Hilfeforum für Anfänger

Ein paar Gedanken aus meiner Security-Sicht:

Wenn ich dich richtig verstanden habe, dann willst du deinen Internetzugang verteilen und zur Verfügung stellen. Dabei geht es über länger Strecken und Objekte. Ich vermute, dass dieser Zugang neben euren Kunden auch von euch selbst genutzt wird in der Verwaltung/Büro.

Eine Grundfrage ist: Was passiert, wenn XYZ nicht (mehr) funktioniert?
Konkreter, was passiert, wenn ein Kunde nicht mehr ins Internet kann? Was wenn gar kein Kunde mehr ins Internet kann? Was, wenn die Verwaltung von euch nicht mehr ins Internet kommt? Die Frage ist eine Abwandlung der Frage, was sind eure Business-Prozesse.

Eine weitere ist: Wem kannst du vertrauen?
Den Paranoia-Ansatz mal außen vor, wirst du dir und den anderen Mitarbeitern vielleicht vertrauen. Deinen Kunden solltest du besser nicht vertrauen.

Daraus ergeben sich Konsequenzen, die in die Strukturierung einfließen sollten.

Wenn meine Eingangsvermutung richtig ist würde ich wie folgt in die Konzeptionierung gehen:
a) Das Netz für die Office-Geräte/Büros von euch wird ein Netz, das intern kommunizieren kann. In dieses Netz kommen nur Geräte und Nutzer, die du explizit in dieses Netz hinein nimmst und ohne deine Hilfe kommt dort auch keiner einfach rein (z.B. durch anstecken eines Netzwerkgerätes an eine sichtbare, frei zugängliche Netzwerkdose). Ein Netz, das funktionieren muss damit ihr neuerem Tagesgeschäft nachgehen könnt.
b) Ein Netz, dass für die Kunden vorgesehen ist, in dem sie ins Internet kommen. Ob alle Dienste/Ports oder nur gewisse Dienste sei erst einmal dahin gestellt (oder kann von euch als Mehrwertdienst angeboten werden). Surfen, E-Mail, IP-TV, ... Was in diesem Netz passiert ist grundsätzlich als Risiko zu betrachten, da ihr den Kunden nicht trauen könnt/dürft. Das heißt, dieses Netz darf auf keinen Fall in das Netz aus a). Um die Kunden untereinander du schützen, dürfen diese auch nicht untereinander kommunizieren (client isolation).
c) Da beide Netze a) und b) spätestens beim Internetzugang sich die Ressourcen teilen wird Netz A priorisiert gegenüber Netz B bedient.

Wie die Trennung der beiden Netze erfolgt, ist dir überlassen. VLANs wären vermutlich meine Wahl in diesem Fall. Eine vollwertige aber einfache Firewall, die VLAN, traffic shaping und dhcp unterstützt dann quasi als zentrales Absicherungselement.

Ziel des genannten Setups ist
  • Das Ziel, Internet überall hinbringen, zu erreichen
  • einen stressfreien "Office-Betrieb" zu gewährleisten
  • den Betrieb auch in Stress/Störungssituationen robust aufrecht zu halten
  • Minimalforderungen nach sicherer Verarbeitung der Daten der Kunden zu gewährleisten. (rechtlichen Anforderung!)
  • den Betrieb für eine Einzelperson handhabbar zu halten. (ich vermute, du musst das primär alles selbst stemmen, bei Einzelnetzen behältst du nie die Übersicht, behaute ich jetzt mal so...)

Ich hoffe, diese Gedanken helfen dir etwas, @Beteigeuze24. Wenn du andere Anforderungen hast oder gewisse Dinge anders bewertest, dann kommt natürlich auch was anderes raus. Was mir aber wichtig ist, ist dass solch grundlegenden Konzeptfragen vor einer technischen Umsetzung erfolgen sollten. Aus meiner Sicht sogar müssen.

