Zu Hause Arbeiten - Aufteilung in Heim- und Arbeitsnetzwerk

[da_andi]

Hallo C'bler,

ich bräuchte zu folgendem Sachverhalt ein paar Meinungen/Hinweise/Tipps:

Die Frau eines Arbeitskollegen arbeitet demnächst 2-3 Tage pro Woche von zu Hause aus, d.h. sie bekommt einen PC gestellt den sie zu Hause ans Internet anschließt und sich dann (vermutlich) auf einen Server ihrer Arbeitsstelle anmeldet.

Da mein Kollege und seine Frau (beide nur normale User) bei der Einrichtung des ganzen durch den Arbeitgeber mehr oder weniger allein gelassen werden, hatte ich bzgl. des Themas Sicherheit die Trennung des Heimnetzes in 2 getrennte Netze (Heimnetz & Arbeitsnetz) in den Raum geworfen. Der Hintergedanke dazu ist, sollte sich ein Virus/Trojaner/Whatever in einem Netz befinden, sollte dieser möglichst keinen Schaden im anderen Netz anrichten.

Da ich auch nur über absolute Grundkenntisse verfüge, wende ich mich an euch.

Denkt ihr die Bedenken bzgl. Sicherheit sind berechtigt, wenn sich zum Arbeiten auf den Server des Arbeitgebers eingeloggt werden muss (wie auch immer das im Detail aussieht)?

Falls ja, welche Tipps/Hinweise/Themenbereiche könnt ihr geben, in welche Richtungen geschaut werden sollte?

Sollte das Ganze mit etwas Fleiß zur Einarbeitung in bestimmte Themen selbstständig lösbar sein, dann bitte ich euch, mir diese mit der dazu notwendigen Hardware zu nennen.

Noch kurz zur vorhandenen Infrastruktur:

- 1 VDSL Anschluss im Wohnzimmer + 3 Netzwerkdosen zu je 1 Raum (2x Kinderzimmer, 1x Arbeitszimmer)
- Im Arbeitszimmer stehen Geräte (Drucker, NAS) welche nur ins Heimnetz eingebunden werden sollen
- FritzBox 7490

Er ist auch bereit dafür notwendige Hardware anzuschaffen, sollte dies nötig sein.

Ich bedanke mich schonmal im Voraus bei allen die sich dem Thema annehmen.

Gruß
André

 

[Merle]

Pack den Arbeitsrechner an LAN4 und aktiviere den Gastzugang auf LAN4.
Ich glaube, dass bei der FB schon host isolation aktiv ist, also können die Geräte keine anderen erreichen. Erlauben musst du allerdings mehr Dienste, als per Default erlaubt sind (sie wird VPN machen müssen).
Der Gästenetzbereich ist eine eigene Range und kann weder auf die Routeroberfläche, das Heimnetz noch auf andere Clients im Gastnetz zugreifen.
Erfüllt das nicht schon alles?

 

[da_andi]

Wenn die beiden Netze dadurch getrennt sind, dann erfüllt dies schon alles.

Mir ist gerade noch eine Sache zur Infrastruktur eingefallen, welche ich im Eingangspost vergessen habe, Sorry.
Und zwar befinden sich im Arbeitszimmer auch noch Geräte (Drucker, NAS) welche nur ins Heimnetz eingebunden werden sollen.

Dazu müssten die Daten beider Netze über ein Kabel vom Wohnzimmer zum Arbeitszimmer übertragen und da wieder gesplittet werden.

Ist hier das Stichwort VLAN richtig?

 

[startaq]

Ja, zwei verschiedene Netzwerke kannst du per VLAN über ein Kabel schicken. Dazu brauchst du dann an beiden Enden jeweils einen VLAN fähigen Switch.

 

[Merle]

Wenn das Kabel mit 8 Adern aufgelegt ist, und ihr nicht mehr als 100 MBit benötigt, würde ich aus Kostengründen (bis die Performance wichtig wird!) das Kabel aufteilen.
Da ist kein Gigabit mehr möglich, aber dafür über 2*4 Adern 2*100MBit, und zwar elektrisch getrennt.
Die NAS kann diesem allerdings widersprechen, das kommt darauf an was auf ihr liegt. Bei Medien wird man zB nur ungern auf Gigabit verzichten. Und dann braucht man 2 VLAN-fähige Switches, wie startaq schreibt.

Auch hier bräuchte man 2, die Anschlüsse sind dann wie einzelne zu behandeln, d.h. einer an Port 4, einer an einen Anderen.
https://www.amazon.de/Equip-127603-...=1511977984&sr=8-3&keywords=netzwerk+splitter


Ansonsten, mit den 2 Managed Switches, ist eine ein wenig erweiterte Konfig und Verkabelung nötig.
Praktisch nimmt man von der FB Port 4 auf VLAN2 dann, einen anderen Port auf VLAN1, die beiden als Accessports definiert. Die Verbindung zwischen den Switches ist ein Trunk mit den erlaubten VLANs 1-2, auf dem Zielswitch dann wieder Accesports in VLAN1 (NAS, Drucker) und VLAN2 (Remotclient/Arbeitspc) teilen.
Hier ist die Geschwindigkeit weitestgehend unbeeinflusst vom neuen Client, aber die Ausgaben sind höher.

 

[da_andi]

Die Anschaffung von notwendiger Hardware ist kein Problem.

Da ihr mir nun bestätigt habt, dass VLAN eine Lösung des Problems ist, würde ich diese bevorzugen, da dass meiner Meinung nach die "sauberste" Lösung wäre (Beibehaltung der Gigabit-Geschwindigkeit).

Die Lösung mit der FritzBox ist zwar nur eine Behelfslösung, da diese quasi nur 2 VLANs kann, aber in dem Fall sollte dies ausreichen.

Bei der Hardware hätte ich jetzt zu Netgear gegriffen, speziell Netgear GS108E, diese bieten lt. Datenblatt VLAN an und sind Web Managed. Preislich sind diese mehr als erschwinglich, wie ich finde.

Denkt ihr die Einrichtung ist mit Hilfe des WWW in Eigenregie möglich?

 

[snaxilian]

Wenn es unbedingt kabelgebunden sein muss bleiben nur die zwei Optionen von Merle.

Sofern der Arbeits-PC ein Laptop ist -> Ins Gast-WLAN der Fritzbox und fertig. Falls es ein PC wird: WLAN-Stick kaufen und ins Gast-WLAN. Setzt halbwegs stabilen WLAN-Empfang im Arbeitszimmer voraus und hat die Vorteile dass weder das bestehende Kabel aufgesplittet werden muss noch 2x relativ teure VLAN-fähige Switche gekauft werden müssen.

 

[da_andi]

Das mit dem WLan ist ne gute Idee, aber wahrscheinlich nicht realisierbar. Das WZ ist im EG und das AZ im 1.OG, da müsste man bestimmt mit 1-2 Repeatern arbeiten, aber wer weiß was dann noch vom Signal ankommt.

 

[snaxilian]

EG und 1. OG ist die schwammigste Aussage die ich heut gelesen habe, herzlichen Glückwunsch da_andi.
Hat dein Kollege ein Schloss oder warum kommt da nix mehr an? Oder alle Böden/Decken/Wände mit Alufolie ausgekleidet? Millionen von Haushalten weltweit betreiben ganze mehrstöckige Einfamilienhäuser mit einer Fritzbox und haben überall guten Empfang. Noch mehr normale Mietwohnungen lassen sich mit einem Router/AP ausleuchten.
Wieder andere kleben sich in jeden Raum nen Ubiquiti AP, das hängt aber von zig Faktoren ab. Dicke der Wände, äußere Störeinflüsse, Ausrichtung der WLAN-Antennen, benachbarte Funknetze die stören usw. usf. Geh halt mitm Handy/Tablet/Laptop mal in das Arbeitszimmer deines Kollegen dann sieht du doch ob und wie gut der Empfang ist oder eben nicht.

 

[Merle]

@TE:
Ja, es ist die (einzig) saubere Lösung ohne Verluste.
Ja, das Gästenetz ist genau das, ein zweites VLAN innerhalb des Routers, für Laien einfach einrichtbar.
Und ja, meine Beschreibung war schon alles, was man machen muss, und sicher ist das mit uns und der Anleitung/dem Web lösbar im Bedarfsfall. Und man braucht 7 Patchkabel.
(2 mal Fritzbox (Lan x und Lan4) <=> (untagged Accessports) 1. Switch <=> Patchkabel zur Dose (Trunk) <=> Dose <=> Patchkabel zum 2. Switch (Trunk) <=> 2. Switch <=> 3 Endgeräte in 2 VLANs, untagged Accessports)

*edit:
Hier ist es toll erklärt, nur, dass dein Trunk nicht zu einer PFsense geht und du auf dem Trunk auch kein VLAN untagged brauchst.
https://nguvu.org/pfsense/pfsense-router-on-a-stick-with-netgear-gs108/

Sozusagen VLAN 1 und 2 tagged auf der Verbindung zwischen den 2 Switches, und untagged von LAN4 (FB) auf VLAN2 (Switch, egal welcher Port, Config muss halt stimmen) und untagged von LAN x (FB) zu VLAN1 (Switch), auf der anderen Seite wieder aufdröseln.

Außerdem fragst du im Bedarfsfall einfach wieder hier.

 

[omavoss]

Hat der Arbeitgeber keinen Terminalserver, auf den sich die Mitarbeiter per VPN remote aufschalten können? Das ist eine durchaus gebräuchliche Lösung. Natürlich nicht auf das gesamte Netz des AG, sondern nur auf das zu bearbeitende Projekt.
So würde das heimische LAN unangetastet bleiben, diesbezügliche Sicherheitsbedenken wären obsolet.

 

[awo]

HI,

ich kann mir nicht vorstellen das es Zugriff auf das Firmennetzwerk Ohne VPN gibt.

Somit ist wie auch schon von omavoss erwähnt nicht nötig etwas zu Trennen.

Da die Kommunikation des Laptops komplett über VPN läuft.

Grüße

Alex

 

[Merle]

Ja moment mal, ihr wisst nicht, was die Basis des Arbeitsgerät ist, wie deren Policies sind.
Was ist, wenn es ein Windowsgerät ist? Was ist, wenn der Zugriff auf das Internet ohne bestehendes VPN erlaubt ist mit diesen Geräten vom Arbeitgeber?
Die lokale Ebene kann in jedem Fall immer kompromittiert werden. (Bei Linuxbasierten ThinClients schwieriger, bei Windowsgeräten vermeintlich einfacher; möglich ist es immer.)
Frei nach dem Motto: Was nutzen die verschlüsselten Whatsapp Nachrichten, wenn dein gejailbreaktes iPhone oder dein Androiddevice schon auf OS Ebene kompromittiert ist und jemand den Inhalt vor dem Versenden liest? Genau: nichts.

Daher macht das nach wie vor Sinn.

Und ja, ihr könnt jetzt sagen: "sowas macht kein vernünftiger Admin". Aber wenn alle nur aus Securityperspektive handeln würden, hätten wir viele Themen heute nicht. Da braucht nur die richtige Person kommen, und den freien Internetzugriff mit diesen Geräten verlangen.

Diesen Fall muss man immer im Hinterkopf haben. So ist einfach die Praxis.
@TE: Darum: mach das ruhig. Was die 2 Vorposter sagen ist zwar nicht falsch, aber es ist einfach nicht vollumfänglich betrachtet.

 

[Raijin]

Somit ist wie auch schon von omavoss erwähnt nicht nötig etwas zu Trennen.

Da die Kommunikation des Laptops komplett über VPN läuft.

Weit gefehlt. Der PC wird vom Arbeitgeber gestellt, wird daheim aber mit dem privaten Netzwerk verbunden - mit allen potentiellen Konsequenzen. Es besteht also durchaus die Möglichkeit, dass der PC sich zB durch eine Verbindung zum NAS, o.ä. Schadsoftware einfängt und diese dann über das VPN ins Firmennetz verbreitet.

Ein VPN-Tunnel ist ja im Prinzip nur dafür da, dass von einem Ende zum anderen Ende des VPNs niemand von der Seite sozusagen reingucken kann. Das hat aber nichts damit zu tun, dass der PC trotzdem über das lokale Netzwerk infiziert werden kann.

Verwendet man für den Firmen-PC nun ein eigenes VLAN (oder ein Gastnetzwerk), ist er vom Rest des privaten LANs getrennt und eine Infektion könnte nur durch unachtsames Surfen oder einen USB-Stick den Weg auf den PC finden, nicht aber durch Querinfektionen über zB NAS-Verbindungen..

 

[da_andi]

EG und 1. OG ist die schwammigste Aussage die ich heut gelesen habe, herzlichen Glückwunsch da_andi.

Du hast ja Recht. Zudem hab ich mich auch noch vertippt, ist das 2. OG.
Es ist kein Schloss, nur eine Doppelhaushälfte. Ich bin bei so einer Entfernung WLan gegenüber aber immer ein wenig skeptisch wenn damit vernünftig gearbeitet werden soll. Vielleicht hatte ich aber auch immer nur die falschen Geräte.

Das Austesten des Empfangs werden wir versuchen.

Ja, es ist die (einzig) saubere Lösung ohne Verluste.

Danke für deine Kurzanleitung und den Link. Werde ich mir mal durchlesen.

Hat der Arbeitgeber keinen Terminalserver, auf den sich die Mitarbeiter per VPN remote aufschalten können?

Das weiß ich leider nicht.


Das sind Windows-PCs die da eingesetzt werden und wie diese Konfiguriert/Eingeschränkt sind, muss ich schauen.

"sowas macht kein vernünftiger Admin"

Das ist es ja. Die "IT'ler" sind auch nur normale Angestellte, denen die Betreuung dieser Systeme zusätzlich "an die Hand" gegeben wurde. Ein richtiger Admin würde, meiner Meinung nach, Hinweise zur Einrichtung geben, besser noch Voraussetzungen definieren und das Ganze selber einrichten.

@ Raijin: Danke auch für deinen Beitrag.


Habt ihr noch Vorschläge für die Hardware bzw. Einwände zu dem genannten Netgear Switch (GS108E)?

Gruß
André

 

[Raijin]

Das ist es ja. Die "IT'ler" sind auch nur normale Angestellte, denen die Betreuung dieser Systeme zusätzlich "an die Hand" gegeben wurde.

Leider ist das eher die Regel denn die Ausnahme. Für Geschäftsführer scheint jeder, der weiß wie man einen Drucker installiert, ein PC-Profi zu sein. Selbst wenn das sogar zuträfe, hat auch ein PC-Freak keinen blassen Schimmer von IT-Administration. Teufel, ich würde mir das selbst nicht zutrauen und ich kann schon behaupten, dass ich relativ viel Ahnung von Netzwerken habe (hoffentlich )... IT-Admins haben nicht ohne Grund eine Ausbildung oder gar ein Studium hinter sich. Ich habe Technische Informatik studiert und kenne mich schon recht gut aus, aber: Von Windows-Server, Software Deployment und so nem Zeugs habe ich keine Ahnung. Ist sicher kein Hexenwerk, aber wenn ich beruflich mit IT-Admins von unseren Kunden zu tun habe und die nicht mal wissen wie IP-Adressen und Subnetzmasken funktionieren, läuft mir ein kalter Schauer den Rücken runter..

IT ist letztendlich das was eine Firma (technisch) am Leben hält, aber die IT ist auch das Ressort, an dem als erstes der Rotstift angesetzt wird. Versagt der Pseudo-Admin und zB alle Daten auf dem Server sind weg, weil Otto P.C. Frieck keinen Plan von Backups hat, stehen die Chancen gut, dass die Firma dichtmachen kann...

Wie dem auch sei, das soll hier ja nicht Thema sein, aber mir juckt's immer in den Fingern, wenn ich sowas lese..


Der Netgear GS108E ist vermutlich der am häufigsten empfohlene und verkaufte Switch seiner Art. Mit dem kannst du also wenig falschmachen. Ich denke ein VLAN wäre die naheliegendste Lösung in Anbetracht dessen, dass die IT-"Admins" offenbar keine Vorstellung davon haben was wie wo man sowas macht.

 

[da_andi]

Leider ist das eher die Regel denn die Ausnahme. ...

Sowas hab ich mir schon gedacht. Ist echt traurig wie manche AG mit einem eigentlich so sensiblen Thema umgehen.
Ich kann dich da verstehen, dass es dir bei dem Thema immer in den Fingern juckt, vorallem wenn man selber aus dieser Branche kommt bzw. ein gewisses Know-How hat.


Dann werde ich auf den Netgear Switch (bzw. 2 Stück davon) zurückgreifen.

Könnt ihr mir noch eine Empfehlung für einen Access Point aussprechen? Dieser soll dann im AZ für das Heimnetz eingerichtet werden.
An folgende Eigenschaften hatte ich gedacht:
- 2,4Ghz / 5 Ghz Dualband
- PoE nicht notwendig
- max. 130€


Sobald alles eingerichtet ist bzw. Probleme auftreten gebe ich selbstverständlich Rückmeldung bzw. melde mich wieder bei euch.

Gruß
André

 

[Raijin]

Gerade in Verbindung mit VLANs kann auch ein VLAN-fähiger AP sinnvoll sein. Ich weiß nicht inwiefern das in diesem Fall relevant ist, aber zB ein UAP AC Lite / Pro von Ubiquiti kann je VLAN ein separates WLAN erstellen. Aber auch ohne VLANs sind die UAPs von Ubiquiti mit das beste was man am Markt findet, semiprofessionelle Hardware zu humanen Preisen.

Ansonsten würde ich zB zu einem TP-Link Archer Cx greifen, x => je nach Anforderungen und Budget.

 

[da_andi]

Inwiefern das später (wenn die Kids größer sind) sinnvoll ist (Smartphones der Kiddis in separates VLAN-WLAN), kann noch nicht eingeschätzt werden.

Im Moment, wenn die FritzBox verwendet wird, sollten die verschiedenen VLANs über einen AP aber keinen Sinn machen oder?

Seh ich das richtig, dass die Archer-Cx Serie von TP-Link prinzipiell aber Router sind? Wenn ja, warum würdest du diese reinen APs (abgesehen von deinen vorgeschlagenen Ubiquitis) vorziehen?

Gruß
André

 

[Raijin]

Naja, zum einen sind WLAN-Router aufgrund der Stückzahlen meist günstiger. Zum anderen haben sie in der Regel einen 4-Port Switch integriert, was manchmal ganz praktisch sein kann. Möchte man zB einen TV, o.ä. ins Netzwerk bringen, der direkt neben dem AP steht, bräuchte man keinen extra Switch, sondern könnte ihn direkt an den "WLAN-Router-als-AP-mit-Switch" anklemmen