IP-Adressen richtig aufteilen ?

Zitat von Patrick089

Die UDM ist im default in der Firewall offen wie ein Scheunentor (um es mit den Worten des Kollegen zu sagen :-).

nicht vergessen es ist ein Router es ist die Aufgabe und elementare Eigenschaft eines Routers Netze zu verbinden.

Kein Router dieser Welt sperrt sich in den Grundeinstellungen dagegen seinen Job zu machen.

Default dürfen alle Internen Netze mit einander Sprechen

Default dürfen alle Internen Netze über das WAN raus

Dennoch gibt es sinnvolle Grunseinstellinf um sich vor dem "draußen" zu schützen.

Default darf von von draußen nichts rein (nur der gewollte Traffic der vorher von innen angesagt wurde)

Nicht nur wegen dem NAT sondern auch wegen Statfuel Reglen die nur relaxte und establish traffic wider reinlassen.

Ausnahme: wenn "Direkt Remote Access" eingesagte ist, ist die Weboberfläche über die sofern vorhandenen

Öffentliche IP zu erreichen (vorgesehen für die Mobile APPs, damit schneller geht als über die Cloud Infrastruktur vonUnifi)

Damit ist dann aber auch max der Router selber zu erreichen (bzw. die Console) aber nichts anderes.

Das is erstmal nicht Offen oder unsicher. Den Von Extern ist alles gut.

Das ist das dann auch gleiche verhalten das auch eine Fritz!Box an den tag legt, der der Asus, oder der

Speedport, oder der TP Link, oder der xxxx. der die. letzen 20 Jahre für Internet gesorgt hat....

Ob dann nun sinnvoll ist seine Uhr / Kühlschrank / TV jeweils eigne VLAN zu geben

die über reglen abgeschottet sind, das mag dann jeder gerne für sich entscheiden.

Zitat von gierig

Ob dann nun sinnvoll ist seine Uhr / Kühlschrank / TV jeweils eigne VLAN zu geben

die über reglen abgeschottet sind, das mag dann jeder gerne für sich entscheiden.

Sehe ich genauso. Und ob es auch sinnvoll ist, alles per Firewall Richtung Internet zu blocken und nur

spezielle Sachen freizuschalten, halte ich auch für fragwürdig, weil das ein riesen Aufwand wird.

Einzele VLAN bei mir kommen nicht ins Internet, alle anderen kommen ungehindert raus, da hängt aber

ein Werbeblocker (AdGuard ) zwischen, der einen Großteil der "bösen" Seiten wegblockt.

Das ist für mich wensentlich einfacher zu handhaben als es über Firewall-Regeln zu steuern

Zitat von gierig

Das is erstmal nicht Offen oder unsicher. Den Von Extern ist alles gut.

Das ist das dann auch gleiche verhalten das auch eine Fritz!Box an den tag legt, der der Asus, oder der

Speedport, oder der TP Link, oder der xxxx. der die. letzen 20 Jahre für Internet gesorgt hat....

Prinzipiell hast du natürlich recht, nur für einen Menschen in der IT ist das eben offen wie ein Scheunentor.

Ohne geblockte Ports etc. kann Schadsoftware (sollte eine Rechner vorhanden sein) nach außen Kommunizieren so wie es ihr gefällt oder andere Szenarien können passieren.

Für private User sicher übertrieben, aber da ich Tag für Tag sehe was in der IT abgeht kann es für mich nicht sicher genug sein :-). Ich will den Teufel nicht an die Wand malen, aber die Internetkriminalität ist eben so wie sie ist.

Zitat von Tomcat

Sehe ich genauso. Und ob es auch sinnvoll ist, alles per Firewall Richtung Internet zu blocken und nur

spezielle Sachen freizuschalten, halte ich auch für fragwürdig, weil das ein riesen Aufwand wird.

Sicher das ist ein riesen Aufwand, aber eben auch sicherer :-).

Aber das darf oder soll jeder User unbedingt für sich entscheiden wo man die Grenze zieht.

Zitat von Patrick089

Ohne geblockte Ports etc. kann Schadsoftware (sollte eine Rechner vorhanden sein) nach außen Kommunizieren so wie es ihr gefällt oder andere Szenarien können passieren.

Lacht müssig. Schaden kram der schaden will schadet.

Du willst du Surfen ? Dann ist Port 80 nach draußen offen genauso wie 443.

Peng, "böse" Software kann nach Hause telefonieren, da der Rückweg dynamisch offen ist solange Daten fließen

(PAT Eintrag in den NAT / connection Tracking Tabellen + Establish/Relatet die vom Paketfilter genutzt werden)

freuen sich auch alle Reserve und Schadens tools.

Da mach sich keiner mühe und hofft auf "offne ports die raus dürfen" wenn eh klar

das 80 und 443 so go wie immer rausdürfen.

Interessanter weise sprechen immer alle von VLAN abschotten a nicht mit b und so,

raus ins internet dürfen aber dann aber alle direkt. Bzw die dann raus dürfen machen das

direkt.. Peng Schadensoftware freut sich. Schau alleine hier ins Forum ich wette was das 90%

von den ich brauch aber mindestens 12 VLAN und 3 Stunden Zeit wenn ich das in der Firewall ändern

will auch nicht einer einen HTTP Proxy einsetzt sondern direkt ins Externe Netz geht.

Nicht das nen Proxy jetzt "der aktuelle heiße scheiß" ist. Aber besser als direkt für die Angsthasen

allemal.

Zitat von Patrick089

Ohne geblockte Ports etc. kann Schadsoftware (sollte eine Rechner vorhanden sein) nach außen Kommunizieren so wie es ihr gefällt oder andere Szenarien können passieren.

Für private User sicher übertrieben, aber da ich Tag für Tag sehe was in der IT abgeht kann es für mich nicht sicher genug sein :-). Ich will den Teufel nicht an die Wand malen, aber die Internetkriminalität ist eben so wie sie ist.

Das ist eine Psuedo-Sicherheit, die glaubt man zu haben, nur weil man Ports blockt.

Hacker sind nicht blöd, Schadsoftware nutzt heute Standartports, die durch jede Firewall und Proxy durchgehen, weil die per Default offen sind, z.b. 443 für HTTPS.

Kannst dir aussuchen: willst die System nutzen oder willst du Sicherheit, bei letzterem muss du das Kabel zum Internet rausziehen.

Da hilft keine Firewall sondern nur eine ordentlicher Virenscanner auf den System und ggf, obendrauf noch ein AdGuard/Pihole, der Domainaufrufe zu bekannten Seiten blockt.

Aber das ganze ist immer eine Henne-Ei-Probleme, bis die Virenscanner-Hersteller / AdBlocker-Filterlisten aktualisiert werden, kann es schon zu spät sein.

Wir gehen in der Firma daher mehrere Wege, entsprechende Security-Software aus allen Systemen und eine Sensibilisierung der Mitarbeiter durch Schulung usw..

Ihr müßt euch immer eines vor Augen führen - das größte IT-Sicherheitsproblem sitzt vor der Tastatur, das ist leider Fakt, weil User dumm auf jeden Link oder eMail-Anhang klicken.

Auch gerne mal ein Problem ... mobile Geräte vom Außendienst oder noch besser Chefetage, die zu Besuch in einem versifften Netzwerk waren und dann wieder nach Hause kommen. Solche Geräte gehören eigentlich auch isoliert ...

Tomcat ja ohne Menschen wäre alles sicher. Dann gäbe es auch keine Hacker So richtig wild wird es in kleinen Firmen ... da kann man als Externer nur Predigen und es geht links rein und rechts raus. Fängt bei Dingen wie Datensicherung an und hört bei " Rezeptionsmitarbeiter: Ich hab den Gästen mal das WLAN Passwort von unserem Firmen WLAN gegeben. Weil der Accesspoint in Apartment 35 geht nicht." auf.

Das Problem, weswegen Du hier noch nichts für Dich Befriedigendes gelesen hast ist, dass Du nach einfachen Antworten auf sehr komplexe Fragestellungen suchst.

Diese Antworten gibt es aber nicht, so lange man technisch korrekt bleiben und sich nicht einer Schein-Sicherheit hingeben will.

Zitat von 4711Austria

sind alles gute Weisheiten und logische Begebenheiten, ich kann aber leider keinen Nutzen daraus ziehen, bzw. steht meine Frage noch immer im Raum, wie bzw. was kann ich tun in den UDM Settings, mich und mein Intranet besser zu schützen (außer Backups, böse Links anklicken usw....)

ein Freund bekommt von seiner UDM täglich Infos mit abgewehten Angriffen, Firewalleinstellungen sind das. Ich möchte aber euch wissende fragen, was ist das max dass ich in der UDM einstellen kann, ohne mich selbst auszuschließen aber bewusst den Traffic ins Web zu "kontrollieren"

Da soll der die Benachrichtigungen ausschalten, helfen ihm eh nicht weiter ausser das die Panik verursachen. Das selbe ist bei Leuten die alle mögliche an Funktionen einschalten ohne zu wissen, was diese bewirken - liesst man hier im Forum ja auch ständig.

Ums sicher zu machen:

- als erstes, was ich immer wieder schreibe, mache dir nen Plan in Form eine Kommunikationsmatrix, welche System kommen in welche VLANs rein, welche VLANs müssen / dürfen mit welchen anderen VLAN kommunizieren und welche nicht, welche VLANs dürfen ins Internet.

Grundsätzlich gilt:

- keine Portfreischaltungen vom Internet ins eigenen Netz

- VLAN-Isolation aktivieren

- alles verbieten was nicht benötigt wird ( so wie es eigentlich jede ordentliche Firewall macht, es ist verboten, was nicht expliziet erlaubt wird )

Ein Grundrezept gibt es nicht, ist immer abhängig von den eigenen Anforderungen und Gegebenheiten. Es wird die sicherlich nichts bringen, wenn ich dir ne Liste meine Firewallregeln geben.

Zitat von 4711Austria

ein Freund bekommt von seiner UDM täglich Infos mit abgewehten Angriffen,

Nun das IDS/IPS meldet bzw. erstellt BlockRegeln für den Packetfilter

Das system hört dabei Netzwerkübergreifend. Also zwischen VLAN und natürlich auch in / aus dem Internet.

Damit das Ding arbeiten kann müssen aber auch Daten von A nach B fließen können.

Sprich wenn es aus dem internet kommt, hat er aktive und bewusst Portweiterleitungen

nach dem Shema "egal wer, leite port x nach intern y weiter"

Sprich die Tür aus schon offen

machen die "ich betreibe meinen eignen HTTP, Ganeserver, FTP, P2P kram" gerne

und mit Absicht. Da sollte man aber wissen das sowas jeden tag automatisiert genannt und

abgeklopft wird..

Hast du keine Portweiterleitung bei dir hast du auch 99% keine "Angriffe" weil nichts offen ist

das Angreifbar ist. Die restlichen 1% sind dann "böse" dinge die du von innen aufrufst oder

ggf wenn du ein Schädling auf den Rechner hat der im Hintergrund wuchert.....

Ich finde deine Einteilung hinsichtlich der Anzahl der Sub-Netze ziemlich viel. Wie viele echte aktive Geräte sind denn bei dir am Laufen, also ohne IoT-Kram? Da hat man dann ja gar keine Freizeit mehr.
Auch machen verschieden Ausprägungen für mich kein Sinn. Warum sind Shelly und IoBroker nicht in einem Netz. Docker sollten direkt in dem Netz laufen, in dem sie ihre Aufgaben zu erledigen haben.

Du kannst doch auch innerhalb eines Subnetzes Regeln aufstellen. Also Shelly, Drucker, VoIP/FB und TV und Medien-Player in einem. Regeln benötigst du doch nur, wer wie nach Hause telefonieren darf. Dazu packst du die Geräte in eine IP-Gruppe.

Zitat von 4711Austria

ioBroker läuft am NAS, Überlegung ist aber die Shelly nicht im selben Netz laufen zu lassen

warum soll das soviel Zeit kosten, verstehe das nicht, die Settings der VLan's macht man einmal und das sollte es doch dann sein

wenn sich was ändert, öffnet man einen Port oder sonst, so meine Gedanken dazu...

IP Gruppe, ok, das sagt mir noch nicht viel, wie stellt man das ein?

