Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
smutbert
Beiträge: 5742
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von smutbert » 29.10.2017 14:10:45

Hi allerseits,

ich brauche euren Rat:
Für meinen (billigen Plastik-) Router mit eingebautem 3G-Modem gibt es (lange) keine Updates mehr und ganz abgesehen von den WPA2-Lücken vermisse ich ohnehin einige Funktionen, vor allem
  • die Namensauflösung per DHCP im Netzwerk angemeldeter Geräte und
  • irgendeine zusätzliche Absicherung des WLANs zu WPA2, zB mit einem VPN (??), wobei ich da noch etwas ratlos bin wie das gehen könnte ohne dass man Geräte, die nichts von dieser zusätzlichen Absicherung verstehen, komplett aussperrt (zB Netzwerkdrucker, Streamingclients).
Würdet ihr mir eher raten
  1. einen neuen Router zu besorgen oder
  2. den alten zu behalten.
    Ich würde dann sein WLAN deaktivieren, ihn an eine Netzwerkschnittstelle eines (bereits vorhandenen) kleinen lüfterlosen PC hängen und diesen als WLAN-AP/Router verwenden (den alten Router sozusagen zum Modem degradieren).
    Von der Zahl der Netzwerkschnittstellen wär das vorerst kein Problem, weil nur mein stationärer PC mit einem Netzwerkkabel am Router hängt und der lüfterlose PC zwei Schnittstellen hat. Klingt diese Konstellation nach einem Sicherheitsrisiko, wenn der PC weiterhin seine momentanen Aufgaben im Netz erfüllen soll - er dient mir momentan als apt-cacher-ng-Server und als kleines NAS.
lg smutbert

Benutzeravatar
niemand
Beiträge: 10292
Registriert: 18.07.2004 16:43:29

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von niemand » 29.10.2017 14:17:09

So aus dem Bauch heraus: Letzteres. Wenn du dir einen neuen Plastikrouter holst, wirst du auf lange Sicht das gleiche Problem wieder haben, und mit einem eigenen Rechner für den Job hast du weit mehr Kontrolle und kannst auch erheblich mehr Komfort realisieren.

Bei mir hat den Job ein Cubie hinter Yodaphones Plastikrouter, der zusätzliche Stromverbrauch ist imho zu vernachlässigen. Sieht dann etwa so aus: Plastikrouter ↔ Cubie ↔ Switch ↔ LAN mit allen anderen Rechnern. Als zweite NIC ist ein USB-Ethernetstick angeklemmt, die zusätzliche Latenz ist kaum messbar, und die hier anliegenden 16MBit/s verarbeitet der problemlos. Das Onboard-WLAN ist auch gut als AP zu benutzen, sofern man keinen großen Wert auf den neusten Kram (5GHz und so) legt.
Du möchtest schnell und unkompliziert auf meine Ignore-Liste? Schreibe einfach „Gesendet von meinem … mit Tapatalk“ unter deinen Beitrag, oder poste Textausgaben als Bild

Jana66
Beiträge: 2638
Registriert: 03.02.2016 12:41:11

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von Jana66 » 29.10.2017 15:54:54

Wuerde auch Methode b) waehlen. 3G-Modem brauchst du ja.
Wuerde dann analog wie bei keinem, aeh niemand :wink: aussehen: 3G-Modem - Mini-PC - Switch - PCs. (Oder PC ohne Switch.)
smutbert hat geschrieben: ↑ zum Beitrag ↑
29.10.2017 14:10:45
Klingt diese Konstellation nach einem Sicherheitsrisiko, wenn der PC weiterhin seine momentanen Aufgaben im Netz erfüllen soll - er dient mir momentan als apt-cacher-ng-Server und als kleines NAS.
Hier streiten sich die Geister. :wink: Eigentlich trennt man Firewall und NAS, aber einige professionelle Linux-Server-Distris (ClearOS) lassen Gateway mit vielen Diensten (Server) zu. Allerdings nicht "einfach so", Zusammenstellung von Paketen bleibt dem Kaeufer/Admin ueberlassen. Vielleicht das vorhandene Geraet doch zusaetzlich als NAT-Router nutzen? Aber so ohne Updates wieder unsicher. Wenn du allerdings auf dem Mini-PC zusaetzlich eine Firewall laufen laesst? Der Router ohne Updates zumindest bleibt unsicher, koennte Teil eines Botnetzes wie so viele IoTs werden. Also doch nur 3G-Modem und Firewall auf Mini-PC.
smutbert hat geschrieben: ↑ zum Beitrag ↑
29.10.2017 14:10:45
irgendeine zusätzliche Absicherung des WLANs zu WPA2, zB mit einem VPN (??), wobei ich da noch etwas ratlos bin wie das gehen könnte ohne dass man Geräte, die nichts von dieser zusätzlichen Absicherung verstehen, komplett aussperrt (zB Netzwerkdrucker, Streamingclients).
Ein Accesspoint mit WPA2-Enterprise (802.1X und RADIUS)? Hast ja einen kleinen Server (NAS) laufen. Die Clients interessiert nur WPA2 und eventuell Zertifikate. Letzteres nicht unbedingt erforderlich, Passworte genuegen auch. WPA2-Enterprise wuerde nur Authentifizierung sicherer machen, keine zusaetzliche Verschluesselung wie ueber WPA2 "aufgestuelptes" VPN. Kannst ja im LAN und WLAN wenigstens verschluesselte Protokolle wie ftps sftp etc. einsetzen. Druckertraffic ist wohl nicht so kritisch. Streaming ueber VPN koennte an geringer WLAN-Bandbreite zu sehr "knabbern". Oder Jitter durch rechenaufwaendige Verschluesselung.

Edit: Den "Knackpunkt" bei der Entscheidung "neuer Router oder nicht" sehe ich in den Diensten, die auf dem Mini-PC zusatzlich zur Firewall laufen. Bei kritischen Diesten sollte man Server und Firewall trennen. M. E. machen LTE-Provider Carrier Grade NAT, vielleicht alles halb so wild bei 3G-Zugang?
https://de.m.wikipedia.org/wiki/Carrier-grade_NAT
Bei Univention kann man auch viel (falsch) zusammenstellen: https://www.univention.de/produkte/univ ... p-katalog/
Server und Firewall (UTM) kann man zumindest auch getrennt erwerben: https://www.clearcenter.com/pages/products
Mit den letzten Links ging es mir nur darum, zu schauen, wie Profis Dienstetrennung auf Gateways handhaben. Also um's Spicken. :wink: )
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Benutzeravatar
smutbert
Beiträge: 5742
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von smutbert » 29.10.2017 21:04:12

Ob ich Carrier-grade NAT will, konnte ich mir aussuchen (zumindest glaube ich, dass es das war) – mein Router erhält jedenfalls eine öffentliche IP, aber ich glaube die Wahlmöglichkeit wird, spätestens, wenn ich meinen Tarif ändere, gemeinsam mit der öffentlichen IP wegfallen, aber
Jana66 hat geschrieben: ↑ zum Beitrag ↑
29.10.2017 15:54:54
Vielleicht das vorhandene Geraet doch zusaetzlich als NAT-Router nutzen?
NAT macht mein Plastikrouter zwangsweise, aber wie du bereits schreibst, würde ich den Router gerne als unsicher betrachten, auch wenn ich insgeheim hoffe, dass er ohne DHCP und WLAN nicht besonders viel Angriffsfläche bietet.
Jana66 hat geschrieben: ↑ zum Beitrag ↑
29.10.2017 15:54:54
Edit: Den "Knackpunkt" bei der Entscheidung "neuer Router oder nicht" sehe ich in den Diensten, die auf dem Mini-PC zusatzlich zur Firewall laufen. Bei kritischen Diesten sollte man Server und Firewall trennen.
In welcher Hinsicht kritisch? Wahrscheinlich stelle ich mich gerade saublöd an, aber ich kann das schlecht einschätzen.

Auf dem MiniPC laufen jetzt jedenfalls ssh, apt-cacher-ng, mpd und minidlna, als Datenquelle für den Streamingclient.

Zum ssh-Server existiert auf dem Plastikrouter ein Portforwarding, das ich bei Bedarf aktiviere, damit hilfesuchende Freunde einen ssh-Tunnel aufbauen können.
Spielt es bei der Sicherheit (Trennung von Firewall und Server) überhaupt eine Rolle ob die Dienste von außen erreichbar sein sollen oder nicht?
und wie läuft die Verbindung im Heimnetz mit VPN mit VPN-unfähige Geräten: über den VPN-Server oder komplett am VPN vorbei (hätte dann ein VPN überhaupt noch einen Sinn)?

Jana66
Beiträge: 2638
Registriert: 03.02.2016 12:41:11

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von Jana66 » 29.10.2017 21:45:00

smutbert hat geschrieben: ↑ zum Beitrag ↑
29.10.2017 21:04:12
Ob ich Carrier-grade NAT will, konnte ich mir aussuchen (zumindest glaube ich, dass es das war) – mein Router erhält jedenfalls eine öffentliche IP ...
Mit CGN wuerdest du eine IP aus 100.64.0.0 bis 100.127.255.255 erhalten. Mehrfach benutzt so wie die privaten IPs nach RFC1918 und wegen NAT auf Providerseite nicht oeffentlich erreichbar. Hast bestimmt was anderes/besseres, wenn du eine oeffentliche IP bekommst.
smutbert hat geschrieben: ↑ zum Beitrag ↑
29.10.2017 21:04:12
In welcher Hinsicht kritisch?
Das geht um Angriffsflaechen, GUIs auf Servern sind im Forum zumindest "unbeliebt". (Unbekannte) Exploits in zusaetzlichen, auf einer Firewall unnoetigen Diensten und deren eventuelle Konfigurationsfehler (offene Ports) vergroessern Angriffsflaeche.
Hier mal ein Beispiel, was Profis auf einer Firewall (moeglicherweise mit gutem Gewissen :wink: ) noch laufen lassen: https://doc.pfsense.org/index.php/Package_list
mini-dlna auf Firewall "gefällt" mir nicht.
Spielt es bei der Sicherheit (Trennung von Firewall und Server) überhaupt eine Rolle ob die Dienste von außen erreichbar sein sollen oder nicht?
Theoretisch nicht von aussen erreichbare Dienste können auch momentan unbekannte Exploits und eigene Fehlkonfigurationen bergen.
...und wie läuft die Verbindung im Heimnetz mit VPN mit VPN-unfähige Geräten...
VPN beidseitig im Heimnetz terminiert ist schon sehr "aluhütig". :wink: WPA2-PSK-Traffic ist verschlüsselt und "Krack" hoffentlich gefixt. Für Dateitransfers per WLAN kann man ja ftps/sftp mal nutzen, Management mit SSH und Passwort macht kaum zusätzliche Arbeit, Web-GUIs nutzen https. Und ein kastriertes, VPN-unfähiges Gerät kann's halt nicht. Vielleicht aber https.

An deiner Stelle (Streaming-, NAS-Server) wuerde ich wohl doch einen Router mit Firewall vor den Mini-PC setzen, den Mini-PC als reinen Server im LAN verwenden. Vielleicht eine stromsparende APU3b4 von PCEngines, wo man entsprechende Mobilfunk-Karte UND WLAN-Karte einbauen und PFSense, OPNSense, IPFire, Debian als Router/Firewall nutzen kann?
https://pcengines.ch/apu3a2.htm
(Wer hat's erfunden? Die Schweizer. :THX: Gibt es auch als Bundle, Fertiggeraet mit Gehaeuse.)

Edit: Text erweitert.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Benutzeravatar
smutbert
Beiträge: 5742
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von smutbert » 30.10.2017 20:54:32

Danke niemand und vor allem Jana.


Jetzt, habe ich einen ungefähren Plan. Ich werde auf dem MiniPC testweise alle Dienste bis auf ssh lahmlegen und ausprobieren ob ich es bis zu einer funktionierenden Firewall-, Router- und Accesspoint-konfiguration schaffe. Wenn ja, werde ich schon merken, ob ich das dann auf so einem System von pcengines oder etwas ähnlichem laufen lassen will.

Eine Frage habe ich vorläufig noch:
Die Trennung von Firewall und Server könnte ich doch auch mit einer Virtualisierung machen – lxc wollte ich eh schon einmal kennenlernen oder wäre dafür eine vollständige Virtualisierung à la VirtualBox/qemu/kvm sinnvoller oder wär das sowieso nichts gescheites?
und wenn doch, würde ich zwei virtuelle Maschinen laufen lassen, eine für Router/Firewall und eine für den Server oder lasse ich eines von beiden direkt auf dem Host laufen?

Jana66
Beiträge: 2638
Registriert: 03.02.2016 12:41:11

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von Jana66 » 31.10.2017 11:38:12

smutbert hat geschrieben: ↑ zum Beitrag ↑
30.10.2017 20:54:32
Die Trennung von Firewall und Server könnte ich doch auch mit einer Virtualisierung machen – lxc wollte ich eh schon einmal kennenlernen oder wäre dafür eine vollständige Virtualisierung à la VirtualBox/qemu/kvm sinnvoller oder wär das sowieso nichts gescheites?
und wenn doch, würde ich zwei virtuelle Maschinen laufen lassen, eine für Router/Firewall und eine für den Server oder lasse ich eines von beiden direkt auf dem Host laufen?
Eine Virtualisierung der Firewall wird allgemein abgelehnt. Man hätte eine vergrößerte Angriffsfläche durch das Virtualisierungssystem und das Hostsystem und müsste letzteres zusätzlich härten, was nicht jeder kann.

Mit etwas Vertrauen zu den Virtualisierungslösungen würde ich an deiner Stelle die Firewall auf Blech laufen lassen und den Server für das LAN (Streming, NAS etc) virtualisieren. Z. B. mit Virtualbox und die virtuelle Schnittstelle des Gastsystems an die LAN-Schnittstelle der Blech-Firewall (Mini-PC) bridgen. Wegen Erreichbarkeit des virtuellen Servers aus dem gesamten LAN.
https://www.thomas-krenn.com/de/wiki/Ne ... VirtualBox
Die Firewall-Regeln für das LAN wären mit Bridging für das virtuelle Gastsystem 1:1 gültig. Kannst aber wegen Bridging auch nicht unterschiedlich per Firewall einschränken, müsstest du dann im Gastsystem mit iptables oder so tun. (Ausprobiert habe ich das alles nicht, erscheint mir jedoch logisch.)

Da ich mir persönlich nicht zutraue, ein Debian zu härten (bisher kein Bedarf, also kein Wissen angeeignet), würde ich einfach auf das Wissen und die Erfahrung und die Arbeit anderer zurückgreifen und IPFIRE als fertige Firewall-Distribution und einigermaßen vertrautes Linuxsystem verwenden (PFSense, OPNSense basieren auf FreeBSD) und wie im vorhergehenden Absatz beschrieben, virtualisieren. Andere Virtualisierungslösungen als VBOX habe ich nocht nicht ausprobiert, bin mit VBOX zufrieden.

Mit entsprechendem Wissen (oder Ambitionen) kannst du sicher auch ein gehärtetes Debian als Hostsystem, d. h. als Router-Firewall-Kombination auf Blech verwenden und einen anderen Virtualisierer als VBOX für deinen Heimserver.

Für andere Mitleser:
In einer Firma würde ich immer Firewall und (virtuelle) LAN-Server gerätetechnisch trennen - wegen kleinerer Angriffsflächen, einfacherer Backups, direkte Angriffe nur durch Exploits und Fehlkonfigurationen des Firewall-System möglich.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Benutzeravatar
ingo2
Beiträge: 476
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von ingo2 » 07.11.2017 23:00:18

Jana66 hat geschrieben: ↑ zum Beitrag ↑
31.10.2017 11:38:12
Da ich mir persönlich nicht zutraue, ein Debian zu härten (bisher kein Bedarf, also kein Wissen angeeignet), würde ich einfach auf das Wissen und die Erfahrung und die Arbeit anderer zurückgreifen und IPFIRE als fertige Firewall-Distribution und einigermaßen vertrautes Linuxsystem verwenden (PFSense, OPNSense basieren auf FreeBSD) und wie im vorhergehenden Absatz beschrieben, virtualisieren.
Bin auch noch immer auf der Suche nach einer gescheiten Firewall, die mehr kann als meine FB7430..
Nur zu deiner Information:
IPFire (auch mein Favorit aus genannten Gründen) beherrscht leider kein IPv6: https://forum.ipfire.org/viewtopic.php? ... v6#p110887 und ist damit momentan noch aus dem Rennen. Wann v3.x kommt, steht in den Sternen - leider.

