Netzwerksicherheit

Im Unterforum Hardware, Betriebssysteme, Programmiersprachen - Beschreibung: Alles zu Software, Hardware, Windows, Linux, Programmiersprachen
Anfragen zu Modding, Games, Cracks, etc. unerwünscht.

Elektronik Forum Nicht eingeloggt       Einloggen       Registrieren




[Registrieren]      --     [FAQ]      --     [ Einen Link auf Ihrer Homepage zum Forum]      --     [ Themen kostenlos per RSS in ihre Homepage einbauen]      --     [Einloggen]

Suchen


Serverzeit: 29 3 2024  08:51:59      TV   VCR Aufnahme   TFT   CRT-Monitor   Netzteile   LED-FAQ   Osziloskop-Schirmbilder            


Elektronik- und Elektroforum Forum Index   >>   Hardware, Betriebssysteme, Programmiersprachen        Hardware, Betriebssysteme, Programmiersprachen : Alles zu Software, Hardware, Windows, Linux, Programmiersprachen
Anfragen zu Modding, Games, Cracks, etc. unerwünscht.


Autor
Netzwerksicherheit

    







BID = 1012767

MechMac666

Gesprächig



Beiträge: 197
Wohnort: Salzkotten
 

  


Hallo,

aktuell habe ich ein Kombigerät bestehend aus Router, Modem und Telefonanlage. Dort ist eine Firewall und eine Mac-Filterung aktiv.
Außerdem gibt es Portweiterleitungen für Endgeräte und der DHCP-Server ist da auch aktiv.

Da hängen jetzt ein paar Rechner ein NAS und zwei nicht konfigurierbare Switches dran.

Jetzt habe ich gelesen dass das nicht wirklich sicher ist, da man nach dem man das Kennwort für das W-Lan ermittelt hat, mittels MAC-spoofing halt doch rein kommt.

Nun habe ich mich da ein wenig eingelesen und es fielen Worte wie "V-Lan".
Im Grunde habe ich das auch soweit verstanden. Aber eben nicht im Detail.

Ich habe mir jetzt ein günstiges Switch gekauft, welches diese Funktionalität vom V-Lan besitzt.

Wenn ich diese jetzt aktiviere, muss dann jedes virtuelle Lan auch einen eigenen DHCP-Server haben?

Wenn das so ist, woher bekommt dann das Kombigerät (Modem, Router, Telefon) seine IP-Adresse?
Weil irgendwie muss es ja beide V-Lan's mit einem Internetzugang versorgen.

Viele Grafiken, welche das Anschlußschema zeigen, sind nicht so detailiert. Zumindest verstehe ich es nicht so recht wie das läuft.
Hat jemand da vielleicht einen Link zu einem guten "Tutorial" wo auch die Basics erklärt werden?


BID = 1012774

der mit den kurzen Armen

Urgestein



Beiträge: 17417

 

  

Jedes Endgerät im LAN hat eine eigene IP-Adresse. Diese IP-Adresse kann fest vergeben werden oder eben durch einen DHCP-Server! So habe ich nun 2 oder 3 Lokale Netzwerke sind diese erst mal eigenständige Netzwerke! Das gilt auch für die sogenannten virtuellen Netzwerke. Um diese Netzwerke miteinander zu verbinden gibt es Bridges oder eben Router. Dein Router verbindet das WAN (Internet ) mit dem LAN, genauso kannst du auch einen beliebigen Router dazu einsetzen um 2 Netzwerke zu verbinden oder eben um diese zu trennen. Genau so kannst du auch das Wlan vom LAN über einen extra Wlan Router trennen .
Bestes Beispiel für getrennte Wlannetze ist der Gastzugang. Die Gäste kommen zwar ins Wan aber eben nicht ins LAN aber auch nicht über Wlan ins Lan!
Zum Punkt Firewall sage ich nur das ist ein System! Auch eine Firewall auf dem zu schützenden Rechner ist sinnlos denn wird der Rechner angegriffen ist auch die Software Firewall in Gefahr! Offene Ports die nicht benötigt werden sind da beliebtes Einfalltor!
Merke was nützt dir eine Brandschutzwand wenn da riesige Löcher drin drin?

