Sicherheit im Heimnetzwerk

  • Hey Leute,

    ich bin zur Zeit dabei mich etwas tiefer in das Thema "iptables & Co" einzulesen / -arbeiten. Und da kamen nun ein paar Fragen auf. Vielleicht gibts noch andere die sich mit diesem Bereich bisschen intensiver auseinander setzten wollen / müssen bzw. andere die sich deutlich besser damit auskennen als die "normal" Users.

    Von daher stelle ich euch erstmal vor, wie mein Heimnetzwerk aufgebaut ist und ich denke es wird bei vielen ähnlich sein. Im Anschluß stelle ich meine Pläne bzw. Ideen für die Zukunft vor.

    In meinem Netzwerk befinden sich zur Zeit folgende Teilnehmer:

    • Modem von Unitymedia
    • TP-Link Router
    • LED TV Gerät
    • BluRay Player
    • NAS Festplatte von Medion (Habe ich mir besorgt, weil ich kurzfristig / günstig viel Speicher benötigte)
    • 2 Laptops zur Zeit per W-LAN eingebunden
    • 2 Smartphones mit Windows 8
    • 2 PCs (Desktop PCs teileweise in Betrieb)
    • 1 Pi mit Web Server, Div. Sensoren (z.B. DS18x20, DHT11, ...), Funksteckdosenmodul, und Co.
    • 1 Pi als Webradiostation und Co. (Noch in Planung und Ausarbeitung)
    • Mehrere PowerLine Adapter von TP-Link, da ich nicht überall ohne weiteres Netzwerkkabel hin legen kann


    Auf Dauer habe ich mir überlegt das ganze umzustricken, den Punkto Datensicherheit und Co. ist hier noch recht wenig aktiv. Ich habe mir überlegt den Pi mit dem Webserver und den Elektronikmodulen in eine DMZ zu Stecken, da der Webserver aus dem WWW erreichbar sein soll. Jedoch soll auf dem Webserver eine Webseite speziel nur für das LAN verfügbar bleiben. Und zwar die, über die ich die Funksteckdosen schalte.

    Ist schließlich etwas doof, wenn mitten im Film an einer Spannenden Stelle ein Spaßvogel mir den TV einfach ausschaltet :geek:

    Dadrüber hinaus soll die NAS Festplatte später auch nur aus dem Internen Netzwerk zugreifbar sein, lediglich eine Freigabe soll für den Pi zur Verfügung stehen, auf dieser er die Daten für den FTP Account bzw. Cloud hinterlegen kann, so spare ich mir eine Extra Platte an den Pi zu hängen.

    EVTL. soll in Zukunft noch ein Mailserver hinzu kommen und ggf. ein DomainController über einen Samba-Dienst. Aber dies soll dann der Pi übernehmen und lediglich die NAS als Speicherplatz nutzen, vielleicht erhält er doch auch in Zukunft eine eigene Platte aber das kann man dann noch mal gucken.

    Zur Zeit läuft auf meinem Router die Paketweiterleitung auf die IP des Server Pis für die Ports HTTP bzw. HTTPs um so möglichst wenig Löcher zu Produzieren.

    Macht es evtl. eigentlich Sinn, wenn man den SSH Dienst auch aus dem WWW verfügbar machen möchte über andere Wege noch zu schützen wie VPN oder so?


    Vielleicht hat jemand schon was ähnliches umgesetzt oder ist selber dabei, dann kann man solche Ideen ja auch gemeinsam erarbeiten. Und macht es ggf. Sinn die Dienste auf mehrere Pis auf zuteilen oder reicht ein einzellner Pi voll und ganz?


    Michael

    PS: Aktuallisierungen werde ich nach und nach hinzufügen um andere auf den Stand zu bringen und um so ggf. auftredende Fehlideen von mir gleich korrigieren zu lassen. Also bitte, ruhig äußern wenn manche Ideen ggf. unvorteilhaft sind bzw. besser gelöst werden können.

    Der Raspberry Pi ist schon ein schönes Spielzeug mit dem man einiges anfangen kann.

    :angel: :wallbash:

    Einmal editiert, zuletzt von RaspiDo (23. Februar 2014 um 14:48)

  • Vorab eine kurze Erklärung zu den Netzen:
    grün: Lan "Dein Netz"
    orange: DMZ
    rot: Wan "Das Internet"
    blau: Wlan

    Wie willst du die DMZ umsetzen? Gibt der Router das her? Ansonsten wäre vielleicht IPFire etwas für Dich? (aber nicht auf dem Raspi)

    Ich würde es so machen, dass der RasPi, der eine Seite im Internet verfügbar machen soll, in die DMZ kommt. Für wen soll der FTP Zugang sein? Nur für Dich? Dann ja, kommt er in das grüne Netz. Falls auch für andere Personen, würde ich das über SFTP lösen. Das ist sicherer. Dann natürlich im orangenen Netz.

    Genau an dem Punkt stecke ich persönlich im Moment fest, da ich es nicht hin bekomme, die Rechte so zu vergeben, dass User1 nur in /home/user1 lesen und schreiben darf, User2 nur in /home/user2 lesen und schreiben darf, etc. Zusätzlich soll es aber noch einen UserXY geben, der in allen /home/* lesen und schreiben darf.

    Solltest Du wissen, wie das geht... ;)

    Das NAS kommt ins grüne Netz. Der RasPi mit der Seite für die Funksteckdosen kommt ebenfalls in das grüne Netz. So hat man das sauber getrennt und es gibt auch keine Hintertüren, von denen man vielleicht gar nichts weiss. Alternativ könntest du die Seite umbenennen und mit User/Passwort vor Fremdzugriff schützen. Dann könnte sie auch im orangenen Netz laufen, ohne dass dir jemand das Licht ausknipst. Wie sicher das ist, kann ich nicht sagen.

    Zugang zum eigenen Netzwerk würde ich mir selber nur über VPN möglich machen. Alles andere ist weniger sicher - so zumindest mein aktueller Kenntnisstand. So hast du vollen Zugriff auf alle Deine Geräte und könntest auch den RasPi im grünen Netz aus der Ferne administrieren.

  • Jap, der Router kann das. Zumindest steht da was zu in der Konfigurationsseite. Also könnte ich z.B. dem Pi die IP 192.168.1.100 geben und dann in die DMZ stellen und einfach die Portweiterleitung auf die DMZ stellen? Richtig?

    Und klar, als Server soll höchstwahrscheinlich vsftpd zum Einsatz kommen. Also ist es auf der sicheren Seite. Nur er soll primär von mir genutzt werden, aber nicht nur Local sondern auch wenn ich mal unterwegs bin. Also kommt nur sftp in betracht.

    Nur wenn ich das mit den Webseiten und den Funksteckdosen so lösen möchte wie du, wären 2 Pis im Einsatz oder hab ich da was übersehen bzw. ein Denkfehler? Den das war eigentlich nicht unbedingt der Plan, aber ich habe irgendwo mal gelesen, dass man den Apachen selber auch konfigurieren kann, dass man den Zugriff beschrenken bzw. einschrenken kann. Und die Daten der Messfühler werden eh im WWW auf einem Externen Datenbankserver gesichert. So reduziere ich die Schreibzugriffe auf meine SD Karte.

    Und zu dem mit dem Zugriff begrenzen meinst, denk ich bei FTP oder? Wenn ja, dazu hatte ich mal etwas liegen gehabt, das ist nur seit dem Umzug etwas verschütt gegangen. Es ist etwas aus dem "KnowWare" Verlag, dass sind so dünne Heftchen mit etwa 80 Seiten. Da gab es mal ein Heft zu Linux im Netzwerk oder so, das hatte ich gehabt und dort wurde Samba und eben auch FTP Server mit solchen Einstellungen super behandelt. Wenn ichs mal finde meld ich mich.

    Und das mit der VPN meinst du dann so, aus Grün kann man immer auf den Pi / das Netzwerkzugreifen lediglich über Rot kann man nur per VPN möglich auf den SSH Dienst. Richtig? Den der HTTP(s) Dienst macht ja wenig Sinn über VPN zu betreiben.


    Michael

    Der Raspberry Pi ist schon ein schönes Spielzeug mit dem man einiges anfangen kann.

    :angel: :wallbash:

  • Ich gehe die Punkte mal nacheinander durch:

    1) Wenn das grüne Netz ungleich 192.168.1.xx ist, dann kannst du das mit dem Pi so machen.

    2) Wenn Du den Dienst alleine nutzen willst, reicht FTP. Die Verbindung ist ja sowieso über VPN abgesichert.

