Verständnisfrage Homelab & Sicherheit

D

DnaMes

New member
Hallo.

Gut möglich, dass es schon etliche Male gefragt wurde und vermutlich könnte ich, sofern ich noch mehr Zeit in die Recherche investiere, auch alles selbst herausfinden...Aber ich habe jetzt schon knapp zwei Wochen hin und her überlegt, tutorials geguckt/gelesen, probiert, abgeräumt, getestet und bin letzendlich an dem Punkt, wieder alles abzureißen und zum x-ten Male neu zu strukturieren.

Kurzum, es geht darum, ob ich für mein Heimnetzwerk eine opnsense fw und vlans benötige oder ob das für meinen case overengineering wäre...

Ich selbst war als System Engineer tätig und fühle mich ziemlich überfordert mit dem, was es mittlerweile so alles gibt. Habe den Durchblick etwas verloren (Tailscale, Zerotier, Wireguard, TwinGuard), auch weil alles in Verbindung mit Heimnetzwerken so individuell ist und jeder da seine eigenen Philosophien hat, die mMn teilweise auch ganz schön paranoid sind

Ich habe:

- einen VPS bei digital ocean auf dem ADGUARDhome als DNS eingerichtet ist. in- & outbound UDP Port 53 (Cloudflare A = johndoe.de)
- eine FritzBox 7590 (Cloudflare CNAME = *.home.johndoe.de). Portfreigaben: 80 & 433 für Traefik auf einem PI4. Mit im Traefik Stack auf dem PI4 laufen ein socket Proxy, Crowdsec, Crowdsec Bouncer und (optional) die Authentifizierung über Google Oauth.
- 1 Proxmox Server, mit diversen Services (die vereinzelt auch als IoT angedacht sind) und eine Proxmox Spielwiese.
- Home Assistant
- K8 mit AWX
- QNAP als File- & Backupserver
- Alles vorerst im Netz der FritzBox...

Ich möchte:
- Alles mit Zertifikaten ausstatten über LetsEncrypt, Cloudflare und ne DNS Challenge (schon erledigt)
- Die Spielwiese in einem dedizierten Netzwerk (VLAN) betreiben (Bin mittlerweile im DevOps Umfeld tätig und arbeite viel mit Ansible, Terraform, Docker & Kubernetes)
- Komplettes Monitoring mit Zabbix, ELK
- Authentik für die Authentifizierung
- Media Server mit Kodi, Jellyfin ...
- Alles absichern...und da bin ich mir unsicher

Soweit ich das verstanden habe, federt der Cloudflare Proxy ja schon das Meiste ab und meine VPS IP ist nicht öffentlich!?
Der CNAME, welcher ja auf die FritzBox geht, hat keinen Clouflare Proxy und hier wäre jetzt meine Frage, wie sicher das ist!? Dahinter arbeitet ja ein Traefik, der den Verkehr über Port 80 auf Port 443 umleitet und parallel noch Crowdsec, was Angriffe erkennt und verdächtige IP's bannt...

Traefik akzeptiert auch nur spezielle IP's, die ich per Konfiguration mitgebe (Cloudflare & lokale IP's)...

Das sollte doch eigentlich ausreichen oder übersehe ich potentielle Gefahren, die mir eine Firewall abnehmen könnten?

Liebe Grüße und Sorry, wenn es zu viel Text ist :)
....
 
DnaMes schrieb:
und meine VPS IP ist nicht öffentlich!?
Zum Vergrößern anklicken....
Hi,

warum sollte die VPS-IP nicht "öffentlich" sein? Mag ja sein, dass Du irgendwas von Cloudflare davor hast, aber wenn Port 53 auf der öffentlichen IP offen ist und von "egal wo" Anfragen akzeptiert, bringt die Cloudflare-Geschichte auch nur bedingt etwas.

