Getrennt ist sicherer...VLAN Fähigkeiten und Firewall nachrüsten.

Dieses Thema im Forum "Router & Datensicherheit" wurde erstellt von CapFloor, 22. Januar 2019.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.475
    Punkte für Erfolge:
    160
    #1 CapFloor, 22. Januar 2019
    Zuletzt bearbeitet: 13. März 2019
    Es gibt gute Gründe, die übliche Linie der unsegmentierten Netzwerkstruktur auch im Heimbereich zu verlassen:
    1. Die mitgebrachten Geräte von Gästen sollen zwar den heimischen Internetzugang nutzen können, aber keinen Zugriff auf Geräte im eigenen Heimnetz haben.
    2. Diese Art von Netzwerk-Trennung bietet sich auch für den Betrieb von Geräten aus dem Bereich "Internet-of-Things" (IoT) an. Das "Aussperren" dieser Geräteklasse aus dem eigenen Heimnetzwerk kann ein echter Sicherheitsgewinn sein.
    3. Die (vereinfachte) Priorisierung von bestimmten Netzwerkdiensten, z.B. VoIP, kann ebenfalls ein sinnvoller Grund sein, die beteiligten Geräte in ein eigenes Netzwerk-Segment zu verfrachten.
    Trotz dieser "Tendenz zur Trennung" soll der (eine) vorhandene Internet-Zugang aus allen Netzwerk-Segmenten gemeinsam genutzt werden können, ohne dass an diesem "Treffpunkt" die Netzwerk-Trennung ungewollt durchbrochen wird.

    Dazu sind von den Netzwerkkomponenten, insbesondere dem Router, einige technische Voraussetzungen zu erfüllen: Unabdingbar ist die Unterstützung von VLANs (Netzwerk-Segmentierung auf Layer 2) und die Fähigkeit zum Routen mehrerer Subnetze (Netzwerk-Segmentierung auf Layer 3+). Um eine Abschottung der Netzwerk-Segmente zu gewährleisten, braucht es darüberhinaus eine konfigurierbare Firewall.

    Das Problem: Viele Router, die den Kunden von ihrem Internet-Provider zur Verfügung gestellt werden, erfüllen keine den genannten Anforderungen. Wenn dieser Router nicht oder nur unter Akzeptanz eines eingeschränkten Supports durch den ISP bei Zugangsproblemen ersetzt werden kann, muss in die "Trickkiste" gegriffen werden.

    Es kann ein kleiner Router, der funktional die obigen Anforderungen erfüllt, zwischen Provider-Router und Heimnetz-Infrastruktur gesetzt werden. Dieser stellt im Heimnetz zum einen entsprechende Funktionen zur Netzwerk-Segmentierung zur Verfügung und erlaubt zum anderen den geregelten Zugriff aus allen Segmenten auf den (einen) Internet-Zugang. Diese Art der "Router-hinter-Router" Konfiguration hat nichts mit den - hier - und - hier - beschriebenen Ansätzen zu tun. Durch den Einsatz eines professionellen Routersystems wird Funktionalität im Netzwerk ergänzt und damit das Sicherheitsniveau in vielerlei Hinsicht erhöht.

    Wie eine derartige Konfiguration aussieht, ist in - diesem Beitrag - erklärt, mit zwei Netzwerk-Segmenten. Bei Fragen zur Anwendung dieses Ansatzes in einer konkreten, eigenen Umgebung: Einfach fragen...
     
Status des Themas:
Es sind keine weiteren Antworten möglich.