    3) Das hast Du richtig verstanden. Ich würde das mit zwei Pis regeln. So ist man auf der sicheren Seite. Den Pi im grünen Netz habe ich über VPN immer im Vollzugriff. Der in der DMZ hat keinerlei Zugriff auf das grüne Netz. Und nein, DMZ-Schlupflöcher (Pinholes) sind keine vernünftige Option. Vielleicht hilft das zum Verständnis: http://wiki.ipfire.org/de/networking/start Zur Wartung des Pis könnte man vorübergehend ein Pinhole öffnen. Dieses nach der Wartung dann aber wieder schließen!

    4) Die Zugriffsrechte der User waren auf das Raspbian bezogen. Also nicht speziell auf FTP gemünzt. Ich möchte dort "echte" (keine virtuellen) User anlegen und denen dann die oben erläuterten Zugriffsrechte geben. Nicht mehr und nicht weniger. Aber das bekomme ich mangels Verständnis der Materie nicht hin.

    5) Aus grün kannst du eigentlich von jedem Gerät auf jedes Gerät. Das ist ja jetzt auch so. Wenn du eine VPN Verbindung zu Deinem Router aufgebaut hast, bekommt das Endgerät, dass diese Verbindung aufgebaut hat, eine IP aus Deinem grünen Netz. Damit verhält sich Dein Endgerät dann so, als wäre es über (W)Lan daheim verbunden. Um die Steckdosen zu schalten gibst du also einfach nur die IP des Pis im grünen Netz ein, auf dem der Dienst läuft. Da gibt es dann keine offenen Ports im Router für http(s), etc. Die einzige Portweiterleitung findet auf die DMZ statt. Wenn dann der RasPi in der DMZ gekapert werden sollte, machst du das letzte Backup wieder drauf und fertig. Würde aber ein Server im grünen Netz gekapert, hätte der Angreifer evtl. Zugriff auf auf viele andere Dinge/Daten. Daher stellt man die Server immer in die DMZ und hat dort auch keine Daten drauf, die nicht nochmal gesichert wurden.

  • Werde mir das ganze mal angucken.

    Aber der Interne Server (der mit den Sensoren, Funksteckdosenmodul und sonstige Elektronik) hat ja auch ganz normal Zugriff aufs WWW. Also damit er die Daten Extern speichern / lesen kann. Also aus MySQL.

    Und über diesen Weg kann ich dann für den DMZ Server (Oranger Bereich) für die Webseite nutzen und die Daten für diese Seite holt der sich aus dem Externen im Internetbefindlichen MySQL Server. Also für den Fall würde ein "Minimal" Gerät reichen. Denkst der Model A könnte reichen oder wäre der Leistungsmäßig zu schwach und sollte Model B eher nutzen? Hätte höchstens den Nachteil, das ich diesen lediglich über W-LAN Anbinden kann. Also für Webserver und SFTP Server. Dort sollen lediglich die Daten liegen, die nicht so brisant sind. Also welche die ich für Unterwegs brauche, die aber ohne großer Bewandnis sind.

    Wenn ich diesem DMZ Server aber eine Verbindung über die Firewall erlauben würde zur grünen Zone wäre es wieder eine mögliche Angriffslücke, stimmt?

    Und der Interne Server (Grüner Bereich) soll ja dann lediglich aus dem Netzwerk zugreifbar sein, außer die Portweiterleitung für die VPN Verbindung? Richtig?


    Michael

    Der Raspberry Pi ist schon ein schönes Spielzeug mit dem man einiges anfangen kann.

    :angel: :wallbash:

    Einmal editiert, zuletzt von RaspiDo (23. Februar 2014 um 16:33)

  • Uiuiui, jetzt komme ich nicht mehr mit. Der RasPi im grünen Netz sammelt Messdaten und lädt diese in einen Webspace (MySQL) hoch. Der RasPi in der DMZ holt sich diese und stellt sie dann für alle zugänglich zur Verfügung. Habe ich das richtig verstanden?

    Ich war jetzt nicht davon aus gegangen, dass der RasPi, der im grünen Netz hängt Dauerzugriff auf das Inet hat. Ich dachte das hätte nur der in der DMZ.

