ComputerBase Menü
Aktuelles

Sicheres Heimnetzwerk einrichten?

K

Katrin2001

Cadet 4th Year
Registriert
Okt. 2016
Beiträge
89
Hallöchen,

ich würd gerne mein Heimnetzwerk absichern. Nur wie mach ich das am Besten? :)

Hier erstmal die Situation zuhause (2x PC, 1x Router):

- Im Flur hängt die Vodafone-EasyBox 804 am DSL-Anschluß
- Im Arbeitszimmer steht ein großer Rechner mit Windows 7, der für alles Mögliche verwendet wird (Surfen, Arbeiten, Spielen, Homebanking etc). Ein LAN-Kabel führt zum Router
- Im Wohnzimmer steht ein kleiner Windows7-PC zum Abspielen von Musik und Filmen, der über WLAN verbunden ist

Jetzt soll das Heimnetzwerk sicherer werden, damit nicht so leicht Daten gestohlen werden können.

- auf den großen Wohnzimmer-PC kommt Windows Server 2012 R2 mit Rolle Terminalserver.
- darauf ein virtualisiertes Windows 10 zum Spielen und Surfen, das bei Virenbefall schnell neu aufgesezt wird
- der Terminalserver zum Arbeiten, auch vom Wohnzimmer-PC aus

- der Wohnzimmer-PC bleibt über WLAN angebunden
- zum Arbeiten wird wie gesagt eine RDP-Sitzung am Server aufgebaut

- der Wohnzimmer-PC kommt in ein getrenntes VLAN zur Sicherheit
- Handys bekommen ein eigenes VLAN

Kann man die Sicherheit noch weiter verbessern oder stimmt das so?
Machen die VLANs Sinn oder erfüllen Subnetze die gleiche Funktion?
Brauche ich noch weitere Hardware? Einen TP-Link-Router wäre noch da.

Freue mich auf Feedback von Euch!
 
wenn da kein VLAN fähiger Switch irgendwo dazwischen geschalten wird kannst die VLANs schon mal vergessen. Dir ist aber bewusst, dass du wenn du einen Terminalserver betreiben willst auch User- oder Gerätelizenzen für den Terminalserver brauchst. Ohne Lizenzen läuft da nix auf dem Terminalserver, du kannst zwar die Rolle installieren, dass bringt dir aber nix.

Wie willst das "virtuelle Windows 10" auf den Terminalserver bringen? Das funktioniert auch nicht.

Die Handys bekommst in kein VLAN weil die Easybox keine VLANs kann. Schon gar nicht per WLAN.
 
Zuletzt bearbeitet:
Katrin2001 schrieb:
Jetzt soll das Heimnetzwerk sicherer werden, damit nicht so leicht Daten gestohlen werden können.
Zum Vergrößern anklicken....
Wenn jemand Zugang zum Haus hat, kann er die Daten direkt stehlen, egal ob Windows Server, Terminal, RDP, VM, VLAN. Ich wüsste nicht, was das bringen sollte. Was versprichst du dir davon konkret? Von außen aus dem Internet schirmt der Router ab, das sollte Windows Server, Terminal, RDP, VM, VLAN nicht die Sicherheit erhöhen. Falls du von einem Malware-Befall eines Rechners im Heimnetz ausgehst, welche die anderen Rechner ausraubt, würde ich eher auf sauber installierte und mit Updates versorgte Rechner samt Virenscanner setzen. Je komplizierter und gestelzter man etwas einrichtet, desto eher können sich Konfigurationsfehler einschleichen, die man nicht erkennt.
 
Bietet Du irgendwelche Services im Internet (selbst gehostete Webseiten, Gameserver, ...) an oder warum willst Du mehr Aufwand in diese Richtung betreiben?
Ich lasse mich gern eines Besseren belehren. Aber solange ein Zugang von außen nicht ohne weiteres möglich ist, wird Dich jede Maßnahme möglicherweise mehr einschränken als sie von Nutzen ist.
 
Sehe ich auch so. Maximal ein Gast-WLAN kann sinnvoll sein, wenn man oft Besuch hat und die sich mit ihrem Smartphone einloggen. Dann kann man das Gast-WLAN auf internet only beschränken und der Besuch kann zB nicht ins NAS schauen (wofür er eh einen Login bräuchte - hoffentlich).

Irgendwie kommt es mir so vor als wenn irgendwas vorgefallen ist und du willst jetzt panisch auf Nummer sicher gehen. Blind das eigene Netzwerk in VLANs teilen, mit Firewall und allem drum und dran, bringt rein gar nichts, wenn man kein konkretes Anwendungsszenario hat. Eine geteilte Internetleitung mit einem Untermieter oder der Nachbarwohnung (zB Bruder/Schwester nebenan) wäre solch ein Szenario. Aber Terminalserver als Sicherheitsfeature?

Subnetze und VLANs sind übrigens zwei Paar Schuhe. Wenn du zB auf derselben Infrastruktur - also denselben Kabeln/Switches - einfach nur zwei Subnetze laufen lässt, dann hat das mit Sicherheit nichts zu tun. Jeder, der an dem Switch hängt kann binnen Sekunden seine IP ändern und ist im anderen Subnetz unterwegs. Zudem kann es ohne Router, der mit mehreren Subnetzen umgehen kann, problematisch werden. Consumer-Geräte wie Easyboxxen und Co können sowas in der Regel nicht, weil sie nur für 1x WAN + 1x LAN konzipiert sind.

VLANs hingegen laufen zwar auch auf derselben Infrastruktur, aber sie sind datentechnisch gegeneinander isoliert. Hängt man an einem VLAN-fähigen Switch zB an Port 4, der für VLAN1 konfiguriert ist, geht da keinerlei Traffic für VLAN2 durch, ein IP-Wechsel bringt also rein gar nichts - außer, dass der PC dann kein Gerät in seinem VLAN1 mehr sehen könne ;)


Beschreib uns also erstmal genau was dein Sicherheitsgedanke ist. Wieso, weshalb, warum.. Was ist dein Ziel? Wen willst du vor wem schützen? "Sicherheit erhöhen" ist nicht wirklich hilfreich. Du kannst ja alle Switches in Stahlkisten mit Vorhängeschloß packen, das ist .. .. mechanische Sicherheit...

*edit
Möchtest du zB einen Server, der Dienste im Internet bereitstellt, absichern, dann kannst du ihn in eine DMZ packen. Mit einer Easybox kommst du dann aber nicht weit. Bei einer DMZ wird dann vom Router der Traffic zwischen Internet und DMZ, Internet und LAN bzw. DMZ und LAN reglementiert, um zB einen gekaperten Server in der DMZ zu isolieren und nicht das komplette LAN zu kompromittieren.
 
Zuletzt bearbeitet:
Hey,

danke für das Feedback :bussi:

ZeroCool12 schrieb:
wenn da kein VLAN fähiger Switch irgendwo dazwischen geschalten wird kannst die VLANs schon mal vergessen. Dir ist aber bewusst, dass du wenn du einen Terminalserver betreiben willst auch User- oder Gerätelizenzen für den Terminalserver brauchst. Ohne Lizenzen läuft da nix auf dem Terminalserver, du kannst zwar die Rolle installieren, dass bringt dir aber nix.
Zum Vergrößern anklicken....

Ein kleiner VLAN-Switch wäre kein Problem, die kosten nicht mehr viel.

ZeroCool12 schrieb:
Wie willst das "virtuelle Windows 10" auf den Terminalserver bringen? Das funktioniert auch nicht.
Zum Vergrößern anklicken....
Wieso? Die virtuelle Maschine wird ganz normal installiert und in der RDP-Sitzung gestartet?

ZeroCool12 schrieb:
Die Handys bekommst in kein VLAN weil die Easybox keine VLANs kann. Schon gar nicht per WLAN.
Zum Vergrößern anklicken....
Echt? Handys werden zunehmend zu einer Bedrohung. Welches Sicherheitskonzept wäre die Antwort?

@ Wilhelm
Auf Updates und Virenscanner alleine möchte ich mich nicht verlassen - das ist ja quasi Standard und somit "nichts" ;)
Was im Unternehmensumfeld Sinn macht kann auf einer kleinen Skala ja nicht verkehrt sein. Und ich geh einfach mal davon aus, daß das Heimnetzwerk optimal konfiguriert ist ^^

TheNam3less schrieb:
Bietet Du irgendwelche Services im Internet (selbst gehostete Webseiten, Gameserver, ...) an oder warum willst Du mehr Aufwand in diese Richtung betreiben?
Zum Vergrößern anklicken....
Nein, aber wenn das Netzwerk erstmal steht spricht eigentlich nichts dagegen einen Mail- und Fileserver aufzusetzen.

