LAN / WAN - Business-Lösungen
Whitepaper
IT-Management
Cloud Computing
So holen Sie sich die Kontrolle über Multi-Cloud-Umgebungen zurück
Multi-Cloud ist das Bereitstellungsmodell der Zukunft – das erkennen immer mehr Unternehmen. Wer dabei jedoch die Kontrolle über sein Netzwerk den Cloud-Anbietern überlässt, verschenkt Potenziale und gefährdet seine Sicherheit. Wie Sie es besser machen, das erfahren Sie in diesem Whitepaper.
Einbinden des Freifunkrouters ins eigene Netzwerk — Meshkit 0.1.0 Dokumentation
Einbinden des Freifunkrouters ins eigene Netzwerk¶
In diesem Kapitel soll es draum gehen, wie ein Freifunk Router ins eigene Netzwerk integriert werden kann. Je nach bestehender Netzwerktopologie und Anforderungen kann der Freifunk Router auf unterschiedliche Art integriert werden.
Wichtig Bevor die Meshkit Firmware generiert werden kann ist es wichtig im voraus zu wissen, wie der Freifunk Router ins eigene Netzwerk integriert werden soll.
LAN, WAN und Freifunk - Die einzelnen Zonen im Router¶ Bevor einzelne Integrationsvarianten besprochen werden ist es wichtig zu verstehen, dass der Freifunk Router in der Standardkonfiguration drei Netzwerke kennt. Jedes dieser drei Netzwerke erfüllt unterschiedliche Aufgaben und es gelten unterschiedliche Regeln, vor allem im Hinblick auf die Konfiguration der Firewall. Nicht jeder Router verfügt über genug Schnittstellen um alle drei Zonen zur Verfügung zu stellen. Gibt es z.B. nur eine Ethernet-Buchse am Router dann wird durch OpenWrt vorgegeben, welchem Netzwerk diese Buchse angehört. In der Regel konfiguriert OpenWrt diese jedoch dann als LAN. Genaueres dazu findest du in der Table of Hardware im OpenWrt Wiki. Zone Aufgabe Default IP LAN Dies ist das lokale Netzwerk (Local Area Network). Hier werden eigene PCs angeschlossen. 192.168.1.1 WAN Wide Area Network. Damit verbindet man den Router mit dem Internet. automatisch (DHCP) Freifunk Für die Verbindung zum Freifunknetz individuell Für die einzelnen Zonen gelten spezifische Firewallregeln, die bestimmen, ob Verkehr der den Router über diese Zonen erreicht akzeptiert (und evtl. weitergeleitet) ode verworfen wird, siehe dazu: Firewallzonen.
Der Standardfall: Freifunk Router am Heimnetzwerk¶ Der Freifunkrouter ist mit seiner WAN-Buchse am LAN des lokalen Router/Switch angeschlossen und damit Teil des eigenen Netzwerks. Eigene PCs sind ebenfalls mit diesem Router/Switch verbunden. PC und Freifunk Router sind im selben Netzwerk (LAN)
Beide beziehen in der Regel automatisch eine IP-Adresse vom eigenen Router (DHCP)
Der eigene Router dient als Internetgateway
Ob auch Freifunknutzer den eigenen Internetzugang benutzen dürfen kann im Meshkit mit der Option Internet freigeben (siehe Konfiguration von WAN im Meshkit) konfiguriert werden.
(siehe Konfiguration von WAN im Meshkit) konfiguriert werden. Auf Rechner im LAN kann von Freifunk aus nicht direkt zugegriffen werden. Will man Dienste auf Rechnern im LAN verfügbar machen muss man dies auf dem Freifunkrouter konfigurieren, siehe Angeschlossene Computer im Freifunknetz erreichbar machen.
Um vom WAN aus auf den Freifunk Router zugreifen zu können, muss die Firewall dort konfiguriert werden. Das kann man sich einfach machen indem man beim meshkit im WAN Tab Häckchen bei Erlaube SSH und Erlaube Web setzt (siehe Konfiguration von WAN im Meshkit)
Tab Häckchen bei und setzt (siehe Konfiguration von WAN im Meshkit) Will man vom eigenen LAN aus auf das Freifunknetz zugreifen können, dann müssen entweder auf dem eigenen Rechner oder besser auf dem eigenen Gateway statische Routen eingetragen und die Firewall auf dem Freifunk Router entsprechend konfiguriert werden (siehe Routing von WAN nach Freifunk ermöglichen) werden. Routing von WAN nach Freifunk ermöglichen¶ Folgende statische Routen sollten auf dem eigenen Router (oder notfalls auf dem eigenen Rechner) konfiguriert werden, das Handbuch des eigenen Routers hilft hier sicher weiter: Netzwerk Netzmaske Beschreibung 10.0.0.0 255.0.0.0 (/8) Freifunk Netze 172.22.0.0 255.254.0.0 (/15) DN42 172.31.0.0 255.255.0.0 (/16) ChaosVPN Per Default darf Traffic, der an der WAN-Schnittstelle ankommt nicht ins Freifunknetz geroutet werden. Damit das dennoch möglich ist, ändert man am einfachsten die Einstellungen für die Firewallzone wan und setzt dort alles (INPUT, FORWARD, OUTPUT) auf annehmen (ACCEPT). Siehe Firewallzonen.
Freifunk Router direkt am Internetzugang¶ Der Router ist mit seinem WAN-Port direkt am Internet (z.B. einem DSL-Modem) angeschlossen und stellt die Verbindung zum Internet selbst her. Eigene PCs werden an den LAN-Ports des Routers angeschlossen oder verbinden sich per WLAN. Auf diese Weise kann der Freifunk Router unter Umständen auch ein bereits vorhandenes Gerät ersetzen. Auf Rechner im LAN kann von Freifunk aus nicht direkt zugegriffen werden. Will man Dienste auf Rechnern im LAN verfügbar machen muss man dies auf dem Freifunkrouter konfigurieren, siehe Angeschlossene Computer im Freifunknetz erreichbar machen.
Rechner die am LAN angeschlossen sind können andere Adressen im Freifunknetzwerk direkt erreichen
Wenn die Hardware des Freifunkrouters das Erstellen von Virtuellen Access Points (VAP) erlaubt, dann kann zusätzlich zum Freifunknetz ein weiteres verschlüsseltes WLAN-Netz für die eigene Benutzung geöffnet werden. Siehe Privates WLAN-Netzwerk einrichten. Hinweis Viele Provider benutzen VOIP (SIP) zum Bereitstellen von Telefoniefunktionen. Dabei kümmert sich der vom Provider zur Verfügung gestellte Router um die VOIP- Verbindungen. Ist dies bei dir der Fall, dann ist dieses Setup eher nichts für dich und es ist wahrscheinlich sinnvoller, nach Der Standardfall: Freifunk Router am Heimnetzwerk vorzugehen.
Konfigurationsfehler in LAN und WAN : Zehn Dinge, die Sie im Netz besser nicht tun sollten!
Fehler 10 - Zu kompliziert
Ein guter alter Klassiker: Selbst für einen simplen Druckserver, auf dem alle Mitarbeiter drucken dürfen, legen Administratoren umfangreiche Konfigurationen über die AD-Zugehörigkeit fest. Viel zu kompliziert - ein Unix/LPR-Printserver kann auch ohne AD-Mitgliedschaft problemlos existieren. Machen Sie es nicht so kompliziert!
Fehler 9 - BYOD ohne Management
Die einfachste Form von BYOD wäre die Erlaubnis, dass jeder Mitarbeiter mitbringen darf, was er will, und DHCP-Leases an alle Geräte verteilt werden, die eine IP-Adresse anfragen. Das ist aber kein BYOD (Bring Your Own Device), sondern ein komplett ungeschütztes Netzwerk. Administratoren müssen Geräte, die im eigenen Netzwerk aktiv sind, autorisieren - ansonsten droht irgendwann Chaos.