_________________
Tippfehler sind vom Umtausch ausgeschlossen.
Arbeiten an Verteilern gehören in fachkundige Hände!
Sei Dir immer bewusst, dass von Deiner Arbeit das Leben und die Gesundheit anderer abhängen!

BID = 1012781

Mr.Ed

Moderator



Beiträge: 36016
Wohnort: Recklinghausen


Zitat :
Wenn das so ist, woher bekommt dann das Kombigerät (Modem, Router, Telefon) seine IP-Adresse?

Die Adresse in Richtung WAN bekommt es vom Internetprovider, die in Richtung LAN legst du selbst fest, wie jetzt auch.

In Sachen WLAN bringt das aber auch nicht mehr Sicherheit.
Bleibt das an, ist alles unverändert. Schaltest du es aus, hast du kein WLAN mehr.

So schnell ist ein Passwort aber auch nicht geknackt, auch wenn es natürlich möglich ist. Da liegt es an der Wahl des Passworts. Das Standardpasswort vom Router ist natürlich schneller geknackt als eine wilde Kombi aus Buchstaben und Zahlen. Wenn es in irgendeinem Wörterbuch steht, ist es unsicher. Ein weiterer Punkt ist WPS. Das sollte aus sein da potentiell knackbar.
Dann stellt sich die Frage, was es bei dir im LAN zu holen gibt. Private Netze sind da eigentlich uninteressant.


_________________
-=MR.ED=-

Anfragen bitte ins Forum, nicht per PM, Mail ICQ o.ä. So haben alle was davon und alle können helfen. Entsprechende Anfragen werden ignoriert.
Für Schäden und Folgeschäden an Geräten und/oder Personen übernehme ich keine Haftung.
Die Sicherheits- sowie die VDE Vorschriften sind zu beachten, im Zweifelsfalle grundsätzlich einen Fachmann fragen bzw. die Arbeiten von einer Fachfirma ausführen lassen.

BID = 1012782

wulf

Schreibmaschine



Beiträge: 2246
Wohnort: Bozen

Hallo MechMac666,

jetzt hast du ein ganzes Faß mit deinen Fragen aufgemacht.

Erste Frage:
Geht es um dein privates Netz zu Hause oder um ein Firmennetz? Ich gehe mal von ersterem aus.

Ein MAC Filter ist ein Hindernis, aber kein wirksamer Schutzmechanismus (außer vielleicht Port Security auf Managed Switches).
Vielmehr würde ich mein WLAN Passwort ansetzen und ein Passwort wählen, das nicht so leicht zu brechen ist und, wenn möglich, das Passwort regelmäßig ändern. Dass die WLAN Verschlüsselung auf WPA2 zu stellen ist, setze ich mal voraus.
Sollte es öfters vorkommen, dass man Gäste hat denen man nicht 100%ig vertraut, kann man über ein Gäste-WLAN nachdenken. Die meisten moderneren Heimrouter können das inzwischen.

VLANs in einem Heimnetz finde ich in den meisten Fällen übertrieben. In einer großen Villa vielleicht sinnvoll, aber dann hat man meistens auch das Geld sich einen Profi zu leisten der das ordentlich macht.
VLANs sind im Prinzip nichts anderes als die virtuelle Trennung von Netzen über die selbe Leitung, dafür sind in den allermeisten Szenarien aber Managed Switches notwendig die dann den einzelnen Ports (Access Ports) unterschiedliche VLANs zuweisen können.
Die Achillessehne bei solchen Systemen ist aber immer die richtige Konfiguration des Routers an dem alle VLANs zusammenlaufen (und natürlich auch alle Switches die mit den VLANs zu tun haben). Das kann schnell unübersichtlich werden.

Meine Empfehlung:
1.) Den Router / die Firewall regelmäßig updaten und kein Billigplunder verwenden, da gibt es vom Hersteller dann einfach keine Updates mehr. Die Fritzboxen sollen da recht gut sein. Ich hatte mal eine, fand aber das Konfigurationsinterface zum (OK ich bin als Netzwerktechniker anderes gewohnt)
2.) Sichere Passwörter verwenden.
3.) Die Rechner im Netz sind neben dem Router das Haupteinfalltor. Immer UPDATEN!
4.) Von Softwarefirewalls (auf Windows) halte ich wenig. Sie greifen tief in das System ein und öffnen oft mehr Tore als sie schließen. Ausnahme ist die eingebaute Software von Microsoft. (Natürlich ist das meine persönliche Meinung und keine Universalweisheit)

Zur Sicherheit:
Absolute Sicherheit gibt es nicht. Wichtig ist den automatisierten Alltagssumpf fernzuhalten. Profis kann man als Privatperson nur schwer abwehren.

Grundlagen:
http://www.netzmafia.de/skripten/netze/
(Habe ich gerade über Google gefunden aber selbst nicht gelesen. Keine Gewähr über die Qualität des Inhalts)

_________________
Simon
IW3BWH

BID = 1012803

MechMac666

Gesprächig



Beiträge: 197
Wohnort: Salzkotten

Ich habe das VLAN jetzt zum testen mal aktiviert.
Das Switch hat 8 Ports. Auf Port 5 ist das Kombigerät (Router+Modem) angeschlossen.

An Port 6 ein PC und an Port 4 ein PC.

Jetzt habe ich 2 VLAN's erstellt. Nummer1 geht auf Port 5+6
Nummer2 geht auf 5+4

Da ich das ganze nach 802.1q gemacht habe, geht das ja jetzt mit den tags los.
Wenn ich in beiden Vlan's alle Tags aktiviere hat keiner der Rechner internet zugang.
Wenn ich den Port 5 untagged lasse, verwendet er die PVID, da ja kein Tag angegeben ist.
Nur ist das sinnlos, ich will das beide Rechner Internet zugang haben. Ich will mich nicht für einen entscheiden müssen.

Das Kombigerät (EasyBox) kann kein VLAN. Ergo gehen alle Pakete untagged zu dem VLAN-Switch. Dieser packt jetzt das in der PVID hintergte Tag dran und dann landet das Internet immer nur bei einem Rechner.



BID = 1012805

Mr.Ed

Moderator



Beiträge: 36016
Wohnort: Recklinghausen

Was willst du denn mit dem VLAN bezwecken? Mehr Sicherheit bringt das nicht.

_________________
-=MR.ED=-

Anfragen bitte ins Forum, nicht per PM, Mail ICQ o.ä. So haben alle was davon und alle können helfen. Entsprechende Anfragen werden ignoriert.
Für Schäden und Folgeschäden an Geräten und/oder Personen übernehme ich keine Haftung.
Die Sicherheits- sowie die VDE Vorschriften sind zu beachten, im Zweifelsfalle grundsätzlich einen Fachmann fragen bzw. die Arbeiten von einer Fachfirma ausführen lassen.

BID = 1012807

MechMac666

Gesprächig



Beiträge: 197
Wohnort: Salzkotten

Tja, wie soll ich diese Frage beantworten?
Dazu muss ich mir erstmal ein Bild davon machen können was genau es macht.
Ganz offensichtlich ist mir das noch nicht ganz klar.
Momentan sorgt es nur dafür das gar nichts mehr geht.


BID = 1012810

BlackLight

Inventar

Beiträge: 5210


Zitat : MechMac666 hat am  4 Feb 2017 14:27 geschrieben :
Dazu muss ich mir erstmal ein Bild davon machen können was genau es macht.
Wenn dir das nicht klar ist, machst du wahrscheinlich dein Netzwerk nur unsicherer.

Wie schon vorgeschlagen, erzeug dir ein "sicheres" Passwort für dein WLAN und fertig.
(Wenn sich jemand physikalisch Zugang zu deinem Netzwerk verschafft, hast du ganz andere Probleme.)

P.S.
Und ein MAC-Filter bringt gar nichts außer Komforteinbußen, also auslassen.

BID = 1012820

MechMac666

Gesprächig



Beiträge: 197
Wohnort: Salzkotten

Ein sicheres Kennwort habe ich längst. Die Firewall vom Router ist ebenfalls aktiv. Und ich klicke auch nicht auf irgendwelche unbekannten Anhänge aus E-mails. Um solche simplen Dinge geht es mir nicht.

Da ich aber auch eine IP-Kamera mit DDNS habe, dachte ich das eben auch eine Sicherheitslücke ist. Vielleicht hätte man den Bereich eingrenzen können, auf den ein Angreifer zugreifen kann, wenn er an die Adresse kommt.
Ich habe zwar nur die benötigten Ports weitergeleitet die die Kamera braucht, aber wer weiß was es da noch so für Möglichkeiten gibt.
Zudem ist die Kamera die meiste Zeit ausgeschaltet, da ich dem Teil nicht traue.

Oder in Hinsicht auf böse Verschlüsselungsprogramme. Klar kann ich die Benutzer eingrenzen und Netzlaufwerke trennen, aber was so ein Teil trotz solcher Maßnahmen anrichten kann, durfte ich bei uns in der Firma feststellen. Die Scannen das Netz und finden trotz getrennter Laufwerke zugängliche Verzeichnisse auf Servern.

BID = 1012822

Mr.Ed

Moderator



Beiträge: 36016
Wohnort: Recklinghausen

Ein VLAN ist sinnvoll, wenn du mehrere getrennte Netzwerke über eine Leitung übertragen willst. Zusätzliche Sicherheit bietet es letztendlich nur nach innen, indem dann bestimmte Netzwerkgeräte nicht für alle zugänglich sind.

Beispiel, mittelständische Firma:

Ein Bürogebäude mit Serverraum, eine Produktionshalle, ein Sicherheitsdienst am Tor mit Videoüberwachung, Internet über WLAN für Besucher im Bürogebäude und der Halle.

Die Büroleute haben ein VLAN Büro, kommen da auf ihre Netzlaufwerke und Drucker, machen Lohnabrechnungen, Angebote, Rechnungen usw. Zusätzlich gibt es da noch die Büros der Produktentwicklung, die auch die Zeichnungen und Programme für die Produktion erstellen. In dem Bau gibt es Internetzugang über das Büronetz für die Mitarbeiter.
Am Gebäude hängen ein paar Kameras vom Sicherheitsdienst.

Die Produktion hat ein VLAN Produktion. Darüber werden die Maschinen gesteuert, Meßwerte übertragen usw. Die Server dazu stehen im Serverraum im Bürogebäude. In der Halle gibt es auch ein paar Büros in dem Mengen und Arbeitszeiten erfasst werden usw.
Außerdem hängen da auch Kameras an der Außenwand.

Der Sicherheitsdienst hat das VLAN Kameras. Sitzt vorne am Tor in seiner Hütte und kann auf die Kameras zugreifen. Die Server für die Aufzeichnung stehen natürlich im Serverraum im Bürogebäude. Internet oder Zugriff auf andere Netzbereiche gibt es da nicht.

Die Besucher haben das VLAN Besucher über ein offenes WLAN, haben da aber auf nichts internes Zugriff, außer auf das Internet, aber nur nach Anmeldung über eine Vorschaltseite.

Von den 2 Gebäuden führt ein Glasfaserkabel in den Serverraum.

An den Switches im Serverraum liegen alle 4 Netze an, ein paar Ports bekommen nur das Büronetz, die Ports für die Kameras nur das Kameranetz, die Entwicklung das Büro- und Produktionsnetz, der Chef Büro, Produktion und Kameranetz und die Admins alle 4 Netze.
Die Maschinen und PCs im Fahrstand der Produktionhalle bekommen nur das Produktionsnetz, die Rechner in den Büros dort das Büronetz und die Kameras das Kameranetz.
Der Sicherheitsdienst bekommt nur das Kameranetz.
Die WLAN Accesspoints in beiden Gebäuden bekommen das Besuchernetz, ebenso der Server mit der Portalseite, der dann auch an einem weiteren Port das Internet bekommt, um es gefiltert an die berechtigten Gäste weiterzuleiten.

Das kann man nun noch weiterspinnen und ein 5. VLAN für IP-Telefonie einrichten usw.

Zuhause ist ein VLAN aber ziemlich unsinnig, denn i.d.r. möchtest du da ja mit allen Geräten auf's Internet und NAS zugreifen.
Angriffe über das verschlüsselte WLAN sind selten. Was gibt es da auch zu holen? Die Pornosammlung vom NAS, Internetzugang, Ende. Internetzugang gibt es auch bei McD oder vor jedem 2. Hotel, völlig ohne tagelanges Passwortsuchen.

Ich schaue regelmäßig in die Logs von meinem Router, WLAN habe ich seit Ende 2004, die Loginversuche von Fremdgeräten kann ich an einer Hand abzählen. Das waren dann Einzelfälle, ein simples verklicken von Nachbarn o.ä. Keine Angriffe.
Eine größere Anzahl dieser Versuche hatte ich auf dem Gastzugang der Fritzbox. Da aber eher unbewusst weil der Standardname verwendet wurde und Smartphones im Vorbeigehen das Netz nutzen wollten. Seit der Umbenennung kein weiterer Loginversuch.


_________________
-=MR.ED=-

Anfragen bitte ins Forum, nicht per PM, Mail ICQ o.ä. So haben alle was davon und alle können helfen. Entsprechende Anfragen werden ignoriert.
Für Schäden und Folgeschäden an Geräten und/oder Personen übernehme ich keine Haftung.
Die Sicherheits- sowie die VDE Vorschriften sind zu beachten, im Zweifelsfalle grundsätzlich einen Fachmann fragen bzw. die Arbeiten von einer Fachfirma ausführen lassen.

BID = 1012907

wulf

Schreibmaschine



Beiträge: 2246
Wohnort: Bozen

@Mr.Ed: Sehr schöne Beschreibung von VLANs!

@MechMac666: Wie schon gesagt wurde ist VLAN im Heimnetz meistens übertrieben und steigert unnötig die Komplexität von allem - vor allem wenn man nicht genau weiß was man tut.
Deine Überwachungskamera zu isolieren könnte ein Argument sein diese in ein eigens Subnetz zu sperren, aber nur wenn du diese Kamera vom Internet aus zugänglich machen willst. Leider stellen, erfahrungsgemäß, immer noch viel zu viele Leute unbewusst, unsichere Geräte ins Internet. Eine bessere Lösung wäre da, die Kamera nicht ins Internet zu stellen, sondern sich (z.B. mit OpenVPN) einen gut verschlüsselten Tunnel nach Hause aufzubauen.

Grüße
Simon

_________________
Simon
IW3BWH


Zurück zur Seite 0 im Unterforum          Vorheriges Thema Nächstes Thema 


Zum Ersatzteileshop


Bezeichnungen von Produkten, Abbildungen und Logos , die in diesem Forum oder im Shop verwendet werden, sind Eigentum des entsprechenden Herstellers oder Besitzers. Diese dienen lediglich zur Identifikation!
Impressum       Datenschutz       Copyright © Baldur Brock Fernsehtechnik und Versand Ersatzteile in Heilbronn Deutschland       

gerechnet auf die letzten 30 Tage haben wir 22 Beiträge im Durchschnitt pro Tag       heute wurden bisher 2 Beiträge verfasst
© x sparkkelsputz        Besucher : 180687088   Heute : 2982    Gestern : 12674    Online : 311        29.3.2024    8:51
7 Besucher in den letzten 60 Sekunden        alle 8.57 Sekunden ein neuer Besucher ---- logout ----viewtopic ---- logout ----
xcvb ycvb
0.0624628067017