@hoep
Ich habe ein paar Minuten gebraucht, um Deinen Text und v.a. die Abkürzungen in eine für mich verständliche Sprache zu übersetzen, aber trotzdem vielen Dank für die wertvollen Anregungen! Vor allem Deine Aufteilung in Automation, Gäste (Kinder), Surfing, Daten kann ich mir als passendes Beispiel nehmen.
@dampflok2000
Bei mir läuft die IPS-App über VPN und durch zwei Fritzboxen. Vereinfacht habe ich das etwas mit VPN Shortcut. Frauchen kommt damit problemlos klar, es gab keine Beschwerden. Noch komfortabler („mit einem einzigen Click“) sollte es mit VpnCilla laufen, kostet aber 4 EUR.
@dampflok2000
ja ich benutze die App, aber nur via VPN. Alternativ könnte man IPsec verwenden, da kann man zumindest auf iOS einen VPN on demand einrichten (bei Ansprechen einer lokalen IP wird automatisch ein VPN-Tunnel aufgebaut). Leider ist dieses Featur ab iOS (9?) buggy…
Aber ein VPN Tunnel ist mit OpenVPN recht schnell aufgebaut…
Meine Frau verwedet selten andere Bedienmethoden als Schalter und Taster
Gruß
hoep
für die Mobile App von IPS kannst du doch den IP Symcon Connect Dienst nutzen. Dafür ist er doch gemacht. Der sollte auch durch Reverse-Proxy durchkommen, da die Verbindung ja immer von innen (deinem IP Symcon Server) zu dem Server von paresy im Internet auf Standby gehalten wird und du komfortabel mit dem Smartphone darauf zugreifen kannst. Eigentlich eine super Sache. Die IPS selber steht damit nicht im Internet.
ich will nochmal meinen Ansatz darstellen. Es gibt eine sichere Zone, da sind sowas wie das NAS, kabelgebundene PCs/Laptops und natürlich auch der IPS-Server drin. Diese Zone ist über die davor liegenden unsicheren Zonen (für Gäste-WLAN, Smartphone, Telekom Entertain, Webcams…) über eine anständige Firewall verbunden. Kommunikation geht immer nur von innen nach aussen, nie umgekehrt. Einzige Möglichkeit ist der Aufbau von aussen nach innen über einen auf der Firewall laufenden VPN-Server.
Zu WebCams: viele sind sehr einfach gehalten und haben Security Bugs die vom Hersteller nie gefixed werden. Deshalb nie in die sichere Zone und auch keine Kommunikation nach draussen erlauben. Zugriff nur von der inneren Zone (nicht umgekehrt) und von aussen max. über VPN. Ein weiteres Problem sind LAN-angebunden Cams draussen. Ein Bösewicht könnte locker an meine Mobotix an der Gartenhütte das LAN-Kabel verwenden (trotz mechanischem Schutz). Wäre ganz schlecht, wenn er dann in der inneren Zone wäre. Klar den Port könnte ich noch mit 802.1X/Zertifikat schützen aber wie bringe ich das der Mobotix bei? Nachteil ist dabei, dass die Mobotix keine Alarme an die innere Zone und damit an IPS schicken kann, umgekehrt kann IPS von innen schon draussen auf die Mobotix zugreifen.
Zu Trojanern/Viren:wenn sich ein Device in der inneren Zone etwas richtig bösartiges eingefangen hat, hast du den Krieg verloren. Deshalb die bekannten Schutzmaßnahmen, keine fremden Geräte/USB Sticks da rein, immer aktuelles Patchlevel und Virenscanner drauf, …
Kinder: meine dürfen in der Regel nicht in die innere Zone, manchmal müssen sie aber auf das NAS oder den Druckern. Hier muss man abwägen, wie man vorgeht.
In Summe hatten wir die letzten Jahre nur einen Virenvorfall bei meinem Sohn, aber seinem Laptop war der Zugang zur sicheren Zone verwehrt. Der Schaden war mit einer Neuinstallation des Laptops behoben.
Ist eine schwierige und aufwendige Materie, aber Schutz gibt es nicht umsonst.