IoBroker läuft zwar auf dem NAS, aber warum mit einer IP aus dem NAS-Netz und nicht mit einer IP des IoT-Netzes, ist doch deutlich simpler, weniger Regeln, weniger Fehlerquellen.

Das mit: ich mache Setting einmal und gut ist, funktioniert nach meine Erfahrungen nicht UND genau dies führt zu Sicherheitslücken. Dies haben Network, gierig und Tomcat auch schon versucht zu verdeutlichen mit ihren Anmerkungen.
Um so komplexer das Netz, um so mehr musst du es überwachen und auf neu erwachten Bedrohungen reagieren.

Mein erster beruflicher Kontakt war mit Loveletter, der sich am 4. Mai 2000 und den folgenden Tagen nach dem Prinzip eines Kettenbriefs explosionsartig per E-Mail verbreitete. Der interessiert heute keinen mehr, weil sich Mailserver so nicht mehr austricksen lassen. Aber in den letzten 25 Jahre habe ich sehr viele neue Angriffsszenarien gesehen und untersucht. Das hört nie auf.

Zitat von phino

weil sich Mailserver so nicht mehr austricksen lassen.

Wohl eher ein Win Spezifisches Problem WHS/VBS Script aus Outlook und co auszuführen + das die Kontaktliste der selbiges

einfach so auslesebar bar....aber egal.. waren wilde tage damals....

Zitat von 4711Austria

ist das nicht egal Lan/Wlan?

Wieder reine Geschmacksache. Früher^TM (Äonen vor unifi) habe ich das auch getrennt. Dann sind IoT Plastik Becher ins haus

gekommen wie ne Logitech squeezebox duo die es garnicht mochte wenn remote und Receiver in Verschiedenen VLAN war.

Seitdem sind 08/15 WLAn und lan da gleiche Netze.. hat für mich auch den Vorteil das nicht alles über den Router muss...

Aber dennoch verstehe ich immer noch nicht Intention hinter "Allg 0-9".

Sagen wir du hast wirklich irgendein gerät das mit "192.168.3.3" als Default IP daher kommt.

Du willst es reinstecken in ein Port der dann das VLAN 3 hat, hoffen das das gerät dann auch als Gateway die

gleiche IP hat die du Vergeben hast als L3 Interface im vlan und dann drauf zugreifen ?

Erfolg dafür sehe ich da nicht.

Oder "Damit es nicht mit anderen Kommunizieren kann" ? Dann ist es erst recht doof.

Den ein Gerät mit der 192.168.3.3 wird mit NICHTS sprechen können wenn du es

z,B in dein VLAN 30 steckst. das Netzwerk 1*1 sagt aus das du nur mit geraten direkt

sprechen kann die im gleiche IP Netz sind (die Kombi aus IP und Maske). Andere Netze können

nur über L3 erreich werde dazu aus der aber die IP kennen. (salopp und stark vereinfacht die Gateway Adresse)

DAZU bildet man auch VLANs um ein IPBereiche einzusperren (auch vereinfacht dargestelltem,geneuer L2 Brodcastdomain

innerhalb eines Definierten Bereiches Trift es eher)

Dann kann man erst recht mit anderen nicht passenden IP irgendwohin Kontakt aufnehmen.

Im ersten fall richtest du dir VLAN ein für gerate die du nicht hast, nie besitzen wirst und wenn

dann eh die Gateway Adresse nicht gesetzt ist oder stimmt.

Im zweiten fall macht es soo garkeinen Sinn..

Bitte helfe mit das zu verstehen.

Zitat von gierig

Aber dennoch verstehe ich immer noch nicht Intention hinter "Allg 0-9".

Sagen wir du hast wirklich irgendein gerät das mit "192.168.3.3" als Default IP daher kommt.

Ganz ehrlich, ich hab den Sinn dahinter auch noch nicht verstanden.

Bei mir kommen die Gerät ich das vorgesehen VLAN rein, egal ob nun per Kabel oder WLAN und bekommen dann per DHCP-Server eine IP-Adresse aus dem für diese VLAN festgelegten Bereich.

Mit ist noch kein Gerät untergekommen, was damit Problem hat.