    Da ich ein großer Fan kabelgebundener Lösungen bin, da sich damit eine Menge Probleme gar nicht erst ergeben, würde ich immer zum "größeren" RasPi tendieren. Der Preisunterschied sollte nicht wirklich den Ausschlag geben.

    VPN benötigt keine Portweiterleitung oder hast Du eine doppeltes NAT? Du richtest VPN ein und hast damit vollen Zugriff von überall her. Du buchst Dich in ein offenes Wlan ein, hast das VPN so konfiguriert, dass sämtliche Daten drüber laufen und kannst dann bedenkenlos surfen. Es ist so als würdest du daheim sitzen. Der Betreiber des Wlans kann deinen Traffic scannen, wird aber nix damit anfangen können, da alles verschlüsselt ist. Das ist das tolle an VPN.

  • Jap du hast das "fast" richtig verstanden. Der Raspi im Grünen Bereich sammelt Daten und überträgt die nur in eine MySQL - Datenbank per Shell Script. Den so kann ich den Raspi in der DMZ ohne zusätzlicher Hardware in einem einfachen Gehäuse laufen lassen. Also als einfaches Gerät mit lediglich LAN und Spannungsversorgung.

    Den der andere Pi läuft in einem passenden Gehäuse welches ich mir aufgebaut habe mit zusätzlichen Platinen und so. Den sonst müsste ich mir für den DMZ Server ebenfalls ein entsprechendes Gehäuse mit Platine fertig machen und so. Und ohne extra Gehäuse bekommt der Pi höchstens ein paar LEDs um den Zustand nach außen zu melden, sonst nichts.

    Das andere Gehäuse habe ich hier schon mal gepostet.

    Eine Frage ergibt sich noch, wenn ich mit einem PC (IP: 192.168.1.x) aus der Grünen Zohne den DMZ Server (z.B. IP: 123.123.123.123) per SSH verbinden will, macht der Router das einfach ohne weiteres oder?

    Und das mit der VPN, wenn ich also mit der DynDNS Adresse dann von sonst wo her drauf zugreife, weiß der Router sofort, dass ich den Pi der Grünen Zohne weiter oder muss ich doch mit dem Port von VPN noch was tun? Oder macht der Router das direkt? Ich weiß, ich könnte es einfach testen, nur bevor ich meine TestPi SD Karte zusetze mit allem möglichen Diensten frag ich erstmal nach.

    Und die vom Aktuell laufenden Server wollte ich eh nich groß rumbasteln, den ich hab gelernt "Never Chance a running System" :)


    Michael

    PS: Ich hoffe ich verwirre jetzt nicht voll und ganz :)

    Der Raspberry Pi ist schon ein schönes Spielzeug mit dem man einiges anfangen kann.

    :angel: :wallbash:

    Einmal editiert, zuletzt von RaspiDo (23. Februar 2014 um 20:59)

  • Also wenn du die Daten auf jeden Fall öffentlich machen möchtest, ist das auch eine Möglichkeit. Das sollte so klappen.

    Wie Du von grün nach orange kommst, hatte ich weiter oben schon geschrieben: Du richtest für die Dauer der Wartung ein Pinhole ein. Ich weiss natürlich nicht, ob Dein Router das mit macht. Ansonsten klemmst Du den RasPi einfach kurzerhand an einen Switch und an den hängst Du den Rechner und den Router. Oder Du verbindest den RasPi direkt mit deinem Rechner, sofern der eine Gigabit Schnittstelle hat. Wenn er die nicht hat, nimmst Du zur direkten Verbindung ein gekreuztes Patchkabel. Um den RasPi vorher (weil Du ja keinen Zugriff per Terminal hast) sauber herunter fahren zu können, könntes Du so etwas in dieser Art einbauen: https://www.forum-raspberrypi.de/Thread-tutoria…incl-status-led

    edit: Noch mal zu Deiner VPN-Frage, die ich wohl überlesen hatte: AVM hat eine schöne Seite zum Thema VPN. Lies Dich dort doch mal ein paar Minuten ein, dann haben sich Deine Fragen wahrscheinlich schon beantwortet.
    http://www.avm.de/de/Service/Ser….php?portal=VPN

    http://www.avm.de/de/Service/Ser….php?portal=VPN

    Du musst nichts weiter am Router einstellen. Sobald die VPN Verbindung steht, ist es so, als wärest du daheim. Du hast vollen Zugriff auf Dein komplettes Netzwerk, weil Du eine IP aus diesem Netzwerk bekommen hast.

  • Ja das mit der "Statusmaus" habe ich schon gesehen, dass wird denke ich unter anderem ins Gehäuse kommen. Aber nur direkt ins Gehäuse, dazu noch 3 LEDs zum anzeigen des RAM Speichers. Vielleicht kommt noch die ein oder andere LED dazu, aber das guck ich dann.

    Und als Gehäuse wollte ich so ein ähnliches nehmen, wie hier beschrieben, nur einfach eine Baureihe kleiner. Die gibts nämlich bei Conrad in verschiedenen Größen und da es im Vorratsschrank / Netzwerkschrank brauch ich keine Maus dran. Es muss Optisch ja nicht so "Cool" aussehen, da reichen einfache LEDs und Taster im Gehäuse.

    Und das zu VPN werde ich mir nachher noch mal genau durchlesen.


    Michael

    PS: Ich denke nur wenn ich diese Lösung mache, werde ich beide Pis über ein Netzteil betreiben. Habe hier noch ein Netzteil von 5V und 3,5A. Sollte für alles Reichen, also 2 x 700mA für Model B und dann bleibt genügend Reserve für Elektronik. Aber genauer überlege ich mir dies noch mal, wenn ich weiß wo ich die Pis beide Hin packe. Also falls die getrennt liegt, muss ich 2 Netzteile nehmen.

    Der Raspberry Pi ist schon ein schönes Spielzeug mit dem man einiges anfangen kann.

    :angel: :wallbash:

    Einmal editiert, zuletzt von RaspiDo (24. Februar 2014 um 12:55)

  • Es kam nun noch ein paar Fragen zu dem ganzen auf.

    Wenn ich so dann 2 Pis nute müsste ich ja für jeden Pi eine eigene IP Tables machen. Wäre zwar nur eine Firewall für den Pi selber, aber besser is besser denk ich mal.

    Nur ich müsste dann gucken wie ich das vernünftig mache, weil der Pi hat ja bekanntlich nur eine Netzwerkschnittstelle standartmäßig. Und ich kann ja auch über iptables dann z.B. SSH dadrüber nur für Geräte erlauben kann die im Grünen Bereich bzw. über den VPN Tunnel in den Grünen Bereich erlauben lassen kann.

    Wie weit macht es eigentlich Sinn, den Pi selber als Firewall für das gesamte Netzwerk zu nutzen? Also einfach eine USB Netzwerkkarte an den Pi und dann zwischen Router und Modem hängen bzw. hinter dem Router und vor einem Switch. Also das der gesamte Datenverkehr über den Pi läuft oder ist der Pi dafür weniger geeignet und die Hardwarefirewall des Routers reicht?


    Michael

    Der Raspberry Pi ist schon ein schönes Spielzeug mit dem man einiges anfangen kann.

    :angel: :wallbash:

  • Das verstehe ich jetzt nicht so ganz. Du willst ein doppeltes NAT anlegen? Da könntest Du Dir aber eine Menge Sorgen mit einhandeln, wenn Du nicht genau weißt, was Du da tust. Der Pi als Firewall funktioniert vielleicht, aber ich würde davon abraten. Dazu ist er zu langsam, hat zu wenig Ram und ist letztlich nicht zuverlässig genug, da er meiner Meinung nach nicht für einen 24/7 Betrieb ausgelegt ist. Dazu nimmt man andere Hardware. Schau doch mal hier nach passender Hardware: http://forum.ipfire.org/index.php?topic=550.0

    Im Bereich Hardware stehen jede Menge Beiträge zu Leuten, die den RasPi als Firewall nutzen wollen. Hier nur ein aktuelles Beispiel: http://forum.ipfire.org/index.php?topic=9675.0

  • Mit dem nutzen als Firewall war an sich nur ein Gedanken.

    Aber dass der im Dauerbetrieb an sich zuverlässlich ist kann ich bestätigen. Mein Server lief bis heute mittag 4 Monate bereits durch. Zurzeit ist er offline, weil ich das Gehäuse noch mal überarbeite. Er wird aber Spätestens Sonntag wieder seinen Dienst tuen.


    Michael

    Der Raspberry Pi ist schon ein schönes Spielzeug mit dem man einiges anfangen kann.

    :angel: :wallbash:

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!