Ankündigung

Einklappen
Keine Ankündigung bisher.

Netzwerk-Entwurf für sicheres Smart-Home

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Zitat von uzi10 Beitrag anzeigen
    Ich glaub solche IT Leute gibts in meiner Firma 😂😂😂😂
    Die Totalausfälle produzieren?
    Da stimmt doch was Grundsätzliches nicht.

    Einsatz 24/7 taugliche Hardware aus dem DC-Bereich? Consumerhardware hat hier nichts verloren.
    Desaster Recovery Konzept, Applikations- & Datenbackups, Metadaten/DB-Backups, Medienbruch, Notfallhandbuch?
    Businesskritische Anwendungen laufen auf Open-Source-Systemen? BSI-Kompendium Checks?

    Es kann absolut nichts passieren, wenn man sich an die Grundregeln hält.

    Kommentar


      Zitat von uzi10 Beitrag anzeigen
      Opensense oder pfsense? Was ist jetzt besser??
      Aktuell hat meiner Meinung nach pfSense durch die Unterstützung stromsparender ARM CPUs und durch pfBlockerNG die Nase vorn.

      Kommentar


        Von der Bedienung her für Anfänger??.
        pfsense leicht zu kapieren und übersichtlich?
        ich überlege meine Netzwerkstruktur zu ändern und ev. Eine Firewall zu installiern. Muss mein Vorhaben mal posten.
        vielleicht kannst du mir da mit der Topologie helfen
        Zuletzt geändert von uzi10; 27.02.2021, 09:30.

        Kommentar


          Wie definierst du Anfänger?
          Ich hab gestern kurz in die Dokus geschaut da ich an den Systemen nicht uninteressiert bin - und das Thema danach ad acta gelegt.

          Mit einem Guide bekommt man natürlich eine lauffähige Konfig für den Standard umgesetzt, aber bei allen Rahmenbedingungen die vom Guide abweichen läuft man in die Falle es a) nicht zu laufen zu bekommen oder b) nicht sicher um zusetzten.

          Es gibt so viele Wechselwirkungen/ Zusammenhänge die man als echter Anfänger gar nicht überblickt. Einen Nachmittag einlesen reicht da nicht, wenn man keinen IT-Netzwerk-Background hat.

          Ich bleib vorerst bei der Fritzbox als zentralen Netzknoten und pack Zusatzdienste in Dockercontainer (pihole, vpn)

          Kommentar


            Zitat von uzi10 Beitrag anzeigen
            Von der Bedienung her für Anfänger??.
            pfsense leicht zu kapieren und übersichtlich?
            ich überlege meine Netzwerkstruktur zu ändern und ev. Eine Firewall zu installiern. Muss mein Vorhaben mal posten.
            vielleicht kannst du mir da mit der Topologie helfen
            Ich würde dazu raten, zu Beginn die Firewall einfach mal zwischen WLAN AP / Switch und Router als zusätzliches Gerät einzubinden. Somit kannst du problemlos probieren ohne dir Gedanken über eine geringere Sicherheit zu machen (denn der Router ist ja nach wie vor der "Übergabepunkt" und agiert genauso wie ohne Firewall).

            pfSense und OPNsense ist vermutlich ein Glaubenskrieg, zu Sophos kann ich nicht viel sagen. Ich finde aber den Open-Source Aspekt irgendwie wertvoll. Je mehr Leute die öffentlichen Lösungen nutzen, desto besser und bekannter werden sie und desto besser wird auch die Dokumentation.

            Kauf dir einfach mal eine Appliance (irgendeine Hardware mit x86, bspw. APU4 oder andere) und installiere dir mal OPNsense oder pfSense. Dann kannst du mit einfachen Regeln starten und IPS / IDS ausprobieren. Das würde ich erstmal ein paar Wochen / Monate laufen lassen und optimieren, bevor ich nächste Schritte unternehmen würde.

            Um ein Gefühl zu bekommen, ob dir pfSense oder OPNsense eher liegt kannst du beides mal in einer VM installieren und dich durch die GUI klicken.

            Kommentar


              Zitat von jcd Beitrag anzeigen
              Wie definierst du Anfänger?
              Ich hab gestern kurz in die Dokus geschaut da ich an den Systemen nicht uninteressiert bin - und das Thema danach ad acta gelegt.

              Mit einem Guide bekommt man natürlich eine lauffähige Konfig für den Standard umgesetzt, aber bei allen Rahmenbedingungen die vom Guide abweichen läuft man in die Falle es a) nicht zu laufen zu bekommen oder b) nicht sicher um zusetzten.

              Es gibt so viele Wechselwirkungen/ Zusammenhänge die man als echter Anfänger gar nicht überblickt. Einen Nachmittag einlesen reicht da nicht, wenn man keinen IT-Netzwerk-Background hat.

              Ich bleib vorerst bei der Fritzbox als zentralen Netzknoten und pack Zusatzdienste in Dockercontainer (pihole, vpn)
              Ich bezweifle, dass eine ausgelagerte Dockerumgebung weniger komplex ist.
              Die Themen sind doch gar nicht so schwer.

              Die Themen geht man nach und nach an.
              Beginn ist Festlegung was sind meine WAN / LAN Ports, was ist default Gateway, welche Art Internet, DNS, DHCP für interne Subnetze und erst danach geht es weiter.

              Kommentar


                Mmmh, PfSense wird ja weiter kommerzialisiert. Wie sich das mit der Community-Edition weiterentwickelt ist nicht absehbar (siehe Ankündigungen im PfSense-Forum). Auch die im Administrator-Forum sind skeptisch wie das dort weiter geht.

                Ich denke die OPNSense wird daher mittelfristig die bessere Lösung sein.

                Grundsätzlich gibt es keine einfache Firewall, da ist immer ein gewisses Netzwerk Know-How gefragt. Ohne tendiere ich auch für mich persönlich zur Fritzbox mit einem L3-Router und Nutzung der ACLs zur Policierung des Traffics.

                Kommentar


                  Es gibt doch auch FW Lösungen zwischen der Komplexität von OPNSense und FB.
                  Wie sieht es z.B. mit dem hier oft gelobten USG aus?
                  Von den Möglichkeiten vermutlich vergleichbar mit OPNSense, aber ist die Bedienung auch genauso komplex?

                  Kommentar


                    Generell nutzen viele Produkte, egal ob kommerziell oder nicht, irgendein Linux-Derivat und untergeordnete Funktionen. Hierauf wird dann ein Webinterface erstellt, welcher mehr oder weniger ins Detail geht. Je „einfacher“ ein Produkt zu bedienen ist, desto mehr wird wegabstrahiert. Geschweige denn, dass man bei proprietären Lösungen stets auf das Gutdünken des Herstellers angewiesen ist. Letztlich ist es ein Abwägen zwischen Komfort und Flexibilität.

                    Kommentar


                      Komplex sind alle, einfach aber auch....

                      Layer-8 ist entscheidend ob der Nutzbarkeit

                      Kommentar


                        Ich persönlich finde Ubiquiti von der Bedienung her schrecklich. Die GUI ist, für manche Dinge auch nicht ausreichend, zumindest war es mal so, zum Beispiel Linkaggregation. Da muss man dann doch über das CLI gehen.

                        Habe mich auch relativ lange mit Mikrotik beschäftigt, kann alles, wenn man weiß wie es geht. Auf Dauer und zum Warten ist es mir dann doch irgendwie zu komplex.

                        Die Frage ist ja auch wie wird Firewall definiert. Redet man nur von Stateful oder auch Intrusiondetection usw.. Wird Intrusiondetection im Privathaus wirklich benötigt oder ist sinnvoll mehr User-Awereness zu schaffen für was klicke ich an, wie benutze ich die Internetsuche etc..

                        Einen Basisschutz hat man ja schon mit einer Stateful Firewall, PiHole und einem L3-Router mit VLAN und ACL, was darf wohin. Die Videostation und KNX werden nur lokal ohne Internetzugang auf einem L3-Switch betrieben.

                        Ich war auch lange auf dem komplizierten Weg alles haben zu wollen, nur irgendwann habe ich Nutzen gegen Aufwand abgewägt und bin bei der oben genannten Lösung gelandet. Dazu werden lokale Festplatten und die Daten der Cloud verschlüsselt mit Cryptomator. Mehr Aufwand möchte ich im Moment nicht betreiben.

                        Kommentar


                          Zitat von RKo1979 Beitrag anzeigen
                          Ich war auch lange auf dem komplizierten Weg alles haben zu wollen, nur irgendwann habe ich Nutzen gegen Aufwand abgewägt und bin bei der oben genannten Lösung gelandet. Dazu werden lokale Festplatten und die Daten der Cloud verschlüsselt mit Cryptomator. Mehr Aufwand möchte ich im Moment nicht betreiben.
                          Da bin ich absolut dabei.

                          Klar will es jeder irgendwie sicher haben, weil jeder der sich etwas damit beschäftigt eben weis da da viel Unsicherheit in der IP-Welt ist.

                          Und weil es wegen der Geschwindigkeit der sich ändernden "Bedrohungsszenarien" eh absolut unmöglich ist, sich als interessierter Laie eine ordentliche Absicherung zu bauen halte ich das im einfachen Privathaushalt in Eigenleistung für vollkommen unnötig. weil was heute gerade mal sicher gebaut ist ist es in einem Jahr ganz bestimmt nicht mehr. und wer will sich wegen ein paar Lichtschalter und einer Fotosammlung im monatlichen Zyklus wieder mit der Anlage beschäftigen und prüfen ob denn alle Sicherheitseinstellungen noch sinnvoll sind es irgendwo Hinweise auf dringend notwendige FW-Updates gab usw.

                          ich mag die Expertise derjenigen die sowas beruflich tun hier gerne lesen aber als selbermachender Laie, braucht man sich wohl über die tiefen Details keine Gedanken machen. Und solange das alles nur Software ist, ja mei dann nimmt man sich eben heute die eine FW-Version mit dem UI was man versteht und wenn es irgendwann mal nicht mehr kostenfrei usw. ist dann eben eine andere. Einmal hinstellen und dann laufen lassen geht doch eh nicht bei all den Lösungen die hier beschrieben sind sich selbst hinzubauen / zu optimieren.
                          ----------------------------------------------------------------------------------
                          "Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten."
                          Albert Einstein

                          Kommentar


                            Zitat von RKo1979 Beitrag anzeigen
                            Mmmh, PfSense wird ja weiter kommerzialisiert. Wie sich das mit der Community-Edition weiterentwickelt ist nicht absehbar (siehe Ankündigungen im PfSense-Forum). Auch die im Administrator-Forum sind skeptisch wie das dort weiter geht.

                            Ich denke die OPNSense wird daher mittelfristig die bessere Lösung sein.

                            Grundsätzlich gibt es keine einfache Firewall, da ist immer ein gewisses Netzwerk Know-How gefragt. Ohne tendiere ich auch für mich persönlich zur Fritzbox mit einem L3-Router und Nutzung der ACLs zur Policierung des Traffics.
                            pfSense Plus wird closed source und wird sich von der community edition weg bewegen, das ist allerdings ein Argument dagegen.
                            Ich werde die pfBlockerNG Jungs anhauen und sie fragen, was sie davon halten. Bisher weigerten sie sich, eine Version für OPNsense raus zu bringen, aber das mischt natürlich die Karten neu.

                            Wie verhält sich das mit OPNsense Pro? Das ist doch ebenfalls die kommerzielle Version davon.
                            Wie weit ist die von der offenen Version weg?

                            Kommentar


                              Zitat von gbglace Beitrag anzeigen


                              ich mag die Expertise derjenigen die sowas beruflich tun hier gerne lesen aber als selbermachender Laie, braucht man sich wohl über die tiefen Details keine Gedanken machen. Und solange das alles nur Software ist, ja mei dann nimmt man sich eben heute die eine FW-Version mit dem UI was man versteht und wenn es irgendwann mal nicht mehr kostenfrei usw. ist dann eben eine andere. Einmal hinstellen und dann laufen lassen geht doch eh nicht bei all den Lösungen die hier beschrieben sind sich selbst hinzubauen / zu optimieren.
                              Das trifft für mich genauso zu. Mal unabhängig von den ganzen berechtigten Punkten der Pros und Cons es muss ja auch noch Zeit für das KNX überbleiben, da hat man ja eigentlich schon genug zu tun mit Optimierungen, Anpassungen, Erweiterungen und der Visu.

                              Kommentar


                                Zitat von RKo1979 Beitrag anzeigen
                                Einen Basisschutz hat man ja schon mit einer Stateful Firewall, PiHole und einem L3-Router mit VLAN und ACL, was darf wohin. Die Videostation und KNX werden nur lokal ohne Internetzugang auf einem L3-Switch betrieben.
                                das ist ein bisschen wirr. Was wäre denn ein Router ohne L3? Und wozu dann der L3 Switch, der somit eigentlich auch schon Router ist?

                                bezüglich Einschränkungen USG: das fängt schon beim geoblocking an, das nur für eine begrenzte Anzahl an Ländern möglich ist. Wobei, geht das überhaupt beim USG oder erst UDM?

                                Kommentar

                                Lädt...
                                X