Trennung/Aufteilung von TCP/IP Netzen zur Erhöhung der Sicherheit

Aus FHEMWiki
Version vom 1. April 2019, 12:58 Uhr von Darkness (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{Baustelle}} In diesem Wiki-Artikel geht es um die Aufteilung/Einrichtung eines (W)LAN-Netztes mit 2 getrennten Adressbereichen sowie die Einrichtung von Su…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)


Clock - Under Construction.svg An dieser Seite wird momentan noch gearbeitet.


In diesem Wiki-Artikel geht es um die Aufteilung/Einrichtung eines (W)LAN-Netztes mit 2 getrennten Adressbereichen sowie die Einrichtung von Subnetzen. Das hat Grundsätzlich nichts mit FHEM direkt zu tun, trägt aber zur Netzwekssicherheit bei. Dies Beispiel bezieht sich auf eine Konkrete Ausgangslage mit einem Netzwerk, welches durch eine Fritzbox verwaltet wird. Sinngemäß sollte es sich aber auf andere Router (Speedport usw.) übertragen lassen. FHEM läuft auf einen Raspberry Pi 3+ (zudem wird dieser auch als Pi-Hole verwendet).
Ein ganz besonderer Dank geht an Wuppi68, der mir geduldig geholfen hat mein Netzwerk umzugestalten. Hinweis:

Info blue.png
Dies ist keine Schritt-für-Schritt Anleitung. Der Artikel dient lediglich als Leitfaden. Die entsprechenden Einstellungen und Befehle sind auf die vorhandene Software anzupassen.


Ausgangslage

Das vorhandene Netzwerk besteht aus einer Fritzbox 7490 an der ein Klasse-C mit dem Adressbereich 192.168.178.0/24 angebunden ist. Die Geräte sind mittel WLAN und LAN angeschlossen.

Ziel

Wie bereits eingangs erwähnt, wird es am Ende zwei Netzwerke geben. Ein Gästenetzwerk mit der Adresse 192.168.178.0/24 sowie ein internes Netzwerk mit mehreren Subnetzen im Adressbereich 172.16.0.0/24. Für das interne Routing wird zusätzliche Hardware benötigt. Ein Raspbarry Pi 3+ kann hardwarebeding schnell an die Grenzen kommen sollte dieser als Router eingesetzt werden. Es wird empfohlen eine Sicherung Einstellungen des Routers und des Pis durchzuführen um jederzeit zur Ausgangslage zurück zu kehren!

Motivation

In der heutigen Zeit kommunizieren eine Vielzahl von Geräten mittels (W)LAN. Wo anfangs nur ein Handy und ein Laptop waren sind heutzutage noch Sprachassistenten, Fernseher und besonders Geräte des IoTs dazu gekommen. Gerade in Hinblick auf Sicherheit sind dies Geräte besonders zu betrachten. Entweder werden diese Geräte mit fest eingestellten Nutzernamen/Passwörter ausgeliefert oder erkannte Sicherheitslücken werden nicht geschlossen. Dazu kommt noch eine Cloud-Verbindung bei der auch nicht überprüft werden kann, welche Daten übertragen werden. Durch die Trennung der verschiedenen (Sub)Netze kann verhindert werden das u.a vertrauliche Daten ausgeleitet werden können oder aber der Zugriff auf das Internet komplett unterbunden wird

DHCP anpassen

Bisher erfolgte die IP-Vergabe durch die Fritzbox. Zukünftig erfolgt die IP-Vergabe durch den Raspberry Pi (hier durch die Pi-Hole Software).

IP-Bereich

Im ersten Schritt wird der DHCP-Server so angepasst, dass zukünftig Adressen aus dem IP-Bereich 172.16.0.0/16 vergeben werden. In diesem Fall aus dem Bereich 172.16.1.100 – 172.16.1.200. Später erfolgt die weitere Unterteilung der 16er Netze in 24er Netze.

Aufteilung in Subnetze

Über den DHCP-Server werden für bekannte Geräte statische Adressen vergeben. Dabei erfolgt eine weitere Aufteilung in Subnetze. Später können diese 24er Netze durch Firewallregeln und VLAN-TAgs entsprechende Zugrissrechte bekommen und voneinander abgegrenzt werden. Als Beispiel für die Aufteilung 172.16.1.0 --> Default 172.16.2.0 --> Heimautomation 172.16.3.0 --> Media 172.16.4.0 --> Zocken ... 172.16.255.0 --> das letzte Dadurch das als Subnetmaske die 255.255.0.0 (entspricht /16) gewählt wurde, sind die Geräte auch weiterhin noch untereinander erreichbar. Die Fritzbox (der Router) bekommt die Adresse 172.16.1.1 mit der Netzmaske 255.255.0.0 Nach dieser Umstellung sollten alle Geräte wie gewohnt erreichbar sein.

FHEM-Anpassen

Nach der IP-Umstellung empfiehlt es sich in FHEM alles Devices und Bedingungen anzupassen, welche auf alte IPs verweisen.

Beobachten

Sind alle Adressen umgestellt und FHEM entsprechend angepasst, sollte das Netzwerk jetzt ein wenig beobachtet werden. Läuft alles? Sind alle Geräte erreichbar? Gibt es ungewöhnliches Verhalten? Wenn alles läuft, kann mit dem Nächsten Schrift fortgefahren werden. Ansonsten ggf. noch Fehler korrigieren.