NAS im eigenen Netzwerk gegen Schadensoftware sichern

[Daniel Albert]

Hallo, ich habe ein Netzwerk zum größten Teil über Wlanrouter der Marke AVM. Im Netzwerk sind 2 Synology NASen per Netzkabel mit der FritzBox 7490 verbunden. Über diese sind 2 Wlan Router auch der Marke AVM mit dieser verbunden. Auch meine Kinder nutzen das Netzwerk. Wenn Freunde kommen gebe ich immer nur den Gastzugang frei.

Da auch meine Firmenrechner im gleichen Netzwerk sind möchte ich mich gegen Schadsoftware die von den Geräten der Kinder ausgehen. Ist das in diesem Netzwerk so einfach möglich oder was muss ich verändern damit ich Vorkehrungen treffen kann ?

Gruß Daniel

 

[Nilson]

Mach mal eine Zeichnung von deinem Netzwerk. Vor allem da du von mehreren Routern sprichst.
Und was willst du vor was schützen? NAS? Firmenrechner?

 

[tollertyp]

Meine Meinung: Sofern deine Kinder keine Schreibrechte auf den Systemen haben, dürfte da wenig passieren können.

Bzw: Nur dort, wo deine Kinder Schreibrechte haben, besteht Gefahr.

 

[atze303]

Am einfachsten wäre es wohl die Kinder PCd bei der Fritzbox ins Gastnetz zu hängen.

 

[duAffentier]

Da gibt es doch viele Arten! Also so pauschal das zu sagen "Schadsoftware" ist ja nicht einfach!

Lösungen:

1. Die beiden Netzwerke trennen, das wäre die erste Lösung!
2. Ansonsten Backups einrichten.
3. Danach die Benutzerrechte auch so ändern, das es "sicher" ist.
4. Den Mensch kann man selten "sicher" machen.

Also evtl. die Strategie anpassen.

 

[chrigu]

Wenn du das Netzwerk isolierst, ja, sonst musst du deinen Kindern den richtigen Umgang im Internet erklären

 

[Raijin]

FritzBox 7490 verbunden. Über diese sind 2 Wlan Router auch der Marke AVM mit dieser verbunden.

Meinst du tatsächlich zwei weitere WLAN Router von AVM, also FritzBoxxen oder sind es doch eher FritzRepeater? Bitte möglichst präzise beschreiben und ggfs auch hier die Modellbezeichnungen nennen. Davon hängt jetzt nämlich ab welche Möglichkeiten du mit der aktuellen Hardware hast.

Wenn Freunde kommen gebe ich immer nur den Gastzugang frei.

Grundsätzlich sage ich es mal so: Es gibt keinerlei Zwang für einen Gastgeber, seinen Gästen WLAN zur Verfügung zu stellen. Ich persönlich sehe mich nicht in der Verantwortung, das Datenvolumen meiner Gäste zu schonen, wenn diese meinen, dass ein 200 MB Tarif ausreicht, aber schon nach kurzer Zeit das Volumen aufgebraucht ist. Just my 2 cents

Da auch meine Firmenrechner im gleichen Netzwerk sind möchte ich mich gegen Schadsoftware die von den Geräten der Kinder ausgehen.

Hier liegt der Knackpunkt. Was ist wichtiger? Dass die Gäste stets WLAN haben oder dass du ggfs deinen Firmenrechner im Gastnetzwerk von deinen privaten Geräten abschotten kannst?


Prinzipiell gibt es mehrere Ansätze:

- Gäste aus dem Gastnetzwerk verbannen und dafür den Firmenrechner ins Gastnetzwerk hängen (geht via LAN4 auch kabelgebunden). Der Firmenrechner hat dann keinerlei Verbindung mehr zum Hauptnetzwerk, sondern nur noch ins Internet. Leider schließt das aber auch etwaige Drucker, NAS, o.ä. im Hauptnetzwerk mit ein, weil das Gastnetzwerk vollständig isoliert wird.

- Firmenrechner im Hauptnetzwerk belassen, aber dessen Firewall auf das "öffentliche" Profil umschalten. Dieses Profil ist beispielsweise für öffentliche Netzwerke im Hotel, o.ä. gedacht und blockiert weitestgehend allen eingehenden Traffic von anderen Netzwerkteilnehmern. Dies verringert die Gefahr, dass ein infizierter Kinder-PC das Firmengerät direkt infiziert. Indirekt kann es natürlich trotzdem zu einer Infektion kommen, wenn zB der Kinder-PC infizierte Daten auf dem NAS speichert und sie vom Firmen-PC runtergeladen werden.

- eine vermuteten weiteren Fritzboxxen nicht als Access Point, sondern als Router (WAN=LAN1) verwenden und den Firmenrechner dahinter platzieren. Firmenrechner ist vom Hauptnetzwerk aus nicht erreichbar (WAN+Firewall dieser Fritzbox blockiert), kann aber auf alles im Hauptnetzwerk zugreifen (Drucker, NAS, etc). Eine direkt Infektion vom Hauptnetzwerk aus ist hierbei ausgeschlossen (vollständige Isolierung durch den zweiten Router), aber indirekt über infizierte NAS-Dateien kann es natürlich immer noch passieren.

 

[Daniel Albert]

Bei uns in der Wohnung wollte ich keine Lankabel verlegen und Powerline funktionierte nur teilweise und wenn mit der hälfte der Leistung. Wir haben von der Telekom Glasfaser bekommen. Von diesem Telekom-Umwandler geht das Netzwerkkabel in die 7490. An der 7490 sind 2 Synology Nasen DS218 +. Eine fungiert nur für die Backups der Laptops und dem Stand-PC. Dann habe ich 3 Räume weiter eine FB 4040 die LAN für den Stand-PC und Wlan für die Geräte in diesem Raum zur Verfügung stellt. Somit habe ich dort auch die 250 Mbit anliegen. Die FB 4040 war die einzige Box die das hinbekommen hat. Von dort geht einmal Powerline in den Keller wo ein kleiner FB Repeater für unsere beiden Wallboxen das Internet zur Verfügung stellt. Ist leider notwendig da ich ein Lastmanagement brauche und das geht nur über eine Internetverbindung. Sonst knallt mir ständig die Sicherung durch wenn beide Elektrofahrzeuge laden. In einem anderen Raum ist eine FB 3000 die mein Sohn nutzt. Dort hängt Playstation und sein PC dran.

Im Grunde brauchen nur meine Arbeitsrechner ein PC, Tablet, Handy und Laptop Zugriff auf das interne Netzwerk für Drucker und Datensicherung auf der einen NAS DS 218 +. Bei dieser verwende ich Clouddrive, Webdav und Ablage der Faxprotokolle der Fritzbox.

Gäste, Eltern und Kinder brauchen eigentlich nur Internet da bei uns das Handynetz extrem bescheiden ist.
Daher würde ich vorab mal alle ins Gastnetzwerk verbannen.

2 voneinander getrennte Netzwerke hmm finde ich recht problematisch oder ?

 

[chrigu]

Du willst Ja trennen also musst du zwei Netzwerke machen, oder den Umgang mit Internet …. Ach das schrieb ich schon mal

 

[Nilson]

Mit Consumer-Hardware wie Fritzboxen kommt man bei komplexeren Netzwerkstrukturen recht schnell an seine Grenzen.
Spontan würde ich folgendes Vorschlagen:

Internet
   │
   └──7490
      │ │
      │ └─Gäste-(W)LAN
      │
      ├─NAS
      ├─Drucker
      ├─privat-PC
      │
      └─(WAN)Router(LAN)
                     │
                     └─arbeits-PC

Damit haben Geräte im Gäste-(W)LAN nur Zugriff auf das Internet. Geräte im privaten LAN haben Zugriff auf das NAS, während die Arbeits-Geräte durch die Firewall des zusätzlichen Routers geschützt sind, selbst aber Zugriff auf das NAS, Drucker* und das Internet haben.

*Sofern der Druckertreiber Drucker in einem anderen Subnetz unterstützt. Das können einige Drucker nicht, oder nicht so einfach.

Innerhalb der Netze musst du dann eben mit entsprechenden Sicherheitsmaßnahmen arbeiten. Beim NAS
z.B.

• Netzlaufwerke, die dem Backup dienen, nicht dauerhaft einbinden.
• Benutzerrechte entpsrechend setzen.
• Firewall aktivieren.
• Nicht benötigte Dienste deaktivieren.
• Kein direkten Zugriff aus dem Internet einrichten.
• Regelmäßig externe Backups machen.

Für den Router zum "Firmennetz" kann man so gut wie jeden günstigen (WLAN-)Router nehmen. Der braucht kein Modem dafür.
Das ganze nennt man dann "Router-Kaskade" oder "DMZ für arme"

 

[Daniel Albert]

Ok Danke werde mich mit dem Thema mal intensiv auseinandersetzen

 

[TomH22]

- Firmenrechner im Hauptnetzwerk belassen, aber dessen Firewall auf das "öffentliche" Profil umschalten. Dieses Profil ist beispielsweise für öffentliche Netzwerke im Hotel, o.ä. gedacht und blockiert weitestgehend allen eingehenden Traffic von anderen Netzwerkteilnehmern. Dies verringert die Gefahr, dass ein infizierter Kinder-PC das Firmengerät direkt infiziert. Indirekt kann es natürlich trotzdem zu einer Infektion kommen, wenn zB der Kinder-PC infizierte Daten auf dem NAS speichert und sie vom Firmen-PC runtergeladen werden.

Das ist eigentlich diese naheliegendeste Idee und sollte ausreichend sein. Wichtig ist, daß man nich die Sicherheit dadurch auffweicht, das man z.B. Laufwerke des Firmenrechners als SMB Shares freigibt.
Das Windows interne Firewall ist eigentlich sicher genug, um Angriffe über das Netzwerk abzwehren.

Im Grunde brauchen nur meine Arbeitsrechner ein PC, Tablet, Handy und Laptop Zugriff auf das interne Netzwerk für Drucker und Datensicherung auf der einen NAS DS 218

Das ist eigentlich der größte potentielle Schwachpunkt in Deinem Setup. Wenn der Firmenrechner Zugriff auf das NAS hat, könnte er von dort eine Datei mit einem Verschlüsselungstrojaner herunterladen, die von einem anderen Rechner platziert wurde. Man kann aber per Gruppenrichtline des Ausführen von Dateien von Netzwerkshares verbieten.

Was heißt für Dich denn Arbeitsrechner: Ist es Dein eigener Computer und Du arbeitest damit beruflich, oder ist es ein Rechner eines Arbeitgebers (Firmenrechner). Bei letzterem solltest Du übrigens Deinen Arbeitgeber fragen, ob Du berufliche Dateien auf einem privaten NAS ablegen darfst. In den Richtlinien meines Arbeitgebers ist das nämlich nicht erlaubt.

Falls das aber ok und nötig ist, sollte das dafür genutzte Netzwerkshare nur für Dich (und nicht Deine Familienmitglieder) zugreifbar sein. Ggf. dafür einen eigenen Benutzer einrichten.

Du musst immer bedenken, die meisten erfolgreichen Angriffe auf Clientsysteme finden über mit Schadsoftware ausgestattete Dateien statt, die über „legitime“ Wege von “legitimen“ Benutzern ausgeführt werden. Angriffe über das Netzwerk von nicht authentifzierten Benutzern sind immer seltener, da heutige Betriebssysteme (auch Windows…) relativ gut dagegen geschützt sind.

D.h. auch wenn Du die IP Ebene über kaskadierte Router, VLANs, abschirmst, dann aber Verbindungen auf Anwendungsebene aufrecht erhältst (wie eben Netzwerk-Shares) hast Du nicht viel gewonnen.