Ingo

Jana66
Beiträge: 2638
Registriert: 03.02.2016 12:41:11

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von Jana66 » 08.11.2017 09:45:36

ingo2 hat geschrieben: ↑ zum Beitrag ↑
07.11.2017 23:00:18
Nur zu deiner Information:
IPFire (auch mein Favorit aus genannten Gründen) beherrscht leider kein IPv6 ... Wann v3.x kommt, steht in den Sternen.
Danke, Kenntnis genommen. :wink:
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

gugus
Beiträge: 252
Registriert: 04.09.2002 17:41:17
Wohnort: da wo ich zu Hause bin

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von gugus » 08.11.2017 20:46:35

Servus,
Nebenbei zur Virtualsierung, ich habe einen Xen Server am Start (Dom0) und darauf eine Ipfire Firewall (DomU).
Weitere DomU's als NFS etc.
In die Firewall habe ich eine Netzwerkkarte durchgereicht, die Dom0 sieht diese Karte nicht.
Dies hat bis anhin alle Tests bestanden.

Gruss
Gugus

Benutzeravatar
smutbert
Beiträge: 5742
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von smutbert » 09.11.2017 23:04:14

Danke, das klingt auch ganz gut, aber nachdem ich nun die ersten paar Minuten (oder waren es Stunden – ich glaube es nicht wieviel Zeit man mit einer falschen wlan-Passphrase verplempern kann) in das Projekt investiert habe, bin ich zum Schluss gekommen, dass ich das ganze so einfach wie möglich halten will :)


hostapd und dnsmasq funktionieren jedenfalls schon einmal, auch wenn ich viele Optionen noch nicht verstehe.
Die WLAN-Signalqualität hat sich freundlicherweise gegenüber dem Plastikrouter verbessert.

Zumindest rudimentäres Routing (samt Firewall) habe ich auch (glaube ich) – zumindest verwehren mir die iptables-Regeln erfolgreich den Zugriff auf den mpd-Server und sie verhageln mir auch die avahi-Dienste.

Eigentlich würde mich interessieren, was ihr von der Konfiguration hier als Ausgangspunkt haltet (ich seh nix verdächtiges, aber ich habe ungefähr soviel Erfahrung mit iptables wie mit dem Legen von Eiern):
https://arstechnica.com/gadgets/2016/04 ... m-scratch/
Nur das Portforwarding habe ich vorerst weggelassen. Mein Testsetup sieht so aus, dass der Plastikrouter ganz normal weiterläuft und mein MiniPC mit einem WLAN-Adapter (wl0) im WLAN des Routers hängt und mit einem weiterem WLAN-Adapter (wl1) selbst mit hostapd ein Netz aufspannt.
(Das heißt das WAN in der Konfiguration ist eigentlich noch gar nicht das WAN.)

edit:
ich freu mich grad wie ein kleines Kind, dass meine erste eigene iptables-Zeile auf Anhieb funktioniert und ich mpd wieder bedienen kann:

Code: Alles auswählen

-A INPUT -i wl1 -p tcp --dport 6600 -j ACCEPT
komplett sieht es so NoPaste-Eintrag40047 aus.
Zuletzt geändert von smutbert am 12.11.2017 23:37:04, insgesamt 2-mal geändert.

Benutzeravatar
smutbert
Beiträge: 5742
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von smutbert » 10.11.2017 12:41:11

Gleich noch eine Frage hinterher, wenn ich darf. Nun habe ich analog zur Regel für mpd eine Regel für apt-cacher-ng hinzugefügt

Code: Alles auswählen

-A INPUT -i wl1 -p tcp --dport 3142 -j ACCEPT
und es hat auch den erwünschten Effekt, bis auf die Tatsache, dass der Mini-PC/Router/Firewall, auf dem (noch) apt-cacher-ng läuft, selbst nicht darauf zugreifen kann. Woran kann denn das schon wieder liegen?

Vergesst meine Fragen (vorläufig) – früher oder später muss ich für iptables einen eigenen Thread eröffnen, da gibt es zu viele Dinge, die ich nicht verstehe, aber vorläufig versuche ich es noch alleine.

In diesem Thread werde ich mich auf grundsätzliche Fragen beschränken, davon kommen bestimmt auch noch einige...

Antworten