Sinnvolle Netzwerk Segmentierung mit VLAN - Erhöhung Datensicherheit und Zugriffsschutz im Heimnetz

Поделиться
HTML-код
  • Опубликовано: 17 ноя 2024

Комментарии • 33

  • @stefanm.7261
    @stefanm.7261 2 месяца назад +7

    Interessant, Danke! Jetzt wäre noch spannend, wie die einzelnen Trafficregeln in Unify eingerichtet werden für dieses Beispiel. Das ist nämlich dann wirklich komplex! Wäre klasse, wenn es dazu dann ein ausführliches Video gibt!

    • @hausundtechnik
      @hausundtechnik  2 месяца назад +2

      Vielen Dank und ja das Thema Traffic Regeln habe ich noch auf meiner ToDo Liste stehen 🙂

    • @jensboller5929
      @jensboller5929 Месяц назад +2

      Perfekt auf das Video freue ich mich schon.
      Klasse Video mach weiter so.

  • @plohmix-sg9qq
    @plohmix-sg9qq Месяц назад +1

    Danke für das Video. War für mich schon mal der richtige Ansatz. Schön wäre es, wenn du im nächsten Schritt ein wenig in die Tiefe gehst(Konfiguration). Wenn ich z.B. meine Kameras im eigenen VLAN habe, wie komme ich von meinem Managementnetz an die Kameras? Umgekehrt, wie verhindere ich, dass die z.B. Kameras auf ein anderes VLAN zugreifen können? Ansonsten hast du genau meinen Geschmack getroffen. Mach weiter so.

    • @hausundtechnik
      @hausundtechnik  Месяц назад

      Vielen Dank 👍 Ja ein Video zu entsprechenden Traffic Regeln steht noch auf meiner Todo Liste.

  • @miiichael0815
    @miiichael0815 8 дней назад +1

    Hallo, sehr gut erklärt. Wie trennst du die IoT Geräte im VLan untereinander ab?
    Mit den "Private Pre-Shared Keys" brauchst du nur eine Wlan SSID.
    Gruß Michael

    • @hausundtechnik
      @hausundtechnik  7 дней назад

      Vielen Dank. - Ich gestehe bislang den IoT Geräten untereinander die Kommunikation zu. Mit den preshared keys habe ich mich noch nicht detailliert auseinandergesetzt... Aber der Winter kommt ja 😉

  • @Richard_GIS
    @Richard_GIS Месяц назад +4

    Danke für das Video, hast du dir gut überlegt, aber warum der Drucker 'kein Sicherheitsrisiko' ist verstehe ich beim besten Willen nicht - zumindest ausgehend von meinem HP ;-). ich würde den in iot oder smarthome packen, da du ja einstellen kannst das main und vielleicht die kinder eben auf dieses immer zugreifen können.

    • @hausundtechnik
      @hausundtechnik  Месяц назад +2

      Vielen Dank 👍und ja, ich habe das Thema Drucker (da sind auch noch 2-3 andere Punkte) noch nicht ganz zu Ende gedacht. Grundsätzlich war erstmal der Gedanke das Gerät wie dargestellt in die Infrastruktur zu packen. Aber Du hast natürlich Recht, am Ende ist es auch eines der Geräte die im Zweifel zu einem Einfallstor werden können.
      Die Zugriffseinstellungen für z.B. IoT wären da eigentlich nicht anders als im Defaultnetz. Ich habe jetzt ja schon regeln definiert wer auf den Drucker zugreifen darf... Diese müssten ja nur in ein anderes VLAN verweisen...

  • @olbu
    @olbu 13 дней назад +1

    VLAN ist für mich noch ein Buch mit 7 Siegeln, will aber auf Unify wechseln. Danke für den ersten Einblick. 1) Wo würde man den Netzwerkdrucker einbinden (VLAN) und wie stellt man sicher, dass sowohl die Kinder als auch Main-Lan dort drucken können? (Der Drucker ist auch Scanner und muss Dokumente am NAS ablegen dürfen) 2) iot: Shelly-Geräte kommunizieren auch gern untereinander, kann man es so konfigurieren, dass diese Geräte untereinander dürfen und auch mit der Steuerzentrale und dem Internet. Andere iot sollen nicht untereinander kommunizieren dürfen (oder erfordert dies ein weiteres iot-WLAN?) 3) smart-home-server: Kinder, Main, iot wollen sich dorthin verbinden. Der Server verbindet sich (abgesehen von der DMZ) mit allen VLAN, oder? (Schließlich lässt sich alles monitoren und steuern) (Main für Backup auf NAS, Adminnetz zur Prüfung welche Geräte online sind (Presence), Drucker Toner, usw. ) Hat dann so ein Server zwangsläufig mehrere Netzwerkinterfaces, als Standbein für die diversen VLAN?

    • @hausundtechnik
      @hausundtechnik  12 дней назад +1

      Danke für die Rückmeldung.
      All die beschriebenen Punkte sind in VLAN Netzen lösbar. Der Großteil lässt sich bei UnFi über sogenannte Traffic Regeln erschlagen. Da wird festgelegt wer was darf und wer nicht.
      Bei uns dürfen z.B. auch die Geräte aus dem gekapselten VLAN Child auf den Drucker zugreifen. Allerdings die Anzahl der Regeln wird schnell unüberschaubar je detaillierter man das ganze Thema angeht. Also wer jedes Gerät einzeln regelt der hat auch eine Menge Regeln zu erstellen. 🤷‍♂️

  • @MrRomeoforLife
    @MrRomeoforLife 2 месяца назад +4

    Und wie läuft das wenn meine SmartHome Zentrale z.b. iobrocker zugriff auf meine kameras haben soll. Können die vlans untereinander den "sprechen"? Und wie ? Lg ps. Danke für das Video. Weiter so....

    • @hausundtechnik
      @hausundtechnik  Месяц назад

      Vielen Dank 👍- Ja es gibt die generelle Möglichkeit das über "Firewall" Regeln bzw. bei UniFi gibt es da noch die etwas vereinfachten Traffic Regeln zu lösen. Darüber kann man recht gut definieren welches Gerät z.B. auf Deine Kameras zugreifen darf aber nicht umgekehrt.

  • @andreaskoch7480
    @andreaskoch7480 Месяц назад +1

    Kleiner Verbesserungsvorschlag: Das Default VLAN sollte eher in eine DMZ oder eine Quarantäne münden. Das default VLAN hat ja den Sinn, das dort Geräte landen die nix mit VLAN's anfangen können oder noch nicht konfiguriert sind und die sollten dann besser nicht zwischen den Servern und Management Interfaces der Netzkomponenzen landen. Gerade die gehören ja bestens abgesichert.
    Zugegeben, ist eher ein Thema im LAN, als im WLAN aber es minimiert Fehler und wer weiß wohin sich das Netz noch entwickelt...

    • @Horratz
      @Horratz Месяц назад +1

      Default Vlan, als Vlan 1 sollte an keinem Port anliegen, da es Vlan hopping ermöglicht. DMZ ist ein Bereich der von außen erreichbar ist, z.b für Dienste die aus dem Internet erreichbar sein sollen.

    • @hausundtechnik
      @hausundtechnik  Месяц назад +1

      Vielen Dank 👍 Ja ich denke ich werde das Default LAN in Quarantäne schicken und ein separates Management VLAN aufsetzen in das die Infrastruktur Komponenten gehören.

  • @hans-peterschmid7749
    @hans-peterschmid7749 Месяц назад +1

    Das hast du ja sehr professionell bei dir aufgebaut, fast schon wie in einem Unternehmen - Respekt.
    Was mich aber interessieren würde ist, wenn du mal nicht verfügbar bist und etwas funktioniert nicht, blickt da noch jemand anderer durch und kann toubleshooten ?
    Bei mir wäre der "Woman Acceptance Factor" (WAF) bei so einem Konstrukt weit unter Null. Unternehmen haben ja IT-Abteilungen, die sich um sowas kümmern, wenn was nicht läuft.

    • @hausundtechnik
      @hausundtechnik  Месяц назад +1

      Vielen Dank 👍
      Ja ich muss gestehen, das mit dem Durchblick für andere in der Familie ist etwas schwierig. Ich habe die Hoffnung, das unser Sohn da beizeiten hilft.
      Aber man kann auch durchaus präventive Maßnahmen ergreifen wie z.B. keine automatischen Updates. Damit vermeidet man schon gut 50% aller bösen Überraschungen. Aber der WAF wäre auch bei einer einfacheren Installation mit FritzBox nur solange vorhanden wie keine Fehler auftreten... 🤷‍♂️

  • @KPTnVAN
    @KPTnVAN 2 месяца назад +1

    Vielen Dank! Ich stehe an der Schwelle, von der Fritzbox auf UNIFi-Gateway zu wechseln, habe aber Befürchtungen, dass in der Umstellungsphase einiges nicht läuft und der gesamte Datenverkehr (zeitweilig) zusammenbricht. Wie könnte man schrittweise oder geräteweise umsteigen? Das heißt, beide Netze laufen parallel und ich übernehme einzelne Geräte vom alten Netz un das neue. Dazu ein Video wäre sehr hilfreich.

    • @hausundtechnik
      @hausundtechnik  2 месяца назад

      Hallo,
      grob habe ich das schon mal in dem Video ruclips.net/video/So9CBbGXDZU/видео.html beschrieben wie man einen Umstieg von der FritzBox zum UniFi Gateway hinbekommt.
      Meine Empfehlung lautet da, das Unifi Gateway in das Netzwerk der FB einzubinden, entsprechend zu konfigurieren und dann stückweise umzuziehen. Zum Schluss hängt man dann das Unifi Gateway an den DSL oder GF Anschluss. Danach sind noch ein paar Anpassarbeiten zu machen, ganz übergangslos geht es leider nicht, aber dann sollte es laufen.
      Mit vernünftiger Vorbereitung ist das gut zu schaffen 😊

  • @andreasgpunkt976
    @andreasgpunkt976 Месяц назад +1

    Danke für das Video, ich habe es bei mir ähnlich aufgesetzt. Was ich anders gemacht habe, ist z.B. das Default LAN. Hier kommt eigentlich nichts rein, auch nehme ich die VLAN ID 1 aus meinen Trunks raus. Der ganze Datenverkehr läuft nur tagged. Die Verwaltung von Geräten wie Switche, APs usw. läuft über ein separates Management VLAN, wo nur von einer Admin Station/VLAN zugegriffen werden kann. Das "Extern" VLAN ist bei mir das DMZ VLAN wo Server drinnen stehen, die man von Außen braucht, bzw. "Frontend" Server die dann dedizierte Punkt zu Punkt Verbindungen in andere VLANs herstellen

    • @hausundtechnik
      @hausundtechnik  Месяц назад +1

      Vielen Dank für Deine Rückmeldung 👍 Vielleicht schwenke ich nochmal ein wenig um auf Deine Idee, die ich recht gut finde nur mit VLANs zu arbeiten, die Infrastruktur in ein "echtes" Management VLAN zu überführen und das Default LAN bis auf das Gateway leer zu lassen. - Da muss ich nochmal drüber nachdenken 😊

  • @AncapDude
    @AncapDude 2 месяца назад +1

    Sehr gut. Bei mir ist das noch etwas stiefmütterlich. Ich habe nur Gast-WLAN, der Rest ist in einem Netz. Ich habe auch nur eine FB 7590 und glaube nicht, dass ich das mit der so umsetzen kann. Wichtig zu erwähnen finde ich aber, für Nicht-Gast-WLANs auch immer den MAC-Filter zu aktivieren, denn mit den Smartphones ist es zu einfach, die Zugangsdaten weiterzugeben. Dann hat man z.B. bei der FB noch die Option, alle Gast-Geräte zu isolieren, dass die auch nicht untereinander sprechen dürfen. Das finde ich auch wichtig. Beim Haupt VLAN müsste man noch einstellen können, dass das auf die anderen VLANs routen darf, aber nicht umgekehrt. Jetzt brauche ich nur noch passende Hardware, ein VLAN-Switch mit Access Point oder sowas. Kannst du da was empfehlen?

    • @hausundtechnik
      @hausundtechnik  2 месяца назад +1

      Vielen Dank für Deine Rückmeldung. 👍 Ich habe vor einigen Monaten unser Netzwerk komplett auf UniFi umgestellt. Die FB nutze ich nur noch als Telefonzentrale hinter einem UniFi Gateway. Mit einer FB als Hauptrouter dürften VLAN nur schwer umsetzbar sein. Soweit ich das kenne hat die FB nur ein Default und ein Gast Netzwerk. Das war mit ein Grund die FB auszuphasen.

  • @eisgreg
    @eisgreg Месяц назад

    Wie können deine Kinder Drucken oder ihre Daten auf der NAS sichern?
    Schade das die FritzBox VLans nicht kann und langfristig auch nicht können wird.
    Somit sind deutlich mehr Geräte (switch gatway accesspoint) die dann auch Strom ziehen um das um zu setzen.
    Leider hat unifi und co kein all in one Gerät.

    • @hausundtechnik
      @hausundtechnik  Месяц назад +1

      Das mache ich über Traffic Regeln. Unser Sohn kann damit aus seinem VLAN mit zugelassenen Geräten z.B. auf den Drucker zugreifen oder aber auch auf seinen Speicherbereich auf dem NAS.
      Ja, das war mit einer der Gründe auf UniFi zu gehen. Klar es sind mehr Geräte und der Aufwand wird etwas größer, aber man gewinnt auch eine ganze menge an Flexibilität und kann sich sein Netzwerk individuell gestalten. Beim Stromverbrauch kann ich Dich beruhigen, der liegt üblicherweise bei den Komponenten im unteren einstelligen Wattbereich.

  • @derplattenbau
    @derplattenbau 2 месяца назад +1

    Warum arbeitest du bei den WLANS nicht mit "Private Pre-Shared Keys" ? Anstelle der ganzen SSIDS

    • @hausundtechnik
      @hausundtechnik  2 месяца назад

      Ich muss gestehen, dass ich mit den Pre Shared Keys nicht so wirklich auskenne 🤷‍♂️ Muss ich mich bei Zeiten mal mit beschäftigen. Danke für den Hinweis

    • @andreaskoch7480
      @andreaskoch7480 Месяц назад

      ​@@hausundtechnikKann man bei Unify auch einzelnen Devices eine eigene PPSK geben? Wenn ja, dann könnte man die ja auch nach belieben wieder entziehen und so einzelne Geräte / User rauswerfen.
      PPSKs haben auch den Vorteil, dass sie den Overhead im WLAN nicht so aufblasen. OK, das ist im Heimnetz aber eine eher akademische Diskussion.

    • @hausundtechnik
      @hausundtechnik  Месяц назад

      @@andreaskoch7480 Ich bin mit den PPSK noch nicht so vertraut, aber grundsätzlich bietet UniFi das an. Der Punkt wäre allerdings, daß ich ja die unterschiedlichen SSID habe um Geräte voneinander zu trennen und nicht nur um separate WLAN Passwörter zu haben... Ich glaube da muss ich tiefer eintauchen. 👍

  • @mrotzoll
    @mrotzoll Месяц назад

    Dein Beispiel mit dem Netz 192.154.1.0/24 ist leider kein RFC1918 Netz.
    Sowas sollte man, grade in Beispielen, nicht zeigen und natürlich auch nicht nutzen. Genau dafür sind die privaten Netze gedacht, die nicht geroutet werden.

    • @hausundtechnik
      @hausundtechnik  Месяц назад

      Ja das stimmt. Das Beispiel war unbedacht gewählt...