. Von dem her?

[Patrick M. Hausen]

AdGuard Home?

[meschmesch]

Ist installiert. Und tut, allerdings nicht so wie es soll. Ich habe hier (auch) testweise High Availability am Laufen, d.h. das LAN-Interface hat neben seiner normalen statischen Adresse 192.168.2.2 auch eine CARP-Adresse 192.168.2.1. AdGuard tut, wenn ich als Server die 2.2 angebe, jedoch nicht für die 2.1 (obwohl in Adguard als listening interface auch die 2.1 angegeben ist).

Code: [Select]

dig google.de @192.168.2.1
;; reply from unexpected source: 192.168.2.2#53, expected 192.168.2.1#53
Habt ihr eine Lösung dafür?

[Patrick M. Hausen]

Das Problem ist, dass AdGuard die Replies in dem Fall von der falschen Adresse schickt. Da hilft, AG auf 127.0.0.1 und z.B. 53530 laufen zu lassen und Unbound oder BIND dorthin weiterleiten zu lassen.

Oder Du bastelst was mit NAT - Portforwarding für die Requests, Outbound für die Replies.

Ich hab da ein Bug Ticket bei AG aufgemacht, aber das Problem liegt wohl an der Golang-Implementierung für FreeBSD.

Gruß
Patrick

[meschmesch]

Port Forward von der Carp-Adresse auf die feste LAN-IP hat ausgereicht. Nun tut es. Schlecht ist eben, dass auf der Backup-Firewall die Regel anders aussehen muss (Carp auf die dortige andere feste LAN-IP). Damit scheidet zukünftig ein Sync der Firewall-Regeln aus.

[bimbar]

Port Forward von der Carp-Adresse auf die feste LAN-IP hat ausgereicht. Nun tut es. Schlecht ist eben, dass auf der Backup-Firewall die Regel anders aussehen muss (Carp auf die dortige andere feste LAN-IP). Damit scheidet zukünftig ein Sync der Firewall-Regeln aus.

Wie wäre es mit Port Forward (oder NginX stream server UDP) auf 127.0.0.1?

[meschmesch]

Localhost geht nicht?! Muss ich unter Outbound NAT für diesen Fall noch etwas Spezielles einstellen?

Ein weiteres Problem ist, dass z.b. vom Gast interface 176.1 DNS Auf 2.1 nicht funktioniert. Ich habe testweise alle Ports vom Gast Interface auf Lan freigegeben, Ping funktioniert aber DNS funktioniert nicht. Was fehlt?