Zu OP und zu geil: Meine neuen Wochenenden-Projekte!
Herzliches Hallo zusammen,
ich kam kürzlich zu etwas Geld und nachdem ich jetzt immernoch auf das Ok meines Vaters für seine neue Website warte (er ist zur Zeit krank), habe ich wieder viiiiiiiel zu viel Zeit übrig^^ Zumindest an den Wochenenden... Nachts... xD
Doch wie kam ich zu dem Geld?
Es war endlich soweit: Meine allererste Investition, der Dachfonds bei meiner Hausbank, hat nun meine persönliche Verkaufsmarke von 220€ überschritten! Somit ging ich auf die Bank, löste die Position auf und etwa eine Woche später hatte ich das Geld auf meinem Konto. Ich wollte es dort belassen, da meine Hausbank zur Zeit an einem Plan für ETFs arbeitet, um diese zu günstigeren Konditionen anbieten zu können. Sonst hätte ich alles direkt auf meinen Neobroker geparkt und dort in den ETF gespuckt. Aber mal abwarten und Tee trinken ;)
Somit habe (oder hatte?^^) ich jetzt jede Menge Geld auf meinem Konto. Perfekt für mein neues Projekt!
Eines Tages kam ich auf die Idee, die KI meines "Vertrauens" zu fragen, wie ich mein Heimnetz besser absichern könnte. Und wer hätte ahnen können, dass bei so einem einfachen Gedanken mein Konto plötzlich um ~1.500€ leichter wäre xD
Insgesamt sind es eigentlich so 3 Projekte, oder sagen wir 2½? Das erste Projekt kam noch vor dem Netzwerk absichern: Der CrowPi2! Der CrowPi2 ist ein Raspberry Pi in Form eines Laptop-Cases, mit haufenweise Sensoren zum herumexperimentieren und basteln. Mir ging es in erster Linie um den RPi Laptop. Ist gemütlich für z.B. einem anderen Projekt das ich meinem Vater vorgeschlagen hatte, ein NAS bei seiner Freundin zu Hause für Fotos. Da könnte ich den CrowPi Laptop mitnehmen um alles einzurichten. Und sonst halt bisschen zocken, wenn ich mal wirklich Langweile und Lust habe kann ich auch die Sensoren testen und vermutlich wird es mal wieder hauptsächlich zum Staubfangen eingesetzt werden (...hehe^^). Das CrowPi2 im Deluxekit mit einem RPi5 mit 8GB RAM hat etwa 500€ gekostet.
Und dann das große Projekt: Heimnetz absichern. Dazu habe ich mir mehreres angeschaftt: Ein weiteres RPi, zwei managed Switches, einen VLAN-fähigen AP, einen USB zu LAN-Kabel converter und noch irgendwas dafür... Keine Ahnung mehr was^^ Und gestern noch neue Steckleisten, damit ich genug Steckdosen habe, wobei ich heute wieder eine Andere kaufen würde, da neue Pi's dazugekommen sind (ups^^ das Problem löse ich einfach unelegant mit bereits bestehenden Steckleisten).
Der Router zu Hause wird nur mehr als Modem (und AP, da es vor dem Pi ist und ich es ohne großen Aufwand nicht schaffe, das zu ändern) verwendet, das Routing übernimmt dann der Pi in sogenannte VLANs. Damit die einzelnen VLANs an die jeweiligen Geräte gelangen, brauche ich die managed Switches: Einer für den Netzwerkschrank und den Anderen für mein Zimmer.
Und dort geht es dann vom zweiten Switch in meinen PC, dem NAS und dem VLAN-fähigen Access Point (AP), damit ich an dem einen normalen Switch anhängen kann und dort die unsicheren Geräte (Verstärker, Drucker und der alte Mac). Somit kommen die ins Internet, aber nicht an meinen PC/NAS ;) Und der wird eben noch als AP verwendet, da das WLAN vom Wohnzimmer nur schwer in mein Zimmer kommt.
Und dann ist wird noch was drangehängt: Neben meinem PC kommen noch 2 weitere Pi's dran: Einer als Minecraft Server und der Andere als Network Monitor. Dafür habe ich mir Sunfounder's Pironman 5 (bzw. den 5 Max) geholt. Der Max hat bessere Kühlung, den nehme ich für den Minecraft Server.
Und das Monitoring? Wird richtig cool! Mittels Grafana kann ich mir alles anzeigen lassen, was im Netz grad passiert, wie die Auslastungen der einzelnen Pi's ist, wer gerade auf dem MC Server spielt usw. Statisitken halt hauptsächlich. Dafür habe ich mir zum Einen beim Pironman das 7" Touchdisplay mitbestellt und zum Anderen richte ich mir noch einen Telegram Bot ein, der mich immer informiert bzw. an dem ich die Statistiken anfragen kann. Da ich ehrlichgesagt keine Lust habe mein Netz permanent zu überwachen, ob etwas passiert, lasse ich diese Aufgabe eine leichtgewichtige KI übernehmen (mal schauen wie gut die ist^^). Die liest die Logs aus und interpretiert dann die Auslastungen usw. Und wenn etwas auffällig ist, triggert die die Nachricht vom Telegram Bot direkt an mein Handy.
Und der totale Overkiller? Mein Killswitch! Er wird manuell ausgeführt, wenn die KI z.B. verdächtige Aktivitäten bei den IoT-Geräten meldet, kann ich deren VLAN einfach per Befehl an den Telegram Bot abschalten. Um dieses VLAM wieder aktivieren zu können, muss ich nach Hause und einen bestimmten Stick mit PGP Key ans Monitoring Pi anschließen und wenn alles korrekt ist, wird das VLAN für IoT wieder aktiviert^^ Dabei leuchten die Lüfter-LEDs rot, wenn ein Killswitch aktiviert ist ;) und wenn ein Spieler dem MC-Server joint, läuchten dessen Lüfter-LEDs auch in einer Farbe^^
Also ihr seht, das Projekt ist sehr umfangreich, recht groß und eher kostspielig. Gleichzeitig viel zu OP für ein Heimnetz, aber auch dementsprechend geil und lehrreich^^
Ich freue mich schon auf morgen, da kann ich mit dem Ersten beginnen :D geht alles gut ist mein Heimnetz erstmal recht gut gesichert. Läuft es schief... Tja.. Dann muss ich den Techniker holen um das Internet wieder zu aktivieren xD
Beste Grüße,
@dissi
Ah. Böhmische Dörfer. Ich traue mich fast nicht zu fragen, welche Vorteile das alles hätte...? Oder simpler: braucht man das?
0.00 SBD,
0.06 STEEM,
0.06 SP
Sagen wir so: Es ist total übertrieben für ein Netzwerk zu Hause xD aber extrem spannend für mich umzusetzen ;) der wahre Vorteil ist eigentlich hauptsächlich, dass der SmartTV z.B. nicht ins Netzwerk funken kann^^ also er kann ins Internet, aber eben nicht in mein internes Netzwerk. Ebenso der alte Mac (keine neuen Updates mehr seit Jahren = Sicherheitsrisiko), der Verstärker und der Drucker können nicht ins Heimnetz. Gut, hab ich selten an, aber es geht ums Prinzip xD und eben der Minecraft Server ist in seinem eigenen VLAN, somit kann ich (fast) getrost den VPN weitergeben, damit ich mit Freunden darauf spielen kann, da dieser VPN eben NUR auf das VLAN des Servers zugriff hat :)
0.00 SBD,
0.00 STEEM,
26.40 SP
Okay. Danke. Ich nehme 'mal für mich mit: absolut nichts davon betrifft uns ;-)) Hab' Spaß damit!
0.00 SBD,
0.06 STEEM,
0.06 SP
🍀❤️
@wakeupkitty
0.00 SBD,
0.00 STEEM,
0.06 SP
Dann drücke ich dir mal die Daumen, dass alles glatt läuft und kein Techniker kommen muss, um das Internet wieder zu aktivieren :-)
Liebe Grüße,
Natalie
0.00 SBD,
0.04 STEEM,
0.04 SP
Also mir ist vom Lesen schon schwindelig, hoffe du behältst den Überblick. Stell ich mir im laufenden Betrieb auch nicht so einfach vor.
Ich wünsch dir jedenfalls viel Spaß und gutes Gelingen!
0.00 SBD,
0.04 STEEM,
0.04 SP
Der Überblick geht eigentlich ;) und ist auch nicht soo kompliziert: Ein VLAN ist praktisch ein virtuelles LAN. Ein LAN ist eine Verbindung von zwei oder mehr netzwerkfähigen Geräten (z.B. ein PC) innerhalb eines kleinen Bereiches, z.B. zu Hause, oder die damaligen LAN-Parties.
Du kannst dir ein VLAN in etwa wie einen erweitertes Gast-WLAN vorstellen. Bei deinem Router zu Hause hast du die Funktion eben so ein Gast-WLAN anzuschalten. Der Unterschied vom Gast-WLAN zum "normalen" WLAN ist der, dass das Gast-WLAN ein isoliertes Netz ist (isoliert vom "normalen" WLAN) und daher nicht zu den Geräten die mit dem "normalen" WLAN verbunden sind kommunizieren kann. Ein VLAN ist eben erweitert, in dem Sinne, dass man per Regeln am Router einstellen kann z.B. VLAN1 darf zu VLAN2 funken/kommunizieren, aber VLAN2 nicht zu VLAN1. Man kann auch einstellen dieses VLAN darf nur ins Internet funken und bekommt von den restlichen VLANs nichts mit.
Der laufende Betrieb geht eigentlich recht gut, der große Brocken ist das einrichten. Besonders wenn schon Netzinfrastruktur da ist, die man austauschen muss, wie eben die beiden Switches auszutauschen gegen managed Switches. Ein managed Switch versteht VLAN: Da stellst du z.B. ein was an Steckplatz A kommt wird nur zu VLAN1 weitergeleitet. Ein normaler Switch versteht das nicht, der leitet alles an alle und das Gerät das es letztendlich betrifft nimmt es sich dann. Aber wenn mal alles eingerichtet ist, dann läuft das ohne große Umstände. Das Einzige was mir grad einfallen würde wäre wenn ich total anonymisiert surfen möchte am PC, muss ich die Netzwerkschnittstelle am PC ändern (was der am wenigsten umständliche Weg ist). Ich habe praktisch ein Pi angeschlossen, in einem eigenen VLAN, das den Traffic über Tor lässt. Praktisch keine .onions aufrufen, dazu bräuchte es mehr, aber wenn ich z.B. Steemit eingebe, dann läuft es nicht direkt von meinem PC/meiner IP an Steemit, sondern wird verschleiert durch die Hops an die Tor-Relais. Dann kann ich beim PC einfach umswitchen und sagen du funkst jetzt über die Torschnittstelle und am managed Switch habe ich am Port an dem der PC angeschlossen ist VLAN1 und VLAN2 verfügbar. Wechsle ich also die Schnittstelle am PC (software-technisch), funkt der plötzlich übers VLAN2 z.B. statt übers 1er. Die Alternative wäre ein eigener Port am Switch der nur VLAN2 hat und wenn ich übers Tor funken möchte, stecke ich den Stecker vom PC um. Das wäre dann der umständliche Weg ;)
Und eben, die wichtigen Dinge sind alle im selben VLAN verbunden (NAS, PC, Remote Desktop, VPN vom Smartphone). Alles unwichtigere oder potenziell unsichere ist in seinem eigenen VLAN drinnen und per Regeln am Router kommen die nur in ihr eigenes VLAN, sehen praktisch z.B. das NAS nicht im anderen VLAN.
Das ist schon eher übertrieben für ein Heimnetz, zugegeben, ist mehr was für Unternehmen, aber es macht mir halt Spaß daran zu basteln ;)
Was total übertrieben ist, ist nachher dann der USB-Stick: Der ist praktisch wie ein Schlüssel. Ich muss den zu Hause ins Pi reinstecken, was zum Monitoren des Netzwerktraffics verwendet wird, dann öffnet sich ein Fenster mit einem Menü und ich kann z.B. SSH aktivieren (praktisch dass ich von PC A einen Befehl an PC B ausführen kann). Ich kann SSH dann wieder manuell deaktivieren, oder einfach den Stick rausziehen, dann wird das sofort wieder deaktiviert. Dann schickt mir die KI, die die Logs auswertet, per Telegram eine Nachricht: Auffälliges Verhalten im VLAN2 z.B. dann kann ich per Telegram den Kill Switch-Befehl schicken und VLAN2 wird abgeschalten. Hat dann kein Internet mehr. Um es wieder zu aktivieren ist die einzige Möglichkeit zu Hause dann den USB-Stick am Monitoring Pi einzustecken und zu sagen VLAN2 wieder aktivieren (total OP->over powered, aber auch total cool^^)
Und joa.. Eben für den Minecraft Server erstelle ich für jeden der mitspielt einen eigenen VPN, der nur auf diesen Server verbinden darf und auch nur an diesen einen Port für Minecraft. Ein Virus auf einem fremden Gerät kann dann höchstens in dieses VLAN rein und sieht nur den Server. Zusätzliche Absicherung: Den Server im Docker betreiben (eine Art Virtualisierung, wie Virtual Box), dann kommt der Virus nichtmal aufs Host-System ;)
Es ist ein sehr aufwändiges Projekt, ich habe das zusammen mit Claude AI geplant, solange bis der Chat richtig träge wurde. Also bat ich es um eine Zusammenfassung und es spuckte mir ein Word mit 9 DIN A4 Seiten aus^^ also ja, aufwändig, viele Aspekte, aber dafür auch richtig cool ;)