Die Zugriffsrichtungen machen das Ganze etwas kompliziert, das wird ne ganz schöne Umstellung. Aber ich will es. Geräte in der Fritzbox zu blocken, damit sie nicht ins Internet können, ist ja ne Kleinigkeit. Aber die Webcams legen bislang ihre Aufnahmen per FTP auf die Synology, das klappt sogar in andere Subnetze. Aber das wäre ja genau der Zugriff in die innere Zone, vor dem Du warnst. Da fällt mir als Lösung nur ein Zwischenspeicher in der äußeren Zone ein. Von dort könnte man die Daten mit rsync abholen, falls man sie aufheben will.
Mein Backup funktioniert glücklicherweise schon so, rsync (auf der Synology = innen) holt sich die Daten von den WLAN-Notebooks (= außen).
ich habe auch gerade mein Netz von FritzBox auf ubiquiti umgestellt.
Ich habe nun ein Vigor 130 als Modem, ein USG und dahinter Switch und APs. Derzeit ist das alles noch ein großes Netz, ohne weitere Unterteilungen.
Leider ist das SUG in Sachen VPN nicht so wirklich gut aufgestellt, zumindest wenn man in der GUI bleiben will. Aus diesem Grund habe ich eine pfSense Appliance nur für VPN daneben stehen. Das funktioniert aber noch nicht alles so wie es soll.
Das Netz Zonen aufzuteilen wäre auch mein Ziel ich befürchte nur, mir fehlt das KnowHow dies mit VLANS, Firewall-Regeln und was sonst noch dazu gehört umzusetzen.
Da gerade „Ubiquiti“ gefallen ist … hier ein Link mit einer beispielhaften (Zonen-)Konfiguration auf einem 3-Port-Router.
Es soll an der Stelle nicht in eine Produktempfehlung ausarten, beschreibt aber recht durchgängig und systematisch, wie man sich der Thematik einer auf Zonen basierenden Lösung sinnvoll nähern kann:
welche „Physik“ habe ich
wie sieht das Netz „logisch“ aus
wer muss mit wem über was telefonieren
etc., etc., …
Achso … nicht vergessen … vorher die Fritte in die Tonne treten
Hm, interessant dass dort nicht explizit auf das Thema WLAN eingegangen wird.
Ein abgetrenntes WLAN-Segment mit eingeschränktem Zugriff auf den Rest der Infrastruktur fände ich fast noch wichtiger als eine Server-DMZ.
danke für Eure Vorschläge! IPS-Connect ist nur leider aktuell nicht mit SSL verschlüsselt und kommt deshalb für mich nicht in Frage. VPN auf Android mit VPNCilla ist ok, das nutze ich auch. Aber auf dem iPhone habe ich noch keine smarte Idee…
auf Basis deiner Aussage habe ich fast den Glauben an IPS verloren. Habe gleich geprüft, bei mir sind es https-Verbindungen. Kannst du das bitte nochmal prüfen und hier konkret darstellen. Mit solchen Aussagen (fundiert?) von deiner Seite wird doch sehr große Unruhe in der Community erzeugt.
Hallo Steiner, paresy, könnt ihr hier bitte auch ein Statement abgeben, denke dies wäre dringend erforderlich um den Symcon Connect Service und dessen Security nicht in Frage zu stellen!
Ich weiß - hab ich ja selber zu Hause. Inwiefern hilft das jetzt aber bzgl. meiner Fragestellung? Die Clients landen ja ohne weitere Segmentierung trotzdem alle im gleichen Netz.
Ich weiß - hab ich ja selber zu Hause. Inwiefern hilft das jetzt aber bzgl. meiner Fragestellung? Die Clients landen ja ohne weitere Segmentierung trotzdem alle im gleichen Netz.
Die Antwort von hoep war völlig OK.
Getrennte VLANS laufen auf dem gleichen Kabel, können sich aber nicht untereinander sehen (Layer2 Trennung). Gewöhnlich gibt man unterschiedlichen VLANS auch seperate IP-Ranges (Layer3 Trennung). D.H dann sie sind nicht im gleichen Netzwerk. Sie können sich untereinander nur unterhalten, wenn dazwischen ein Router/Firewall/Switch ist, der VLAN -Tagging beherrscht.
aber trotzdem vielen Dank für die wertvollen Anregungen! Vor allem Deine Aufteilung in Automation, Gäste (Kinder), Surfing, Daten kann ich mir als passendes Beispiel nehmen.
Noch komfortabler („mit einem einzigen Click“) sollte es mit VpnCilla laufen, kostet aber 4 EUR.