ComputerBase Menü
Aktuelles

Konzept Absicherung NAS ?

L

lalala987

Cadet 3rd Year
Registriert
Dez. 2008
Beiträge
33
Liebe Leute

Für mein EFH plane ich derzeit 2 VLANs: adminLAN, IoT

Eine zentrale Komponente ist das NAS. Darauf möchte ich

  • die wichtigsten Daten der W10/11-Clients replizieren,
  • die Backups der Client Maschinen (Acronis) dort ablegen
  • mehrere virtuelle Maschinen laufen lassen
  • das NAS als Fileserver nutzen
Wo sollte eurer Meinung nach das NAS hängen?
adminLAN oder IoT?
Oder soll ich ein 3. VLAN anlegen?

Ich will einerseits verhindern, dass ein kompromittiertes IoT Gerät über das NAS in mein adminLAN kommt, andererseits dass alle IoT Geräte ihre Daten auf das NAS schreiben können (zB Kameras &NVR) und diese dann vom adminLAN aus abrufbar sind.

tnx!
 
Bleibt eigentlich nur ein separates NAS fürs Backup der Clients zu nutzen.
Eins im adminLAN und eins rein für das IoT.

Deine ganzen "IoT-Geräte" sollen vermutlich alle ins Internet?

Andererseits, wenn du dich mit Netzwerk / Firewalltechnik gut auskennst, kann man das schon sicher genug abschotten die beiden Netze und nur bestimmte Zugriffe erlauben zB "Kamera darf nur mit Protokoll XY auf IP ZY"
 
??? Na im LAN - damit man es von "überall" erreichen kann? Was willst da mit VLANs? Steht das Ding im "öffentlichen Raum"?
Kaufst du dir auch ne Waschmaschine, ohne eine Wohnung zu haben? Da sollte mal grundlegend Wissen aufgebaut werden...
 
VLANs alleine bringen dir übrigens noch keinerlei Zugewinn an Sicherheit. Da muss dann potentiell auch ne gescheite Firewall zwischen die entsprechend nur die nötigen Ports auf hat. Generell beim Kauf von IoT-Geräten drauf achten, dass auch ein lokaler Zugriff möglich ist oder offene Firmware flashbar ist.
 
  • Gefällt mir
Reaktionen: Raijin und M-X
zonediver schrieb:
??? Na im LAN - damit man es von "überall" erreichen kann? Was willst da mit VLANs? Steht das Ding im "öffentlichen Raum"?
Zum Vergrößern anklicken....
Er will 2 Netzwerke, weil ihm die IoT Geräte zu unsicher sind.

Ich würde mich wegen ner Kamera oder nem Saugrobotter allerdings nicht verrückt machen.

Ein ordentliches Backup der wichtigen Daten ist am wichtigsten.
 
  • Gefällt mir
Reaktionen: wahli und H3llF15H
zonediver schrieb:
??? Na im LAN - damit man es von "überall" erreichen kann? Was willst da mit VLANs? Steht das Ding im "öffentlichen Raum"?
Zum Vergrößern anklicken....
Wenn das NAS im adminLAN ist, einem IoT Gerät per FW der Zugriff darauf erlaubt wird, das IoT-Gerät kompromittiert wird, dann könnte das NAS ja auch kompromittiert sein, somit das adminLAN und alle darin befindlichen Geräte. Genau das will ich ja vermeiden.
Ergänzung ()

so wie oben beschrieben will ich die "unsicheren" Geräte in ein VLAN, alle anderen in ein anderes VLAN verfrachten. natürlich kann mittels FW das IoT LAN nicht auf das adminLAN
 
Bruzla schrieb:
Er will 2 Netzwerke, weil ihm die IoT Geräte zu unsicher sind.
Zum Vergrößern anklicken....
Aus der Erfahrung: Bei mir im LAN laufen neben dem NAS noch 31 (!) andere Netzwerk-Devices - davon alleine 7 (!) Raspberries... also was soll das Geschwurbel über Sicherheit? Im LAN??? Stell einen IPFire oder eine PFSense davor und das gesamte LAN ist sicher!
Oder reden wir hier von einem öffentlichen Raum?
 
Für Zuhause sollte das NAS in das "normale" Netz, also nicht zwingend in "IoT" oder "adminLAN", sondern in dein Hauptnetz.
Der Traffic soll ja auch schnell sein und nicht durch einen evtl. zu kleinen Router ausgebremst werden.

Wenn der Router schnell genug ist, kann man über ein "Server" und/oder Backup-VLAN nachdenken...

Beispiel für ein segmentiertes Netz für zuhause:

VLAN1 (gesperrt, kein Internet, kein LAN-Port)
VLAN 10 (Standardnetz für alle normalen Geräte, inkl. Server)
VLAN 15 (Telefonie)
VLAN 20 (IoT)
VLAN 77 (Management-Netz, Zugriff auf Router, Switches, etc.)

Mit einem guten Router a la Opnsense oder Pfsense und halbwegs potenter Hardware kann man so etwas schönes und sicheres realisieren.
 
Is zwar mMn ein absoluter Heimnetzwerk-Overkill aber das muss ja jeder selbst wissen.


Wenn du dich mit Firewalltechnik auskennst, ist es - wie gesagt - egal, wo das NAS steht.
 
Bruzla schrieb:
Er will 2 Netzwerke, weil ihm die IoT Geräte zu unsicher sind.

