Die folgende kleine Serien beschäftigt sich mit der Lanom Firewall die hier seit Dezember 2020 nun mit dabei ist.
Angefangen als Experiment sich mit den neuen Produkten der Firma Rohde&Schwarz, bzw. Lancom auseinanderzusetzen, wurde daraus doch ein kleiner Marathon.
Beginn war eine komplett Umstrukturierung des LAN und WLAN hier. Einfach eine Firewall dazwischen zu setzen, die auf lange Sicht auch als transparenter Proxy mit Virenscanner arbeiten, bringt mehr Probleme mit sich als sie löst.
theoretischer Ausflug
Ein Proxy ist eine praktische Erfindung, wenn es darum geht Schadsoftware schon abzufangen, bevor sie den Computer erreicht. Dafür werden alle eingehenden Mails und Webseiten auf Viren geprüft, wenn sie die Firewall passieren. Das ist bei allen Daten die im Klartext übertragen werden kein Problem.
Bei verschlüsselten Webseiten/Postfachabrufen hingegen sieht die Lage anders aus. Hier ist die Firewall als mid (man in the middle) aktiv, der einmal die Verschlüsselung aufbricht und dann mit einem eigenen Zertifikat neu verschüsselt weiter an den Client gibt. Dafür ist es wichtig, dass der Client der Firewall als CA (Certification Authority). Unter Linux und Windows kann man dies recht gut einrichten, auf Android Geräten ist es auch möglich, jedoch spätestens bei meinem TV wird es schwierig die Liste der CA zu bearten (bzw. meines Wissens nach ist es bei meinem Gerät unmöglich).
Was ist geplant?
Daher der Gedanken, in Zukunft das Netzwerk in mehrere Bereich zu teilen.
1.HTTPS-Netz: ein Netz in das alle Clients kommen, die in Zukunft hinter dem https Proxy sein sollen, und nur noch über ihn auf das Internet zugreifen. Hier ist auch noch ein zentraler Werbeblocker geplant.
2.HTTP-Netz ein Netz für alle Clients, die hinter der Firewall landen, die nicht mit einem transparten https-Proxy umgehen können
3.DMZ ein kleines Netz für Geräte, die aus dem Internert erreichbar werden sollen, auf mittlere Sicht sollen die einzelnen Geräte durch einen Reversproxy geschützt werden
4.GASTNETZ ein Gastnetz, das direkt über die FritzBox läuft.
Das WLAN soll in Zukunft nicht mehr über die Fritzbox laufen, dass ist in diesem Setup unpraktisch. Hier kommen in Zukunft mein Unifi-Controller und die Unifi AP zum Einsatz, die ich bisher immer für Schulungen oder z.B.mein Konfiprojekt im Einsatz hatte. (Artikel ist in Arbeit).
Aus Sicher der Pinuin-WG sieht die ganze Planung so aus
Die Umstellung wird dabei nicht in einem Schritt erfolgen, sondern in mehrere Bereiche unterteilt
1.Aufbau des Grundnetzes (Verkabelung, VLANs mit Cisco), ändern der Adressbereiche, Grundeinrichtung Lancom inkl. transparentem Proxy für smtps,imaps,https inkl. Erstellung der ersten Dokumentation
2.Anpassen der Clients an das https-Netz (mit transparentem https-Proxy)
3.Einführung der Netbox
4.VPN Verbindung (IPSEC) ins Rechenzentrum zur opnsense
5.Einrichten des Werbeblockers
6.Monitoring für interne und externe Systeme
7.Reversproxy für die Webcam (Webcam Teil 2/2)
8.zentraler Zeit & Syslog-Server
9.Einrichtung einer Windows-Domäne (virtualisiert)
10. Anpassungen des Backupsystems für externe Server (Hetzner)
11. Samba als „BDC“ bzw. DC
12.weitere Absicherung der Systeme (2FA, IDS)
Geplant ist die Reihe bis Ende des Jahres abzuschließen. Aspekte der Barrierefreiheit sollen dabei mit einfließen.
Pingback: Vorstellung neues Netzwerk – Lustiges, Alltägliches und Anderes aus der Pinguin-WG