Sicherheit & Netzwerke
Aufbau sicherer Netzwerke und Self-Hosted-Infrastruktur. Praxis mit Firewalls, Segmentierung und Linux-Härtung.
Home Lab Einblicke
- Netzwerk-Segmentierung
- Firewalls (UFW)
- VPN (WireGuard)
- DNS-Filterung (Pi-hole)
- Logging & Monitoring
Security Stack
Netzwerk-Segmentierung
Prinzip: Angriffsfläche minimieren. Impl: VLANs trennen IoT/Gäste von kritischer Infrastruktur.
Firewall-Strategie
Prinzip: Zero Trust Defaults. Impl: Strikte Deny-by-Default Regeln (UFW aktiv; OPNsense/PfSense in Roadmap).
Sicherer Fernzugriff
Prinzip: Keine offenen Ports. Impl: WireGuard VPN für verschlüsselten, authentifizierten Zugang.
Observability
Prinzip: Netzwerk-Transparenz. Impl: Zentrales Logging & Echtzeit-Alerts via Uptime Kuma.
Messbare Ergebnisse
- ✓Reduktion von Ad/Tracker-Traffic um bis zu ~99% (Lab-Traffic) durch DNS-Sinkholing.
- ✓Kein direkter externer Zugriff: Alle Dienste hinter Reverse Proxy & VPN.
sec_metric_note
Zum Projekt: Home Security Lab >Fallstudien
IoT-Isolation
Herausforderung: Unsichere IoT-Geräte im Hauptnetzwerk
Vorgehen: L2-Isolation via Gast-SSID. VLAN-Segmentierung für nächste Phase entworfen.
Ergebnis: IoT-Verkehr vom Hauptnetz getrennt.
Sicherer Fernzugriff
Herausforderung: Zugriff auf Heimnetz von unterwegs nötig
Vorgehen: WireGuard VPN statt Port-Forwarding
Ergebnis: Fernzugriff per VPN statt offener Ports.
Home Security Lab
Herausforderung: Einschränkungen durch ISP-Hardware und unsicheres Standard-Heimnetzwerk.
Vorgehen: ThinkCentre M710q (Proxmox), UFW (LAN-only), Pi-hole. IoT-Separation via Gast-SSID.
Ergebnis: Werbefreies DNS, Basis-Härtung. Roadmap für VPN und VLAN steht.
Lab-Snapshots
Bereinigt (Zugangsdaten entfernt)<USER>@<HOST>:~$ sudo ufw status verboseUFW Status zeigt Deny-by-Default Policy.
<USER>@<HOST>:~$ pihole statusPi-hole Status: DNS-Service und Blocking aktiv.
<USER>@<HOST>:~$ cat /etc/wireguard/wg0.confWireGuard Client Konfiguration (Keys zensiert).