Wie kann ich mein Netzwerk sicherer machen und meine Rechner besser schützen?

drakrochma

drakrochma

Enthusiast
Thread Starter
Mitglied seit
21.07.2006
Beiträge
4.709
Ort
Mainz-KH
Hallo,

ich hab einen Rechner (i7-4770s, 4x4GB RAM, 500GB Samsung 860) als Server für mehrere Spiele und TS am Netz.
Der Rechner ist quasi rund um die Uhr am Internet und hat durch die Spieleserver einige offene Ports.
Im LAN hängen noch 2 APs (ubiquiti ap ac lite), 1 Fernseher, eine Diskstation, ein Pi und 2 Rechner
Verbunden ist alles über Netgear Swiches
Code: 
[SIZE=2]
Fritzbox 7360
  -> AP1 (ubiquiti ap ac lite)
  -> Netgear Prosage GS108E
    ->Spieleserverrechner
    -> Diskstation
    -> Raspberry Pi
    -> AP1 (ubiquiti ap ac lite)
    ->Netgear Prosage GS105E
      -> Rechner 1
      -> Rechner 2
      -> ggf. weitere Rechner bei LANs[/SIZE]

Da ich wohl ungebetene Besucher auf meinem Spieleserverrechner hatte und zeitlich versetzt wohl auch auf meinem Rechner 1 würde ich das Netzwerk gerne etwas umstellen:


Code: 
Fritzbox 7360
  -> Netgear Prosage GS108E
    -> VLAN1
      ->Spieleserverrechner
    -> Diskstation
    -> Raspberry Pi
    -> VLAN2
      -> AP1 (ubiquiti ap ac lite)
      -> AP1 (ubiquiti ap ac lite)
    ->Netgear Prosage GS105E
      -> Rechner 1
      -> Rechner 2
      -> ggf. weitere Rechner bei LANs


Die Diskstation macht alle paar Tage Backups der relevanten Dateien von Rechner 1 und 2 und ggf. noch mal ein backup davon auf eine separate USB-Platte
Der Pi läuft eigentlich nur für Pi-Hole um die Werbung der Rechner abzufangen.
Den Spieleserverrechner und die APs würde ich gerne je in selrate V-LANs getrennt vom "eigentlichen " Netzwerk stecken.

Was gäbe es dann noch zu verbessern?
Welche Einstellungen sollte ich beachten`?
Die Rechner laufen alle unter Windows.

reicht der Windows Defender oder sollte ich die Sophos Endpoint Security stattdessen verwenden?
Welche Alternativen oder sonstigen Optiuonen gäbe es noch um das LAN und die Rechner drin sicherer zu machen?


Vielen Dank schon mal :)
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich würde aus Prinzip den Rechner der offen Richtung Internet ist vom Rest abschotten. Sei es durch DoppelNAT (z.B. durch kaskadierte Router) oder durch VLAN. Mein eigenes internes Netzwerk mit allen privaten Daten sollte niemals nach außen offen sein. ;)
 
Eine Fritzbox kann keine VLANs. Egal was du für Switch an die Fritze anschließt, werden sich die Recher alle über die Fritzbox miteinander unterhalten können. Selbst wenn du das ganze geroutet machen würdest.

Die einzige Möglichkeit, welche du hättest, wären irgendwelche Frickeleien mit dem Gastnetz der Fritzbox, welches halbwegs abgeschottet sein sollte.


Idealerweise, stellt du hinter die Fritzbox eine PFSense, Sophos UTM, Fortigate, Linux Firewall, oder sonst was, welche eben VLANs beherscht und von dort aus, kannst du dann VLANs für deine LAN Trennung erstellen.


Internet -> Fritzbox -> Firewall -> diverse Switche mit VLAN Support
 
Mist, die Formatierung ist flöten gegangen...

Hier nochmal wie es oben hätte aussehen sollen...

Istzustand:
Fritzbox 7360
-> AP1 (ubiquiti ap ac lite)
-> Netgear Prosage GS108E
->Spieleserverrechner
-> Diskstation
-> Raspberry Pi
-> AP1 (ubiquiti ap ac lite)
->Netgear Prosage GS105E
-> Rechner 1
-> Rechner 2
-> ggf. weitere Rechner bei LANs


€:
Warum frisst das bescheuerte Forum alle Leertasten und tabstops am Zeilenanfang...
Ich bastel was in Excel und hänge es gleich als Bild an...
 
Zuletzt bearbeitet:
Vielen Dank für die Tipps.

Jetzt sollte der Istzustand und der geplante zustand oben besser passen.
Und du meinst, ich soll zwischen Fritzbox und den ersten Switch noch sowas in der Art oder vielleicht auch alternativ sowas in der Art dazwischen setzen?
Gibt es da günstigere Alternativen?
Der 600mhz-single-core-ARM sagt mir da eher weniger zu.
Ich wechsele demnächst auch nen 1GBit-Glasfaser-Anschluss und würde dann gerne den Spieleserver mit möglichst kleinem Ping, die Rechner + 4k-Streaming usw. laufen lassen und das ohne, dass die Firewall limitiert.

Außerdem arbeite ich recht oft im home office und da sollte bei Videokonferenzen mit Paraguay, China, oder was auch immer alles schön flüssig laufen.
Daher würde ich eher mit etwas Puffer planen.
Deswegen bin ich bei dem 600mhz-single-core-ARM für <100€ auch skeptisch...
Oder kann ich meinem Athlon200GE einfach ne 2. Netzwerkkarte dazu stecken und den dafür verwenden?

Ich bin da absolut offen für eure Vorschläge, nur soweit machbar sicher soltle es sein und nicht unbedingt 4-stellig kosten ;)

----------------------------------------------
€:

Was mir auch noch nicht so ganz klar ist:
Wie läuft das mit den V-LANs ?
Stimmt die Box sich mit den V-LANs in den Switches ab oder wird generell schon von der Box aus getrennt, also
Port1: WAN
Port2: APs
Port3: Serverkiste
Port4: 8-Port Switch und Rechner
Port5: ...
 
Zuletzt bearbeitet:
Wenn die Diskstation nur die Backups für die Rechner macht, wäre die wohl im Vlan2 besser aufgehoben, oder muß der Server da auch drauf. (Besucher aus dem öffentlichen Netz...)
Ob die AP´s wirklich zusammen mit dem Server im öffentlichen Netz stehen müssen wäre nochmal zu prüfen.
Sofern Server und Rechner durch das PiHole laufen sollen wäre dieses wohl direkt an der FB überlegenswert.
Oben steht die FB ignoriert Vlans, also ist da auch nichts mit abstimmen. Wobei man die VLans wohl eher immer selbst festlegen muß. Die Idee mit der Routerkaskade wäre mir da wohl als Übergangslösung bis zur Solofirewall angenehmer.
Wo dieser 200GE jetzt herkommt und was der normalerweise treibt lasse ich mal besser unbeachtet.

€: Also FB -> Pi? / Server / Router(Firewall) -> Vlanswitch -> Restgerümpel wäre mein Aufbau dafür damit die FB die Vlanaufteilung nicht vernichtet.
 
Zuletzt bearbeitet:
Danke für die Anmerkungen.
Wird so umgesetzt.
Sobald die Damenwelt hier Ruhe gibt, aktualisiere ich den Plan nochmals und schaue wie viel separate V-Lans ich über die Switch es realisieren kann.
 
Zuletzt bearbeitet:
Und der ist dann komplett in allem anderen getrennt?
Wäre eine Überlegung wert.
Wobei ich mich schon fast mit dem Thema Pfsense und den Kosten abgefunden hab, da ich dann auch Home Office und Access Point von allem anderen trennen kann.
Oder reicht es das über die Switches zu machen?
Das dachte ich anfangs, hab die Rückmeldungen hier aber so verstanden, dass , solange die Fritzbox alle Rechner sieht, das noch ein Kurzschluss ist und die V-Lans nix bringen.
 
Hi,

da dir glaube noch einige Basics fehlen. z.B. was genau ein VLAN bewirkt, würde ich an deiner Stelle es erstmal mit dem Gäste Netz der Fritzbox probieren.

Das Gäste Netz kann lediglich aufs Internet zugreifen und nicht auf das normale LAN. Wie es umgekehrt ausschaut, also ob das Normale LAN auf das Gäste LAN zugreifen kann, weiß ich gerade nicht.
Das Netz wäre dann also im Idealfall komplett isoliert. Ausnahmeregeln für einzelne Verbindungen z.B. RDP kann man meines Wissens nach in der Fritze nicht machen.


Hier was zum Thema VLANs: VLAN Grundlagen – Thomas-Krenn-Wiki
 
Kann man denn bei einer FB ein dNAT ins Gästenetz konfigurieren?
Das wäre Grundvorraussetzung, dass diese Krücke überhaupt in Frage kommt - denn ohne dNAT nix mit erreichbarem Gameserver.



Grundsätzlich mal ein paar Gedanken dazu:
- Ich würde versuchen den Server auf Linux umzustellen. Kommt halt auf das Spiel an, aber es gibt halt ein paar gewisse Schwierigkeiten unter Windows, wenn ein potentieller Angreifer über das Spiel/den Gamerserver in das System "kriecht", das vom Rest abzuschotten. Das sollte bei Linux um längen einfacher gehen. Sorgt also von der Warte her für deutlich mehr Sicherheit.
- VLAN Trennung ist gut -> aber man sollte schon wissen, was das ist, was das bedeutet und wie man das macht. Sprich ließ ein paar Basics, dazu gibts zu Hauf Artikel im Netz, kauf dir ein Buch, wenn du was in der Hand haben willst oder ähnliches.
Um es nur kurz zu umreißen, ein VLAN ist wie der Name schon sagt, ein virtuelles Netzwerk. Es ist eine Trennung auf recht tiefer Ebene. Man kann es sich vorstellen wie zwei physisch nicht mit einander verbunden Switches. Nicht mehr, aber auch nicht weniger.
- VLANs ohne einen Router, der die Netze routet, bringt dir exakt gar nix. (es sei denn du willst eine insich geschlossene Welt aufbauen, ohne jegliche Zugriffe raus oder rein)
- Eine brauchbare Firewall ist durchaus eine sinnvolle Überlegung. Ob das eine Sophos UTM/XG ist (gibts als VM oder auf Blech), ob ein eine USG von Ubiquiti ist, ob das eine Linux System mit einer wie auch immer gearteten Softwarelösung (IPFire, IPCop oder auch händisch mit pfSense) ist - am Ende völlig egal. Manches kann klicki bunti, manches ist händisches Config-File geschubse. Am Ende einfach nur ne Frage nach Aufwand/Nutzen/Vorlieben/Anforderungen
- Man sollte sich die Frage stellen ob einem eine simple "Firewall" reicht -> also eine Software, die einfach nur Pakete durchlässt oder blockt - oder ob es etwas mehr sein darf/soll/muss. IPS/IDS wäre da bspw. ein Stichwort. Wenn letzteres, dann muss man sich auch eingehend mit den Ressourcenanforderungen beschäftigen. Ein anstänidges IPS/IDS System für 1GBit/sec durchsatz fängst du nicht mit so nem Plastebomber mit ner ultrastromspar CPU ab. Da kann man spielend größere/dickere PCs/Server in die Knie zwingen!

Was generell eine Selbstbau-Firewall angeht, ich für meinen Teil nutze sowas hier als Hardware:
6 Ethernet LAN fanless pfsense Mini PC Intel kabylake core i3 7100u DDR4 ram AES NI linux Firewall Pfsense Router Network Server-in Mini PC from Computer Office on Aliexpress.com | Alibaba Group
Gepaart mit einem Single 8GB DDR4 SODimm + ner 256er günstig SSD.
Und betreibe auf diesem Ding ne Sophos UTM als Firewall, Proxy, WAF, Mailgateway, VPN Endpunkt usw.
Die Leistung ist schon OK - aber sobald eben IPS/IDS ins Spiel kommt, bekommst du schlicht und ergreifend massive Leistungsprobleme. Da gehen bei mir mit angepassten Rules ca. 200-400MBit/sec durch. Mehr packt der Prozessor nicht. Der ist zwar keine Rakete, aber Welten schneller als so ne günstige Plastebomber-ARM Schmette.
 
Anmelden, um zu antworten.

Ähnliche Themen

G
[User-Review] Grandstream Access Points - bye bye Mikrotik
Antworten
25
Aufrufe
2K
Speeddeamon
Speeddeamon
1
Netzwerk Setup für Neubau
Antworten
27
Aufrufe
2K
12die4
1
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
1K
BobbyD
BobbyD
Fl4sh3r
Alles soll raus: Wechsel auf Glasfaser
2
Antworten
33
Aufrufe
3K
p4n0
p4n0
janbe87
[Kaufberatung] Unifi Heimnetzwerk + Netzwerkschrank
Antworten
19
Aufrufe
2K
janbe87
janbe87
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh