Zitat :

Wenn das so ist, woher bekommt dann das Kombigerät (Modem, Router, Telefon) seine IP-Adresse?

Die Adresse in Richtung WAN bekommt es vom Internetprovider, die in Richtung LAN legst du selbst fest, wie jetzt auch.

In Sachen WLAN bringt das aber auch nicht mehr Sicherheit.
Bleibt das an, ist alles unverändert. Schaltest du es aus, hast du kein WLAN mehr.

So schnell ist ein Passwort aber auch nicht geknackt, auch wenn es natürlich möglich ist. Da liegt es an der Wahl des Passworts. Das Standardpasswort vom Router ist natürlich schneller geknackt als eine wilde Kombi aus Buchstaben und Zahlen. Wenn es in irgendeinem Wörterbuch steht, ist es unsicher. Ein weiterer Punkt ist WPS. Das sollte aus sein da potentiell knackbar.
Dann stellt sich die Frage, was es bei dir im LAN zu holen gibt. Private Netze sind da eigentlich uninteressant.


_________________
-=MR.ED=-

Anfragen bitte ins Forum, nicht per PM, Mail ICQ o.ä. So haben alle was davon und alle können helfen. Entsprechende Anfragen werden ignoriert.
Für Schäden und Folgeschäden an Geräten und/oder Personen übernehme ich keine Haftung.
Die Sicherheits- sowie die VDE Vorschriften sind zu beachten, im Zweifelsfalle grundsätzlich einen Fachmann fragen bzw. die Arbeiten von einer Fachfirma ausführen lassen.

Hallo MechMac666,

jetzt hast du ein ganzes Faß mit deinen Fragen aufgemacht.

Erste Frage:
Geht es um dein privates Netz zu Hause oder um ein Firmennetz? Ich gehe mal von ersterem aus.

Ein MAC Filter ist ein Hindernis, aber kein wirksamer Schutzmechanismus (außer vielleicht Port Security auf Managed Switches).
Vielmehr würde ich mein WLAN Passwort ansetzen und ein Passwort wählen, das nicht so leicht zu brechen ist und, wenn möglich, das Passwort regelmäßig ändern. Dass die WLAN Verschlüsselung auf WPA2 zu stellen ist, setze ich mal voraus.
Sollte es öfters vorkommen, dass man Gäste hat denen man nicht 100%ig vertraut, kann man über ein Gäste-WLAN nachdenken. Die meisten moderneren Heimrouter können das inzwischen.

VLANs in einem Heimnetz finde ich in den meisten Fällen übertrieben. In einer großen Villa vielleicht sinnvoll, aber dann hat man meistens auch das Geld sich einen Profi zu leisten der das ordentlich macht.
VLANs sind im Prinzip nichts anderes als die virtuelle Trennung von Netzen über die selbe Leitung, dafür sind in den allermeisten Szenarien aber Managed Switches notwendig die dann den einzelnen Ports (Access Ports) unterschiedliche VLANs zuweisen können.
Die Achillessehne bei solchen Systemen ist aber immer die richtige Konfiguration des Routers an dem alle VLANs zusammenlaufen (und natürlich auch alle Switches die mit den VLANs zu tun haben). Das kann schnell unübersichtlich werden.

Meine Empfehlung:
1.) Den Router / die Firewall regelmäßig updaten und kein Billigplunder verwenden, da gibt es vom Hersteller dann einfach keine Updates mehr. Die Fritzboxen sollen da recht gut sein. Ich hatte mal eine, fand aber das Konfigurationsinterface zum (OK ich bin als Netzwerktechniker anderes gewohnt)
2.) Sichere Passwörter verwenden.
3.) Die Rechner im Netz sind neben dem Router das Haupteinfalltor. Immer UPDATEN!
4.) Von Softwarefirewalls (auf Windows) halte ich wenig. Sie greifen tief in das System ein und öffnen oft mehr Tore als sie schließen. Ausnahme ist die eingebaute Software von Microsoft. (Natürlich ist das meine persönliche Meinung und keine Universalweisheit)

Zur Sicherheit:
Absolute Sicherheit gibt es nicht. Wichtig ist den automatisierten Alltagssumpf fernzuhalten. Profis kann man als Privatperson nur schwer abwehren.

Grundlagen:
http://www.netzmafia.de/skripten/netze/
(Habe ich gerade über Google gefunden aber selbst nicht gelesen. Keine Gewähr über die Qualität des Inhalts)

_________________
Simon
IW3BWH

Ich habe das VLAN jetzt zum testen mal aktiviert.
Das Switch hat 8 Ports. Auf Port 5 ist das Kombigerät (Router+Modem) angeschlossen.

An Port 6 ein PC und an Port 4 ein PC.

Jetzt habe ich 2 VLAN's erstellt. Nummer1 geht auf Port 5+6
Nummer2 geht auf 5+4

Da ich das ganze nach 802.1q gemacht habe, geht das ja jetzt mit den tags los.
Wenn ich in beiden Vlan's alle Tags aktiviere hat keiner der Rechner internet zugang.
Wenn ich den Port 5 untagged lasse, verwendet er die PVID, da ja kein Tag angegeben ist.
Nur ist das sinnlos, ich will das beide Rechner Internet zugang haben. Ich will mich nicht für einen entscheiden müssen.

Das Kombigerät (EasyBox) kann kein VLAN. Ergo gehen alle Pakete untagged zu dem VLAN-Switch. Dieser packt jetzt das in der PVID hintergte Tag dran und dann landet das Internet immer nur bei einem Rechner.

Was willst du denn mit dem VLAN bezwecken? Mehr Sicherheit bringt das nicht.

_________________
-=MR.ED=-

Anfragen bitte ins Forum, nicht per PM, Mail ICQ o.ä. So haben alle was davon und alle können helfen. Entsprechende Anfragen werden ignoriert.
Für Schäden und Folgeschäden an Geräten und/oder Personen übernehme ich keine Haftung.
Die Sicherheits- sowie die VDE Vorschriften sind zu beachten, im Zweifelsfalle grundsätzlich einen Fachmann fragen bzw. die Arbeiten von einer Fachfirma ausführen lassen.

Tja, wie soll ich diese Frage beantworten?
Dazu muss ich mir erstmal ein Bild davon machen können was genau es macht.
Ganz offensichtlich ist mir das noch nicht ganz klar.
Momentan sorgt es nur dafür das gar nichts mehr geht.

Zitat : MechMac666 hat am  4 Feb 2017 14:27 geschrieben :

Dazu muss ich mir erstmal ein Bild davon machen können was genau es macht.

Wenn dir das nicht klar ist, machst du wahrscheinlich dein Netzwerk nur unsicherer.

Wie schon vorgeschlagen, erzeug dir ein "sicheres" Passwort für dein WLAN und fertig.
(Wenn sich jemand physikalisch Zugang zu deinem Netzwerk verschafft, hast du ganz andere Probleme.)

P.S.
Und ein MAC-Filter bringt gar nichts außer Komforteinbußen, also auslassen.

Ein sicheres Kennwort habe ich längst. Die Firewall vom Router ist ebenfalls aktiv. Und ich klicke auch nicht auf irgendwelche unbekannten Anhänge aus E-mails. Um solche simplen Dinge geht es mir nicht.

Da ich aber auch eine IP-Kamera mit DDNS habe, dachte ich das eben auch eine Sicherheitslücke ist. Vielleicht hätte man den Bereich eingrenzen können, auf den ein Angreifer zugreifen kann, wenn er an die Adresse kommt.
Ich habe zwar nur die benötigten Ports weitergeleitet die die Kamera braucht, aber wer weiß was es da noch so für Möglichkeiten gibt.
Zudem ist die Kamera die meiste Zeit ausgeschaltet, da ich dem Teil nicht traue.

Oder in Hinsicht auf böse Verschlüsselungsprogramme. Klar kann ich die Benutzer eingrenzen und Netzlaufwerke trennen, aber was so ein Teil trotz solcher Maßnahmen anrichten kann, durfte ich bei uns in der Firma feststellen. Die Scannen das Netz und finden trotz getrennter Laufwerke zugängliche Verzeichnisse auf Servern.

Ein VLAN ist sinnvoll, wenn du mehrere getrennte Netzwerke über eine Leitung übertragen willst. Zusätzliche Sicherheit bietet es letztendlich nur nach innen, indem dann bestimmte Netzwerkgeräte nicht für alle zugänglich sind.

Beispiel, mittelständische Firma:

Ein Bürogebäude mit Serverraum, eine Produktionshalle, ein Sicherheitsdienst am Tor mit Videoüberwachung, Internet über WLAN für Besucher im Bürogebäude und der Halle.

Die Büroleute haben ein VLAN Büro, kommen da auf ihre Netzlaufwerke und Drucker, machen Lohnabrechnungen, Angebote, Rechnungen usw. Zusätzlich gibt es da noch die Büros der Produktentwicklung, die auch die Zeichnungen und Programme für die Produktion erstellen. In dem Bau gibt es Internetzugang über das Büronetz für die Mitarbeiter.
Am Gebäude hängen ein paar Kameras vom Sicherheitsdienst.

Die Produktion hat ein VLAN Produktion. Darüber werden die Maschinen gesteuert, Meßwerte übertragen usw. Die Server dazu stehen im Serverraum im Bürogebäude. In der Halle gibt es auch ein paar Büros in dem Mengen und Arbeitszeiten erfasst werden usw.
Außerdem hängen da auch Kameras an der Außenwand.

Der Sicherheitsdienst hat das VLAN Kameras. Sitzt vorne am Tor in seiner Hütte und kann auf die Kameras zugreifen. Die Server für die Aufzeichnung stehen natürlich im Serverraum im Bürogebäude. Internet oder Zugriff auf andere Netzbereiche gibt es da nicht.

Die Besucher haben das VLAN Besucher über ein offenes WLAN, haben da aber auf nichts internes Zugriff, außer auf das Internet, aber nur nach Anmeldung über eine Vorschaltseite.

Von den 2 Gebäuden führt ein Glasfaserkabel in den Serverraum.

An den Switches im Serverraum liegen alle 4 Netze an, ein paar Ports bekommen nur das Büronetz, die Ports für die Kameras nur das Kameranetz, die Entwicklung das Büro- und Produktionsnetz, der Chef Büro, Produktion und Kameranetz und die Admins alle 4 Netze.
Die Maschinen und PCs im Fahrstand der Produktionhalle bekommen nur das Produktionsnetz, die Rechner in den Büros dort das Büronetz und die Kameras das Kameranetz.
Der Sicherheitsdienst bekommt nur das Kameranetz.
Die WLAN Accesspoints in beiden Gebäuden bekommen das Besuchernetz, ebenso der Server mit der Portalseite, der dann auch an einem weiteren Port das Internet bekommt, um es gefiltert an die berechtigten Gäste weiterzuleiten.

Das kann man nun noch weiterspinnen und ein 5. VLAN für IP-Telefonie einrichten usw.

Zuhause ist ein VLAN aber ziemlich unsinnig, denn i.d.r. möchtest du da ja mit allen Geräten auf's Internet und NAS zugreifen.
Angriffe über das verschlüsselte WLAN sind selten. Was gibt es da auch zu holen? Die Pornosammlung vom NAS, Internetzugang, Ende. Internetzugang gibt es auch bei McD oder vor jedem 2. Hotel, völlig ohne tagelanges Passwortsuchen.

Ich schaue regelmäßig in die Logs von meinem Router, WLAN habe ich seit Ende 2004, die Loginversuche von Fremdgeräten kann ich an einer Hand abzählen. Das waren dann Einzelfälle, ein simples verklicken von Nachbarn o.ä. Keine Angriffe.
Eine größere Anzahl dieser Versuche hatte ich auf dem Gastzugang der Fritzbox. Da aber eher unbewusst weil der Standardname verwendet wurde und Smartphones im Vorbeigehen das Netz nutzen wollten. Seit der Umbenennung kein weiterer Loginversuch.


_________________
-=MR.ED=-

Anfragen bitte ins Forum, nicht per PM, Mail ICQ o.ä. So haben alle was davon und alle können helfen. Entsprechende Anfragen werden ignoriert.
Für Schäden und Folgeschäden an Geräten und/oder Personen übernehme ich keine Haftung.
Die Sicherheits- sowie die VDE Vorschriften sind zu beachten, im Zweifelsfalle grundsätzlich einen Fachmann fragen bzw. die Arbeiten von einer Fachfirma ausführen lassen.

@Mr.Ed: Sehr schöne Beschreibung von VLANs!

@MechMac666: Wie schon gesagt wurde ist VLAN im Heimnetz meistens übertrieben und steigert unnötig die Komplexität von allem - vor allem wenn man nicht genau weiß was man tut.
Deine Überwachungskamera zu isolieren könnte ein Argument sein diese in ein eigens Subnetz zu sperren, aber nur wenn du diese Kamera vom Internet aus zugänglich machen willst. Leider stellen, erfahrungsgemäß, immer noch viel zu viele Leute unbewusst, unsichere Geräte ins Internet. Eine bessere Lösung wäre da, die Kamera nicht ins Internet zu stellen, sondern sich (z.B. mit OpenVPN) einen gut verschlüsselten Tunnel nach Hause aufzubauen.

Grüße
Simon

_________________
Simon
IW3BWH