DnaMes schrieb:
Der CNAME, welcher ja auf die FritzBox geht, hat keinen Clouflare Proxy und hier wäre jetzt meine Frage, wie sicher das ist!?
Zum Vergrößern anklicken....
Das wird so sicher sein, wie Du es (Zuhause) gestaltest 🙃

DnaMes schrieb:
Traefik akzeptiert auch nur spezielle IP's, die ich per Konfiguration mitgebe (Cloudflare & lokale IP's)...
Zum Vergrößern anklicken....
Najo, dann bleibt ja auch nicht mehr soviel übrig... 😄

DnaMes schrieb:
oder übersehe ich potentielle Gefahren, die mir eine Firewall abnehmen könnten?
Zum Vergrößern anklicken....
Najo, das ein oder andere geht halt ggf. schon noch, je nachdem, was Cloudflare alles abfedert (oder halt auch nicht)... Einfach "nur" ein System davor zu schalten, macht die ganze Sache ja nicht wirklich "sicherer". WAF wäre halt so ein Stichwort, aber da scheiden sich die Geister auch. RBL und Countryblocking wären mitunter auch noch Optionen.

DnaMes schrieb:
Das sollte doch eigentlich ausreichen oder übersehe ich potentielle Gefahren, die mir eine Firewall abnehmen könnten?
Zum Vergrößern anklicken....
Najo, der springende Punkt ist eigentlich ein ganz anderer: Die meisten Angriffe kommen nicht unbedingt über Systeme, welche über das Internet erreichbar sind, die werden ja normalerweise auch zugenagelt wie sonstwas, meist sind es eher die "Clients". Da hilft dann aber auch nur eine ganz gehörige Spur Selbstdisziplin, alles brav aufteilen (Netze/VLANs, Zugangsberechtigungen), entsprechende Backups parat haben, nicht als Admin unterwegs sein, Management-Netz, Bastion/Jump-Host nutzen, etc.).

Grundsätzlich ist es schon ratsam, eine gewisse Trennung von diversen Dingen/Diensten vorzunehmen. Das betrifft insbesondere jene, welche man alltäglich benutzt und die schon "wichtig" sind. Ein Beispiel dafür wäre z.B. das NAS mit seinen Daten (die meisten haben ja ihre "üblichen Dokumente" dort liegen). Fängt sich der Client etwas ein, kriegt das NAS sicherlich auch sein Fett weg, aber eben auch nur mit den Berechtigungen des - auf dem Client vorhandenen - Users. Umso wichtiger ist es, dass a) kein administrativer Zugriff aus dem Clientnetz vorhanden ist, als auch b) Backups vorhanden sind, auf welche aus dem Client-Netzwerk kein Zugriff besteht (aber da gelten halt eh die "üblichen" Backup-Regeln), etc.

Ich hab hier zwar auch einige VLANs, mache aber privat nicht so ein Theater darum, hier gibt es eh nur via VPN Zugriff von extern und auf dem NAS liegt eh nix wichtiges. Bei Zugriff von extern (ohne VPN) wäre es schon nicht verkehrt, wenn man zumindestens eine DMZ abbilden könnte. Das kann man einstufig, oder mehrstufig abbilden, wobei mehrstufig vllt etwas überzogen ist für privat. Dienste, welche von intern und extern angesprochen werden, sollten halt generell in eine DMZ, da dieser dann untersagt wird, auf das interne Netz zuzugreifen.

Beim PVE-Host kannst Du ja recht einfach die VLANs bei den NICs der VMs definieren und so eine OPNsense tut auch nicht weh, insbesondere, wenn Du sowieso DevOps-technisch tätig bist - haste halt mehr Spielkram und die API gibt ja auch einiges her Grundlegend ist es jedenfalls nicht verkehrt, wenn man die Dinge einfach mal etwas aufsplittet und die Zugriffe zentral über eine Firewall regeln kann.

Schlussendlich muss das aber auch jeder für sich wissen... Aufwand treiben kann man ohne Ende, bleibt die Frage, welcher Aufwand sich lohnt und welcher nicht. Die Segmentierungsmöglichkeiten (+ interne Firewall-Regeln) lohnen sich meiner Meinung nach schon... ist aber auch nur "meine" Meinung ☺️
 
Hi und danke erst einmal für die ausführliche Antwort.

blurrrr schrieb:
warum sollte die VPS-IP nicht "öffentlich" sein? Mag ja sein, dass Du irgendwas von Cloudflare davor hast, aber wenn Port 53 auf der öffentlichen IP offen ist und von "egal wo" Anfragen akzeptiert, bringt die Cloudflare-Geschichte auch nur bedingt etwas.
Zum Vergrößern anklicken....
Oh man natürlich, wie peinlich 🫣 Klarer Denkfehler. Dann resultiert meine nächste Frage daraus, ob denn UDP Port 53 ein Risiko darstellt. Auf dem Server läuft nix anderes und über diesen wäre auch kein Eindringen in mein privates Netz möglich.
blurrrr schrieb:
Najo, das ein oder andere geht halt ggf. schon noch, je nachdem, was Cloudflare alles abfedert (oder halt auch nicht)... Einfach "nur" ein System davor zu schalten, macht die ganze Sache ja nicht wirklich "sicherer". WAF wäre halt so ein Stichwort, aber da scheiden sich die Geister auch. RBL und Countryblocking wären mitunter auch noch Optionen.
Zum Vergrößern anklicken....
Da bin ich dann wieder bei meinem Grundgproblem, ist eine WAF wirklich wirklich nötig? Geoblocking lässt sich über ein Traefik plugin realisieren, RBL wäre etwas, was ich bei Crowdsec sehe und ne Firewall ist im Grunde genommen ja die FritzBox und auf der Machine dann ufw/iptables. Welchen Mehrwehrt hätte pfsense, opnsense!?

...Und VLAN's? Mich reizt das Thema, weil ich gerne bastel und es auch so kompliziert wie möglich gestalten möchte, um es am Ende besser zu verstehen und vieles davon zu automatisieren. Ich hab auch n paar Smart Home Komponenten aus China (xiaomi, yeelight...) und Alexa, denen ich allen verbieten möchte, "nach Hause" zu telefonieren.

Allerdings wäre das dann noch mehr Hardware (managed switch), noch mehr Dinge, die ich streng genommen, eigentlich nicht benötige. Ist halt alles n' bisschen Spielerei und was mein Problem damit ist, das Overengineering. "Keep it simple" funktioniert bei mir aus Erfahrung nicht aber es gibt auch niemand, der mich da in die Schranken weißt. Brauch ich nicht, will ich haben...

blurrrr schrieb:
Beim PVE-Host kannst Du ja recht einfach die VLANs bei den NICs der VMs definieren und so eine OPNsense tut auch nicht weh, insbesondere, wenn Du sowieso DevOps-technisch tätig bist - haste halt mehr Spielkram und die API gibt ja auch einiges her Grundlegend ist es jedenfalls nicht verkehrt, wenn man die Dinge einfach mal etwas aufsplittet und die Zugriffe zentral über eine Firewall regeln kann
Zum Vergrößern anklicken....
Ich glaube, so soll es dann sein. Mich juckt es und PVE bietet ja ne super Möglichkeit, Sachen auszuprobieren. Ist halt echt immer ein enormer Zeitfaktor aber es hilft letztendlich auch, alles besser zu verstehen und ggf anderen Leuten einen guten Rat zu geben, danke ;)
 
DnaMes schrieb:
ob denn UDP Port 53 ein Risiko darstellt.
Zum Vergrößern anklicken....
Kommt ganz auf den Dienst dahinter bzw. aktuelle Sicherheitslücken an 🙃

DnaMes schrieb:
Welchen Mehrwehrt hätte pfsense, opnsense!?
Zum Vergrößern anklicken....
Segmentierung (Netzwerke/VLANs).

DnaMes schrieb:
Allerdings wäre das dann noch mehr Hardware (managed switch), noch mehr Dinge, die ich streng genommen, eigentlich nicht benötige.
Zum Vergrößern anklicken....
Wenn Du genügend Ports an der Firewall hast, brauchst Du auch keinen Switch. Ich habe hier zwar div. managed Switche, aber an der Firewall z.B. auch nur 2 Ports und trotzdem alles darüber abgebildet (WAN-seitig 2 VLANs, LAN-seitig div. VLANs, benötige da aber auch keine hohen Durchsätze). Bezüglich Switch wirst Du ja sicherlich eh schon irgendwas rumliegen haben (oder hat die Fritzbox bisher von den Ports gereicht?), einfache managed Switche kosten heutzutage auch kaum mehr, als die unmanaged Varianten.

Ist halt einfach schon recht nett, wenn man mal ganz frei die "Sau rauslassen" kann in einem Netzwerk, ohne irgendwas vorhandenes dabei zu beeinträchtigen. Theoretisch könntest Du via PVE natürlich auch hingehen und einfach eine Firewall virtualisieren, der mehrere NICs verpassen, vmbr0 als WAN-Interface definieren und vmbr1-x für div. virtuelle Netze nutzen, allerdings ist so ein Stückchen Hardware auch schon eine ganz nette Sache ☺️
 
blurrrr schrieb:
Wenn Du genügend Ports an der Firewall hast, brauchst Du auch keinen Switch. Ich habe hier zwar div. managed Switche, aber an der Firewall z.B. auch nur 2 Ports und trotzdem alles darüber abgebildet (WAN-seitig 2 VLANs, LAN-seitig div. VLANs, benötige da aber auch keine hohen Durchsätze). Bezüglich Switch wirst Du ja sicherlich eh schon irgendwas rumliegen haben (oder hat die Fritzbox bisher von den Ports gereicht?), einfache managed Switche kosten heutzutage auch kaum mehr, als die unmanaged Varianten.
Zum Vergrößern anklicken....
Die FritzBox hat bisher vollkommen ausgereicht, hatte jetzt ne längere Pause und habe mich die letzten zwei Jahre komplett vom PC und allem herum distanziert...Jetzt geht es wieder los und ich habe das Gefühl, eine Menge aufholen zu müssen. Deswegen dieser Thread.

Ich glaub, ich fange erst einmal klein an und sehe ja dann im Laufe des Projekts, wo noch Bedarf besteht. Was ich mir vorgenommen habe, wird ja schon einige Zeit brauchen, ich dachte nur, ich mache es gleich richtig, bevor ich dann wieder 10 verschiedene Strukturen ausprobiere, die viel zu viel Zeit beanspruchen.

Danke nochmal für deine Hilfe @blurrrr - Das hat mir auf jeden Fall schon Mal geholfen und in etwa weiß ich jetzt, wie ich vorgehen werde ✌️💐
 
DnaMes schrieb:
hatte jetzt ne längere Pause und habe mich die letzten zwei Jahre komplett vom PC und allem herum distanziert...
Zum Vergrößern anklicken....
Oh ja, das würde ich auch mal gern machen... aber Hobby zum Beruf gemacht, schon dumm gelaufen... 😂

DnaMes schrieb:
Ich glaub, ich fange erst einmal klein an und sehe ja dann im Laufe des Projekts, wo noch Bedarf besteht.
Zum Vergrößern anklicken....
Naja, ich sag mal so: Vernünftige Planung ist alles. Hinterher wieder alles umbauen, wäre dann schon extremst lästig. Ich hätte halt gesagt, dass erstmal eine Firewall dazu kommt, so dass man entsprechende Möglichkeiten hat (man könnte z.B. grundsätzlich erstmal nur LAN, IoT und DMZ trennen) und dann eben - je nach Bedarf - weiter ausbauen. Wenn man erstmal die Möglichkeiten hat, ergibt sich sowas aber normalerweise auch recht flott. Weiss ja nicht, wie es bei Dir ist, aber ich ab und zu schon mal eine "vollwertige" Umgebung zum testen (inkl. DHCP, DNS, Server, Clients, etc.), da bieten sich VLANs halt einfach extrem an (alternativ halt alles durchweg virtualisiert). Da könntest Du ggf. via Terraform/Ansible auch direkt die VLANs auf Switch/Firewall deployen - damit wirst Du Dich früher oder später sowieso beschäftigen müssen (falls Du es nicht schon längst hast) 🙃

Also von daher...
DnaMes schrieb:
ich dachte nur, ich mache es gleich richtig, bevor ich dann wieder 10 verschiedene Strukturen ausprobiere, die viel zu viel Zeit beanspruchen.
Zum Vergrößern anklicken....
... wäre der Ansatz eigentlich genau der richtige (meiner Meinung nach) (y)😊

Wünsche vorab schon mal gutes Gelingen und viel Spass beim basteln! ☺️
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 103 (Mitglieder: 7, Gäste: 96)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.574
Beiträge
46.834
Mitglieder
4.209
Neuestes Mitglied
Kiter20

Teilen

Zurück
Oben