Zugriff auf Netzwerkgeräte steuern

[TurboXXL]

Hallo,
ich habe folgende Konstellation zu Hause: Eine Fritzbox 7590 mit aktiviertem Heim-WLAN und Gast-WLAN. In das Heim-WLAN sollen zukünftig nur noch das NAS und einzelne sichere Clients. Familienmitglieder, Gäste, SmartHome Geräte usw. sollen ins Gäste-WLAN. Aber nur einzelne Geräte sollen dort Zugriff auf z.B. den Netzwerkdrucker bekommen, damit nicht jeder Gast drucken kann. In der Fritzbox finde ich für das Gastnetz nur das Häkchen 'Geräte können untereinander kommunizieren', welches dann wohl für alle Clients im Gastnetz gilt. Kann man das weiter einschränken? Oder gibt es bessere Lösungen für das Vorhaben?
Vielen Dank!
Turbo

 

[blurrrr]

Najo, wenn sich alles in einem Netzwerk tummelt, dürfte das wohl schwierig werden... Vergleich es z.B. mit einer Tür mit Türsteher (der bestimmt, wer was darf). Wenn Du jetzt 10 Leute in einem Raum hinter dieser Tür hast, wird der Türsteher da auch nicht mehr großartig etwas machen können (der steht ja nur an der Tür und nicht im Raum). Von daher wird sich das Vorhaben dann nicht so leicht umsetzen lassen. Allerdings stellt sich mir schon irgendwo die Frage, warum "Gäste" überhaupt drucken können sollten... Davon ab hast Du mit dem Setup sowieso noch "ganz" andere Probleme, da jeder Gast dann auch auf die Smarthome-Komponenten zugreifen kann, usw. Normalerweise ist das "Gast"-WLAN auch nur für "Gäste", während Du Dich mit Deinen Dingen im normalen Netzwerk/WLAN befindest.

Willst Du das ganze weiter aufteilen bzw. feiner regeln, wirst Du wohl nicht um den Einsatz einer professionelleren Firewall (Hardware) herum kommen (z.B. pfSense/OPNsense) und gleiches würde dann auch für das WLAN gelten. Heisst unter'm Strich auch extra WLAN-Accesspoints, welche dann auch div. SSIDs in div. VLANs (logische Segmentierung) drücken können. Hier gibt es auch schon ein paar Threads dazu, einer wäre z.B. dieser hier: https://forum.heimnetz.de/threads/empfehlung-fuer-netzwerksegmentierung-und-hw-auswahl.846/, ansonsten einfach mal die Forensuche bemühen. Ist aber auf jeden Fall ein Thema für sich, denn pro VLAN gibt es ein eigenes Netzwerk (Du hast derzeit maximal 2 - das reguläre + Gastnetz). Wenn Du dann anfängst aufzuteilen, können es auch gern schnell mal ein paar Netze mehr werden (je nach Bedarf/eigenen Wünschen)

EDIT: Die Router bei mir sind auch nur noch bzgl. der Netzübergänge zum Internet da. Sämtliches internes Zeugs läuft über die Firewall (da ist der Router garnicht involviert, vergleichbar mit einem Haus, die Haustür benutzt man ja auch nicht, wenn man zwischen den Räumen wechselt).

 

[the other]

Moinsen,
Da kommt die fritzbox leider schnell an ihre Grenzen.
Wenn du in deinem Heimnetz mehr zwischen den clients trennen möchtest, dann empfehlen sich ggf Router, die auch vlan können.
Neben den bereits genannten opnsense und pfsense gibt es afaik auch Router von draytek, die das beherrschen.

Damit kannst du dann diverse "virtuelle" LANs einrichten und den Zugriff untereinander feiner steuern als mit der fritzbox.
Erfordert allerdings auch etwas grundlagenwissen und ggf. andere Geräte (vlan Fähigkeit von switch, Access Points mit mehr als einer ssid)...

