WLAN sicherer machen - Gast-Wlan? Vlan? ...

[holdes]

Ja mit VLANs und entsprechenden Firewallregeln kannst du ihnen den Zugriff zum Heimnetz verwehren. Man müsste aber eher schauen um welche Geräte es konkret geht und wohin die kommunizieren dürfen bzw. mit welchem Port (Dienst).

Ich habe das bei mir genau andersherum gelöst:
Geräte aus Fernost haben keinerlei Internetzugriff (sie befinden sich in einem eigenen VLAN mit entsprechender Firewallregelung) und können nur lokal mit meinem Hauptnetz kommunizieren , je nach Gerät auch beidseitig. Das kann man aber nur machen wenn diese keine Cloudverbindung erfordern oder muss dann wieder das Regelwerk entsprechend anpassen.

Hast du für das MAC Adressen Thema eine Idee wie das ablaufen soll bzw. irgendwelche Einstellungen? Grundsätzlich legst du in der Firewall ja Regeln für das jeweilige VLAN an und musst genau überlegen welches Netz wohin darf, das anhand einzelner MAC Adressen festzumachen fände ich eher umständlich, unabhängig davon ob es in deiner Hardware dafür eine Lösung gäbe. Ich würde da eher auf Layer3 sprich IP Ebene bleiben sofern möglich.

 

[sylvio2000]

Ich glaube wir haben gerade aneinander vorbei gesprochen.

Ich möchte nicht die MAC-Adressen festlegen, welche keinen Zugriff haben, sondern die wenigen Geräte denen ich den Zugriff auf das Heimnetz erlaube (also eine Whitelist).
Alle anderen Clients sind also nur "dumme" Geräte mit Internet, so wie es jeder Consumer-Router bei einem Gäste-Wlan einstellt.

 

[holdes]

Da wäre es fast einfacher du legst für die "sicheren" Geräte ein VLAN an und die dürfen dann eben mehr als die Geräte welche im "unsicheren" VLAN sind. Du kannst ja jeweils die VLANs sowohl auf einer SSID haben als auch gleichzeitig an einem LAN Ports deines Switches. Dann hättest du das Geraffel mit den MAC Adressen gespart.

Ein VLAN wie auch immer du es hinterher nennst, muss nicht nur für WLAN alleine sein. Es gibt Switches die anhand der MAC Adresse das jeweilige Gerät automatisch einem bestimmten VLAN zuordnen können, das wäre dann so in etwa das was du meinst, fänd ich aber in diesem Fall ein wenig "drüber" sofern deiner das überhaupt könnte.

Ich kann so in etwa deinen Gedankengang nachvollziehen aber ich glaube du verkomplizierst das im Kopf gerade etwas mehr als es wirklich wäre . Die klassische Router-Firewall kann mit MAC Adressen nichts anfangen, die arbeitet auf Layer3 also IP Paketen mit Quelle/Ziel und Port.

Das einzige was ich auf Consumer Geräten im Zusammenhang mit Thema Sicherheit und MAC Adressen kenne, ist lediglich ein (unsicherer) MAC Filter welcher den kompletten Zugang zur SSID erlaubt oder verbietet.

Das Thema wurde ja schon angesprochen, mach’s nicht zu komplex sonst betreibst du hinterher länger Fehlersuche als die Einrichtung gedauert hat.

 

[Raijin]

Weder IP-Adressen noch MAC-Adressen sind dafür geeignet, Zugriffe in einer Firewall zuverlässig zu erlauben bzw. zu blockieren. Beides lässt sich mit Boardmitteln des Betriebssystems jederzeit ändern und gültige Adressen sind relativ schnell ausgespäht.

Ein Subnetz gilt weitestgehend als vertrauenswürdig, wenn es nicht explizit als ein öffentliches Netz definiert ist. Wenn man einzelne Geräte in einem Subnetz anders behandeln will, müsste man sie in ein eigenes Subnetz verlagern, also ein weiteres VLAN für zB Admin-Geräte. An dieser Stelle kann der Client nämlich nichts mehr tun, weil das Ändern der IP oder der MAC einfach nichts bringt, sitzt der Client doch in einem ganz anderen Teil des Netzwerks. Die einzige Möglichkeit wäre dann das physische Umstecken auf einen anderen Switch-Port, der wiederum einem anderen VLAN - zB dem theoretischen Admin-VLAN - zugeordnet ist. Oder analog dazu natürlich der Wechsel in das WLAN, das dem Admin-VLAN zugeordnet ist.


Bisher sprichst du eigentlich nur von der "gefühlten" Sicherheit. Du hast keinerlei konkrete Hinweise darauf, dass irgendein Gerät irgendetwas böses in deinem Netzwerk tut. Es ist vollkommen sinnfrei, auf dieser Basis wirre Sicherheitskonzepte zu erstellen, wenn man nicht das notwendige KnowHow dazu hat. Das heißt nicht, dass keine potentielle Gefahr besteht, aber ohne die nötigen Kenntnisse, die auch eine technische Analyse der aktuellen Gefahrenlage beinhalten (sowas wie Traffic bzw. Verbindungen von Alexa beobachten, etc), schießt du nicht mehr mit Kanonen auf Spatzen, sondern mit Atomraketen auf Nebelschwaden, die ein Spatz sein können oder auch nur feuchte Luft.


Wie gesagt, die Sicherheit in einem Netzwerk kommt durch die fachgerechte Konfiguration der Firewall, inkl. der lokalen Firewalls der Geräte selbst. Einfach nur wild das Netzwerk in Teile zerschnibbeln, bringt keinerlei Sicherheit, wenn du dann anfängst, wilde Ausnahmen einzubauen.

 

[sylvio2000]

Ok, das waren klare Worte

Ich habe tatsächlich keinerlei Verdacht. Ich wollte nur mal etwas "aufräumen". Was würdet ihr denn einem Laien raten? Einfach 1x Wlan ohne Einschränken und 1x Gast-Wlan?

 

[holdes]

Fände ich die schönste Lösung, so hast du auch 2 IP Bereiche und die IPs der Gäste können dir vollkommen egal sein. Du richtest dann mittels Regeln lediglich ein, was diejenigen dürfen bezüglich deinem Hauptnetz und dem Internet. Selbst wenn einer mal ohne das er selbst davon weiß, ein virenverseuchtes Gerät mit deinem Gast-WLAN verbindet, brauchst du dir so keine Sorgen machen dass er deine Rechner infiziert wenn er sie schlicht nicht erreichen kann.

Dieses Gast-VLAN kannst du auch auf einen Switch Port nativ legen falls du für Bekannte ab und an mal PCs reparierst. Wenn du nicht weißt wohin etwas telefoniert kann man es auch schlecht einschränken oder abstellen, innerhalb der 2 Netze kann man aber ganz einfach sagen was gehen soll und der Rest ist dann einfach verboten.

Wenn du das mit dem klassischen Gast Modus eine WLANs machst könnten sie gar keine deiner Geräte erreichen also auch kein Datenzugriff auf NAS oder Streaming vom selbigen, daher bist du eigentlich auf dem richtigen Weg.

Das mit dem SmartHome ist komplex, vor allem wenn die Geräte selbst zwingend Internet benötigen. In meinem Fall sind das Überwachungskameras die lediglich auf einen Netzinternen NVR aufzeichnen, daher kann ich denen das Internet einfach abdrehen und den Zugang aus dem Gast-VLAN verbieten. Man konnte mittels Packet Capture sehen, dass die Teile nach China gestreamt haben weshalb ich sie überhaupt abgetrennt und mittels Regelwerk eingeschränkt habe.

 

[Raijin]

Einfach 1x Wlan ohne Einschränken und 1x Gast-Wlan?

Für den Anfang sowieso. Hatte ich in #19 ja schon geschrieben. Wenn man das sauber eingerichtet hat und Erfahrungen damit gesammelt hat, kann man sich immer noch an ein weiteres, weniger restriktives Netzwerk machen, um dort "halb vertrauenswürdige" Geräte reinzustecken, die nur zu bestimmten Ressourcen Zugang erhalten sollen.

Das krasse Gegenbeispiel liest man hier im Forum aber auch ab und zu. User, die nur ein paar Stichworte zu VLANs gelesen haben und plötzlich derer 7 Stück aus dem Hut zaubern wollen. Ich sag's mal so, ich habe ein halbes Dutzend VLANs bei mir, aber ich hab den Mist auch studiert

 

[holdes]

Der klassische Spagat ist zwischen Consumer - SoHo und Enterprise eben .

Es ist aber manchmal auch verlockend Sachen zu bauen die keine Sau braucht oder jemals benutzt, einfach nur weil es funktioniert und man weiß wie man es baut. Zugegeben, VLANs haben nur die wenigsten Consumer zuhause. In ihrem natürlichen Habitat - diverser Firmennetzwerke, findet man sie am häufigsten an.

 

[sylvio2000]

Also mein Plan ist nun Folgender:

1. Den Router und VLANs werde ich nicht anfassen
2. Ich erstelle mir 2 versteckte SSIDs für 2.4GHz und 5GHz (versteckt, nicht für die Sicherheit, sondern damit sie nicht bei der WLAN-Suche auftauchen)
3. Eine SSID für das Gast-Wlan (mit Client isolation und begrenzter Anzahl Clients)
4. Eine SSID für wo alles freigeschaltet ist

ABER: Ich habe noch eine Frage zur Client Isolation: Es gibt bei Grandstream 3 Modi: Internet, Gateway, Radio (client isolation)

Für das Gast-Wlan kommt ganz klar nur der Internet-Modus in Frage. Hier steht wirklich nur das Internet zur Verfügung.
Ich habe nun aber auch mal den Radio-Modus ausprobiert, weil hier steht, dass Internetdienste verwendet werden können, aber die Clients nicht miteinander kommunizieren können. Würde das dann aber nicht bedeutet, dass ich z.B. nicht auf die Freigaben des NAS zugreifen kann? Es war mir allerdings möglich auf alle Ordner-Freigaben und Plex zuzugreifen? Ist das ein Bug, oder verstehe ich hier was falsch?

 

[holdes]

Die Client Isolation soll dafür sorgen, dass man z.B. auf einen WLAN Drucker im gleichen WLAN nicht drucken kann weil die Clients untereinander nicht kommunizieren können, das sollte auf Layer2 Ebene verhindert werden. Im Normfall versteht jeder Hersteller selbstverständlich auch darunter dass man aus diesem Netz nicht mehr auf die anderen Netze zugreifen können soll.

Das hat der Hersteller im "Internet Mode" aber ziemlich aufgebohrt, hier gibt es die Isolation zwischen den Stationen selbst scheinbar gar nicht mehr, siehe:

Internet Mode: Wireless clients will be allowed to access only the internet services and they cannot access any of the management services, either on the router nor the GWN76xx access points.

Gateway MAC Mode: Wireless clients can only communicate with the gateway, the communication between Wireless clients is blocked and they cannot access any of the management services on the GWN76xx access points.

Radio Mode: Wireless clients can access to the internet services, GWN7000 router and the access points GWN76xx but they cannot communicate with other Wireless clients.

Das einzige was der Hersteller explizit damit verbietet, ist die Kommunikation auf den Router bzw. die APs selbst. Die anderen beiden Modi sind dann schon eher dass, was man unter Isolation versteht. So richtig schlau wird man aus dieser Beschreibung aber nicht, im Grunde könnte man nach dem Text auch davon ausgehen, dass die Clients im Gateway Mode auch Internet haben müssten wenn sie denn mit dem Gateway kommunizieren können, hast du das mal ausprobiert?

Ist dein NAS aus dem Internet erreichbar per NAT? Oder greifst du wirklich aus dem Gast Netz hinweg auf dein Hauptnetzwerk zu?

 

[sylvio2000]

Mein NAS ist nicht aus dem Internet erreichbar. Zumindest habe ich nichts dergleichen jemals eingestellt.

Den Gateway mode habe ich nie ausprobiert.
Aber wie gesagt beim Radio mode konnte ich auf das NAS und den Plex-Server darauf zugreifen. Meiner Meinung nach greife ich aus diesem Modus auf das Hauptnetz zu.