 
  • Gefällt mir
Reaktionen: Beteigeuze24, rezzler und Tanzmusikus
@Azdak Danke für die Hinweise.
Intuitiv habe ich bisher ja nicht mal so falsch gelegen.
Durch die Hinweise hier lerne ich ja dazu.
Azdak schrieb:
Ich vermute, dass dieser Zugang neben euren Kunden auch von euch selbst genutzt wird in der Verwaltung/Büro.
Ich habe ein physisch getrenntes Netzwerk für die Verwaltung.
Die Geräte sind über Richtfunk in das Firmennetz(externer Standort) integriert. Die Geschwindigkeit schwankt aber extrem, da Bäume im Weg sind.
Deshalb würde ich die dann über den Glasfaseranschluß einbinden wollen.
Welche Variante jetzt sicherer ist, weiß ich nicht, denn bei Funk im offenen Gelände ist ja ein Dazwischenschalten auch nicht ausgeschlossen.
Azdak schrieb:
Eine Grundfrage ist: Was passiert, wenn XYZ nicht (mehr) funktioniert?
Dann will ich mir selber helfen können, das hat Priorität. Damit ist die schnelle Wiederherstellung an besten abgesichert.
Azdak schrieb:
In dieses Netz kommen nur Geräte und Nutzer, die du explizit in dieses Netz hinein nimmst und ohne deine Hilfe kommt dort auch keiner einfach rein (z.B. durch anstecken eines Netzwerkgerätes an eine sichtbare, frei zugängliche Netzwerkdose).
Reichte dazu, daß ich keinen DHCP-Server aktiviert habe?
Azdak schrieb:
Das heißt, dieses Netz darf auf keinen Fall in das Netz aus a).
Sichert auch VLAN das ab?
Durch die verlegte Glasfaserleitung, habe ich ja praktisch 6 physisch getrennte Leitungen zur Verfügung, so daß ich VLAN nicht einmal bräuchte.
Azdak schrieb:
Um die Kunden untereinander du schützen, dürfen diese auch nicht untereinander kommunizieren (client isolation).
Client Isolation habe ich heute noch nicht durchgenommen. Ich hoffe, daß das mit den EAP-115 Wall umsetzbar ist.
Man könnte jeden EAP in ein VLAN stecken, da der vorhandene Switch das kann.
Ich habe heute gelernt, daß man bis zu 15 Router (hintereinander) schalten kann.
Damit habe ich den Hauptrouter, 3 Unterrouter mit jeweils dazugehörigem Switch und die einzelnen AP.
Letztere bauen aktuell ein einziges Gastnetzwerk, pro Router, auf, aber das könnte ich auch für jedes Zimmer vereinzeln.
Wenn in der jetzigen Konstellation ein AP ausfällt, merkt das gar keiner, da sich die WLAN-Abdeckung überschneidet.
Azdak schrieb:
Was mir aber wichtig ist, ist dass solch grundlegenden Konzeptfragen vor einer technischen Umsetzung erfolgen sollten. Aus meiner Sicht sogar müssen.
Wenn man ein fertiges Gebäude vor sich hat und vor allem ein leistungsfähiges Internet, beginnt man mit Sicherheit mit einem Konzept.
Bei mir ist
a) alles über die Jahre gewachsen
und
b) war bis vor Kurzem die Netzwerkversorgung mehr als unterentwickelt.
Über DSL lagen 3 Mbit im Download und 1 Mbit im Upload, auf einer fehlerbehafteten Leitung an.
Der Speedport der Telekom konnte die nicht einmal synchronisieren. Das hat nur AVM geschafft.
Über LTE/5G waren es dann schwankend um die 25 Mbit im Download und max 4 Mbit im Upload, letzteres eher noch weniger.
Damit war mein "Konzept", zum Ausbau eher klein strukturiert, da jeder Router seinen eigenen getrennten Bereich versorgt hat und bei noch mehr nachgefragter Leistung, eher noch weitere LTE-Router dazugekommen wären, was die Netze dann nur weiter verkleinert hätte. Das habe ich aber nicht mehr gemacht, weil ja der Glasfaserausbau begonnen hatte.
Jetzt habe ich leistungsfähiges Internet und mache mir da Gedanken.
Auf jeden Fall ist es billiger zwei Switche zu kaufen, als einen IT-Profi einen konfigurieren zu lassen.
Ich habe mich nebenbei mal mit den Preisen dieser Dienstleistungen beschäftigt. Da wird einem schwindlig.
Da dieses Geld nicht erwirtschaftet werden kann, muß ich es irgendwie selber stemmen.
 
  • Gefällt mir
Reaktionen: Tanzmusikus
Beteigeuze24 schrieb:
Reichte dazu, daß ich keinen DHCP-Server aktiviert habe?
Nein. Das reicht nicht aus.
Man kann ein Netzwerk auch scannen ... und sieht dann trotz deaktiviertem DHCP die Geräte im Netz.
Wenn man dann gezielt eine IP im jeweiligen Subnetz erhält, hat man bereits Zugriff auf's Netz.
DDoS und ähnliche Attacken könnten dein System lahmlegen & ggf. dem Angreifer eine Chance bieten.

Was er meint ist, dass Du aktiv (z.B. im Router bzw. in der Firewall) neue Netzwerk-Geräte nicht zulässt.
Es werden also nur bereits bekannte Geräte deines Teams zugelassen & keine IPs als die bereits genutzten zur Verfügung gestellt.

Beteigeuze24 schrieb:
Sichert auch VLAN das ab?
VLAN trennt trotz gleicher physischen Leitungswege durch Verschlüsselung die Netze virtuell.
https://www.ionos.de/digitalguide/server/knowhow/vlan-grundlagen/

Beteigeuze24 schrieb:
Ich habe heute gelernt, daß man bis zu 15 Router (hintereinander) schalten kann.
Router-Kaskadierung bringt auch einige Nachteile mit sich (z.B. Doppel-Natting).
https://www.dirks-computerecke.de/netzwerk/nat-network-address-translation.htm
https://www.computerbase.de/forum/t...box-unifi-security-gateway-nachteile.1836882/
https://liendl.eu/wie-entsteht-eine-doppelte-nat-und-was-ist-die-loesung/
https://community.ui.com/questions/...re-hacks/f20f4e33-13ee-453e-a215-d5763f20957e
https://netzwerk-guides.de/nat-network-address-translation/

Beteigeuze24 schrieb:
Client Isolation habe ich heute noch nicht durchgenommen. Ich hoffe, daß das mit den EAP-115 Wall umsetzbar ist.
Ich hoffe doch, dass dies möglich ist. Hängt hoffentlich nicht nur von den AP's ab, sondern auch von entsprechenden "Client Isolation"-Servern (ich nenn's mal so) ab. Dies könnte z.B. eine Firewall, ein VLAN-Switch, dein Omada-Controller oder ein entsprechend ausgerüsteter AP bzw. Router sein.

https://futuriq.de/2022/05/ms-windo...point-isolierung-auf-windows-computern/21899/
https://community.tp-link.com/en/business/forum/topic/603136

https://www.manua.ls/tp-link/omada-eap115-wall/manual?p=93

Für Gaststätte oder evtl. deine Hotspot-APs:
https://www.manua.ls/tp-link/omada-eap115-wall/manual?p=153
https://www.manua.ls/tp-link/omada-eap115-wall/manual?p=290

Scannen nach ungewünscht angeschlossenen APs in deinem Netz:
https://www.manua.ls/tp-link/omada-eap115-wall/manual?p=323

Ganz allgemein:
https://www.reddit.com/r/TPLink_Omada/
https://www.tp-link.com/us/support/faq/1060/
https://www.tp-link.com/de/support/faq/2089/

ACL: https://community.tp-link.com/en/business/forum/topic/719744
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: redjack1000 und Beteigeuze24
Tanzmusikus schrieb:
Man kann ein Netzwerk auch scannen
Stimmt, macht mein Netzwerkkabelprüfer ja auch .
Tanzmusikus schrieb:
Was er meint ist, dass Du aktiv (z.B. im Router bzw. in der Firewall) neue Netzwerk-Geräte nicht zulässt.
Hatte ich aus bequemlicher Dummheit noch nicht aktiviert.
Sicherheitsexperten sind entsetzt.
Tanzmusikus schrieb:
Router-Kaskadierung bringt auch einige Nachteile mit sich (z.B. Doppel-Natting).
Doppel-Natting habe ich noch nicht verstanden.
Werde mal die Links durcharbeiten.

Clientisolierung gibt es beim Omada c200 oder den EAP 115 nicht.
Kann sicher die serverbasierte Variante. Die fällt aus Kostengründen aber schon mal grundsätzlich weg.
 
@Tanzmusikus hat ja einiges schon ausführlich beantwortet.

@Beteigeuze24 der EAP 115 löst die Client-Isolation durch die Guest-Netz-Funktion, indem private Adressen in diesen Netzen nicht geroutet werden und damit die Clients sich nicht unterhalten können. Funzt also (ausreichend imo)

Wenn man sich um Sicherheit kümmert ist die Frage, was ist sicherer, idR die falsche Frage. Über diesen Weg landed man bei zu teuren, nicht mehr handhabbaren Setups. Selbst die Normen reden immer von Verhältnismäßigkeit. Zudem sieht man dann oft nicht mehr die viel einfacheren Möglichkeiten, das Angreiferziel zu errreichen.
Beim Beispiel VLAN vs pysisches Kabel z.B. kann man sich auch in ein pysisches Kabel rein hängen. Aber da ihr vermutlich den gleichen, schnellen Internetanschluß benutzt, kommen irgendwann beide Kabel ja eh zusammen. Spätestens dann ist der pysische Aspekt nicht mehr der relevante. Deine EAP-115 Wall unterstützt VLAN pro SSID. Bei VLAN hast du also den Vorteil, dass du, solltest du doch irgendwo anders mal ein WLAN is Verwaltungsnetz brauchen, dass einfach einrichten kannst. Eine zweite Leitung hast du ggf. nicht.
Du darfst dir das Leben auch nicht zu schwer machen. AP als auch Schutz der Dosen könnte man gut mit einem Radius-Server machen. Dein AP unterstützt das auch. Und doch würde ich dir den nicht empfehlen, weil ich vermute, das du dir mit selbst nur ins Knie schießen würdest.

Bei dem Thema, was passiert wenn XYZ nicht mehr geht, geht es primär um das Geschäft, nicht um dich. Das du das alles dann meist machen werden musst hatte ich ja schon vermutet. Es geht darum, was dies für die Firma bedeutet. Was ist wie schlim? Du kannst ja auch mal wirklich schwer krank sein. Oder positiv, dein Wunschurlaub ist endlich realtität geworden, 2 Monate Himalaja, leider ohne Handy-Empfang. (keine Ahnung, nur ein Beispiel). Was dann, wenn etwas nicht mehr geht? Gibt es eine Dokumentation, auf Basis der ein fachkundiger Dritter übernehmen kann? Oder muss die Firma warten, ggf. pleite gehen? Keine Ahnung, was bei euch realistisch ist.
Im professionelen Kontext wird so etwas über eine ganze Reihe von Risikoanalysen gelöst. Du kannst dir ja einfach mal hier die Liste schnappen und schaun, was die einzelen Risiken für euch bedeuten. Wie wahrscheinlich sie sind und wie schwerweigend es für euch als Firma wird. Dann wird es Sachen geben, wo du sagst, damit müssen wir leben und andere, da müssen ihr etwas tun. Das kannst nur du sagen. Das würde ein externer euch auch am Ende nur Fragen können. Der bohrt ggf. nur mehr nach aufgrund seiner Erfahrung.

Wichtig ist, es geht um:
  • Vertraulichkeit (nur der darf sehen, was für ihn bestimmt ist)
  • Verfügbarkeit (alles soll und muss laufen)
  • Integrität (auf die Informationen/Daten muss verlass sein)

Ich vermute, die aktuelle konfiguration mit so vielen Routern ist jetzt schon zu "gewachsen", um das Netz handhabbar zu halten. Router haben viele Funktionalitäten, eigentlich brauchst du nur einen Router und der Rest dann Switche. Ist aber nur meine Vermutung. Also bitte immer auch mein Zeug hier kritisch hinterfragen.
 
  • Gefällt mir
Reaktionen: Tanzmusikus und Beteigeuze24
Azdak schrieb:
der EAP 115 löst die Client-Isolation durch die Guest-Netz-Funktion, indem private Adressen in diesen Netzen nicht geroutet werden und damit die Clients sich nicht unterhalten können. Funzt also (ausreichend imo)
Danke, da bin ich dann ja beruhigt. Das sind ja doch einige verbaut. Wo findet man diese Information? Im Handbuch?
Azdak schrieb:
Wenn man sich um Sicherheit kümmert ist die Frage, was ist sicherer, idR die falsche Frage. Über diesen Weg landed man bei zu teuren, nicht mehr handhabbaren Setups.
Das Gefühl habe ich inzwischen auch.
Azdak schrieb:
AP als auch Schutz der Dosen könnte man gut mit einem Radius-Server machen. Dein AP unterstützt das auch. Und doch würde ich dir den nicht empfehlen, weil ich vermute, das du dir mit selbst nur ins Knie schießen würdest.
Radius-Server ist mir vor schon vor 30 Jahren mal begegnet, als ich mit einem DD-WRT und Ticketsystem herumhantiert habe. Am Ende hatte es funktioniert. Was da aber wie funktioniert, habe ich nie verstanden oder hinterfragt. Bei meiner Internetperformance habe ich das alles irgendwann aufgegeben. Geld konnte man für die Gegenleistung eh nie nehmen und die Ticketdruckerei hat dann nur Zeit in Anspruch genommen.
Azdak schrieb:
Gibt es eine Dokumentation, auf Basis der ein fachkundiger Dritter übernehmen kann?
Die gibt es noch nicht, nur rudimentär und in meinem Kopf. Diese Netzwerkdiagramme schütteln andere aus dem Ärmel. Ich brauche da wieder ewig Einarbeitungszeit. Ich habe mir dafür Visio zugelegt. Und nach meinen ersten Versuchen das jetzt mal an die nächste Generation herangetragen, für die vorlesungsfreie Zeit über Weihnachten. Das ist dann ja auch eine dynamische Geschichte, die ständig aktuell gehalten werden muß. Gerade jetzt, wenn umgerüstet wird.
Azdak schrieb:
Wichtig ist, es geht um:
  • Vertraulichkeit (nur der darf sehen, was für ihn bestimmt ist)
  • Verfügbarkeit (alles soll und muss laufen)
  • Integrität (auf die Informationen/Daten muss verlass sein)
Das ist alles wichtig, aber nicht so erheblich.
Ein, zwei oder 3 Tage können auf jeden Fall überbrückt werden.
Kaputte Hardware läßt sich heute relativ schnell nachordern, wenn man denn weiß, was kaputt ist.
Als mein Rechner vor kurzem aufgegeben hatte(ständige Abstürze) hat es leider länger gedauert, bis der wieder lief. Das war aber auch eine ganz dumme Geschichte. Zuerst vermutet man ja Festplatten(bin da auch gebeutelt), Softwarefehler,Trojaner oder ähnliches, bevor man die Kiste überhaupt aufschraubt und wenn das Mainboard einen Grafikfehler ausgibt, ist dann der Prozessor eigentlich nicht der Hauptverdächtige. Der war dann das Letzte, was ich getauscht habe.

Datenintegrität ist ja auch so ein Thema für sich. Hier auch ein aktuelles.
Ich habe das gerade auf dem Tisch. Obwohl es mit das Wichtigste ist, hatte ich da schon eine geraume Zeit nicht mehr hingeschaut. Mein Arbeits-NAS sichert täglich auf ein Reserve-NAS. Dieses wöchentlich auf das Haupt-NAS und von da mache ich dann immer mal eine Sicherung auf mein Not-NAS.
Das Haup-NAS ist aktuell kaputt. Das habe ich gar nicht mitbekommen. Reserve und Not-NAS sind voll, so daß die Sicherungen auch nicht mehr durchlaufen. Im Moment eine unbefriedigende Situation.

Azdak schrieb:
eigentlich brauchst du nur einen Router und der Rest dann Switche.
Das hatte ich mir auch gedacht. Bin aber am fehlenden DHCP-Server in den VLAN gescheitert.
Vielleicht habe ich da aber auch einen Denkfehler.
Für die Hauptkomponenten vergebe ich sowieso feste IP´s. Für die Gäste gibt es ja in den AP den DHCP-Server. Nur für die Gateways von Fremdfabrikaten, wie Homatic, Hekatron oder Vaillant habe ich da keine Lösung, weil man da nicht administrieren kann. Das sind reine Blackboxen.
Mal angenommen ich unterbinde in der Fritzbox die Neuanmeldung von unbekannten Geräten, können sich die Gäste dann trotzdem in die EAP´s einloggen und kommen ins Internet? Dazu müßte ich mir im Büro eine Testumgebung aufbauen. Mangels Wissen probiere ich im Zweifel, wenn es möglich ist.

BSI-Liste
Besser, man liest sowas nicht.
Früher, als wir noch auf Kassetten gesichert haben, war es natürlich einfach eine zweite zu bespielen. https://de.wikipedia.org/wiki/Robotron_Z_9001,_Robotron_KC_85/1,_Robotron_KC_87#Z_9001(Den Drucker gab es im privaten Bereich natürlich nicht). Bei den heutigen Datenmengen ist so etwas nicht mehr handhabbar. Ich hoffe mal, daß mögliche Diebe nicht alle NAS auf einmal wegklauen. Mein Datenvolumen hat gerade die 24 TB-Grenze überschritten. Wasserschäden habe ich auch schon durch. Jetzt steht alles etwas verteilter und nicht mehr nur im Keller. Die Notversorgung der IT über Akku habe ich aufgegeben, nachdem der Server zwischenzeitlich ausgelagert war. Das mache ich aktuell über ein Notstromaggregat, wenn nötig. Diese Variante habe ich schon mal für eine Woche probieren dürfen, als unsere Niederspannungsversorgung in der Straße ausgefallen war. Die Akkus hätten diese Zeit nicht brücken können.
 
  • Gefällt mir
Reaktionen: Tanzmusikus
Beteigeuze24 schrieb:
Mal angenommen ich unterbinde in der Fritzbox die Neuanmeldung von unbekannten Geräten, können sich die Gäste dann trotzdem in die EAP´s einloggen und kommen ins Internet? Dazu müßte ich mir im Büro eine Testumgebung aufbauen.
Du vertauscht da gerade etwas. Die Unterbindung von ungewollten Geräten gilt für das Administrations-Netz.
Die Gäste & sonstige Kunden (Gaststätte) sollten getrennt von deinem Admin-Büro (Netzwerk) sein. 😉👍

Im Gäste-Netz soll sich natürlich jeder anmelden können, der "zahlender Kunde" ist.
Da wirkt aber dann das Client-Isolation Programm alias VLAN bzw. Gäste-Netz.

P.S.
Ach ja die guten alten KC85 ... und "Pong". :daumen:
 
Zurück
Oben