rmgLazyBone
Experte
Thread Starter
- Mitglied seit
- 01.12.2012
- Beiträge
- 148
Hallo Luxxer,
vor ein paar Wochen habe ich, basierend auf einer Wette, begonnen, mich mit dem gesamten Thema Cyber-Security enger auseinander zu setzen.
Für die Wette sollte ich meine Wettpartnerin - mit ihrer Erlaubnis - hacken. Innerhalb weniger Stunden Online-Recherche hatte ich das notwendige Wissen zusammen, um Ihren gesamten Netzwerkverkehr mitzulesen - zugegebenermaßen auch, weil ihre Geräte in meinem WLAN hingen und ich dementsprechend den WLAN-Key kannte.
Trotz der etwas vereinfachten Situation hat mich das ins Grübeln gebracht, wie schnell man dank frei zugänglicher Tools auch verschlüsselte Verbindungen auslesen kann.
Ganz davon zu schweigen natürlich, wie es in Netzen der Bahn, am Flughafen o.Ä. aussieht.
Ich habe dementsprechend entschlossen, meine IT-Infrastruktur zu härten und bitte dafür um eure Mithilfe. Denn wie gesagt habe ich mich bisher nur ein paar Stunden wirklich eng mit dem Thema auseinander gesetzt. Ein Grundverständnis für IT, Protokolle und Sicherheit bringe ich aber mit.
Grundsätzlich plane ich aktuell, eine pfSense Firewall (Wahrscheinlich eine dedizierte Low Power Kiste auf Basis einer APU2, 3 Ports) zu installieren.
Die FritzBox wird auf der Internetseite hängen, das angebotene WLAN wird als Gast-WLAN behandelt und gibt nur Zugriff auf das Internet.
Ein zusätzlicher Access-Point wird internes WLAN anbieten und mit einem MAC-Filter ausgestattet.
Alle mobilen Geräte bekommen ein OpenVPN-Verbindung zur pfSense-FW, um jede externe Verbindung über meinen Heimanschluss zu leiten und im externen Netz eine Verschlüsselungsschicht zu implementieren.
Alle Browser werden umgestellt, um keine Cookies, Passwörter etc. zu speichern. Stattdessen werden alle Passwörter mit KeePass gespeichert. Alle Passwörter werden zufällig generiert und mit Ablaufdaten versehen (vrsl. alle 180 Tage)
Feste Geräte (AV-Receiver, Fernseher, Rechner...) sind bereits oder werden auf kabelgebundenes Netz umgestellt.
Nun meine Fragen:
Wie bewertet ihr diese Maßnahmen? Ausreichend, noch offensichtliche Schwachstellen, unnötig und gleiche Sicherheit einfacher zu erreichen?
Ist es möglich/sinnvoll, das VPN auch im eigenen WLAN einzusetzen? Dadurch dürfte ja selbst ein Angreifer, der das WLAN-Passwort geknackt hat, den Traffix nicht mitlesen können.
Ich bin mir noch unsicher, wie ich ohne im Chrome gespeicherten Passwörtern einigermaßen komfortabel unterwegs arbeiten kann. Ich sehe 2 Varianten: 1. eine Passwort-Safe-App auf dem Smartphone, welches ich aber grundsätzlich als unsicheres Gerät ansehe. Hier kann ich kein langes Passwort eingeben, insofern wird die Sicherheit der Passwort-DB kompromittiert. 2. Einen USB-Stick mit einer Kopie der Passwort-DB und einer mobilen Version des Passwortmanagers. Hier sehe ich die Gefahr, den USB-Stick zu verlieren. Außerdem benötige ich dann immer einen Desktop-Rechner, um auf meine Passwörter zuzugreifen. Habt ihr hier Best-Practices? Ich hatte schon überlegt, ein kleines embedded-Device zu bauen, auf dem die Passwörter verschlüsselt liegen und mit einem Fingerprint-Sensor abgerufen (auf einem kleinen Display angezeigt) werden können. Die Wahrscheinlichkeit, dass ich eine Schwachstelle einbaue, ist aber natürlich recht hoch.
Ebenfalls noch unsicher bin ich mir, wo mein NAS hin soll. Es enthält größtenteils Filme, Fotos, Musik etc. für den Heimgebrauch. Damit würde ich es ins interne Netz hängen. Der darauf laufende Windows-Server wird allerdings teilweise auch für Software-Entwicklung benötigt, den würde ich eher in die DMZ (dritter Port der pfSense-FW) hängen. Auch für Datenaustausch-Shares mit Gast-Geräten wäre das sinnvoller. 2 Getrennte NAS möchte ich aber aus Kostengründen (Hardware und Strom) ungern aufbauen. Bietet Windows-Server eventuell Techniken, um Zugriffsrechte Netzabhängig zu gewähren? Ich würde dann 2 NICs ins NAS hängen, eins im internen Netz und eins in der DMZ. Bin mir aber unsicher, ob das noch Sicher wäre oder dadurch nicht eine Umgehung der pfSense-FW ermöglichen würde.