Aber Moment: Da steht "but they cannot communicate with other Wireless clients." Ist es möglich, dass ich in diesem Modus zwar nicht auf drahtlos angebundene, aber auf per Kabel verbundene Clients (NAS) zugreifen kann?

 

[holdes]

Das wäre die Frage, würde aber eine Gast Funktion total aushebeln. Probiers einfach mal aus.

 

[sylvio2000]

Naja, die Gast-SSID lasse ich ja nur im Internet Modus laufen. Da ist wirklich kein Zugriff auf das Heimnetz möglich.
Der Radio Modus ist mir nur aufgefallen, weil ich dachte das es ein Fehler ist. Allerdings überlege ich gerade wie das testen kann? Es sollte dann theoretisch nicht möglich sein von meinem Smartphone Musik an Alexa/Google Home zu schicken?

 

[holdes]

Naja das kann im Zweifel auch über die Cloud gehen. Einfach testen könnte man das rudimentär erstmal über einen Ping auf ein Rechner im Hauptnetz. Vorher sollte das gehen und hinterher im Idealfall nicht mehr.

 

[sylvio2000]

Ok, dann werde ich heute Abend mal anpingen.
Im Grandstream Forum wurde vermutet, dass es tatsächlich so sein könnte, dass die per Kabel angebundenen Klienten erreichbar sind, mit der einfachen Begründung, dass sich die APs ja nur um die wireless Klienten kümmern.

 

[holdes]

Das kann schon sein, aber das ist in deinem Fall nicht so richtig passend. Natürlich ist es wichtig, dass sich die Gäste in einem richtigen Gast-WLAN gegenseitig nicht erreichen können aber das alleine ist eben nur die halbe miete. Somit muss man ja letztendlich trotzdem ein VLAN anlegen und Firewallregeln im Router definieren sofern man das bei den Geräten nicht direkt selbst machen kann.

Bei Unifi legt man die IP Bereiche fest, welche hinterher erreicht bzw. nicht erreicht werden dürfen, das machen die APs dann meines Wissens nach über klassische iptables. Inwiefern das bei den Grandstream Geräten geht müsste man mal schauen. Offenbar isolieren sie nur innerhalb ihrer SSID untereinander.

 

[Raijin]

Wobei einem Ping aus einem anderen Subnetz - dem Gastnetzwerk - gegebenenfalls von der Firewall des PCs abgeblockt wird. Ich würde daher eine Reihe von Geräten im Hauptnetz anpingen, PCs, Laptops, NAS, Internetradio, Drucker, etc. Wenn nichts davon antwortet, kann man davon ausgehen, dass auch nichts vom Gastnetz ins Hauptnetz geht. Sobald aber auch nur ein Gerät auf den Ping reagiert, ist das Hauptnetz offen und die nicht antwortenden Geräte hätten ebenfalls geantwortet, wenn ihre eigene Firewall das zugelassen hätte

 

[sylvio2000]

So, meine Tests sind abgeschlossen:
Ich habe jeweils immer die 3 gleichen WLAN-Geräte angepingt: Google Home Mini, ein Tablet und den Harmony Hub.

Internet mode: Es lässt sich nur auf das Internet zugreifen, sonst nichts.

Gateway mode: Es lässt sich nur auf den Router und das Internet zugreifen. Ich konnte weder Geräte mit Kabel noch ohne Kabel anpingen.

Radio mode: Ich kann auf das Internet und alle kabelgebundenen Geräte bzw. Dienste zugreifen. Drahtlose Geräte sind nicht verfügbar.

 

[holdes]

Klingt doch nicht schlecht, die Frage ist jetzt eigentlich nur noch ob du mit einem der Modi zufrieden bist und es dabei belassen willst?

 

[sylvio2000]

Ja, ich werde den Internet-Modus mit einem Captive Portal für die Gäste nutzen.
Meine eigenen Geräte bleiben ohne Einschränkung.

Ich glaube ich bin erstmal soweit glücklich. Vielen Dank