ComputerBase Menü
Aktuelles

Sicherheit im Heimnetzwerk erhöhen? (Sophos oder Ähnliches?)

M

matthias_nbg

Lieutenant
Registriert
Mai 2011
Beiträge
726
Hallo Zusammen,

ich muss in unserem Mehrgenerationenhaushalt die Sicherheit der verwendeten Geräte verbessern.
Warum? Die Bewohner sind entweder zu jung oder zu alt, um sich immer im Internet korrekt zu verhalten :)

zur Umgebung:
  • Nutzer: maximal 8 gleichzeitige Teilnehmer
  • Betriebssysteme: nur Windows & Android Geräte, aber temporär iOS Geräte
  • IOT: viel Smart-Home Graffel & Co (Samsung TV, Xiami, Google Assistant ... )

Setup:
  • Fritzbox mit DECT im Einsatz (kann notfalls auch ergänzt werden)
  • pihole im Einsatz
  • teilweise Ubiquiti Switches + Controller auf pihole
  • QNAP NAS vorhanden aber nur temporär im Einsatz
  • Rudimentäres Know-How über Netzwerkinfrastrukturen vorhanden; Zeit eher Mangelware :-)


Bei bisherigen Recherchen bin ich auf die Sophos Home UTM-Angebote gestoßen. In welche Richtung sollte ich meine Recherche fortführen bzw. was könnten hier gute Ansätze sein?

Wir sind gerne bereit jährlich einen Betrag bis ca. 100,- Euro auszugeben, um einen guten Schutz zu gewährtleisten.
 
Es gibt die unterschiedlichsten Punkte um da anzusetzen:
  1. Netzwerk (VLANs, Firewall, IPS, ...)
  2. Endgeräte (Antivirensoftware, etc pp) - da sind mit iOS und macOS Geräte im Prinzip am liebsten, weil weniger anfällig.
  3. Anwender (Bildung und Schulung der Anwender)
Meiner Meinung nach geht keine hohe Sicherheit im Heimnetzwerk, wenn nicht alles drei berücksichtigt wird.
 
  • Gefällt mir
Reaktionen: Bob.Dig, Lawnmower und Raijin
Als Firewall würde ich zur pfsense (Open Source) raten - Ist kostenlos, wird regelmäßig aktualisiert und kann auf sehr vielen Geräten, alle ohne ARM Prozessoren, installiert werden. Damit lassen sich VLANs, DHCP, VPN Server uvm an einer Stelle einrichten und konfigurieren.

Ist allerdings keine All-in-One Lösung, aber meiner Meinung nach auf jeden Fall eine tolle und "kostengünstige" Alternative - Habe es mehrere Jahre in einem Unternehmen ohne Probleme für 300 Mitarbeiter installiert und administriert. Fachwissen, bzw. der Wille sich über die jeweiligen Funktionen zu belesen ist jedoch essentiell.

Ansonsten schließe ich mich den Aussagen von @derchris an.

EDIT: Da bereits einige Ubiquity Produkte verwendet werden, könnte man überlegen, sich das dazugehörige USG zu kaufen - Das ist alles in Allem noch recht benutzerfreundlich und verhältnismäßig einfach zu bedienen.
 
Zuletzt bearbeitet:
Eine fortgeschrittene Firewall wie Sophos allein bringt keine erhöhte Sicherheit. Die Konfiguration bzw das KnowHow des Administrators ist entscheidend. Auch die Firrwall in einer Fritzbox blockt alles was ungefragt von außen auf den Internetanschluss einprasselt, mit Ausnahme etwaiger Portweiterleitungen. Das größte Sicherheitsrisiko entsteht dabei am Ende der Portweiterleitung und das unabhängig davon ob der Port von einer Fritzbox oder Sophos weitergeleitet wurde.

Mit VLANs kann man ein Netzwerk in mehrere Teilnetze aufsplitten und so ggfs spezielle Regeln für einzelne VLANs definieren, zB Internet-only wie es bei einem klassischen Gast-Netzwerk ist. Das wiederum bietet eine Fritzbox auch, an LAN4 konfiguriert sogar per Kabel im ganzen Haus verteilt.

Gerade IoT ist was VLANs angeht aber leider zu häufig nur schlecht darauf vorbereitet. Viele smarte Apps finden beispielsweise keine Geräte, wenn Smartphone und Smart Device in verschiedenen Netzwerken liegen. Es kann daher eine neverending story werden, ein IoT-VLAN einzurichten.

Es steht und fällt mit dem KnowHow und/oder dem Willen und den Fähigkeiten, sich entsprechendes Wissen anzueignen. Einfach Sophos, pfSense, etc hinstellen und dann "sicher sein" is so leider nicht....
 
  • Gefällt mir
Reaktionen: Dr. McCoy, chithanh und snaxilian
Wenn Zeit eher Mangelware ist, dann sind auch solche Lösungen denke ich eher ungeeigent, denn sie machen entweder früher oder später Probleme, weil sie halt komplex sind, oder sie bringen von vornherein nix für die Sicherheit. Einfach irgendeine Appliance davorschnallen, das wird nichts bringen, daher auch was @derchris sagt.

...zu spät. 😉
 
derchris schrieb:
Es gibt die unterschiedlichsten Punkte um da anzusetzen:
  1. Netzwerk (VLANs, Firewall, IPS, ...)
  2. Endgeräte (Antivirensoftware, etc pp) - da sind mit iOS und macOS Geräte im Prinzip am liebsten, weil weniger anfällig.
  3. Anwender (Bildung und Schulung der Anwender)
Meiner Meinung nach geht keine hohe Sicherheit im Heimnetzwerk, wenn nicht alles drei berücksichtigt wird.
Zum Vergrößern anklicken....

Für 1 und 2 fand ich die Lösungen von Sophos interessant:
"Eine XG ist eine "Next Generation"- Firewall, die neben den klassischen Komponenten auch Verhaltensanalyse usw. macht, um "gefährliche" Aktivitäten zu erkennen und zu unterbinden....
... Endpoint Protection von Sophos, das mit der XG zusammenarbeitet z.B. wird über die XG im Zusammenspiel mit dem Client-Agenten ein infizierter oder gefährlicher Client im Netzwerk isoliert, so dass das Netzwerk von diesem Client nicht bedroht wird."

=> Den Endpoint-Schutz gibt es wohl für 40,- Euro / Jahr, aber leider lässt sich das im privaten Umfeld nicht mit einer XG kombinieren.

Für 3 bräuchte ich ein paar gute "Abschreckungsvideos" / Viren-Horrorvideos, um die 70+ Generation mal auf die Spur zu bringen. Ich muss die Rechner regelmäßig von Bloatware befreien :-/
 
matthias_nbg schrieb:
ich muss in unserem Mehrgenerationenhaushalt die Sicherheit der verwendeten Geräte verbessern.
Zum Vergrößern anklicken....
Was meinst du denn mit Sicherheit der Geräte genau?
Es bringt mmn. relativ wenig sich ne dicke Firewall, teuren Virenscanner und ein komplexes VLAN Konstrukt einzurichten wenn trotzdem jeder Link angeklickt wird, oder die User eventuelle Sicherheitsmaßnahmen nicht nutzen/verstehen.

Meine Ansätze wären:
1. User schulen. Ja das ist mühsam, aber die Nutzer sind in der Regel die größte Sicherheitslücke.
Wenn man die Basics vermittelt (Für die älteren: Wie erkenne ich eine Fake-Mail. Für die Jüngeren: Warum sind Gold-Cheats in Online Spielen höchstwahrscheinlich Schadsoftware) -reicht das oft schon um den größten Mist abzuhalten.
2. Regelmäßige Updates und Backups machen lassen. Ein gepatchtes Gerät ist weit weniger anfällig und regelmäßige Backups helfen im Notfall Systeme und vor allem wichtige Daten schnell wieder herstellen zu können.
 
Raijin schrieb:
Einfach Sophos, pfSense, etc hinstellen und dann "sicher sein" is so leider nicht....
Zum Vergrößern anklicken....

Wollte ich auch schreiben.
Das Ding einfach hinstellen, ein paar Knöpfe drücken und man hat Sicherheit gibt es nicht.
Im Gegenteil, eine UTM wie Sophos benötigt viele Einstellungen und entsprechende Kenntnisse von dem was man tut bevor es läuft.

Und der beste Weg die Sicherheit in seinem Netzwerk zu erhöhen ist es immer noch die Nutzer zu "schulen" und zu sensibilisieren beim Thema "Umgang mit dem Internet".
 
  • Gefällt mir
Reaktionen: OliverL87 und Raijin
Naja du kannst dir ne Sophos, pfSense oder ne Ubiquiti USG hinstellen, aber es braucht einiges an Zeit es einzurichten und auch einiges an Zeit zu beobachten und zu feinjustieren.
Also, kurzum brauchst du genug Zeit dafür.
 
matthias_nbg schrieb:
Wir sind gerne bereit jährlich einen Betrag bis ca. 100,- Euro auszugeben, um einen guten Schutz zu gewährtleisten.
Zum Vergrößern anklicken....
Wie andere schon geschrieben haben, mit Geld kann man sich keine Sicherheit erkaufen.

Eine einfache, wirksame Maßnahme ist bei der Fritz!Box das Gast-WLAN zu aktivieren. Alle Geräte, die keine regelmäßigen Sicherheitsupdates erhalten, werden nach dort verbannt. Den Nutzern wird eingeschärft, auf diesen Geräten keine persönlichen Daten (einschl. Passwörter) einzugeben oder abzulegen.
 
Ich halte getrennte Backups am wichtigsten, denn Benutzerfehler sind in dieser Konstellation immer möglich. Ich z.B. nehme Acronis und mache Backups zum Einen auf eine NAS (Komplette Systeme) und auch in die Acrobis Cloud (wichtige Daten). Damit kann man bei Datenverlust alles wieder herstellen. Wenn man sensible Daten hat, dann diese verschlüsseln. Allerdings muss dann auch der Key gesichert sein.
 
Wie schon von einigen angemerkt ... die Nutzer sensibilisieren ... ein IPS/IDS ist zwar aus meiner Sicht in der heutigen Zeit das sinnvollste Mittel um Anomalien zu erkennen, aber bei gerade mal 8 User ist es schwierig eine Anomalie zu erkennen ... Für diese Größe ist wohl so etwas wie AdGuard Home / PiHole am sinnvollsten mit entsprechenden Blacklisten für bekannte schädliche DNS. Vollste Sicherheit wird dir nichts bringen ... Virenscanner geben einem eher ein gutes Gefühl als das sie nutzen, wenn man sich ansieht wie schnell Botnet-Controller/Master die Signaturlisten der großen Hersteller abfragen und Clients mit neuer Signatur ausrollen, um unentdeckt zu bleiben.
 
matthias_nbg schrieb:
Für 3 bräuchte ich ein paar gute "Abschreckungsvideos" / Viren-Horrorvideos, um die 70+ Generation mal auf die Spur zu bringen. Ich muss die Rechner regelmäßig von Bloatware befreien :-/
Zum Vergrößern anklicken....

Klingt so als würden die User mit nem Admin-Konto unterwegs sein. Wenn ja, dann auf normales User-Konto umsteigen.
 
  • Gefällt mir
Reaktionen: Bob.Dig und OliverL87
Mal abseits von Firewall:
  • User auf reguläre Accounts umsetzen (Adminrechte entziehen)
  • Automatische Backups aller Systeme einrichten (z.B. per Veeam Agent for Windows free auf ein NAS)
 
  • Gefällt mir
Reaktionen: Bob.Dig
Hinzu kommt, das Sophos eher durchwachsene Qualität hat. Was die allein in der jüngeren Vergangenheit mit Security-Vorfällen zu kämpfen hatten, da schwächt man die Sicherheit des Netzes eher als das man damit was reißt.
 
Wie die meisten Vorredner schon sagten: Das alleinige hinstellen so einer Kiste bringt relativ wenig, egal ob das eins der freien Produkte wie pfsense/opnsense/etc sind, Lösungen für zuhause wie Sophos und Konsorten oder die "großen Anbieter" wie Checkpoint, Palo Alto, Fortinet und wie sie nicht alle heißen.
Auch verhindern diese nicht unbedingt, dass sich Anwender irgendwelche Bloatware installieren. Da hilft nur das konsequente verwenden nicht-administrativer Accounts für das alltägliche arbeiten/surfen/spielen, Sensibilisierung der Anwender nicht überall auf JA und OK zu klicken und regelmäßige Backups für den Worst-Case.

Lokale Benutzerkonten ohne Adminrechte + hohe UAC + aktiver Defender + Backups und ein Filter wie Adguard/PiHole etc schützen vermutlich besser als eine Firewall die mehr schlecht als recht konfiguriert ist.
 
  • Gefällt mir
Reaktionen: Dr. McCoy und andy_m4
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz