Mein unsicheres Netzwerk optimieren

Alex-fl

Neuling
Thread Starter
Mitglied seit
05.05.2024
Beiträge
9
Hallo liebe Community,

derzeit bin ich dabei, meinen Homeserver in Thailand zu konfigurieren und einzurichten. Dabei dachte ich, es wäre sinnvoll, mein Netzwerk zu dokumentieren. Doch als ich alles aufzeichnete, fiel mir auf, dass meine aktuelle Konfiguration wahrscheinlich ziemlich unsicher ist. ^^

Unten habe ich alles in einem Bild dargestellt.

Ich habe einen Glasfaseranschluss (Modem ZTE-F688), über den ich mit einem Mini-Server verbunden bin, auf dem Proxmox mit OPNsense (Firewall) läuft. Dieser Mini-Server bildet meine DMZ, was auch so im ZTE-Modem konfiguriert ist.

Mit OPNsense habe ich NAT (Network Address Translation) auf meinen Docker-Container (Nginx Proxy Manager) eingerichtet, um Port 80 und 443 freizugeben. Dadurch sind einige meiner Services von außen erreichbar, damit Kunden Bilder und Videos abrufen können.

Soweit sollte das in Ordnung sein.

Allerdings habe ich auch bemerkt, dass sich mein Laptop, Handy und Home Assistant im selben Netzwerk wie der Mini-Server befinden, der hinter dem ZTE-Modem läuft. Da OPNsense standardmäßig alle Verbindungen nach außen erlaubt, bedeutet das, dass meine Geräte (Laptop, Handy usw.) potenziell unsicher sind und angegriffen werden könnten.

Network Now.drawio.png

Für eine richtige DMZ bräuchte man eigentlich zwei Firewalls – eine vor der DMZ und eine dahinter. Aber dies ist natürlich auch eine Preisfrage.

Andere Lösung?!?

Ich plane, auf der OPNsense-Firewall eine neue Schnittstelle zu erstellen, die an den freien RJ45-Anschluss am Server angeschlossen wird (mit neuer Netzwerk-Adresse). Dieses neue Netzwerk würde ich dann durch einen zusätzlichen Router/Switch und WLAN verbinden, an den ich all meine Endgeräte anschließen würde.

Network more Secure.drawio.png


Das ist jetzt vielleicht etwas kompliziert erklärt, aber hoffentlich ist es durch die Anhänge verständlicher.

Was haltet ihr von dieser Lösung? bzw was habt Ihr noch für Ideen/Lösungen?

PS: Bin neu im Netzwerksegment und versuche so viel wie möglich selber zu lernen, aber bei sicherheit immer unsicher.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Du brauchst vor alle ein paar vLANs um Management, privates LAN, Gaeste (W)LAN, IoT und DMZ zu trennen. *sense als Firewall ist ok, falls erforderlich kann man dann hier da noch zusätzlich OpenWRT als VM dazuwscihen schalten.
 
In der Firewall solltest du auch ausgehend bestimmte Ports sperren.
Beispielsweise den Port 445.
Damit laufen dann Angriffe von Außen auf NTLM ins Leere.
Möglichst sollte im Netzwerk auch NTLM komplett deaktiviert werden und durch Kerberos ersetzt werden.
Mit Firewall und ein paar vLANs ist es bei Netzwerksicherheit nicht getan.
Da muß auch auf den Geräten noch etwas getan werden.
Windows ist von Haus aus rel. unsicher konfiguriert.
Da gibt es sehr viele Stellschrauben, mit denen man Windows mit Boardmitteln deutlich sicherer machen kann.
 
@passat3233 Ich glaube du bist schon viel zu sehr im Detail. Bei dem TE passt die grundlegende Architektur nicht zu dem was er da genau vor hat.
Da muss einmal Tabularasa gemacht werden und von Grund auf neu und Bedarfsgerecht gebaut werden.
Die Diagramme kann ich uebrigens nicht so recht deuten was das genau bedeuten soll und von wo nach wo Daten fließen. :d
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh