Ankündigung

Einklappen
Keine Ankündigung bisher.

Netzwerk-Entwurf für sicheres Smart-Home

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    [Netzwerk] Netzwerk-Entwurf für sicheres Smart-Home

    Im Thread Empfehlung Netzwerk-Switch mit POE wurde parallel auch das Thema VLAN zur sicheren Trennung von IoT-Geräten diskutiert.
    Es wurde der Vorschlag gemacht, diese OT-Diskussion zu vermeiden, daher habe ich diesen Thread hier eröffnet.

    Das Thema hier soll daher lauten: Wie sehen mögliche Netzwerk-Strukturen im Smart-Home aus?

    Was hier nicht diskutiert werden soll ist die Frage, welche Hersteller bieten beim Switch, Router oder AP welche Vor-/Nachteile.
    Ich habe in meinem Beispiel die Fritzbox und UniFi betrachtet, genauso kann natürlich auch Cisco, HP, MikroTik, Netgear, TP-Link, ZyXEL oder jedes andere Gerät verwendet werden.
    Dieser Hersteller-Vergleich wurde in obigem Thread bereits sehr detailliert diskutiert und passt dort auch besser dazu, daher der Versuch, dieses Thema hier auszuklammern.
    Ich habe dieses Thema auch hier ausgiebig diskutiert: Empfehlung für Router und Switch für sicheres Smart Home
    daher findet man auch dort bereits viele Hinweise.

    Für meinem Vergleich habe ich die folgenden Strukturen in Bezug auf Komfort und Sicherheit verglichen.

    1.) Modem und VLAN fähiger Router getrennt

    Netzwerk-Entwurf für sicheres Smart-Home - VLAN fähiger Router.png

    2.) Router-Kaskade

    Netzwerk-Entwurf für sicheres Smart-Home - Router-Kaskade.png

    3.) Modem und Router in einem Gerät

    Netzwerk-Entwurf für sicheres Smart-Home - Fritzbox als Router.png

    Im Folgenden die Vor- und Nachteile der 3 Varianten, die ich bisher finden konnte.

    1.) Modem und VLAN fähiger Router getrennt

    Als Modem könnte hier z.B. Draytek Vigor 165 verwendet werden, als Router fast jedes Gerät (bis auf die Fritzbox, da nicht VLAN-fähig)
    Als DECT-Basisstation wird hier recht gerne ein Gigaset oder auch wieder eine Fritzbox verwendet.

    Durch geschickte Wahl eines geeigneten Routers kann man hier frei wählen, ob einem Komfort oder Sicherheit wichtiger ist.
    Meist ist es so, dass Router mit zu komfortabler Oberfläche dann auch einige Möglichkeiten verstecken oder komplett vermissen lassen,
    während Router die mehr Funktionen bieten, dann auch komplizierter zu konfigurieren sind. Falls dabei Fehler passieren, leidet aber erst recht wieder die Sicherheit.

    2.) Router-Kaskade

    Wer weder den Komfort der Fritzbox noch die Möglichkeiten von getrennten VLANs vermissen möchte, der könnte auch eine Router-Kaskade einsetzen, wie man sie auch für eine DMZ häufig verwendet. Die Frage ist nur, wo hier die Vor- und Nachteile liegen, und was davon überwiegt.
    Ein Nachteil wäre z.B. doppeltes NAT. Eine Anleitung, wie man das bei UniFi verhindern kann, habe ich hier gefunden:
    UniFi LAN-/WLAN-Infrastruktur mit FRITZ!Box ohne "Doppeltes NAT"

    3.) Fritzbox als Modem und Router in einem Gerät

    Diese Variante ist die in DACH wohl am häufigsten eingesetzte, da sie den meisten Komfort bietet. Plug-and-Play ist hier meistens gegeben.
    Der größte Nachteil ist für viele sicherlich, dass die Fritzbox nur ein einzige getrenntes (noch dazu ungetaggtes) VLAN als Gastnetz anbietet, und man dort dann alle Geräte unterbringen muss, die man nicht im Hauptnetz haben möchte.
    Ein weiterer (kleinerer) Nachteil ergibt sich ebenfalls daraus, dass man dann 2 Netzwerkkabel von der Fritzbox zum VLAN fähigen Level2 Switch benötigt.

    Ich habe mal versucht, die wichtigsten Zusatz-Funktionen der Fritzbox zu sammeln, um Alternativen zum Wechsel auf die Varianten 1 oder 2 zu finden.
    • Anrufbeantworter
    • TKS-Anbindung
    • VoIP-Gespräche über Handy App führen, auch von unterwegs
    • Mini-NAS
    • IP-Kamera Anbindung
    • DECT-ULE
    • UMTS-Stick
    • MediaPlayer, WebRadio
    • TV-Anbindung

    Anrufbeantworter: Die Fritzbox bietet einen lokalen AB, auch beim Gigaset N300A gibt es diese Möglichkeit, nicht aber beim N510 oder darüber.

    TKS: Bei fast jeder SIP-TKS findet sich auch eine Anleitung, wie diese mit dem SIP-Server in der Fritzbox zusammenarbeitet.
    Wie würde daher die Anbindung einer SIP-TKS ohne Fritzbox aussehen?

    VoIP Lösungen bietet sicher nicht nur die Fritzbox, wie sehen hier Alternativen aus?

    Ein Mini-NAS mit einer SSD direkt an der Fritzbox löst so manche kleine Aufgabe etwas preiswerter als ein richtiges NAS.
    Alternativ könnte man dasselbe zwar auch mit Network-Servern (z.B. Sedna, Silex) lösen, in diesem Fall aber besser gleich mit einem echten NAS.

    IP-Kameras kann die Fritzbox auf angeschlossene DECT-Telefone routen, diese Funktion konnte ich bei Gigaset bisher noch nicht finden.
    Ich bin jedoch sicher, dass es auch hier alternative Lösungen gibt.

    DECT-ULE: Nach den spärlichen Meldungen hier im Forum wird diese Funktion kaum eingesetzt, daher wäre dann auch kein Ersatz dafür notwendig.

    UMTS-Stick, MediaPlayer, WebRadio, TV-Anbindung: Auch dafür wird es Alternativen geben, falls diese überhaupt benötigt werden.

    Aus meiner Sicht stellen sich in erster Linie 2 wichtige Fragen:

    1.) Wie viel ist es mir Wert, auf den Komfort der Fritzbox zugunsten von mehr Sicherheit zu verzichten?
    2.) Wie sehen die Alternativen zur Fritzbox im Detail aus, welche Vor- und Nachteile haben sie?

    Hier noch einige Links, falls jemand mehr Infos zu dem Thema möchte.

    VLAN: Grundlagen virtueller LANs

    Mehr Sicherheit mit logischen Subnetzen

    Das Heimnetzwerk durch Bereichsaufteilung sichern (Gast-WLAN und DMZ mit Fritzbox)

    VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

    Mehrfach-Verteiler (Netzwerksicherheit: WLAN-Router für Mehr-Zonen-Netze) [nur mit Heise-Abo]

    Router-Kaskaden (Lokale Netze mit mehreren Routern trennen) [auch ohne Heise-Abo]

    Smart-Home absichern: 5 Tipps


    Walter
    Angehängte Dateien
    Zuletzt geändert von scw2wi; 13.02.2021, 14:51.

    #2
    ich bin nach wie vor auf dem standpunkt, dass eine PoE türstation nicht sicher ist...

    zum einen, weil eine netzwerkanbindung direkt ans haus möglich ist, zum anderen kenne ich kein modell, bei dem der türöffner NICHT aus der station kommt. und das ist quasi schon eine einladung für einbrecher.

    ich persönlich würde auf ritto oder betchino setzen. bei letzterem ein externes anschaltrelais für den türöffner, alles sicher innen verbaut. so hast du keine chance über den bus ins hausnetzwerk zu kommen und auch keine mit einem 9 volt block den türöffner einfach schnell und leise auszutrixen.

    gruß, martin

    Kommentar


      #3
      Wenn ich an der Ritto einfach eine Twinbus Türstation mitnehme (in der Tasche, nur die Platine), kann ich die auch innerhalb weniger Sekunden öffnen. Wenn ich Gelegenheitseinbrecher bin, nehme ich eh einen Stein oder Brecheisen. Wenn ich gezielt einbreche, kann ich mir auch noch die 10 Sekunden Gedanken über die verwendete Türstation machen.
      Nehme ich einen reinen AC Türöffner und habe die Spannung nicht für Beleuchtung oder ähnliches schon draußen, hilft die normale Batterie auch nicht.

      Ich würde entweder einen Profi Router mit eingebautem Modem oder einen Profi Router mit externem Modem (je nach Wohnort ist das externe Modem als "Blitzschutz" nicht die verkehrteste Idee) verwenden. Aber einen Router mit eingebautem Modem VOR meinen Anschluss schalten würde ich nur dann tun, wenn man ihn auf "nur Modem" umstellen kann (was ja bei Fritzboxen nicht mehr geht).

      Wenn einem die zwei Fritzbox Netze nicht ausreichen, ist die Fritzbox also draußen. Die Fritzbox noch für DECT zu nutzen ist auch doof, denn IP Telefone, etc. gehen dann nicht ohne weiteres in meinem "internen" Netz.

      Kommentar


        #4
        Zitat von PassatzentraleMittelhessen Beitrag anzeigen
        zum anderen kenne ich kein modell, bei dem der türöffner NICHT aus der station kommt
        Bei 2N gibt es ein WebRelay, die Türstation schickt dann ein HTTP command zum relay und das öffnet dann die Türe. Und ich vermute, 2N wird nicht die einzige über LAN angebundene Station sein, die HTTP commands schicken kann...

        Kommentar


          #5
          Zitat von tobiasr Beitrag anzeigen
          Ich würde entweder einen Profi Router mit eingebautem Modem oder einen Profi Router mit externem Modem (je nach Wohnort ist das externe Modem als "Blitzschutz" nicht die verkehrteste Idee) verwenden. Aber einen Router mit eingebautem Modem VOR meinen Anschluss schalten würde ich nur dann tun, wenn man ihn auf "nur Modem" umstellen kann (was ja bei Fritzboxen nicht mehr geht).
          Die Fritzbox auf "nur Modem" zu stellen wäre ja auch relativ sinnlos, denn warum sollte ich ein 200 € Gerät kaufen und zu einem 100 € Nur-Modem degradieren, wenn es ein gleichwertiges oder besseres Modem um 100 € ohnehin bereits gibt.


          Zitat von tobiasr Beitrag anzeigen
          Wenn einem die zwei Fritzbox Netze nicht ausreichen, ist die Fritzbox also draußen. Die Fritzbox noch für DECT zu nutzen ist auch doof, denn IP Telefone, etc. gehen dann nicht ohne weiteres in meinem "internen" Netz.
          Ich habe mir bereits gedacht, dass die Fritzbox es nicht mag, wenn man nur Teile der Funktionen nutzt.
          Entweder sie ist Modem + Router + DECT-Basisstation + SIP-Server, oder sie ist beleidigt und spielt nicht mit.

          Walter

          Kommentar


            #6
            Zitat von cobrito Beitrag anzeigen
            Bei 2N gibt es ein WebRelay, die Türstation schickt dann ein HTTP command zum relay und das öffnet dann die Türe.
            Du hast völlig Recht, es gibt viele Lösungen für das Thema TKS.

            Das Thema läuft übrigens gerade hier: "IP Türstation gesucht die für 2020 zeitgemäß ist"
            und ist dort auch bestens aufgehoben.

            Kommentar


              #7
              In diesem Kontext fehlt mir hier noch der Aspekt der Firewall-Appliance. Diese kann man gleichzeitig auch die Routerfunktion nutzen (auch zwischen VLANs). Hier lassen sich dann auch Firewallregeln zwischen den Interfaces definieren, IPS/IDS usw. nutzen sowie VPN-Zugänge einrichten (VPN kann man übrigens auch "hausintern" nutzen, um bestimmte Bereiche des Netzwerks auf einer weiteren Schicht "abzusichern").

              Kommentar


                #8
                Zitat von jayem0 Beitrag anzeigen
                Diese kann man gleichzeitig auch die Routerfunktion nutzen (auch zwischen VLANs).
                Ich dachte es wäre Standard, dass Router und Firewall gemeinsam sind.
                Die Beispiele, wo das getrennt war, habe ich jetzt nicht so zahlreich in Erinnerung, oder kommt so etwas häufiger vor?

                Kommentar


                  #9
                  Naja die Fritzbox hat nun mal keine richtige Firewall. Die kann doch nur NAT.
                  Es ist also fraglich, ob man die Darstellungen mit der Fritzbox als Router überhaupt als sicher bezeichnen kann.
                  Ich würde dann eher eine Hardware-Firewall (Firewall-Appliance) verwenden. Teilweise brauchen die ein Modem davor zur Einwahl.
                  Ich bin da also ganz bei jayem0

                  Die Geschichte mit den Türstationen läßt sich recht einfach lösen. Kontakt dran und den Einbaustatus über einen Binäreingang prüfen. Wurde das Gerät ausgebaut wird die Geschichte abgestellt.
                  Zuletzt geändert von RBender; 13.02.2021, 18:57.

                  Kommentar


                    #10
                    Modem > Router > Switch. Router nehme ich gerne die DMP wegen dem internen Switch.

                    An der DMP hängt dann der Kern, also so Sachen wie Lüftung, KNX und so weiter. Am Switch hängt dann alles andere.

                    Türstation, APs, Kameras bekommen ihr eigenes VLAN, ebenso iot mit und ohne Internet.

                    Wer immer noch schiss hat mit der Türstation kann sie auch an ein eigenes Switch hängen und das per Mikroschalter im Briefkasten killen, wenn da jemand manipulieren sollte. Den Killswitch als Relais mit Selbsthaltung bauen und den reset als Button im Schrank ausführen.

                    Kommentar


                      #11
                      Zitat von RBender Beitrag anzeigen
                      Ich würde dann eher eine Hardware-Firewall (Firewall-Appliance) verwenden.
                      Wer die Fritzbox einsetzt, hat wohl kaum so viel Motivation, eine Firewall-Appliance zu installieren,
                      oder bist du der Meinung, dass man diese auch bei einem Qualitäts-Router benötigt?

                      Zitat von RBender Beitrag anzeigen
                      Die Geschichte mit den Türstationen läßt sich recht einfach lösen. Kontakt dran und den Einbaustatus über einen Binäreingang prüfen. Wurde das Gerät ausgebaut wird die Geschichte abgestellt.
                      Ich hab oben bereits den Nachbar-Thread verlinkt, wo dieses Thema sehr ausführlich diskutiert wird.
                      Nachdem dieser Thread hier extra angelegt wurde, um OT-Themen zu vermeiden, sollten wir nicht gleich am Anfang schon wieder denselben Fehler machen.

                      Walter

                      Kommentar


                        #12
                        Zitat von scw2wi Beitrag anzeigen

                        Wer die Fritzbox einsetzt, hat wohl kaum so viel Motivation, eine Firewall-Appliance zu installieren,
                        oder bist du der Meinung, dass man diese auch bei einem Qualitäts-Router benötigt?
                        Es ist zum einen die Frage, was Du unter "Firewall" verstehst, und zum anderen welche Funktionen Du benoetigst. Jeder anstaendige Router hat einen Paketfilter. Das geht heutzutage in der Regel auch ueberall "stateful" fuer alle gaengigen Protokolle. Damit sind die unteren Schichten abgedeckt. Vielleicht will man aber auch auf den oberen Layern "inspection", oder IDS, bis hin zu automatischen Sperren fuer Webseiten mit Schadsoftware. Vertraut man diversen Herstellern, baut man selber was (wie ich hier mit OpenBSD auf einem APU board). Soll VPN mit dabei sein, macht man standard DNS oder soll das verschluesselt werden, usw und so fort. Ich glaube die Themengebiete und das Produktangebot sind zu komplex und die Anforderungen zu unterschiedlich um das hier mit einem Entwurf abzuhandeln. Der eine macht zum VLAN noch zusaetzlich 802.1x fuer die IP Tuerstation, und hat noch immer ein ungutes Gefuehl dass der Umverteiler vor der Tuere sein Netz anzapfen koennte, der andere ist froh wenn alles plug and play funktioniert und wird mit dem DSL Router vom Provider gluecklich. Es wurde eh im Switch thread von einem anderen Forumsteilnehmer bereits erwaehnt: Je mehr man die Dinge zu macht und absichert, desto weniger komfortabel ist das ganze, bei hoeherem Aufwand.

                        Kommentar


                          #13
                          Manche sind auch vom Anbieter auf solche Boxen festgenagelt, dann werden die mit einer DMZ konfiguriert, in die dann die "echte" Firewall kommt.

                          Kommentar


                            #14
                            Zitat von vento66 Beitrag anzeigen
                            Manche sind auch vom Anbieter auf solche Boxen festgenagelt,
                            Ich dachte, das war einmal

                            Kommentar


                              #15
                              Bei A1 hatte ich keine Wahl ... Telekom in DE hat man meine ich die Wahl

                              Kommentar

                              Lädt...
                              X