Netzwerk / WLAN

Wie gestalte ich mein Heim-Netzwerk?

Je nach Gegebenheiten steht die Performance und Durchsatz an erster Stelle. Schnell kann es mal vorkommen, dass einer im Haus Netflix sehen will, ein anderer telefoniert und ich ziehe gerade ein Backup. Daten sollen trotzdem schnell von einem Client zum Data-Center und der Netflix Stream zum Fernseher kommen oder anderen Clients zur Verfügung gestellt werden. Clients sind in der Regel die Daten-Konsumenten, d. h. z. B. ein Laptop, aber auch der HomePod oder der Fernseher / das AppleTV. Als Date-Center bezeichne ich bei mir den NAS und das Internet. Beides steht in einem Netzwerkschrank zentral im Keller. Die Raspis sind Hybride, denn sie senden Daten für meine Haussteuerung, konsumieren aber auch Daten aus dem Internet.

Einen Überblick über mein Netzwerk sieht man unter Meine Hardware. Achtet bitte darauf, dass ein Switch die zentrale Verteilerstelle ist und auf jeden Fall Gigabit-fähig sein sollte! Nur so lassen sich gute Geschwindigkeiten erzielen und ein Backup recht zügig erstellen. Es soll ja von Reaktionszeiten gesprochen werden und nicht von Lieferzeiten. Ich setze keine WLAN-Box wie die Fritzbox ein, da die Reichweite und auch die Konfigurationsmöglichkeiten begrenzt sind. Ich habe auf jedem Stockwerk einen Accesspoint, welcher mir das WLAN Signal (2.4Ghz / 5Ghz) liefert. Die SSIDs sind jeweils identisch.

Als DHCP-Server habe ich meinen NAS auserkoren. Dieser liefert für neue Geräte zuverlässig neue IPs. Geräte, die ständig bei mir im Haus sind, bekommen eine statische Adresse. So fällt es leichter, diese wiederzufinden, ohne dass man erst im DHCP-Server nachsehen muss.

Auf meinem NAS gibt es dann noch einen Web-Server, wie auch diesen WordPress-Blog. Dazu habe ich eine Weiterleitung auf dem Security Gateway eingerichtet. Außerdem läuft hier auch mein DynDNS Dienst. Dieser meldet meine “Äußere”-IP Adresse – das ist die, die mir mein ISP zugewiesen hat- an meinen Domain-Provider. Dadurch kann jederzeit über samschulz.de auf diesen Blog oder den VPN-Server zugegriffen werden.

Den Router habe ich als reines Modem im Bridge Modus eingerichtet, d. h. die Einwahl in das Internet muss anders erfolgen. Ich nutze dazu mein Security Gateway. Darauf läuft auch ein VPN Server, über dem ich mich in mein Netzwerk einloggen kann. Das ist vorteilhaft, wenn eine Komponente mal nicht funktioniert und rebootet werden muss.

Alle Komponenten führe ich in meinem Netzwerkschrank zusammen. Da befindet sich ein Patch-Panel. Von dem Patchpanel geht es in einen GBit-Switch (managed). Bitte darauf achten, dass nicht nur ein Port GBit-fähig ist, sondern alle Ports! Dazu habe ich kurze Netzwerkkabel genommen… Aus dem GBit Switch geht es in die einzelnen Komponenten, wie z. B. die NAS, das Gateway, die PoE Adapter für die Access-Points (AP). Die Lösung PoE APs zu nehmen, ist deshalb gut, da man sich nur um ein Kabel kümmern muss. Wie häufig ist neben dem Netzwerk-Anschluss KEIN Stromanschluss!

Welche Bedrohungen gibt es?

Erstes und häufigstes Bedrohungsszenario ist der gelangweilte 17-jährige Nachbarsjunge, der nur Schaden anrichten will. Auf dem Land ist er nur selten anzutreffen, aber in den Ballungszentren um so mehr! Hier heißt es erstmal WiFi / WLAN absichern und keine verdächtigen Spuren hinterlassen!

Cyber-Kriminelle, die Daten (Kreditkarten, PINs/TANs, BitCoins) stehlen wollen, gibt es nicht so häufig, sind aber u. U. kostspieliger. Meistens ist unvorsichtiges Handeln der Grund, weshalb die Daten gestohlen werden können. Ein falscher Klick auf einen E-Mail Anhang, ein infizierter USB-Stick am Rechner und schon kann es losgehen. Aber hier heißt es einfach nur aufpassen. Die meisten Betriebssysteme warnen korrekt, und die gängigen Browser weisen auf auf unsichere Verbindungen hin. Viren wie z. B. Wanna-Cry schreibe ich den Cyber-Kriminellen zu.

Wie sichere ich das Netzwerk ab?

Sichere Passwörter sind das A und O, wie auch unverdächtige Namen. Ein schönes Beispiel bzgl. Passwortsicherheit gibt es bei YouTube! Passworte, die Namen oder Geburtsdaten enthalten, sind auch keine gute Idee. Diese lassen sich über social-hacking oder -engineering in der Regel sehr einfach ermitteln.

Security Gateway sind auch eine Möglichkeit, um Angreifer abzuwehren und sie auch sichtbar zu machen. Die meisten Menschen wissen nicht, dass Ihre Router ein bis drei Mal am Tag mit Attacken konfrontiert werden. Ob es nun lediglich ein Port-Scan ist, oder das versuchte Einschleusen von Schadcode, sei erstmal egal. Fakt ist, dass es eine latente Bedrohung gibt!

Mit diesem Wissen und einigen Tools, die z. B. auf einem Gateway installiert sind, kann man einiges verhindern bzw. entdecken. DPI und IPS sind hier zwei Stichworte, die man sich merken und auf die man bei der Auswahl eines Gateway achten sollte.

Software auf dem neuesten Stand halten, gerade Sachen wie Java, PHP, Apache und auch die Betriebssysteme vom Router, NAS und dem Gateway. Keine Ports am Router öffnen und max. Portforwarding auf einen Web-Server einrichten.

Backup-Strategie

Zum Schutz gibt es jede Woche ein Backup des Systems! KEIN Client im Netzwerk hat etwas auf diesem Gerät gemountet und es sind auch keine Passwörter auf den Clients zu diesem NAS hinterlegt. Außerdem darf nur das primäre NAS auf das Backup zugreifen. Ich habe es so konfiguriert, dass es immer 2 Versionen (eine aktuelle und eine etwas ältere) gibt. Falls es mal einen Wanna-Cry für den Mac geben sollte, könnte man das System so zumindest mit den letzten Backupstand wiederherstellen. In dem Backup sind nur Dokumente, die ich erstellt habe, Fotos und meine Scripte. Programme sichere ich nicht, max. die Konfiguration. Etwas anderes sind die Konfigurationen vom Netzwerk und dem Security Gateway. Das wird auch wöchentlich gesichert. Damit kann dann auch das Netzwerk schnell wieder aufgebaut werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.