Ich freue mich schon auf eure Antworten und vielen Dank im Voraus!
LG
RMG
vor ein paar Wochen habe ich, basierend auf einer Wette, begonnen, mich mit dem gesamten Thema Cyber-Security enger auseinander zu setzen.
Für die Wette sollte ich meine Wettpartnerin - mit ihrer Erlaubnis - hacken. Innerhalb weniger Stunden Online-Recherche hatte ich das notwendige Wissen zusammen, um Ihren gesamten Netzwerkverkehr mitzulesen - zugegebenermaßen auch, weil ihre Geräte in meinem WLAN hingen und ich dementsprechend den WLAN-Key kannte.
Trotz der etwas vereinfachten Situation hat mich das ins Grübeln gebracht, wie schnell man dank frei zugänglicher Tools auch verschlüsselte Verbindungen auslesen kann.
Ganz davon zu schweigen natürlich, wie es in Netzen der Bahn, am Flughafen o.Ä. aussieht.
Ich habe dementsprechend entschlossen, meine IT-Infrastruktur zu härten und bitte dafür um eure Mithilfe. Denn wie gesagt habe ich mich bisher nur ein paar Stunden wirklich eng mit dem Thema auseinander gesetzt. Ein Grundverständnis für IT, Protokolle und Sicherheit bringe ich aber mit.
Grundsätzlich plane ich aktuell, eine pfSense Firewall (Wahrscheinlich eine dedizierte Low Power Kiste auf Basis einer APU2, 3 Ports) zu installieren.
Die FritzBox wird auf der Internetseite hängen, das angebotene WLAN wird als Gast-WLAN behandelt und gibt nur Zugriff auf das Internet.
Ein zusätzlicher Access-Point wird internes WLAN anbieten und mit einem MAC-Filter ausgestattet.
Alle mobilen Geräte bekommen ein OpenVPN-Verbindung zur pfSense-FW, um jede externe Verbindung über meinen Heimanschluss zu leiten und im externen Netz eine Verschlüsselungsschicht zu implementieren.
Alle Browser werden umgestellt, um keine Cookies, Passwörter etc. zu speichern. Stattdessen werden alle Passwörter mit KeePass gespeichert. Alle Passwörter werden zufällig generiert und mit Ablaufdaten versehen (vrsl. alle 180 Tage)
Feste Geräte (AV-Receiver, Fernseher, Rechner...) sind bereits oder werden auf kabelgebundenes Netz umgestellt.
Nun meine Fragen:
Wie bewertet ihr diese Maßnahmen? Ausreichend, noch offensichtliche Schwachstellen, unnötig und gleiche Sicherheit einfacher zu erreichen?
Ist es möglich/sinnvoll, das VPN auch im eigenen WLAN einzusetzen? Dadurch dürfte ja selbst ein Angreifer, der das WLAN-Passwort geknackt hat, den Traffix nicht mitlesen können.
Ich bin mir noch unsicher, wie ich ohne im Chrome gespeicherten Passwörtern einigermaßen komfortabel unterwegs arbeiten kann. Ich sehe 2 Varianten: 1. eine Passwort-Safe-App auf dem Smartphone, welches ich aber grundsätzlich als unsicheres Gerät ansehe. Hier kann ich kein langes Passwort eingeben, insofern wird die Sicherheit der Passwort-DB kompromittiert. 2. Einen USB-Stick mit einer Kopie der Passwort-DB und einer mobilen Version des Passwortmanagers. Hier sehe ich die Gefahr, den USB-Stick zu verlieren. Außerdem benötige ich dann immer einen Desktop-Rechner, um auf meine Passwörter zuzugreifen. Habt ihr hier Best-Practices? Ich hatte schon überlegt, ein kleines embedded-Device zu bauen, auf dem die Passwörter verschlüsselt liegen und mit einem Fingerprint-Sensor abgerufen (auf einem kleinen Display angezeigt) werden können. Die Wahrscheinlichkeit, dass ich eine Schwachstelle einbaue, ist aber natürlich recht hoch.
Ebenfalls noch unsicher bin ich mir, wo mein NAS hin soll. Es enthält größtenteils Filme, Fotos, Musik etc. für den Heimgebrauch. Damit würde ich es ins interne Netz hängen. Der darauf laufende Windows-Server wird allerdings teilweise auch für Software-Entwicklung benötigt, den würde ich eher in die DMZ (dritter Port der pfSense-FW) hängen. Auch für Datenaustausch-Shares mit Gast-Geräten wäre das sinnvoller. 2 Getrennte NAS möchte ich aber aus Kostengründen (Hardware und Strom) ungern aufbauen. Bietet Windows-Server eventuell Techniken, um Zugriffsrechte Netzabhängig zu gewähren? Ich würde dann 2 NICs ins NAS hängen, eins im internen Netz und eins in der DMZ. Bin mir aber unsicher, ob das noch Sicher wäre oder dadurch nicht eine Umgehung der pfSense-FW ermöglichen würde.
Ich freue mich schon auf eure Antworten und vielen Dank im Voraus!
LG
RMG
Zuletzt bearbeitet: