Trennung des Heimnetzwerks | Richtlinien und Beispiel

543
fußballball

Zunächst einmal vielen Dank, dass Sie meine Frage hier stellen können. Ich freue mich schon darauf, bald meine ersten eigenen vier Wände zu betreten, und habe das Gefühl, es sei der richtige Zeitpunkt, um die Netzwerksicherheit und -isolation in Angriff zu nehmen. Wie immer ist es wahrscheinlich am besten und am einfachsten, es von Anfang an richtig zu machen.

Ressourcen, die ich bisher geprüft habe:

Es gibt andere Ressourcen, zum Beispiel einen Online-Kurs, den ich überprüft habe, aber sie haben keine schnell zusammenfassenden Ergebnisse ergeben.

Setup und Problem:

Ich habe mehrere IoT-Geräte in meiner Wohnung - Philips Hue-Glühbirnen, ein Raspberry Pi (wahrscheinlich mit Ethernet verbunden), intelligente Steckdosen, Amazon Fire TV-Stick usw. [diese werden alle drahtlos verbunden sein] sowie zwei Laptops [auch] kabellos], und irgendwann in der Zukunft möglicherweise ein Heimserver zum Speichern von Bildern, Filmen oder Big Data [Ethernet (falls möglich)], das analysiert wird.

Ich möchte die Laptops in ein eigenes separates VLAN, die IoT-Geräte auf ein anderes, den Server auf einen anderen und wahrscheinlich den Raspberry Pi in ein viertes - es wird dazu verwendet, den Traffick zu qualifizieren.
Ich möchte dies vor allem für die IoT-Geräte aus Sicherheitsgründen tun. Daher muss ich meine Firewall richtig konfigurieren - alle Ressourcen besonders, die davon besonders geschätzt werden.

Was ich mit dieser Frage suche

Ich suche zwei Dinge:
- Ich möchte Router, Switch und Modem (sowie den Wireless Access Point) in einem Gerät haben - den Router, den ich verwenden werde. Gibt es ein (preisgünstiges Gerät), das VLANs auch drahtlos einrichten kann? Unterstützen die meisten modernen Router dies allgemein?
- Wie lese ich aus der Produktspezifikation, ob ein Gerät dazu in der Lage ist oder nicht? Welche Standards müssen unterstützt werden? 802.1Q?

Weitere Fragen)

  • Soweit ich weiß, kommunizieren die meisten IoT-Geräte lokal - stimmt das? Mit anderen Worten, wenn ich eine Steckdose ausschalten möchte, muss ich im selben Netzwerk sein (ich würde es selbst versuchen, aber ich habe diese Geräte noch nicht ...)
  • Für die Firewall gelten einfache Regeln: IotDevice.VLAN - Ausgehende Verbindungen dürfen nicht initiiert werden.
    Es wäre jedoch perfekt, wenn einige VLANs dies tun könnten. PrivateLaptop.VLAN sollte zum Beispiel in der Lage sein, eine Verbindung zum storageServer.VLAN und zu raspberryPi.VLAN herzustellen. Ist es ratsam, in diesem Zusammenhang einfach die Idee von VLANs zu verwerfen und Firewall-Regeln zu implementieren? Oder sind VLANs zusammen mit Firewall-Regeln eine bessere Idee?

Ich bin bereit, eine benutzerdefinierte Firmware auf dem Router zu installieren, wenn mir dies dabei hilft, diese Ziele zu erreichen.
Alle anderen Ressourcen, die ich verwenden kann, um sich mit diesem Thema vertraut zu machen, werden ebenfalls sehr geschätzt.

Vielen Dank!

PS: So stelle ich mir das Netzwerk vor: Ich fügte ein Bild hinzu, wie ich mir meine Einrichtung vorstelle, um das Verständnis für den Fall zu erleichtern, dass etwas unklar war

4
Ich mag diese Frage im Allgemeinen, aber um der Aktualität von Super User besser gerecht zu werden, würde ich empfehlen, dass Sie das Bit entfernen, um ein bestimmtes Produkt zu empfehlen (und vielleicht die zugehörige Frage auf [hardwarerecs.se] stellen). Das Interpretationsbit für die Produktspezifikation ist hier angemessen. Bob vor 5 Jahren 0
Auch wenn ich versuche, eine allgemeine Antwort zu schreiben, können Sie sich gerne in unseren Chatroom stürzen (https://chat.stackexchange.com/rooms/118/root-access) (sobald Sie die erforderliche Reputation von 20 haben). und diskutieren Sie ausführlicher! Bob vor 5 Jahren 0
Vielen Dank! Ich habe den Produktempfehlungsteil in der Frage entfernt. Wird dem Chatroom so bald wie möglich beitreten. Außerdem bin ich hier schon vom Netzwerktechnik her angesprochen worden. Sobald ich einen breiten Überblick darüber habe, was zu tun ist, werde ich spezifische Hardware-Fragen in dem genannten Forum posten. Danke für den Hinweis. fußballball vor 5 Jahren 0

1 Antwort auf die Frage

4
Bob

Ich werde hier Ihre allgemeinen Hardwareoptionen für ein solches Setup zu Hause beschreiben. Die detailliertere Konfiguration lässt sich am besten für spezifischere Fragen oder sogar zum Chat verwenden, zumal sie von der verwendeten Hardware abhängt.

Einige Hinweise zur Geschwindigkeit

Ich ignoriere auch irgendwie den gesamten Netzwerkdurchsatz. In der Regel sollten Sie die volle Switch-Geschwindigkeit innerhalb eines VLANs erreichen. Über VLANs hinweg werden Sie von Ihrem Router eingeschränkt (abhängig von der Router-CPU und dem Hardware-Offloading). Zum Internet sind Sie wieder durch Ihren Router eingeschränkt (diesmal CPU und Offloading, einschließlich NAT). Bei Sub-100-Dollar-Routern ist es nicht ungewöhnlich, dass über NAT eine Grenze von etwa 100-300 MBit / s für das Internet erreicht wird. Sie benötigen eine leistungsfähigere Hardware, wenn Sie eine schnellere Internetverbindung haben.

Produkttypen

  • VLANs sind bei Business- / Enterprise-Netzwerkgeräten relativ weit verbreitet. Während diese normalerweise als separate Geräte geliefert werden und nicht alle in einer Box, tun sie normalerweise, was Sie wollen. Am besten schauen Sie sich nicht nur die Spezifikationstabellen an, sondern auch die verfügbaren Konfigurationsoptionen im Handbuch.
  • Benutzerdefinierte Firmware für Consumer-Geräte unterstützt häufig auch VLANs, kann jedoch fehlen, was in der Regel von der Hardware abhängt, die Sie neu flashen. Natürlich gibt es die übliche Einschränkung, dass mit der benutzerdefinierten Firmware keine Unterstützung und Instabilität möglich ist. Sie müssen ein wenig recherchieren, Dev-Notizen und Forumsthemen lesen, um die geeignete Hardware für Flash zu finden.
    • Das reine Software-Routing funktioniert normalerweise, obwohl die Konfiguration schwierig sein kann, abhängig davon, welche Firmware Sie flashen.
    • Je nach Hardware funktioniert der Switch möglicherweise nicht. Einige Consumer-Router machen jeden Port einzeln für die Software verfügbar (dh Sie sehen eth0 bis eth4 in der Software), sodass Sie portbasierte VLAN-Tags anwenden können. Andere verwenden einen Hardwareschalter (dh, Sie sehen eth0 für den WAN-Port und ein aggregiertes eth1 für alle LAN-Ports). Dies bedeutet, dass Sie in der benutzerdefinierten Firmware nicht zwischen den Ports unterscheiden können und einen separaten (verwalteten) Switch benötigen, um den Tags, bevor er den Router erreicht.
    • Die Wireless-Funktionalität variiert wiederum je nach Hardware und reicht von instabil bis stabil, aber keine Unterstützung für virtuelle APs und stabil mit Unterstützung für virtuelle APs (und VLAN-Tagging).
    • Alle eingebauten Modemfunktionen funktionieren möglicherweise nicht. Dies setzt voraus, dass Sie kein separates Modem haben.
  • Man kann so ziemlich vergessen, dass Consumer-Router VLANs in der Lager-Firmware unterstützen. Die wenigen, die dies tun, werden Ihr Leben zur Hölle machen und werden wahrscheinlich nicht das erweiterte Setup unterstützen, das Sie sich vorstellen (das Beste, was ich je gesehen habe, ist auf Billion-Geräten, mit denen Sie manchmal Ports in VLANs "gruppieren" können.
  • Eine (wesentlich umfangreichere) Option ist das Erstellen einer eigenen Box. Es ist möglich, einen x86- oder ARM-Miniserver (ähnlich einem NUC) mit mehreren NICs zu kaufen, die Sie dann laden können, um ein Betriebssystem eines Routers (z. B. pfSense; dies kann sogar mit normalem Linux ausgeführt werden) und zu konfigurieren. Sie können auch mehrere NICs in einem Standard-ATX-PC installieren, WLAN-Karten hinzufügen usw. Dies ist die flexibelste Option, erfordert jedoch viel Arbeit und Recherche - und ist auch nicht billig. Dieser Coding-Horror-Blogeintrag ist ein guter Anfang.

Ich werde einige Fälle mit zunehmender Komplexität durchgehen.

Kabelgebundenes Netzwerk mit separaten Netzwerkgeräten

Dies ist im Hinblick auf die VLAN-Vernetzung relativ einfach.

Du brauchst:

  • Ein Router. Ein richtiger Router, nicht nur ein Consumer-Gateway. Sie suchen entweder nach Unternehmens- / Unternehmensgeräten oder nach kundenspezifischer Firmware. Es muss VLANs, Routing zwischen VLANs und ein NAT-Gateway zum offenen Internet unterstützen.
  • Ein verwalteter Switch, mit dem Sie den Ports ein VLAN (Tag) zuweisen können. Während Sie 802.1Q Unterstützung benötigen, auch muss eine Management - Schnittstelle verfügen! Seien Sie vorsichtig mit " intelligenten Schaltern " - die meisten werden funktionieren, aber die Easy Smart Switch-Reihe von TP-Link verfügt nicht über eine Web-Benutzeroberfläche und erfordert ein Windows-Programm, um sie zu steuern.

Das ist ziemlich einfach. Sie markieren die Frames beim Eintritt in den Switch, wodurch die VLANs nicht direkt miteinander sprechen können. Sie können dann zwischen VLANs routen (als wären es völlig getrennte Netzwerke - Ihr Router zeigt sie wahrscheinlich als separate (virtuelle) Schnittstellen an). Sie können, abhängig von Ihrem Router, Firewall-Regeln einrichten, die nur bestimmten VLANs den Zugriff auf das Internet erlauben und nur einem VLAN erlauben, Verbindungen zu einem anderen (dh in eine Richtung) herzustellen.

Vergessen Sie nicht, zu verhindern, dass VLANs auf die Verwaltungsschnittstelle Ihrer Netzwerkgeräte zugreifen!

Drahtloses Netzwerk mit separaten Netzwerkgeräten

Was fügen Sie einem kabelgebundenen Netzwerk hinzu, um es drahtlos zu machen? Wireless Access Points! Leider ist dies für den Heimgebrauch eine obskure Anforderung, daher müssen Sie sich an die Geschäftsausstattung halten oder durch Handbücher und Forenbeiträge blättern. Benutzerdefinierte Firmware könnte auch hier funktionieren.

Es gibt auch die schlechte Lösung, physisch getrennte APs zu haben, die einfach an verschiedene Ports des Switches angeschlossen werden und den Switch das Tagging übernehmen lassen.

Bei einem AP, der VLAN-Tagging unterstützt, ist die einfachste Methode das Markieren nach Netzwerk (SSID). Die Fähigkeit, mehrere drahtlose Netzwerke auf einem AP zu haben, wird manchmal als virtuelle Zugangspunkte bezeichnet.

Kabelgebundenes Netzwerk in einem einzigen Netzwerkgerät

Es gibt einige Business / Enterprise-Router mit mehreren Ports, die als Pseudo-Switch (über Bridging) fungieren können. Benutzerdefinierte Firmware kann auch mit der oben genannten Einschränkung funktionieren (Ihre Hardware muss die Ports als unabhängige Netzwerkkarten für die Software verfügbar machen). Bei vielen kabelgebundenen Geräten müssen Sie möglicherweise einen zusätzlichen verwalteten Switch hinzufügen.

Drahtloses Netzwerk in einem einzigen Gerät

Mir sind keine Business- / Enterprise-Router bekannt, die auch einen Zugangspunkt integrieren, so dass Sie mit Consumer-Hardware nicht weiterkommen. Ein solches Setup kann mit benutzerdefinierter Firmware möglich sein. Es kann schwierig sein, Hardware zu finden, die für jede Funktion gleichzeitig mit der benutzerdefinierten Firmware arbeitet .

Eine schnelle Empfehlung

Ich würde vorschlagen, den Ubiquiti Unifi-Bereich mit mehreren Geräten nach etwas Einfachem zu durchsuchen, das relativ einfach einzurichten und zuverlässig ist. Dies ist natürlich nicht die billigste Option. Sie können jedoch mehrere Geräte von einem zentralen Standort aus verwalten.

Andernfalls können Sie eine manuelle Einrichtung mehrerer Geräte in Betracht ziehen. Zum Beispiel betreibe ich (als zuverlässiger / billiger Mittelweg) einen Ubiquiti ER-X-Router (Nicht-Unifi), einen TP-Link-Managed-Switch ("Smart Switch", nicht "Easy Smart Switch") und Unifi-APs unabhängig verwaltet Billiger, aber etwas komplexer.

Die billigste Option ist, mit Consumer-Geräten zu gehen und sie mit einer benutzerdefinierten Firmware zu flashen. DD-WRT und OpenWrt sind beide Optionen, und dies tut können Sie Ihre Single-Gerät Ziel realisieren, sondern auch die kniffligsten und wahrscheinlich die meisten störanfällige Methode. Denken Sie auch hier an die unabhängigen NIC-Anforderungen und die Möglichkeit eines zusätzlichen Switches, wenn Sie keine Ports haben.

Danke, @bob, du hast dies weit mehr Gerechtigkeit gebracht, als ich je hätte tun können. djsmiley2k vor 5 Jahren 0
Danke @bob, unglaublich detailliert! Ich werde wahrscheinlich ein oder zwei Wochen benötigen, um alles, was Sie erwähnt haben, nachzulesen, aber auf jeden Fall ein guter Ausgangspunkt! Ich habe auch eine Grafik hinzugefügt, wie ich mir das Netzwerk eines Tages vorstellen kann. fußballball vor 5 Jahren 0
@ fußballball Keine Sorgen. Fühlen Sie sich frei, um detailliertere Fragen zu stellen, oder fragen Sie mich im Chat für eine interaktivere Diskussion. (PS, das ich gerade in einem Abschnitt über Geschwindigkeit bearbeitet habe, aber im Allgemeinen wird es Ihnen gut gehen, wenn Ihre Internetverbindung nicht größer als 100 MBit / s ist.) Bob vor 5 Jahren 0
@fußballball Ich habe gerade gemerkt, dass ich deine zusätzlichen Fragen verpasst habe. Ich füge einige Anmerkungen hinzu: Einige IoT-Geräte sind lokal, während andere * einen * Internetzugang benötigen. Es kann schwierig sein zu wissen, in welche Kategorie Sie passen, ohne es auszuprobieren. VLAN + -Firewall ist besser - Sie können die meisten Zugriffssteuerungsfirewalling auf dem Router durchführen, anstatt jedes einzelne Gerät. Ohne VLANs können die LAN-Geräte unter Umgehung der Router-Firewall miteinander kommunizieren, sodass Sie viele Firewalls auf Geräteebene benötigen. Bob vor 5 Jahren 1
@bob Danke, das hilft viel! Sind in der Regel alle Ubiquiti-Produkte integriert (über den Kauf gebrauchter Produkte nachzudenken)? Sind die meisten Router-Firewalls ausreichend sicher oder wird externe Hardware empfohlen? fußballball vor 5 Jahren 0
@ fußballball Ubiquiti hat mehrere Produktlinien. Alle Produkte der Unifi-Linie sind in einer zentralen Steuerung integriert. Die EdgeRouter-Zeile ist separat (obwohl sie an "UNMS" arbeiten, um * alles * zu integrieren). Innerhalb des Unifi-Bereichs dient das "UniFi Security Gateway" als Firewall / Router / etc .. Bei Firewalls hängt es wirklich davon ab, wo es vorhanden ist (am Router kann es Cross-VLAN blockieren, bei einzelnen Hosts kann es mehr geben.) Kenntnisse über Anwendungen). Unternehmens-Firewalls auf höherer Ebene können tiefere Paketinspektionen und -klassifizierungen durchführen, sind jedoch zu viel für Sie. Bob vor 5 Jahren 1
@Bob Ich wollte Sie wissen lassen, dass ich einen UniFi USG, einen Switch und einen Access Point zu erschwinglichen Preisen gekauft habe (ich denke insgesamt 200, es waren Ausstellungsstücke). Da ich erst im Oktober in die neuen Wohnungen ziehen werde, wird es einige Zeit dauern, bis ich weitere Fragen stellen oder detailliertes Feedback geben kann. Übrigens, ich habe mir auch eine Bufallo Airstation N300 gekauft, da sie für 25 DD-Unterstützung ist - ich denke, dies wird eher ein Spielzeug sein. Danke für deine Hilfe! fußballball vor 5 Jahren 0
@ fußballball Awesome! Möglicherweise ist [this] (https://help.ubnt.com/hc/de-us/articles/115010254227-UniFi-USG-Firewall-How-to-Disable-InterVLAN-Routing) hilfreich. Ansonsten können Sie gerne spezielle Fragen stellen oder einfach nur unter [chat] (https://chat.stackexchange.com/rooms/118/root-access) zur allgemeinen Diskussion auftauchen :) Bob vor 5 Jahren 0
@ Bob Awesome, wird es tun! Für den Fall, dass Sie sich heutzutage über Sicherheitsaspekte Gedanken machen, scheint dies darauf hinzuweisen, dass die meisten Router gerade eine ganze Reihe von Sicherheitsmängeln haben (https://hashcat.net/forum/thread-7717.html). fußballball vor 5 Jahren 0
@fußballball Eh ... nicht wirklich. Zunächst einmal betrifft der Angriff nur WAPs und nicht Router. In einem solchen Netzwerk mit mehreren Geräten müssen Sie also nur die WAPs aktualisieren (hoffentlich nur ein Software-Upgrade). Und selbst dann ist dieser Angriff nicht schwerwiegender als bestehende Angriffe - er überwindet die Notwendigkeit, einen vorhandenen Client ausfindig zu machen (was für immer möglich war), aber das gleiche Bedürfnis, den Hash zu knacken, bleibt bestehen. Bei speziellen Verwaltungs-APs (etwa Ampeln usw.), die nur sehr selten über einen Client verfügen, könnte dies einen größeren Unterschied ausmachen. Bob vor 5 Jahren 0

Verwandte Probleme