Ich würde mich wegen ner Kamera oder nem Saugrobotter allerdings nicht verrückt machen.

Ein ordentliches Backup der wichtigen Daten ist am wichtigsten.
Zum Vergrößern anklicken....
Datenverlust ist eine Sache, Kompromittierung eine andere. Letzteres möchte ich soweit als möglich verhindern. daher (zumindest) 2 VLANs
 
lalala987 schrieb:
das IoT-Gerät kompromittiert wird, dann könnte das NAS ja auch kompromittiert sein
Zum Vergrößern anklicken....
Blödsinn... wie denn? Nur weil das IoT-Ding gehackt wurde? Was hat das mim NAS zu tun? Nichts...
Und wenn ein Hacker ins LAN eindringt, dann ist der Router oder die Firewall Mist oder deine WLAN-Passwörter...
Da helfen dann auch keine VLANs - nur mit zusätzlichen Firewalls zwischen den VLANs könnte man das absicher... aber wer macht sowas zu Hause?
 
Ja aber Datenverlust ist doch das eigentliche Problem bei einer Kompromittierung und davor schützt ein gutes Backupkonzept.
Ich glaub ehrlich, die Gefahr die von Usern mit Windows-Clients ausgeht ist weitaus größer als alles, was im IoT Netz passieren kann.

Das ganze... Kamera wird kompromittiert und versäucht dann das NAS und von da aus das ganze adminLAN ist schon sehr weit hergeholt.
 
TheHille schrieb:
Für Zuhause sollte das NAS in das "normale" Netz, also nicht zwingend in "IoT" oder "adminLAN", sondern in dein Hauptnetz.
Der Traffic soll ja auch schnell sein und nicht durch einen evtl. zu kleinen Router ausgebremst werden.

Wenn der Router schnell genug ist, kann man über ein "Server" und/oder Backup-VLAN nachdenken...
Zum Vergrößern anklicken....
Also eher 3 VLANs: adminLAN (f d heiklen Geräte), LAN (einfache Clients), IoT VLAN für die "unsicheren" Geräte......
Router/FW: Netgate 6100...ist eh ein overkill für daheim...
 
  • Gefällt mir
Reaktionen: TheHille
Was sollten das denn für heikle Geräte sein eigentlich?
 
Hab oben nochmal meinen Post ergänzt. Je nach Affinität und Können natürlich.
 
VLANs allein begrenzen oder segmentieren eigentlich nur die Netze/Broadcast-Domains.
Die Sicherheit kommt über die Firewalleinstellungen.
 
lalala987 schrieb:
zB mein PC und der der Frau.
Zum Vergrößern anklicken....
Ja aber ganz ehrlich dann spar dir doch das ganze VLAN zeug und häng lieber noch ein NAS zusätzlich rein, wo nur zB Veeam Backup drauf sichert, siehe #12

Du traust der Technik weniger als den Usern, als Admin kann ich dir sagen, dass es genau andersrum ist
 
TheHille schrieb:
Für Zuhause sollte das NAS in das "normale" Netz, also nicht zwingend in "IoT" oder "adminLAN", sondern in dein Hauptnetz.
Der Traffic soll ja auch schnell sein und nicht durch einen evtl. zu kleinen Router ausgebremst werden.

Wenn der Router schnell genug ist, kann man über ein "Server" und/oder Backup-VLAN nachdenken...

Beispiel für ein segmentiertes Netz für zuhause:

VLAN1 (gesperrt, kein Internet, kein LAN-Port)
VLAN 10 (Standardnetz für alle normalen Geräte, inkl. Server)
VLAN 15 (Telefonie)
VLAN 20 (IoT)
VLAN 77 (Management-Netz, Zugriff auf Router, Switches, etc.)

Mit einem guten Router a la Opnsense oder Pfsense und halbwegs potenter Hardware kann man so etwas schönes und sicheres realisieren.
Zum Vergrößern anklicken....
ja so ca hatte ich mir das gedacht.
jetzt frage ich mich, ob es sinnvoll ist das NAS ins 10er zu hängen.....
 
Du kannst auch ein zusätzliches Netz für "Server", etc. machen.
Die Frage ist: Behältst du den Überblick und ist es sinnvoll für ein oder zwei Geräte ein eigenes Netz aufzumachen?

Gehe vielleicht eher andersrum vor: Welche Geräte sollen definitiv aus deinem "sauberen" Netz raus?
Segmentiere diese Geräte weg. In deinem Fall eigentlich nur die IoT-Geräte. Aber denke bitte an die Firewall-Regeln...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Backup-Konzept mit zweitem NAS: 10 SSDs im ESPRIMO unter OpenMediaVault + ZFS
Antworten
2
Aufrufe
559
und tschüss
U
E
Neues Backup-Konzept mit zwei NAS (DS423+ und DS423)?
Antworten
9
Aufrufe
1.299
DHC
D
T
Benötige Feedback zu meinem NAS Konzept (Budget 1,5-3k €)
Antworten
7
Aufrufe
1.763
Thakis
T
Liberator
Konzept "Quasi-Full-SSD NAS" - Inkl. Backup
Antworten
7
Aufrufe
2.507
Liberator
Liberator
T
Feedback zu neuem Heimserver Konzept
Antworten
14
Aufrufe
2.013
Der_Picknicker
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz