Forum Övrigt Nyhetskommentarer Tråd

Smarta Hem: Nätverksegmentera med Unifi

1 2
Skriv svar
Permalänk
Melding Plague

Smarta Hem: Nätverksegmentera med Unifi

Med ett smartare hem krävs ett säkrare nätverk. Med en genomgång i nätverkssegmentering förklaras både hur du får kontroll över dina prylar och varför det är viktigt.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Redigera
Citera flera Citera
Permalänk
Medlem

Ja... Här finns det ju en del att förbättra... Kan väl på rak arm peka på att du "missbrukar" nät utanför IETF:s och IANA:s rekommenderade IP-serier, dvs 10.0.0.0/8, 172.16.0.0/12 och 192.168.0.0/16. Exempelvis så använder du min gamla arbetsgivare IBM:s IP:n som "interna nät" och skulle göra det rakt omöjligt att ladda hem patchpack/servicereleaser eller firmware-uppgraderingar -- eller för den delen, mycket som numera ingår i Linux som ligger i IBM-sfären, men det är väl kanske inte så viktigt

Visa signatur

Asus B550E-Gaming / Ryzen 5900X stock / Corsair Vengeance 32GB 3600 MHz CL18 /
ASUS TUF 4080 Gaming OC / Samsung 980 PRO 2TB PCI-Ev4 + 2TB WD Black NVME PCI-Ev3 / Corsair RM850x v2 / Acer Predator XB273UGX 1440p 270 Hz G-Sync / Phantek P500A / Arctic Cooling LF II 240mm / Evo 4 / Sennheiser IE 300 / Rode NT1-A
Synology 1621+ 6*16 / 1513+ 5*8 / LG CX 65" / XBox Series X
Ownit > Bahnhof

Redigera
Citera flera Citera
Permalänk
Medlem

Snyggt skåp, vad är det för modell och var köpte du det?

Redigera
Citera flera Citera
Permalänk
Avstängd

Ja.. harregud "genomgång i nätverkssegmentering" men har inte koll på RFC1918.

Redigera
Citera flera Citera
Permalänk
Medlem

Grymt jobbat! Riktigt fin guide.

Redigera
Citera flera Citera
Permalänk
Medlem

Ser ut som ett totemskåp 8u eller liknande

Redigera
Citera flera Citera
Permalänk
Medlem

Klart man har flera VLAN hemma, alla "smarta"-enheter ligger på ett väldigt nedlåst VLAN hos mig, kör dessutom pfsense

Visa signatur

www.obscured.se mrtg.obscured.se - erik.hennerfors@obscured.se - See ya in cyberspace

[img]https://www.speedtest.net/result/8779163636.png[/img]

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av KroesusSork:

Ja... Här finns det ju en del att förbättra... Kan väl på rak arm peka på att du "missbrukar" nät utanför IETF:s och IANA:s rekommenderade IP-serier, dvs 10.0.0.0/8, 172.16.0.0/12 och 192.168.0.0/16. Exempelvis så använder du min gamla arbetsgivare IBM:s IP:n som "interna nät" och skulle göra det rakt omöjligt att ladda hem patchpack/servicereleaser eller firmware-uppgraderingar -- eller för den delen, mycket som numera ingår i Linux som ligger i IBM-sfären, men det är väl kanske inte så viktigt

Gå till inlägget

Instämmer med ovan skribent! Använd IP-adresser ur de rekommenderade privata IP-serierna.
Sen tycker jag VLAN endast ska förekomma när man pratar L2 (switching) och hålla det borta från brandväggar då dessa oftast opererar i de högre lagren som L3-L7 (IP, Ports, Applikationer). När man pratar om segmentering så kan det ju ske inom olika nivåer men gällande brandväggar så bör VLAN hållas borta ur den diskussionen då det sker på access-nivån, dvs L2 och förknippas med MAC-adresser än med IP-adressering.
Tycker annars artikeln är bra och gillar att man lyfter det här med segmentering och brandväggar för att säkra upp hemmanätverk där IOT enheter förekommer som oftast saknar säkerhetsfunktioner vilket gör att intrång kan ske om man har ett s.k. platt-nätverk, dvs ett VLAN/IP-nät för hela nätverket.

Visa signatur

Chassi: Louqe Ghost S1, PSU: Corsair SF600, MB: MSI B450I,CPU:AMD Ryzen 5 2600 Six-Core ProcessorGPU: MSI Vega 56, RAM: Corsair 16GB, HDD: 2x Samsung 840 Pro 256GB SSD OS: Win10 Pro, Skärm: AOC Agon 32"
Server: HPE Proliant Microserver Gen8, Intel(R) Xeon(R) CPU E3-1265L V2 @ 2.50GHz ,2x 4TB, 2x 3TB, 16GB RAM

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av gonace:

Klart man har flera VLAN hemma, alla "smarta"-enheter ligger på ett väldigt nedlåst VLAN hos mig, kör dessutom pfsense

Gå till inlägget

pfsense.. själv föredrar jag OpenBSD där varje regel skrivs för hand rad för rad som en erotisk novell. But you do you.

Redigera
Citera flera Citera
Permalänk
Medlem

Skåpet finns att köpa här
https://www.kjell.com/se/produkter/natverk/installationsmater...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av KroesusSork:

Ja... Här finns det ju en del att förbättra... Kan väl på rak arm peka på att du "missbrukar" nät utanför IETF:s och IANA:s rekommenderade IP-serier, dvs 10.0.0.0/8, 172.16.0.0/12 och 192.168.0.0/16. Exempelvis så använder du min gamla arbetsgivare IBM:s IP:n som "interna nät" och skulle göra det rakt omöjligt att ladda hem patchpack/servicereleaser eller firmware-uppgraderingar -- eller för den delen, mycket som numera ingår i Linux som ligger i IBM-sfären, men det är väl kanske inte så viktigt

Gå till inlägget
Skrivet av Goofa:

Ja.. harregud "genomgång i nätverkssegmentering" men har inte koll på RFC1918.

Gå till inlägget
Skrivet av IQ-RauL:

Instämmer med ovan skribent! Använd IP-adresser ur de rekommenderade privata IP-serierna.
Sen tycker jag VLAN endast ska förekomma när man pratar L2 (switching) och hålla det borta från brandväggar då dessa oftast opererar i de högre lagren som L3-L7 (IP, Ports, Applikationer). När man pratar om segmentering så kan det ju ske inom olika nivåer men gällande brandväggar så bör VLAN hållas borta ur den diskussionen då det sker på access-nivån, dvs L2 och förknippas med MAC-adresser än med IP-adressering.
Tycker annars artikeln är bra och gillar att man lyfter det här med segmentering och brandväggar för att säkra upp hemmanätverk där IOT enheter förekommer som oftast saknar säkerhetsfunktioner vilket gör att intrång kan ske om man har ett s.k. platt-nätverk, dvs ett VLAN/IP-nät för hela nätverket.

Gå till inlägget

Tack för feedbacken. Som jag nämnde i inledningen är jag långt ifrån en nätverkstekniker.

Jag inser att jag borde hållt mig inom ramarna för vad som klassas som privata subnät inom RFC1918 när jag byggde mina VLAN, för att vara mer korrekt. Däremot är det bara mitt LAN 192.168.1.0/24 samt mitt IOT 10.10.10.0/24 som får prata med internet, varpå jag förmodligen inte kommer stöta på några problem?

Jag kommer lägga till en notering i artikeln om att endast använda RFC1918 nät i artikeln när jag kommer hem från bröllopsfirandet.

Redigera
Citera flera Citera
Permalänk
Konsolpleb 🕹

Hojta gärna om ni känner att en liknande artikel hade behövts för andra fabrikat och ge lite feedback på ämnet i allmänhet

Visa signatur

240p är livet

Redigera
Citera flera Citera
Permalänk
Medlem

En bra pfsense lösning hade varit intressant att läsa om.

Redigera
Citera flera Citera
Permalänk
Medlem

Säkerhet i ens privata LAN, 99/100 gånger så är enda sättet för någon som vill förstöra att hitta dig något säkerhetshål i valfri IoT-device.

Ingen kommer hitta dig om du inte annonseras ut helt vilt ( t.ex. webbsidor där man klickar på fel länkar eller spel som öppet visar IP för alla anslutna klienter ).

Spelar då ingen roll hur du säkrar upp ditt nätverk om du inte konstant loggar in med något uber-begränsat konto på din egen dator, lite foliehatt över det dock.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Goofa:

pfsense.. själv föredrar jag OpenBSD där varje regel skrivs för hand rad för rad som en erotisk novell. But you do you.

Gå till inlägget

Du vet att pfsense är freebsd och att man kan skriva reglerna rad för rad om man är lagd åt det hållet.. Sen gillar vissa att ta hjälp av ett grafiskt gränssnitt som skriver reglerna rad för rad under huven 🥳

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av kRYSSET:

Tack för feedbacken. Som jag nämnde i inledningen är jag långt ifrån en nätverkstekniker.

Jag inser att jag borde hållt mig inom ramarna för vad som klassas som privata subnät inom RFC1918 när jag byggde mina VLAN, för att vara mer korrekt. Däremot är det bara mitt LAN 192.168.1.0/24 samt mitt IOT 10.10.10.0/24 som får prata med internet, varpå jag förmodligen inte kommer stöta på några problem?

Jag kommer lägga till en notering i artikeln om att endast använda RFC1918 nät i artikeln när jag kommer hem från bröllopsfirandet.

Gå till inlägget

Ett problem är ju att om din router har lokala rutter till 11.11.11.0/24, 12.12.12.0/24, 13.13.13.0/24, 14.14.14.0/24, 15.15.15.0/24 så finns väl en påtaglig risk att även enheterna i dina nät som ska ha Internetåtkomst därmed inte kan ansluta till saker på Internet som har adresser i de näten (eftersom routern anser att det där är nät finns lokalt anslutna, som alltså nås lokalt istället för på Internet).

Vore som noterats klart mer lämpligt att t.ex. ta 10.0.1.0/24, 10.0.2.0/24, 10.0.3.0/24, osv som då inte står i konflikt med adresser som används på Internet.

Skrivet av UndaC:

Hojta gärna om ni känner att en liknande artikel hade behövts för andra fabrikat och ge lite feedback på ämnet i allmänhet

Gå till inlägget

Ämnet i sig känns både viktigt och rätt i tiden (folk skaffar allt mer IOT-prylar samtidigt som hela IOT-marknaden är fullständig vilda västern, säkerhetstänket är minst sagt undermåligt i de allra flesta fallen).

Några förslag:
Jag tänker mig att det hade varit pedagogiskt att visa en skiss på hur resultatet ska sitta ihop, innan man börjar visa hur man på specifik nätverkshårdvara konfigurerar detta. Känns som att det skulle hjälpa till att göra artikeln mer allmängiltig.

Avsnittet "Säkerhetstänk - hela tiden" upplevs lite spretigt, vore kanske bättre att fokusera just på nätverkssegmentering i denna artikel? Lösenordshantering är också viktigt, men personligen kände jag det som att artikeln svävade ut åt lita alla möjliga håll där.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem

Litet väl strängt att blocka all ICMP kanske, det känns som att det är litet cargo cult-tänk från tiden med smurf ping. Men det är klart, det är litet pyssligt att sätta upp brandväggsregler för ICMP korrekt.

Visa signatur

Bra, snabbt, billigt; välj två.

Ljud
PC → ODAC/O2 → Sennheiser HD650/Ultrasone PRO 900/...
PC → S.M.S.L SA300 → Bowers & Wilkins 607

Redigera
Citera flera Citera
Permalänk
Medlem

Trevlig guide, förutom fadäsen med de publika IP-adresserna. Jag hade haft ping öppet internt och mot brandväggen, det förenklar felsökningen. Hade också sett hur man låser enheter till statiska DHCP-utdelningar i unifi. Den funktionen är lite dold innan man googlat fram det. Likaså att man inte ska överlappa det spann som man kör DHCP på med de statiska adresser som man manuellt gett en enhet.

Redigera
Citera flera Citera
Permalänk
Medlem

du får inte problem med glapp med dom korta kablarna?
jag fick rätt ofta problem när jag kört kort kabel som "pressar" mellan switch och panel, särskilt om man drar i/ur kablarna en del, stiften verkar ha trycks in så nästa gång man stoppar kabeln har kontakten blivit dålig.
märktes tydligt på poe och 10G, (man fick ta en nål och pilla ut stiften)

Visa signatur

Om du lär dig älska din smärta kommer du känna dig älskad var dag.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Goofa:

pfsense.. själv föredrar jag OpenBSD där varje regel skrivs för hand rad för rad som en erotisk novell. But you do you.

Gå till inlägget

Vi har alla våra "kall" i livet

Visa signatur

www.obscured.se mrtg.obscured.se - erik.hennerfors@obscured.se - See ya in cyberspace

[img]https://www.speedtest.net/result/8779163636.png[/img]

Redigera
Citera flera Citera
Permalänk
Snusfri

Bra att ämnet tas upp.
Har själv inga "smarta hem" prylar i dagsläget så kör bara en standard pfsense (med lite regler uppsatta) men ska byta till antingen opnsense, untangle, sophos eller liknande.

Visa signatur

WS: i9 13900K - 128GB RAM - 6.5TB SSD - RTX 3090 24GB - LG C2 42" - W11 Pro
LAPTOP 1: Lenovo Gaming 3 - 8GB RAM - 512GB SSD - GTX 1650
LAPTOP 2: Acer Swift 3 - 8GB RAM - 512GB SSD
SERVER: i5 10400F - 64GB RAM - 44TB HDD
NALLE: Pixel 7 Pro

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av aragon:

du får inte problem med glapp med dom korta kablarna?
jag fick rätt ofta problem när jag kört kort kabel som "pressar" mellan switch och panel, särskilt om man drar i/ur kablarna en del, stiften verkar ha trycks in så nästa gång man stoppar kabeln har kontakten blivit dålig.
märktes tydligt på poe och 10G, (man fick ta en nål och pilla ut stiften)

Gå till inlägget

Nu vill jag ju inte påstå att det behövs kopplas om så mycket mellan mina switchar och patchpanel. De få gånger jag varit och startat om någon PoE enhet har dock varit smärtfri hittils och jag har inte märkt av någonting på mina länkar.

Jag har pressat mina kontakter själv, om det skulle göra någon skillnad mot färdiga kablar.

Redigera
Citera flera Citera
Permalänk
Medlem

Trevligt med guider inom detta ämne.

Utöver vad tidigare kommentarer redan har nämnt kommer här en rekommendation för vidare läsning/tittning: Crosstalk Solutions. Hans YT-kanal har väldigt många bra guider och genomgångar, med fokus på ubiquiti (som gör unifi) men även allmänt om nätverk.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av kRYSSET:

Nu vill jag ju inte påstå att det behövs kopplas om så mycket mellan mina switchar och patchpanel. De få gånger jag varit och startat om någon PoE enhet har dock varit smärtfri hittils och jag har inte märkt av någonting på mina länkar.

Jag har pressat mina kontakter själv, om det skulle göra någon skillnad mot färdiga kablar.

Gå till inlägget

ok,
det enda jag kan tänka mig är om du använder en mjukare kabel?
jag kör skärmad cat6a (är rätt stela)

Visa signatur

Om du lär dig älska din smärta kommer du känna dig älskad var dag.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av aragon:

ok,
det enda jag kan tänka mig är om du använder en mjukare kabel?
jag kör skärmad cat6a (är rätt stela)

Gå till inlägget

Patchkablar brukar vara följsamma, även för cat6? Installationskabel är ju annorlunda, men också helt fel användningsområde av flera orsaker.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av serdyllon:

Patchkablar brukar vara följsamma, även för cat6? Installationskabel är ju annorlunda, men också helt fel användningsområde av flera orsaker.

Gå till inlägget

jojo, cat6a patch är bra mycket mjukare än cat6a installationskabel, den är dock fortfarande väldigt mycket stela än cat5e/cat6
sedan beror det naturligtvis vilken awg som används osv.

Visa signatur

Om du lär dig älska din smärta kommer du känna dig älskad var dag.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av IQ-RauL:

Instämmer med ovan skribent! Använd IP-adresser ur de rekommenderade privata IP-serierna.
Sen tycker jag VLAN endast ska förekomma när man pratar L2 (switching) och hålla det borta från brandväggar då dessa oftast opererar i de högre lagren som L3-L7 (IP, Ports, Applikationer). När man pratar om segmentering så kan det ju ske inom olika nivåer men gällande brandväggar så bör VLAN hållas borta ur den diskussionen då det sker på access-nivån, dvs L2 och förknippas med MAC-adresser än med IP-adressering.
Tycker annars artikeln är bra och gillar att man lyfter det här med segmentering och brandväggar för att säkra upp hemmanätverk där IOT enheter förekommer som oftast saknar säkerhetsfunktioner vilket gör att intrång kan ske om man har ett s.k. platt-nätverk, dvs ett VLAN/IP-nät för hela nätverket.

Gå till inlägget

Men vart ska jag ha mina L3 interface för de olika VLANen om inte i brandväggen?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Goofa:

pfsense.. själv föredrar jag OpenBSD där varje regel skrivs för hand rad för rad som en erotisk novell. But you do you.

Gå till inlägget

"Jag använder inget gui så min e-penis är längre än din!!!!"
Tycker du att dina inlägg tillför något till diskussionen?

Visa signatur

h170i-plus i5 6600 2x8gb ddr3l 850 pro 256gb
Don't argue with an idiot. He will drag you down to his level, and beat you with experience.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av aragon:

ok,
det enda jag kan tänka mig är om du använder en mjukare kabel?
jag kör skärmad cat6a (är rätt stela)

Gå till inlägget

Jag använder mig av CAT6 UTP kabel rakt igenom i skåpet. Tycker skärmad kabel är för styv att jobba med på så korta längder.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av kRYSSET:

Jag använder mig av CAT6 UTP kabel rakt igenom i skåpet. Tycker skärmad kabel är för styv att jobba med på så korta längder.

Gå till inlägget

Behöver man ens skärmad kabel som privatperson?

Visa signatur

Bra, snabbt, billigt; välj två.

Ljud
PC → ODAC/O2 → Sennheiser HD650/Ultrasone PRO 900/...
PC → S.M.S.L SA300 → Bowers & Wilkins 607

Redigera
Citera flera Citera
1 2
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara