Interne Sicherheitslücken finden da Gast-WLAN aktiv
-
Hallo zusammen,
beschäftige mich seit diesem Jahr mit dem ioBroker (Raspi 3) i.V.m CCU3 Homematic. Habe VPN eingerichtet, von außen wird nur der Port der Synologie als Sicherheitsrisiko angezeigt. Sonst sind alle Port zu.
Nun möchte ich den WLAN-Gastzugang bereitstellen. Auf was muss ich alles achten, damit ich mich gegen internen Angriffe (Gäste FEWO) absichern kann.Folgende Punkte sehe ich jetzt:
- Raspi Zugang PW geschützt
- CCU3 Zugang PW geschützt
- ioBroker admin HTTPS und Authentifikation
- VIS ist erreichbar, hier sollte aber keiner aus dem Gast-WLAN Zugang haben
Wenn ich nun die ganzen Posts lese bzgl. Portfreigabe dann wird mir ganz komisch, wenn ich das Gast-WLAN zulassen möchte. Derzeit sehe ich nur den ioBroker (VIS) als Risiko.
Was habe ich alles vergessen und wie würdet Ihr vorgehen, wenn Ihr ein Gast-WLAN bereitstellen möchtet.
Vielen Dank und Grüße
Joe -
Hallo zusammen,
beschäftige mich seit diesem Jahr mit dem ioBroker (Raspi 3) i.V.m CCU3 Homematic. Habe VPN eingerichtet, von außen wird nur der Port der Synologie als Sicherheitsrisiko angezeigt. Sonst sind alle Port zu.
Nun möchte ich den WLAN-Gastzugang bereitstellen. Auf was muss ich alles achten, damit ich mich gegen internen Angriffe (Gäste FEWO) absichern kann.Folgende Punkte sehe ich jetzt:
- Raspi Zugang PW geschützt
- CCU3 Zugang PW geschützt
- ioBroker admin HTTPS und Authentifikation
- VIS ist erreichbar, hier sollte aber keiner aus dem Gast-WLAN Zugang haben
Wenn ich nun die ganzen Posts lese bzgl. Portfreigabe dann wird mir ganz komisch, wenn ich das Gast-WLAN zulassen möchte. Derzeit sehe ich nur den ioBroker (VIS) als Risiko.
Was habe ich alles vergessen und wie würdet Ihr vorgehen, wenn Ihr ein Gast-WLAN bereitstellen möchtet.
Vielen Dank und Grüße
Joe@muedejoe Das Gastnetzwerk ist ein eigenes Netz, darüber kommt man nicht in das Hauptnetz rein.
Jedenfalls wenn man es nicht mutwillig umkrempelt.
Wobei ich jetzt bei der Fritzbox z.B. gar nicht wüsste wo man da irgendwas einstellen könnte. -
@muedejoe Das Gastnetzwerk ist ein eigenes Netz, darüber kommt man nicht in das Hauptnetz rein.
Jedenfalls wenn man es nicht mutwillig umkrempelt.
Wobei ich jetzt bei der Fritzbox z.B. gar nicht wüsste wo man da irgendwas einstellen könnte.@thomas-braun sagte in Interne Sicherheitslücken finden da Gast-WLAN aktiv:
@muedejoe Das Gastnetzwerk ist ein eigenes Netz, darüber kommt man nicht in das Hauptnetz rein.
Jedenfalls wenn man es nicht mutwillig umkrempelt.
Wobei ich jetzt bei der Fritzbox z.B. gar nicht wüsste wo man da irgendwas einstellen könnte.Da wäre ich mir nicht so sicher ob das immer ein eigenes Netz ist. Bei meinem Telekom Router ist das Gäste wlan zwar eine eigene ssid aber der Client erhält eine ip Adresse
aus dem gleichen Pool wie alle anderen internen Clients.
Je nachdem ob ich Client Isolation ein oder aus schalte, darf ich ein Gäste Client auch auf das interne Netzwerk zugreifen oder nur Internet.
Das ist von Router zu Router wahrscheinlich jeweils anders gelöst.
Besser wäre es auf jeden Fall ein eigenes subnetz, da dann die anderen Clients erstmal durch den Router abgeschirmt sind. Das Krönchen ist aber noch, das die Gäste Clients auch untereinander nicht miteinander kommunizieren können, sondern nur die Richtung Internet durch Firewall regeln freigeschaltet ist -
Hallo zusammen,
beschäftige mich seit diesem Jahr mit dem ioBroker (Raspi 3) i.V.m CCU3 Homematic. Habe VPN eingerichtet, von außen wird nur der Port der Synologie als Sicherheitsrisiko angezeigt. Sonst sind alle Port zu.
Nun möchte ich den WLAN-Gastzugang bereitstellen. Auf was muss ich alles achten, damit ich mich gegen internen Angriffe (Gäste FEWO) absichern kann.Folgende Punkte sehe ich jetzt:
- Raspi Zugang PW geschützt
- CCU3 Zugang PW geschützt
- ioBroker admin HTTPS und Authentifikation
- VIS ist erreichbar, hier sollte aber keiner aus dem Gast-WLAN Zugang haben
Wenn ich nun die ganzen Posts lese bzgl. Portfreigabe dann wird mir ganz komisch, wenn ich das Gast-WLAN zulassen möchte. Derzeit sehe ich nur den ioBroker (VIS) als Risiko.
Was habe ich alles vergessen und wie würdet Ihr vorgehen, wenn Ihr ein Gast-WLAN bereitstellen möchtet.
Vielen Dank und Grüße
Joe@muedejoe Wie meine Vorredner geschrieben haben: es kommt auf den Router an. Ein guter Router (Fritzbox, Unifi, ...) wird das Gast WLAN komplett vom Rest des Systems abschirmen (eigenes Subnetz, keine Client-Client Kommunikation, kein Zugriff auf andere Netzwerke ausser dem Internet).
Ein kleiner Tipp: richte das Gast WLAN mal ein und hänge einen Laptop dran. Dann schaust du zB mit
tracertoder einfachpingob du deinen Raspi erreichen kannst. Zudem kannst du auch noch ein zweites Gerät und Gast WLAN nehmen und schauen, ob du das anpingen kannst. Damit bist du dir sicher, dass du keine Löcher im System hast. -
Danke für für die Vorschläge, habe eine Fritzbox 7490. Foglendes habe ich im Gast-WLAN getestet:
Fritzbox
anpingen und tracert möglich
Zugriff auf Weboberfläche NICHT möglichCCU
anpingen und NICHT möglich
Putty SSH NICHT möglich
tracert Fritzbox wird gefunden dann Zeitüberschreitung
Zugriff auf Weboberfläche NICHT möglichRaspi (ioBroker)
anpingen und NICHT möglich
Putty SSH NICHT möglich
tracert Fritzbox wird gefunden dann Zeitüberschreitung
Zugriff auf Weboberfläche ioBroker NICHT möglich
Zugriff auf Weboberfläche VIS (Demo View) NICHT möglichZugriff auf Geräte im Gast-WLAN
anpingen und NICHT möglichFritzbox Einstellungen Gast-WLAN
nicht aktiv -> Geräte im Gastzugang oder Hotspot (WLAN-Geräte dürfen untereinander kommunizieren)
aktiv -> Internetanwendungen beschränken (Die Internetanwendungen werden für die Nutzer des Gastzugangs/Hotspots auf Surfen und Mailen beschränkt.)
aktiv -> Filter - Internetseiten filtern für Gast-Nutzer- Gesperrte Netzwerkanwendungen -> alles außer Surfen und Mailen
Also für mich sieht als gut aus, zumindest mit meinen Mitteln. Was mich wundert, dass ich aus dem Gast-WLAN nicht auf das VIS komme, da hier alles offen wäre.
Würdet ihr noch zusätzliche Maßnahmen anstoßen?
-
Danke für für die Vorschläge, habe eine Fritzbox 7490. Foglendes habe ich im Gast-WLAN getestet:
Fritzbox
anpingen und tracert möglich
Zugriff auf Weboberfläche NICHT möglichCCU
anpingen und NICHT möglich
Putty SSH NICHT möglich
tracert Fritzbox wird gefunden dann Zeitüberschreitung
Zugriff auf Weboberfläche NICHT möglichRaspi (ioBroker)
anpingen und NICHT möglich
Putty SSH NICHT möglich
tracert Fritzbox wird gefunden dann Zeitüberschreitung
Zugriff auf Weboberfläche ioBroker NICHT möglich
Zugriff auf Weboberfläche VIS (Demo View) NICHT möglichZugriff auf Geräte im Gast-WLAN
anpingen und NICHT möglichFritzbox Einstellungen Gast-WLAN
nicht aktiv -> Geräte im Gastzugang oder Hotspot (WLAN-Geräte dürfen untereinander kommunizieren)
aktiv -> Internetanwendungen beschränken (Die Internetanwendungen werden für die Nutzer des Gastzugangs/Hotspots auf Surfen und Mailen beschränkt.)
aktiv -> Filter - Internetseiten filtern für Gast-Nutzer- Gesperrte Netzwerkanwendungen -> alles außer Surfen und Mailen
Also für mich sieht als gut aus, zumindest mit meinen Mitteln. Was mich wundert, dass ich aus dem Gast-WLAN nicht auf das VIS komme, da hier alles offen wäre.
Würdet ihr noch zusätzliche Maßnahmen anstoßen?
@muedejoe sagte in Interne Sicherheitslücken finden da Gast-WLAN aktiv:
Was mich wundert, dass ich aus dem Gast-WLAN nicht auf das VIS komme, da hier alles offen wäre.
das ist nicht im Internet!
und deine Gäste dürfen nicht bei dir ins Hauptnetz
Hello! It looks like you're interested in this conversation, but you don't have an account yet.
Getting fed up of having to scroll through the same posts each visit? When you register for an account, you'll always come back to exactly where you were before, and choose to be notified of new replies (either via email, or push notification). You'll also be able to save bookmarks and upvote posts to show your appreciation to other community members.
With your input, this post could be even better 💗
Register Login297
Online32.8k
Users82.7k
Topics1.3m
Posts