Netzwerke abtrennen und sichern im Netz

[skorpion1800]

Hallo liebe Forengemeinde,

wie man anhand des ersten Bildes erkennen kann, handelt es sich dabei um das "Gesamtnetzwerk".
Ich würde ganz gern den Adminbereich ( Blau ) richtig "absichern" und den Rest ( 5. Lilabereich ) so abtrennen, das kein Zugriff aus diesem jemals möglich wäre. ( Dieser "MSI Mini PC" ist ein Knotenpunkt ins Internet, wo Remotezugriffe drauf stattfinden usw... )

1. Die Fritzbox 7490 als erstes bleibt so "bestehen". Alles andere kann gewechselt werden.
Da diese keine direkten Vlans unterstützt, wäre es sinnvoller den "5. MSI Mini PC" in einem managed Switch oder in einem 2. Router und so via Ports direkt voneinander zu trennen? Also der Switch soll ja Vlan unterstützen, oder trifft sich dies dann wieder an der 1 Fritzbox 7490 was es hinfällig macht?

2. Im blauen Admin Bereich stehen 4 rechner.
Rechner 2 und Rechner 3 sollen NUR von Rechner 1 angeschaltet und "genutzt" werden können ( Dienen als Test / Ersatz-PC's sowie Netzlaufwerkspeicher ( wie interne Cloud ) und sollen Rechner 1 als backup und zur Leistungssteigerung & Entlastung dienen.
2.1 -> Wie macht man dies, das nur Rechner 1 Admin Rechte auf die anderen Rechner 2 und 3 hat, und dieser auf diese zugreifen darf? WEIL:
2.2 -> mit dem Internet sind sie alle verbunden... mich würde ein Proxyserver interessieren... Pi-Hole ist toll, lief aber noch nicht soooo optimal auf einem ThinClient... und eine rumliegende Gateprotect Hardwarefirewall einrichten mit OPNsense tue ich mich gerade auch schwer..

Wie würdet Ihr dies am besten umsetzen?

Grüße
Patrick
Bild 1 Gesamtnetzwerk
Bild 2 zu sichernder Adminbereich...

 

[duAffentier]

WAN erstellen etc.? Was heist sicher, gegen was genau?

 

[mannefix]

vom Internet und Netzwerk trennen, wenn es wirklich wichtig ist

 

[gaym0r]

2. Im blauen Admin Bereich stehen 4 rechner.
Rechner 2 und Rechner 3 sollen NUR von Rechner 1 angeschaltet und "genutzt" werden können ( Dienen als Test / Ersatz-PC's sowie Netzlaufwerkspeicher ( wie interne Cloud ) und sollen Rechner 1 als backup und zur Leistungssteigerung & Entlastung dienen.
2.1 -> Wie macht man dies, das nur Rechner 1 Admin Rechte auf die anderen Rechner 2 und 3 hat, und dieser auf diese zugreifen darf? WEIL:

Entweder: Rechner1 und Rechner2+3 in separate Subnetze packen + Netzwerkfirewall einsetzen
Oder: Software-Firewall auf Rechner 2 und 3.

2.2 -> mit dem Internet sind sie alle verbunden...

Das bedeutet nicht, dass sie einfach so aus dem Internet angesprochen werden können.

 

[Smartbomb]

Hardwarefirewall die die verschiedenen Netze trennt.
Und genaue Regeln definiert, welcher User von welchem Gerät auf welchen Nutzer eines spezifischen anderen Gerätes zugreifen darf.

 

[derchris]

VLANs, Security Gateway, ...

 

[skorpion1800]

Entweder: Rechner1 und Rechner2+3 in separate Subnetze packen + Netzwerkfirewall einsetzen
Oder: Software-Firewall auf Rechner 2 und 3.

In private Subnetze packen heißt über OPNsense sprich die Hardwarefirewall selbst?
Und mit Software-Firewall ist so ne Sache... was sollten das bitte für Einstellungen sein oder von Drittanbietern?

Hardwarefirewall die die verschiedenen Netze trennt.
Und genaue Regeln definiert, welcher User von welchem Gerät auf welchen Nutzer eines spezifischen anderen Gerätes zugreifen darf.

Habe schon gefühlt ne Woche mit der Gateprotect und OPNsense rumgetan.. den Schnittstellen wie dem Adressbereich... jedoch bisher immer zurückgesetzt als irgendwas positives erreicht damit. Aber joa, werde Sie morgen mal zwischensetzen,,,

Wollte ja eigentlich zuerst: 1. Fritzbox 7490 DANN die HWFirewall Gateprotect mit OPNsense und daran dann noch managed Switch und nen Router ( eigentlich nur zwecks dem Wlan... ) ..

 

[gaym0r]

In private Subnetze packen heißt über OPNsense sprich die Hardwarefirewall selbst?

Ja. Eigenes VLAN + Subnetz. OPNsense erlaubt definierte Zugriffe.

Und mit Software-Firewall ist so ne Sache... was sollten das bitte für Einstellungen sein oder von Drittanbietern?

Windows-Firewall tut es vollkommen. Du musst halt manuell Regeln erstellen.

 

[chrigu]

Gastnetzwerk der fritzbox?

 

[Smartbomb]

Wollte ja eigentlich zuerst: 1. Fritzbox 7490 DANN die HWFirewall

Genau.
Die Fritzbox im Bridge Modus, also quasi nur Internet durchleiten.
Dahinter die Hardwarefirewall (zB Zyxel) die das Routing übernimmt (und DNS usw usf, halt alles was bisher die Fritzbox als Router gemacht hat).
Switche an die Ausgänge der HWFirewall und da dran die Geräte.
Wenn jetzt jemand vom einen auf das andere Subnetz zugreifen will, geht das nur über die FW, die ja das Bindeglied aller Subnetze darstellt.
Im selben Subnetz bzw hinter jedem Ausgang der HWFirewall kann man sich auch mit einem Layer 3 Switch, der ja routen kann, weiterhelfen.
Wie es da dann ausschaut müsste… man sich anschauen 😄

 

[Bob.Dig]

Wenn man erst andere fragen muss, dann wird man vermutlich nicht weit kommen. Denn es gibt nicht die eine Lösung, es muss immer zu den eigenen Anforderungen passen. Und dann muss man es noch umsetzen können.