Ankündigung

Einklappen
Keine Ankündigung bisher.

Netzwerk-Entwurf für sicheres Smart-Home

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Zitat von Uwe! Beitrag anzeigen
    Absolut nicht. Im Gegenteil, ich spreche aus Erfahrung.

    Dabei meine ich gar nicht primär die regelmäßigen Security-Patches. Da sind wir uns ja einig, das die zeitnah gemacht werden müssen. Und die laufen tatsächlich überwiegend problemlos.

    Ich hab da eher das "Gesamtsystem" im Sinn. Da gibt es einfach unzählige Abhängigkeiten, die der ein oder andere Profi vielleicht sofort überblickt, aber wir sprechen von einer Netzwerkinstallation im EFH, da ist nicht jeder Profi. Auch nicht jeder der technik-affine ist und mehr als eine Fritzbox hat/will. Ich bin sicher auch so einer. Fritz ist mir zu wenig, IT allgemein ist schon mein Gebiet, aber ich bin kein Netzwerkprofi.
    Kleines Beispiel: Ich hab bisher nur IPV4 aktiv, wollte mal zusätzlich IPV6 aktivieren. Gut, muss man im EFH nicht zwangsweise haben. Aber da kommt natürlich auch die Neugierde dazu. Also IPV6 erst mal am Router aktiviert. Kurzer Blick auf einen Client hat gezeigt, dass der sich ne gültige IPV6 Adresse geschnappt hat. Erst mal so belassen. Am nächsten Tag konnten die Kinder im HomeSchooling nicht mehr auf ihre Daten zugreifen. Der Server hatte zwar auch eine gültige IP, aber er macht auch DNS und da hat irgendwas noch nicht geklappt. Hab V6 dann erst mal wieder abgedreht.

    Sicher, selbst schuld, aber ich wollte damit die Komplexität aufzeigen, die eben schnell dazu führt, dass eine kleine Schraube dazu führt, das ein großes Teil runter fällt. Und manchmal ist man ja zu Änderungen gezwungen, sei es HW-Defekt oder HW-Upgrade oder SW-Änderung, da keine Wartung mehr etc. pp.

    Kommentar


      Zitat von hubidoo Beitrag anzeigen
      pfSense
      sollte das heute nicht eher OPNsense heißen?

      ein VPN muss nicht zwangsläufig auf dem Router laufen und wireguard wäre eine gute Alternative zu openVPN

      Kommentar


        Zitat von hubidoo Beitrag anzeigen
        Das geht nur schief, wenn man a) zu lange nichts macht und b) zu viel auf eine Kiste packt.
        schön wäre es

        das letzte 3cx Update hat mein Telefon lahm gelegt, Unifi hat regelmäßig fehlerhafte Updates, bei Windows 7 hat uns mal ein Update alle HP Business PCs lahm gelegt, ...

        Kommentar


          Zitat von livingpure Beitrag anzeigen

          sollte das heute nicht eher OPNsense heißen?
          Wieso? OPNsense hat kein pfBlockerNG, daher heißt das heute immer noch eher pfSense, wemn man genau das braucht.

          Kommentar


            Zitat von livingpure Beitrag anzeigen

            schön wäre es

            das letzte 3cx Update hat mein Telefon lahm gelegt, Unifi hat regelmäßig fehlerhafte Updates, bei Windows 7 hat uns mal ein Update alle HP Business PCs lahm gelegt, ...
            OK., 3CX in Verbindung mit Snom-Telefonen: Nie ein Problem bisher, Wifi: Ruckus => nie ein Problem bisher, Switche: Cisco => nie ein Problem bisher, HP meide ich wegen deren Update-Politik und weil ich für HP gearbeitet hatte und deren Methoden kenne, zudem verwende ich kein Windows, sondern macOS, Linux und FreeBSD.
            Es gab da schon mal das eine oder andere, was nicht so geschmeidig lief, aber das konnte ich recht schnell fixen.

            Kommentar


              Zitat von hubidoo Beitrag anzeigen

              Wieso? OPNsense hat kein pfBlockerNG, daher heißt das heute immer noch eher pfSense, wemn man genau das braucht.
              Ja gibt wohl keinen eindeutigen Gewinner. Einige der Features lassen sich nachbilden und opnsense hat dafür HardenedBSD

              Kommentar


                Zitat von livingpure Beitrag anzeigen

                Ja gibt wohl keinen eindeutigen Gewinner. Einige der Features lassen sich nachbilden und opnsense hat dafür HardenedBSD
                Hm, das sehe ich anders. Ob man HardenedBSD unbedingt braucht bei dem vorhandenen Funktionsumfang? Bestimmte pfBlocker-Features für einen zentralen Rettungsschirm funktionieren nicht so wirklich in OPNsense. Bevor ich mir das zurecht stückeln muss, verwende ich doch lieber das Original.

                Kommentar


                  Das „Original“ ist auch eine Fork und somit genauso wenig original wie OPNsense.

                  es gibt einige Varianten das in OPNsense nachzubilden, viele bevorzugen dann auch adguard Home oder pi-hole, OPNsense bietet dir außerdem wireguard und das Drumherum ist deutlich sympathischer als bei pfSense. Und ist nicht sowieso eine Sophos noch besser und das schon recht OT?

                  Kommentar


                    Zitat von jcd Beitrag anzeigen
                    Ich habe die letzen Seiten grob überflogen und dabei einen Aspekt nicht gesehen: "Wartung". Je komplexer die Struktur, umso wartungsaufwändiger. Den Aufwand für regelmäßige Updates, das Anpassen der Konfiguration bei neuen oder ersetzen Geräten, etc.... sollte man bedenken und fest einplanen.

                    Man sollte auch bedenken, dass diese Tätigkeiten nicht nur dann anfallen, wenn man grade Bock auf IT-Verwaltung hat, sondern dann wenn's nötig ist und das ist oft wenn es einem am wenigsten in den Kram passt. Falls mal was nicht läuft, hängt auch ganz schnell der Haussegen schief. Auch sollte man bedenken, was passiert wenn man z.B. mal krankheitsbedingt ausfällt. Wer pflegt dann das System?

                    PS: Ich schreibe das gerade aus dem Eindruck, dass ich am Wochende einen Nachmittag damit verbracht habe meinen etwas vernachlässigten Netzwerk-Server (Openmediavault, pihole, Plex, VPN, Backup-Dienst) zu aktualisieren. Das ist echt nicht viel, ich habs gut dokumentiert, aber trotzdem: irgendwas geht dann doch immer schief.
                    Aus den genannten und noch vielen anderen Gründen haben wir geschäftlich und privat alles in die Cloud verlegt...

                    NSA und Co sind mir Wurscht.

                    Kommentar


                      Wenn du googlest, wirst du eher wenig Ergebnisse von Admins finden die Sophos besser finden

                      Kommentar


                        Das lässt sich doch gar nicht 1:1 vergleichen. Sophos ist halt vielmehr ein „it just works“ System und da Zeit Geld ist, hat das schon seinen Reiz. Es hängt wie so oft auch davon ab, in welchen Admin Kreisen du dich bewegst. Für beide gibt es Fanlager.

                        ursprünglich ging es aber mal um ein Konzept für ein läppisches EFH mit einem Fokus auf Sicherheit. Da hätte ich gerne ein Beispiel für eine ordnungsgemäße FB Installation, auf die es einen erfolgreichen Angriff gab.

                        —> wenn man nicht so viel Zeit investieren will, fährt man mit den einfachen Consumer Lösungen auch schon recht gut

                        Kommentar


                          Zitat von hubidoo Beitrag anzeigen

                          Hm, das sehe ich anders. Ob man HardenedBSD unbedingt braucht bei dem vorhandenen Funktionsumfang? Bestimmte pfBlocker-Features für einen zentralen Rettungsschirm funktionieren nicht so wirklich in OPNsense. Bevor ich mir das zurecht stückeln muss, verwende ich doch lieber das Original.
                          Ich kenne nur OPNsense, habe pfSense nie verwendet. Darf ich fragen was pfBlockerNG genau tut? Wenn es um DNS-basiertes Werbeblocking geht - das kann man mit dem Unbound Plugin auch tun.

                          Kommentar


                            Du kannst auch Fortinet nehmen

                            Kommentar


                              Zitat von livingpure Beitrag anzeigen
                              Das lässt sich doch gar nicht 1:1 vergleichen. Sophos ist halt vielmehr ein „it just works“ System und da Zeit Geld ist, hat das schon seinen Reiz. Es hängt wie so oft auch davon ab, in welchen Admin Kreisen du dich bewegst. Für beide gibt es Fanlager.

                              ursprünglich ging es aber mal um ein Konzept für ein läppisches EFH mit einem Fokus auf Sicherheit. Da hätte ich gerne ein Beispiel für eine ordnungsgemäße FB Installation, auf die es einen erfolgreichen Angriff gab.

                              —> wenn man nicht so viel Zeit investieren will, fährt man mit den einfachen Consumer Lösungen auch schon recht gut
                              Sophos ist in erster Linie ein "You-have-to-pay-before-you-can-use"-System. Für jedes Feature brauchst du eine kostenpflichtige Lizenz.
                              Und "it just works" kann man auch nicht sagen, da reicht ein Blick in deren Forum, um klar sagen zu können, dass dort auch nur mit Wasser gekocht wird.
                              Nur wozu zahle ich dann?

                              Kommentar


                                Zitat von Lennox Beitrag anzeigen

                                Aus den genannten und noch vielen anderen Gründen haben wir geschäftlich und privat alles in die Cloud verlegt...

                                NSA und Co sind mir Wurscht.
                                Kann man machen, wenn man a) nichts zu verlieren hat und b) zu viel Geld übrig hat.
                                Wir sprechen uns wieder, wenn die Preise so nach oben geschraubt wurden, dass du wieder zurück möchtest.
                                On-Premise ist immer noch die günstigste und sicherste Lösung.

                                Kommentar

                                Lädt...
                                X