Im Moment besteht mein Heimnetzwerk aus 5 Computern (3 Laptops und 2 Desktops), von denen einer mit Windows Server 2008 läuft und als Home-Repository für einige unserer Dateien dient. Wir greifen über einen Thomson TG784-Router auf das Internet zu, der zwei drahtlose und drei kabelgebundene Verbindungen empfängt, von denen eine über einen Switch läuft. Allerdings verwenden wir nirgendwo eine Firewall und verlassen uns daher zu 100 % auf die Firewall-Funktionen des Routers. Bisher hatten wir noch nie Probleme, aber jetzt möchte ich ein VPN einrichten (vielleicht mit RRAS oder OpenVPN), damit ich von außen auf die Computer hier zugreifen kann. Das Problem ist, dass ich mir wirklich nicht sicher bin, ob ich das tun soll, da dies bedeutet, mindestens einen Port an einen Computer weiterzuleiten (das wäre der mit Windows Server 2008), wodurch, soweit ich verstehe, das gesamte Netzwerk nach außen geöffnet wird. Meine Fragen sind also tatsächlich drei:
1) Ist unsere aktuelle Konfiguration hinsichtlich der Sicherheit ausreichend oder sollten wir auf jedem Computer eine Firewall verwenden (auch ohne VPN oder Portweiterleitung)?
2) Ist es sicher, in einem solchen Netzwerk ein VPN einzurichten, oder riskiere ich einen unerwünschten Zugriff auf das Netzwerk?
2) Falls ich mich wirklich für die Einrichtung eines VPN entscheide, wie muss ich dieses und die Maschinen im Netzwerk aus Sicherheitsgründen konfigurieren?
Antwort1
Um Ihre Fragen zu beantworten:
- Die aktuelle Konfiguration ist ausreichend. Ihr Router kann als ordentliche, wenn auch nicht voll funktionsfähige Firewall fungieren (eine professionelle Firewall ist natürlich besser und bietet viele weitere Optionen und Deep Packet Inspection). Wenn Sie wirklich mehr Sicherheit wünschen, können Sie natürlich die Software-Firewalls aktivieren. Wenn jedoch Port 3389 für Ihre Firewall geöffnet ist und nur an Ihren Server weitergeleitet wird, können diese ohnehin nicht auf die anderen Computer zugreifen, es sei denn, sie erraten irgendwie Ihren VPN-Benutzernamen und Ihr VPN-Passwort.
- Alle offenen Ports oder Zugriffe von außen sind ein Risiko: Verdammt, mit dem Internet verbunden zu sein, ist ein Risiko. Das heißt, Sie müssen die Risiken gegen die Vorteile abwägen, und das können wirklich nur Sie. Ich würde sagen, das Risiko ist gering, und ich habe genau das jahrelang für Unternehmen getan.
- Es gibt nicht viel zu konfigurieren, es sei denn, Sie möchten einen Zertifikatsserver hinzufügen und Ihren Laptops Zertifikate ausstellen, damit nur diese auf das VPN zugreifen können. Seien Sie gewarnt, das wird Sie viel besser schützen, aber die Einrichtung ist viel aufwändiger und wäre eine separate Frage, wahrscheinlich zu Server Fault. Sobald Sie das VPN eingerichtet haben und es sich mit dem Netzwerk verbindet, ist es, als hätten Sie Ihren Computer virtuell an den Switch angeschlossen. Sie können auf Laufwerke auf dem Server zugreifen, oder wenn Sie sich in einer Situation befinden, in der Sie einen Laptop aus der Ferne haben und auf einem Desktop-System eine Pro-Version von Windows ausführen, können Sie den Laptop verwenden, um per RDP auf den Desktop zuzugreifen. In diesem Szenario erledigen Sie die ganze Arbeit im LAN, sodass es bei großen Dateien nur sehr geringe Latenz gibt, nur die Bildschirmdarstellung und Maus-/Tastaturklicks mit RDP.
Eine letzte Sache: Ihr Laptop kann Leistungsprobleme haben, wenn Sie Laufwerkszuordnungen zum Server haben und der Server nicht da ist (nicht lokal oder über das VPN verbunden). Möglicherweise möchten Sie Skripte verwenden, um Laufwerke nach Bedarf zuzuordnen und die Zuordnung aufzuheben.
Antwort2
Verwenden Sie Hamachi. Sie können ganz einfach VPN-Tunnel erstellen und müssen nie einen Port auf Ihrem Router öffnen. Ich verwende es, da ich mit meinem Laptop unterwegs bin, aber auf Dateien auf meinen Heimservern zugreifen muss oder möglicherweise Einstellungen/VMs in meiner privaten Cloud aktualisieren muss.