TheNam3less schrieb:
Ich lasse mich gern eines Besseren belehren. Aber solange ein Zugang von außen nicht ohne weiteres möglich ist, wird Dich jede Maßnahme möglicherweise mehr einschränken als sie von Nutzen ist.
Zum Vergrößern anklicken....
Da lasse ich mich auch gerne Belehren ^^

Raijin schrieb:
Sehe ich auch so. Maximal ein Gast-WLAN kann sinnvoll sein, wenn man oft Besuch hat und die sich mit ihrem Smartphone einloggen. Dann kann man das Gast-WLAN auf internet only beschränken und der Besuch kann zB nicht ins NAS schauen (wofür er eh einen Login bräuchte - hoffentlich).
Zum Vergrößern anklicken....

Das Gast-Wlan ist eine gute Idee und werd ich übernehmen :)
Für unsere Handys wäre eine größere Sicherheit wünshenswert. Wie oben schon geschrieben, was sind denn da die gängigen Lösungen?

Raijin schrieb:
Beschreib uns also erstmal genau was dein Sicherheitsgedanke ist. Wieso, weshalb, warum.. Was ist dein Ziel? Wen willst du vor wem schützen? "Sicherheit erhöhen" ist nicht wirklich hilfreich. Du kannst ja alle Switches in Stahlkisten mit Vorhängeschloß packen, das ist .. .. mechanische Sicherheit...
Zum Vergrößern anklicken....
Eigentlich möchte ich es einem Angreifer nur schwer machen an meine Daten zu kommen ;)
Kerngedanke ist ein Offline-PC, der als Hinterfrau aus einem gesicherten Intranet heraus andere Maschinen ins Internet schickt.
Vielleicht kann man das auch einfacher realisieren? :D

Mal angenommen, auf einem Host wird Server 2012 installiert, darauf nochmal Server 2012 als Guest und auf diesem Guest nochmal ein Win10-Guest. Auf welchem Operating-System sind die Daten denn am schwierigsten zu erreichen?
 
Nein, aber wenn das Netzwerk erstmal steht spricht eigentlich nichts dagegen einen Mail- und Fileserver aufzusetzen.
Zum Vergrößern anklicken....
Sollen diese Server von nur außen oder nur von innen erreichbar sein? Oder beides? Wenn die Server von außen erreichbar sein sollen, bietet sich tatsächlich eine DMZ an. Schau mal hier: Klick
Gut, der Artikel ist nicht allzu üppig, aber er gibt einen Einstieg. Das Entkoppeln von extern erreichbaren Rechnern ist aber eine IMO sinnvolle Maßnahme. Wie es dann aber mit der Erreichbarkeit von innen aussieht - ich weiß nicht, das wird bestimmt einige Arbeit bei der Feinabstimmung des Routings in Anspruch nehmen.

Für unsere Handys wäre eine größere Sicherheit wünshenswert. Wie oben schon geschrieben, was sind denn da die gängigen Lösungen?
Zum Vergrößern anklicken....
Hier ist auch wieder die Frage, was die Handys im Netz machen sollen. Nur Internetzugriff? Dann das Routing für das Handy-Gastnetz so einrichten, dass ein Zugriff auf das interne Netzwerk nicht möglich ist, jedoch der Zugriff auf das Internet.
Je nachdem, welcher Aufwand betrieben werden kann, kann man auch über den Einsatz über IDS / IPS nachdenken. Hier schmeiße ich auch nur die Begriffe ein.

Eigentlich möchte ich es einem Angreifer nur schwer machen an meine Daten zu kommen
Zum Vergrößern anklicken....
Welche Daten? Die Daten, die auf dem PC / Server liegen? Daten, die Du quasi beim Surfen erzeugst? Außerdem denke ich nicht, dass "geschachtelte" VMs allein ein Plus an "Sicherheit" bringt, welche Sicherheit das auch sein soll.

Meine Ausführungen sind zugegebenermaßen nicht sehr konkret. Die Fragestellung ist hier doch sehr offen, von daher ;)
 
Zuletzt bearbeitet:
Sorry, ich komme bei dir nicht mehr mit. Du hast einen Drang, die Sicherheit zu erhöhen, weißt aber irgendwie gar nicht genau was das heißt oder kannst es zumindest nicht näher beschreiben.

Sobald ein Angreifer lokal in deinem Netzwerk ist - Einbrecher mit Laptop - kann er beliebig viel Unsinn treiben, egal was du machst. Da hilft dann maximal die Verschlüsselung sämtlicher Daten auf den Festplatten und natürlich starke Logins.

Wenn ein Angreifer von außen kommt, also über das Internet, ist der Router die erste Hürde. Ist dort keine Portweiterleitung in dein Netzwerk konfiguriert, blockt der Router alles ab was von außen kommt. Solltest du an dieser Stelle einem Consumer-Router wie Easybox und Co nicht über den Weg trauen (Stichwort: Sicherheitslücken und Backdoors), dann musst du dir eben einen (semi)professionellen Router anschaffen wie zB einen MikroTik oder EdgeRouter. Allerdings brauchst du dafür KnowHow, sonst baust du noch mehr Lücken ein als im Consumer-Zeug..

Wild irgendwelche Terminalserver mit VMs, in denen VMs laufen, zu installieren, halte ich mit Verlaub für kompletten Unsinn. Auch eine VM in einer VM kann dir nicht helfen, wenn diese VM Internetzugang hat und sich nen Virus einfängt. Es ist ja nicht so, dass man einen Virus in einer VM schneller bemerkt als auf dem Hostsystem... Das klingt alles ein wenig paranoid :P

Machst du dir solche Sorgen um deine Daten, dann lagere sie offline in einem Bankschließfach - am besten aber auf einem Festspeicher mit langer Haltbarkeit, also keine HDD/SDD/CD/DVD/BD ......


Je komplizierter du dein Netzwerk gestaltest, umso komplizierter wird auch die Wartung. Sicherheit wie "NAS aus dem WLAN nicht erreichbar" ist zwar nicht per Definition schlecht, aber was wenn du dann doch mal via WLAN ran musst? Sicherheit und Komfort entlaufen entgegengesetzt. Jedes Fünkchen Sicherheit kostet etwas Komfort.
 
Zuletzt bearbeitet:
@TheNam3less
Das Thema DMZ werde ich mal vertiefen, danke für den Link!
Mit Daten sind einfach alle Festplattendaten gemeint, Texte, Dokumente, etc.

@ Rajin
Sorry wenn ich es geschafft habe dich zu verwirren :3
Es gibt ja einige Wege Angreifer "reinzulassen" zB Mailanhänge, ActiveX, Phishing, Skripte, getarnte .exe usw - ich kenn sie nicht alle :D
Mir gehts eigentlich darum ein Operating-System vorzuschieben, auf dem keine brisanten Daten liegen. Die brisanten Daten (Dokumente) liegen entfernt auf einem anderen nutzbaren System. Wenn sich ein Angreifer Lese- und Schreib-Zugang zu einer virtuellen Maschine verschafft hat, dann ist nur dieses System kompromitiert und er kann aus diesem nicht auf den Host oder andere Maschinen ausbrechen - so der Gedanke. Ist der fehlgeleitet?

Für mehr Sicherheit würde ich auf ein erträgliches Maß an Komfort verzichten können - die Daten wären es mir Wert.
Wie gesagt, mir schwebt ein PC ohne Internet-Zugang vor, der aber über andere Maschinen eine Internetverbindung herstellt.
Vielen Dank nochmal an das großartige Feedback! :love:
 
Wichtigster Punkt: Verwendest du für Onlinedienste einzigartige Passwörter?
Wo sich jetzt alle naselang große Firmen wie LinkedIn und Yahoo ihre Datenbanken klauen lassen ist es viel wahrscheinlicher das Kriminelle auf dem Weg mehrfach verwendeter Passwörter in dein Mailpostfach oder Facebook kommen als dass sie die Passwörter von deinem eigenen PC klauen.
 
Das heißt du willst jeden PC nur per VM bedienen, um die Daten im Hostsystem zu "schützen"? Aber irgendwann wirst du ja aus der VM oder dem Host auch mal mit dem Internet und/oder deinem NAS/Server verbinden und das reicht im Falle eines Virusbefalls schon aus... VMs sind kein (permanenter) Schutz vor Viren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Best Practise Ansatz für ein einfach zu verwaltendes und sicheres Heimnetz
Antworten
9
Aufrufe
802
nutrix
N
T
Heimnetzwerk einrichten LAN-WLAN
Antworten
18
Aufrufe
847
User007
User007
G
All in One Lösungen für sicheres Heimnetzwerk mit Protokollierungsfunktion
Antworten
17
Aufrufe
1.824
Gelassenheit
G
K
Heimnetzwerk einrichten
Antworten
14
Aufrufe
2.129
norKoeri
N
I
Heimnetzwerk einrichten / Router verbinden, mehrere Signale über ein LAN-Kabel
2
Antworten
20
Aufrufe
14.930
Pyrmon
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz