Die Vorgängerversion dieses Artikels stammt aus dem Jahr 2003. Einige Leser kritisierten, daß das doch alles nicht mehr aktuell sei. Inzwischen haben sich auch unsere Prioritäten etwas geändert, und die mit dem Budget des Soho-Nutzers erreichbaren Ergebnisse sind wesentlich attraktiver als vor 4 Jahren. Daher ist diese Beschreibung (mit Stand 2007) entstanden.

Small Office - Home Office

"Soho" ist unser ganz privates Vergnügungsviertel im DSL-versorgten Berliner Umland. Meine Frau hat ihr Büro in einem Nebengebäude eingerichtet und ich selbst arbeite ebenfalls oft daheim.

Über VPN-Verbindungen (Virtuelle Private Netze) sind wir jeweils an unsere Firmennetze angeschlossen. Auch privat, zum Beispiel in unserer Hundezucht, ist das Internet ein unverzichtbares Kommunikationsmittel geworden. Neben der Abwicklung von viel Emailaustausch pflegen wir einen umfangreichen Internetauftritt.

Unser Wirkungsbereich erstreckt sich nicht nur über drei Ebenen im Haus und ein Nebengebäude, sondern umfaßt auch den gesamten Garten mit einer Längsausdehnung von 100 Metern. Dieser ganze Bereich ist mit Wireless LAN in mindestens "guter" Funkqualität abgedeckt. Nachbarn stellen wir unser Funknetz als Internetzugang zur Verfügung, so weit dieses halt reicht. Dabei legen wir Wert darauf, daß unser privates Netz von dem "halböffentlichen" sicherheitstechnisch getrennt ist.

Datenarchive werden heutzutage vor allem durch Musik und Digitalphotos belastet. Jede vollphotographierte Speicherkarte aus der Kamera trägt neue 2 Gigabyte bei, wenn man nicht diszipliniert und rigoros löscht. Da wir nicht dauernd mit USB-Festplatten hantieren wollen und Daten zur Dauerablage auch nichts auf einem Arbeitsplatz-PC zu suchen haben, ist fest installierter Datenspeicher in der Größenordnung von 500 Gigabyte bis 1 Terabyte erforderlich.

Zukünftige Erweiterungen werden zu gegebener Zeit WLAN-Telephone und Überwachungskameras sein. Die WLAN-Telephone werden die DECT-Telephone ablösen, sobald die Technik dafür reif genug ist. Und seit auch in unserer Gegend gelegentlich eine Hauswand besprüht wird, verdichten sich wieder die Pläne, eine Videoüberwachung einzurichten.

Aussagen über die in diesem Artikel erwähnten Produkte beruhen auf eigenen Erfahrungen. Ansonsten stehe ich mit den Herstellern in keinerlei Beziehung.

Verkabelung und WLAN

Das Haus ist schon seit Bau mit Cat 5-Kabel ausgestattet. Daß man darauf achten sollte, daß dies vorgesehen ist, braucht heutzutage nicht mehr erwähnt zu werden. Die Kabel laufen sternförmig in einem Anschlußraum zusammen, wo der LAN-Verteiler und der Server stehen.

Die meisten der LAN-Anschlußdosen im Haus sind mittlerweile unbenutzt, an den strategisch günstig gelegenen befinden sich die WLAN-Accesspoints. Um nicht überall noch ein häßliches Steckdosennetzteil neben dem Accesspoint zu plazieren, werden die Accesspoints über den LAN-Verteiler mit Strom versorgt (Power over Ethernet, PoE, nach IEEE 802.3af).

Insgesamt sind fünf Accesspoints Netgear WG102 im Einsatz: einer pro Gebäudeebene, einer für das Nebengebäude, einer für den Garten. Umfangreiche Experimente mit der richtigen Positionierung nur weniger Accesspoints anzustellen lohnt sich nach meiner Erfahrung nicht, denn es sind dann doch immer etliche Ecken schlecht ausgeleuchtet. Die Accesspoints sind nur auf das G-Funknetz (IEEE 802.11g, 54 Mbps) eingestellt, nicht auf den älteren Standard mit 11 Mbps, da das nur die Bandbreite verschlechtern würde.

Wo im Gebäude eine bessere als die Standardantenne erforderlich ist, setzte ich die omnidirektionale Netgear ANT24O9 mit 9 dBi ein. Der Garten wird mit einer Sektorantenne Netgear ANT24D18 (die alte Bauform mit 18 dBi und Abstrahlwinkel horizontal 60°/vertikal 30°) versorgt. Dabei ist zu beachten, daß man die Leistung des Accesppoints herunterregeln muß, wenn man im Rahmen der gesetzlichen Abstrahlungsbeschränkungen bleiben will.

Jeder Accesspoint arbeitet parallel in zwei unterschiedlichen Funknetzen (d.h. verschiedenen SSID), die unterschiedlich verschlüsselt werden: das private Netz mit WPA, das halböffentliche mit WEP. Der Accesspoint ordnet diesen Funknetzen unterschiedliche VLAN-Identifikationen zu und sorgt so dafür, daß der Verkehr zwischen diesen beiden Netzen streng getrennt bleibt. Der genannte Accesspoint unterstützt "virtuelle AP" bereits seit Anfang 2006 zu einem Preis im Consumer-Segment; der Hersteller bewirbt das nicht offensiv.

WPA ist unbedingt zu empfehlen. Es gibt mittlerweile Algorithmen, die unter ungünstigen Umständen in ein WEP-Netz innerhalb von Minuten einbrechen können. WPA ist momentan noch ausreichend sicher. Leider verstehen ältere Geräte nur WEP, und auch von den neuen Geräten bzw. ihren WLAM-Chipsätzen beherrschen einige nicht das effizientere WPA mit AES-Verschlüsselung (WPA2 genannt), sondern nur das klassische WPA.

Wer hingegen ein offenes Funknetz betreibt, erlegt seinen Nutzern auf, für ihre Sicherheit selbst zu sorgen: mit ihren eigenen Firewalls, Nutzung von HTTPS, wo dies möglich ist, oder VPN in Firmennetze. Nach aktueller Rechtsprechung haftet man als Dienstebetreiber mit, wenn der Dienst mißbraucht wird, zum Beispiel für Urheberrechtsverletzungen. Man sollte also den Kreis derer einschränken, denen man den Dienst zur Verfügung stellt. Seinen Sorgfaltspflichten hat man bereits durch den Einsatz des unsicheren WEP Genüge getan. Es empfiehlt sich aber außerdem, den gängigen Webverkehr (HTTP, FTP) nur über einen Proxy zu erlauben, der die angesteuerten Internetadressen (URL) protokolliert. Dadurch kann man gegebenenfalls nachweisen, daß nicht man selbst einen Rechtsverstoß begangen hat, zu dem die eigene IP-Adresse ermittelt wurde.

Der Netgear WG102 hat noch eine andere sehr nützliche Eigenschaft: Er unterstützt ein Leistungsmerkmal "AutoCell". Damit sucht sich der Accesspoint automatisch einen geeigneten Kanal, auf dem gerade möglichst wenig Interferenzen vorliegen, und paßt auch seine Sendeleistung dem aktuellen Bedarf an. Damit wird auch eine etwas größere Funknetzkonfiguration nachbarfreundlich, ohne daß man über die Frequenzen mit den anderen Anwohnern der Straße in Verhandlung treten muß.

Das Nebengebäude ist mit einer Powerline-Brücke (Linksys PLK200) an das Hausnetz angeschlossen. Es lohnt sich dabei, jeweils eine Steckdose eigens für den Powerline-Adapter unmittelbar im Schaltschrank oder Anschlußkasten des Gebäudes zu installieren und außerdem alle drei Phasen durchzuprobieren, wo sich der beste Datendurchsatz einstellt. Jede weitere Entfernung der Steckdose kann den Datendurchsatz erheblich reduzieren. Wo eine Installation des Powerline-Adapters direkt im Schaltschrank und damit auch eine freie Wahl der Phase nicht möglich ist, können ggf. auch Phasenkoppler eingesetzt werden.

(Ich empfehle unbedingt das Linksys-Produkt in dieser Konfiguration. Devolo dLAN Highspeed, das vom Datendurchsatz durchaus ausgereicht hätte, arbeitet in einer Konfiguration mit VLAN nicht zufriedenstellend und war eine Fehlinvestition. Die Ursache sind offenbar MTU-Probleme. VLAN vergrößern den Ethernet-Frame um einige Bytes, die dann zu überlangen Datenpaketen auf der Powerline-Brücke führen. Den Intranet-Server und alle Clients in den betroffenen Segmenten auf eine niedrigere MTU einzustellen, kann eine Lösung sein, wenn es sich bei den Clients um PC handelt. Wenn der Client aber eine Wireless Webcam oder ein LAN-Printserver ist, läßt sich dort in aller Regel keine niedrigere als die Standard-MTU von 1500 Byte einstellen. Solches sind halt die Kriterien, in denen sich ein Consumer-Produkt von einem in diesem Fall sogar preisgleichen brauchbaren Produkt unterscheidet.)

Virtuelle LAN

Um den Verkehr in den verschiedenen LAN-Segmenten zu separieren und trotzdem über eine einfache Kabelinfrastruktur zu führen, werden die Segmente unterschiedlichen Virtuellen LAN (VLAN, nach IEEE 802.1q) zugeordnet. Ein zentraler VLAN-Switch im Anschlußraum vermittelt diesen Verkehr und übergibt ihn über eine Gigabit-Ethernet-Schnittstelle an den Intranet-Server, der zwischen den verschiedenen Segmenten und dem Internet routet. Als VLAN-Switches kommen Linksys SRW224P als zentraler Verteiler sowie Linksys SRW208 im Nebengebäude zum Einsatz.

Das virtuelle LAN, in dem das halböffentliche Funknetz läuft, genießt nur geringeren Schutz durch die Firewall. Es fungiert auch gleichzeitig als demilitarisierte Zone (DMZ), aus der Dienste in das Internet exportiert werden. Dazu gehört zum Beispiel eine Kamera, mit der wir zeitweise Videos von unseren Briardwürfen ins Internet übertragen, die "Welpenkamera".

Arbeitsstationen

Die Zeit der selbstgebauten und mit viel Mühe auf leise getrimmten PC-Türme ist vorbei. Bis auf wenige Ausnahmen kommen fast nur noch Notebooks zum Einsatz. Beim Kauf sollte man darauf achten, welcher WLAN-Chipsatz in welcher Version verbaut wurde. Der allerneuesten Version mangelt es in der Regel an Unterstützung durch Linux oder an Treiberunterstützung für WPA-2 oder gar WPA überhaupt.

Von Windows Vista kann ich nur dringend abraten, wie grundsätzlich von jeder neuen Microsoft-Version. Ich bin den Microsoft-Produkten immer mit gehörigem zeitlichen Versatz gefolgt, habe Windows NT verwendet, als Windows 2000 aufkam, bin mit aufkommendem Windows XP zu Windows 2000 gewechselt und habe mich jetzt gerade erst mit Windows XP angefreundet. Wer sich ein Notebook mit Windows Vista kauft, sollte besser für EUR 100 oder weniger ein Windows XP Professional im Internet dazu erwerben und Windows Vista komplett löschen.

Während ich auf Servern nur Linux einsetze, ist dies auf Arbeitsstationen bisher immer noch ein zu kantiges Betriebssystem. Im jährlichen Rhythmus erprobe ich aktuelle Linux-Distributionen auf Verwendbarkeit als Arbeitsplatzsystem. Ubuntu Linux mit der neuesten Version ist wirklich schon ganz dicht dran. Es war diesmal fast nur noch die WLAN-Unterstützung, die nicht zumindest ausreichend gut funktionierte. In etwa einem Jahr dürfte Linux für diejenigen, die nicht gerade Spiele spielen wollen, wirklich verwendbar sein.

Jede Windows-Arbeitsstation verfügt (trotz Internet-Firewall auf dem Server) über eine sogenannte Personal Firewall. Diese dient in erster Linie der Aufdeckung unerlaubter ausgehender Verbindungen. Immer mehr Anwendungen überraschen durch Geschwätzigkeit, sie wollen ohne dringende Notwendigkeit mit einem Server im Internet sprechen. Darunter kann durchaus auch einmal ein Trojanisches Pferd sein, das mehr nach außen meldet als uns lieb sein kann. Wirklicher Schutz kann aber nur durch geeignetes Zusammenwirken zwischen Personal Firewall und Internet-Firewall entstehen. Als Personal Firewall setze ich seit Jahren die Kerio Personal Firewall 2.1.4 ein. Diese funktioniert auch noch unter Windows XP und nur diese erlaubt genügend feingranulare Steuerung des Verkehrs auf Protokoll-, Port- und Applikationsebene. Neuere Personal Firewalls, insbesondere diejenigen, die zu den gängigen Antivirus-Suiten gehören, sind in ihrem Wirken zu intransparent bzw. erlauben nicht die volle Unterscheidung nach Protokollen, Ports und Applikationen.

Internetzugang

Der Internetzugang erfolgt über ein kombiniertes Modem-Router-Paketfilter-Gerät. Ich verwende Netgear DG834B. Der Paketfilter wird vom Hersteller "Firewall mit Stateful Packet Inspection (SPI) und Intrusion Detection (IDS)" genannt, für einen einfachen Paketfilter mit Network Address Translation (NAT) ist das sehr hochtrabend ausgedrückt. Dennoch ist solch ein Paketfilter-Router sinnvoll, um viele eingehende Angriffe zu filtern. Dem Intranet-Server stellt der Router eine fixe private IP-Adresse (10.x.x.x) für das Internet zur Verfügung.

Server

Zwei Server kommen im Netz zum Einsatz: Ein Intranet-Server zuhause und ein Internet-Server bei einem der einschlägigen Anbieter. Beide Server laufen unter Debian Linux 4.0 (Etch) als Basissystem ohne graphische Oberfläche.

Internet-Server

Der Internet-Server fungiert als Web-, Email- und Proxyserver. Der Webserver umfaßt Apache 2, PHP 5 und MySQL 5. Der Emailserver besteht aus Postfix und Courier IMAP. Dazu kommen umfangreiche Maßnahmen zum Herausfiltern von Spam. Eine Übersicht über diese Maßnahmen und ihre Wirksamkeit findet sich in einem anderen Artikel. Als Proxyserver kommt Squid zum Einsatz.

Zur Administration und Synchronisierung ist der Internet-Server über Secure Shell (SSH) erreichbar, wobei nur ein Zugang mit Public-Key-Authentifizierung möglich ist.

Der Server ist ein dedizierter Server (Rootserver) von Strato. Ein virtueller Server (vServer) ist nicht zu empfehlen, wenn man viele Internetzugriffe hat und auf vorhersagbares Antwortzeitverhalten Wert legt. Strato weist gute Verbindungsgeschwindigkeit und Zuverlässigkeit des Netzzugangs auf. Hauptvorteil von Strato-Rootservern ist, daß im Grundpreis ein Konsolenzugang enthalten ist. Bei Fehlkonfigurationen im SSH oder in der Firewall oder bei anderen Netzproblemen ist dieser erforderlich; auch eine Neuinstallation des Betriebssystems (Upgrade) ist damit möglich.

Intranet-Server

Der Intranet-Server fungiert im wesentlichen als Router und Firewall zwischen den verschiedenen Segmenten des Heimnetzes und dem Internet sowie als Datenspeicher für die Windows-Arbeitsstationen. Den ständig laufenden Server als Speicherort der Dateien hätte ich längst gern abgeschafft. Eine VPN-fähige Firewall ließe sich auch mit einem spezialisierten kleinen Gerät (einer sogenannten Appliance) aufbauen. Noch gibt es aber keine bezahlbaren Dienste, mit denen man 500 Gigabyte Daten zugangsgesichert und vor Verlust halbwegs geschützt im Internet speichern kann.

Als Router und Firewall vermittelt der Intranet-Server zwischen den verschiedenen VLAN-Segmenten im Haus, dem Internet und der Modem-Einwahlverbindung. Die Modemeinwahl ist für Fälle vorgesehen, in denen der DSL-Internetzugang nicht funktioniert. Die Firewall besteht aus einem umfangreichen Iptables-Regelsatz, insgesamt etwa 150 Einzelregeln. Dazu gehört die Filterung des Verkehrs zwischen den VLAN-Segmenten, insbesondere natürlich der fast vollständige Ausschluß von Verkehr aus dem halböffentlichen WLAN in Richtung Intranet. Dazu gehört weiterhin die Filterung des eingehenden Verkehrs, den der Modem-Gateway-Router hindurchläßt.

Fast ebenso wichtig ist heutzutage aber die Filterung des ausgehenden Verkehrs. Im Zusammenspiel mit den Personal Firewalls auf den einzelnen Arbeitsstationen sollte die Firewall (neben anderen Maßnahmen) HTTP- und HTTPS-Verkehr grundsätzlich blockieren, sofern dieser nicht über einen bestimmten Proxy geleitet wird, welcher sich natürlich auf dem Internet-Server befindet.

Vom Internet her ist das Intranet nur über Secure Shell (SSH) erreichbar. Wenn man die Möglichkeiten von SSH richtig ausschöpft, lassen sich auch Windows-Laufwerke über das Internet verschlüsselt verbinden. Auch die Modemeinwahl führt erst einmal in eine Sackgasse, die erst nach SSH-Anmeldung Zugriff auf den Intranet-Server erlaubt. Nach einigen Versuchen, Linux und Windows mit IPsec zu verbinden, habe ich entnervt aufgegeben. Sicherlich kann es funktionieren, und die Versuche liegen auch schon einige Jahre zurück. Da SSH aber alles leistet, was wir benötigen, habe ich das Thema nie wieder aufgegriffen.

Der Datenspeicher besteht aus vier Festplatten je 250 GB, die zu einem RAID-5 Array zusammengeschaltet sind. Die erreichte Gesamtkapazität ist damit etwa 740 GB. Ein RAID-Fileserver ist mit einem Pentium 3 mit 500 MHz, Festplatten mit 7200 rpm und UDMA/100 IDE-Controllern ausreichend ausgestattet. (Die Prozessorleistung ist für den Betrieb von Router und Firewall ebenfalls ausreichend.) Linux bringt im Kernel die Unterstützung für RAID mit. Details zur Einrichtung kann man einem leicht veralteten Artikel entnehmen.

Mit RAID-5 opfert man die Kapazität einer Festplatte und ist gegen Ausfälle einzelner Platten gefeit. Man sollte natürlich alle paar Wochen einmal nachsehen, ob noch alle Platten am Leben sind. Das Sichern der Daten sollte man sich trotz RAID keinesfalls sparen. Für Sicherungen kommen bei hohen Datenvolumina eigentlich nur noch USB-Festplatten infrage.

Die Absicherung des Servers über eine unterbrechungsfreie Stromversorgung (USV) hat sich nicht bewährt. Alles Wichtige, nämlich Internetauftritt und Email, liegen ohnehin auf dem Internet-Server, der ja in guten Händen sein sollte. Wenn man nicht viel Geld für ein USV-Gerät hoher Kapazität ausgeben will, sondern sich mit bezahlbaren 1 bis 2 kW zufriedengeben will, kann man im Falle des Stromausfalls nicht mehr tun, als den Server sofort geordnet herunterzufahren. Auf das geordnete Herunterfahren kann man aber auch verzichten. Wenn alle Dateisysteme mit einem sogenannten "journaling Filesystem" formatiert sind, Ext3 ist dafür heute Standard, verträgt Linux ein unfreundliches Ausschalten sehr gut. Mit steigender Blitzschlagsintensität in Europa lohnt es sich aber, die gesamte Technik gegen Spannungsspitzen aus dem Netz zu schützen. Das muß allerdings auch den Zugang aus dem LAN umfassen.

Auf die Daten wird durch die Arbeitsstationen über Samba zugegriffen. In diesem Datenbereich ist auch der komplette statische Internetauftritt gespiegelt, der über den Internet-Server schließlich ins Netz gelangt. Alle Änderungen erfolgen zuerst im Intranet und werden nach Fertigstellung über eine SSH-Verbindung (unter Verwendung von "rsync") auf den Internet-Server kopiert. Der dynamische Teil des Internetauftritts, also alle Seiten, die mithilfe von PHP aus der MySQL-Datenbank generiert werden, wird dadurch gesichert, daß jede Nacht auf dem Internet-Server ein Shellscript (neben anderen Sicherungsaktionen) die Datenbankinhalte in eine Archivdatei schreibt, die sich der Intranet-Server mit "rsync" automatisch abholt. Zusätzlich werden bei diesem Schritt auch alle Daten auf den Intranet-Server kopiert, die durch Nutzer auf den Internet-Server hochgeladen wurden.

Vielen Dank für Ihr Interesse

Vielleicht können Sie mit einigen Anregungen etwas anfangen. Weitere Informationen finden Sie gelegentlich in unserem Wiki. Wenn Sie Fragen oder Hinweise haben, schreiben Sie bitte an bez@tedesca.net oder benutzen Sie das Nachrichtenformular.