 

[TurboXXL]

Hallo,
danke für die Rückmeldungen. Das klingt ziemlich komplex. Die Idee dahinter ist ja eigentlich simpel: alle möglichen Gefahrenquellen, also u.a. auch die Netzwerkgeräte der Kinder, ins Gäste-WLAN stecken, damit das Heimnetz geschützt ist, falls etwas passiert. Die Kinder sollen dann trotzdem drucken können, die Gäste allerdings natürlich nicht. Und auch die Smart-Home Geräte haben ja ggf. veraltete Firmware, die angreifbar ist.
Ich hatte gehofft, es gibt eine Art Weiterleitung, mit der ich den Mobilgeräten der Kinder eine Zugriffsmöglichkeit auf den Drucker geben kann. Wenn ich das richtig verstehe, scheint das aber nicht oder nicht so einfach möglich zu sein.
Interessehalber: das NAS im Heimnetz (Synology) ist besonders schutzbedürftig. Auf diesem habe ich verschiedene User angelegt, die unterschiedliche Berechtigungen haben. Wäre das NAS mit seinen Daten (Familienbilder usw.) einem Angriff schutzlos ausgeliefert, wenn im Heimnetz etwas passiert, oder schützen die User/Berechtigungen vor Zugriff auf die Daten?
Danke schonmal.
Turbo

 

[blurrrr]

Das wird so nicht funktionieren... aus dem Gastnetz darfst Du sowieso nicht in das reguläre Netz.

Wäre das NAS mit seinen Daten (Familienbilder usw.) einem Angriff schutzlos ausgeliefert, wenn im Heimnetz etwas passiert, oder schützen die User/Berechtigungen vor Zugriff auf die Daten?

Grundsätzlich verhält es sich so, dass ein Angriff "einfach so" eher schwierig ist. Bei vorhandenen Sicherheitslücken wird daher auch immer zwischen "authentifizierten" und "nicht authentifizierten" Angreifern unterschieden, ebenso zwischen "remote" und "lokal". Kommt also immer auf die Sicherheitslücken an. Davon ab, kannst Du aber durchaus über die Synology-eigene Firewall noch einiges kontrollieren. Das ist dann zwar keine "zentrale" Kontrollinstanz (wie z.B. eine Hardware-Firewall), dennoch kannst Du darüber schon einiges Regeln, z.B. Zugriff auf das DSM (Ports 5000/5001) nur von einer bestimmten internen Rechner-IP (z.B. von Deinem Rechner, der muss dann aber auch immer die gleiche bekommen), für alle anderen gibt es dann nur den Zugriff via SMB/CIFS, usw. Also dort kannst Du schon eine feinere Steuerung vornehmen.

Schau einfach mal hier rein: https://www.heimnetz.de/anleitungen...torage/synology/synology-firewall-einrichten/

 

[the other]

Moinsen,
Wenn es dir in erster Linie um ein geschützteres NAS geht,...
...dann wären mir persönlich vlans und der damit verbundenen Aufwand (Zeit & Geld) zu viel
...würde ich eher all deine familiengräte ins LAN packen, Gäste und IoTGeräte ins Gastnetz
...In der fritzbox profile anlegen für die Kindergeräte (je nach Alter mit filterfunktion)
...besagte firewall auf dem NAS einrichten sowie geeignete Rechte
...mir ein Backup Konzept überlegen und das dann auch verbindlich umsetzen als letzte Chance...

 

[TurboXXL]

Hallo,
erstmal danke für eure Antworten. Die Synology Firewall war bereits aktiv. So blank war ich also dann doch nicht unterwegs Ich könnte dem nas ja auch den Internetzugriff entziehen, dann bekäme es zwar keine Updates mehr, die ja aber aufgrund der fehlenden Internetberechtigung auch gar nicht mehr nötig wären, oder übersehe ich etwas?
Den Aufwand für neue Hardware und komplett neue Struktur inkl. VLAN scheue ich aktuell, daher habe ich mich in der Fritzbox noch ein wenig ausgetobt. Die meisten Geräte im Heimnetz nutzen nun ein abgespecktes Fritzbox-Profil mit eingeschränkten Berechtigungen (nur Internet & Mail). Böse Links o.ä. können von den Kindern natürlich trotzdem aufgerufen werden, da hab ich auch aktuell keine reife Idee, wie ich das einstellungstechnisch verhindern könnte.
Gäste kommen nur noch ins Gäste-WLAN, Kommunikation untereinander ist in diesem nicht erlaubt.
Nach und nach werde ich die Iot Geräte dann auch ins Gäste-WLAN hängen, da wird es aber Ausnahmen geben, weil ich z.B. TV, NAS und Drucker weiterhin per Smartphone bedienen möchte. Auch hier sehe ich noch Handlungsbedarf, hab aber auch hier leider noch keine passende Idee.
Ich tobe mich noch ein wenig aus, macht ja auch irgendwie Spass
Gruß
Turbo