Fehler 8 - Offene Türen
Klingt naheliegend, wird aber oft nicht beachtet: IT-Infrastrukturgeräte wie Server, Switches oder Router dürfen nicht einfach zugänglich sein. Eine verschlossene Tür ist das Mindeste, und die Schlüsselberechtigung gilt es möglichst eng zu fassen. Niemand, außer der IT, muss Zutritt haben. Wird der Raum mit anderem technischen Equipment geteilt, so müssen verschließbare Schränke angeschafft werden.
Fehler 7 - Keine Bandbreitenbeschränkung
In kleinen, überschaubaren Netzwerken macht sich kein IT-Profi Gedanken über die Bandbreite. In verteilten Umgebungen mit WAN-Strecken ist eine Definition von Maximalwerten jedoch zwingend erforderlich. Ansonsten macht ein einziger HD-Stream oder ein komplexes PDF-Dokument, gescrollt in einer Remote-Desktop-Verbindung, das komplette Netzwerk dicht.
Fehler 6 - Unkontrollierter Netzwerkverkehr
Was sich zu Hause mit Fritzbox & Co. abspielt, dürfte kaum von Interesse sein. Im Unternehmensnetzwerk indes müssen Administratoren wissen, was vor sich geht. Logfiles nicht zu analysieren, laufende Prozesse oder Systemdienste nicht zu kennen ist ein garantierter Weg in die Katastrophe.
Fehler 5 - Schlechte Kennwörter
Die Authentifizierung über Benutzername und Passwort ist die gängige Anmeldemethode - nicht nur gegenüber einem Netzwerkdienst wie dem Active Directory, sondern auch bei aktiven Netzwerkkomponenten. Das Standardpasswort eines Routers unverändert zu lassen ist ebenso ein gravierendes Sicherheitsrisiko wie ein zu einfaches Kennwort mit nur wenigen Buchstaben. Ein Passwort wie KEIN ist in weniger als einer Sekunde von einer Brute-Force-Attacke geknackt.
Fehler 4 - Keine Updates
Moderne Betriebssysteme enthalten Millionen Zeilen an Programmcode, da verwundert es kaum, wenn es zu Fehlern kommt. Wer seine Server- und Client-Computer nicht auf dem aktuellem Stand hält, erhöht die Gefahr, aufgrund von Programmfehlern in Sicherheitsprobleme zu laufen. Dieser Hinweis gilt natürlich auch für Anwendungssoftware wie Adobe & Co. und insbesondere für die Java-Plattform. Jeder simple Vulnerabilitäts-Scanner identifiziert, ohne besonderen Aufwand, fehlerhafte Software, die über Exploits angreifbar ist.
Fehler 3 - Direkte Unternehmenskopplung
Mal eben schnell ein paar Büros im Netzwerk eines Partners anbinden, einige Router-Einträge, und schon ist alles erledigt. Und sei das Verhältnis noch so gut: Stellen Sie zumindest eine Firewall zwischen die beiden Netzwerke. Auch ohne böse Absicht aus dem Partnernetz ist die eigene Umgebung sicherer, wenn eine Firewall den direkten Querzugriff unterbindet.
Fehler 2 - Namensauflösung
Nutzen Sie ausschließlich Namensserver von vertraulichen Anbietern, beispielsweise direkt von Ihrem Provider. Fragwürdige Server leiten den Netzwerkverkehr möglicherweise auf gehackte Webseiten weiter. Die Gefahr, die von DNS-Umleitungen ausgeht, ist hoch und real existierend: Einmal an einer falsche Amazon-Webseite angemeldet, und schon ist das Konto nicht mehr sicher.
Fehler 1 - Any - Any
Definieren Sie niemals eine Regel "Any - Any" auf der zentralen Firewall. Dann können Sie auch gleich die Firewall weglassen und einen deutlich billigen Router nehmen. "Jeder mit jedem" bedeutet die komplette Deaktivierung jeglichen Schutzes. Im Zweifelsfall immer einen Profi hinzuziehen, ehe ein Laie sich an die Konfiguration der Firewall macht. (hal)