Mit einem managbaren Switch mit VLAN lässt sich das realisieren.

Jain, nicht wirlkich.

Denn was heißt denn VLAN ansich schon. Du hast quasi ein eigenes Netzwerksegment dafür. Wenn du die Klingel in einen leeren Switch steckst, passiert ja auch erstmal nichts mehr.
Manchmal denke ich das hier das Wort VLAN als genereller Schutz für k.A. was angesehen wird.

Es wird in diesem Falle natürlich auch ein Router/Firewall benötigt, der dafür sorgt, dass das Netzwerksegment auch wieder mit etwas kommunizieren kann. Und andere Dinge nicht erlaubt sind.

Alternativ (wenn die Videotürsprechstelle es kann) wäre auch 802.1x eine saubere Lösung (auch das setzt einen managbaren Switch voraus, erspart einem aber den Router/Firewall - benötigt dafür aber einen Radius Server)

Alles in allem, egal welche Lösung dieser Art ist man schnell bei einem Equipment welches ein deutliche größeres Know-how erfordert und dadurch evtl. größere Angriffsflächen bietet als das eigentlich Problem.

Die genannte Steckdose bringt denke ich jedoch auch 0 (in Worten NULL) mehr an Sicherheit.

Öffnerkontakt im Kameragehäuse verbauen, dieser geht auf ein Relais... Anlage wird einmal scharf geschaltet.. sobald der öffner aufgeht, fällt das Relais ab und der Switch für außen ist ohne Strom. Damit geht es mit jedem POE Switch und mit jeder Kamera... man muss nur etwas basteln und ein 2x2 dazu raus legen.

Ja ... is klar. Ich hätte vielleicht etwas ausführlicher antworten sollen. Das ein vernünftiger Switch alleine nichts bringt, ist klar.

VLAN ist nur zu logischen Trennung von Netzwerksegmenten.
Was hier denke ich genügt wäre Portsecurity auf MAC Adress Basis.
Dein Switch lernt eine MAC Adresse und nur diese kann den Port nutzen, sollte nur eine andere MAC an dem Port sich anschließen wird der Port deaktiviert. Das sollte wohl also Sicherheit im Privat Segment genügen.
Wenn du nun noch VLAN nutzt und dort keinen DHCP einsetzt wird die Hürde hier mit Sicherheit hoch genug angesetzt.

Zusammengefasst:
Port Security und keine Untagged Ports im Aussenbereich

Obwohl das auch relativ ist, da es ja MAC-Adressen-Cloner gibt.
Die Frage ist wieder einmal, wo fängt man an und wo hört man auf. Aber das muss ja jeder für sich selbst entscheiden.

Ja klar, aber mal im Ernst hier müsste dann schon der Profi kommen.
Türmodul oder Kamera abziehen, wenn die MAC nun nicht gerade aufgedruckt ist.
Müsste er die Geräte mit Stormspeisen sich mit diesen verbinden um die MAC zu erfahren.

Im Standartfall wir der das LAN-Kabel abziehen sein Laptop direkt verbinden und das war's dann...Port Shutdown und fertig.
Klar wenn ich nun daheim nicht die Logs prüfe warum Shutdown,
sondern einfach den Port wieder aktiviere dann kann er das beim nächsten Versuch machen.

Man könnte auch einfach bei jedem Link Status Wechsel den Port deaktivieren.

Da ich nun aber keinen Managed Switch habe, bekomme ich daß mit einem RPI oder so realisiert? Habe mich für einen linksys lgs124p entschiede, weil der wenig Strom im Standby schluckt. Wollte jetzt auch nicht umbeding mega teuere HW kaufen.

Mal eine andere Frage: Gehen wir davon aus, der böse Einbrecher hat Deine Türsprechstelle aus der Wand gerissen und sitzt nun mit seinem Laptop, den er netzwerktechnisch irgendwie an das LAN Kabel der Türsprechstelle angebunden hat, vor Deiner Haustür und ist nun in Deinem Netzwerk. Und dann? Wenn ich mir mein Heimnetzwerk vorstelle, dann kann da gar nicht so viel passieren. Alle wichtigen Dinge sind passwortgeschützt. Ohne Passwort funktionieren z.B. SONOS, Zugriff auf die Visualisierung oder den SAT Receiver. Dazu muss der Einbrecher erstmal einen IP-Scanner laufen lassen und muss schauen, welche Systeme es gibt. Der böse Einbrecher kann also meine Musik und mein Fernsehprogramm steuern und per Zugriff auf die Visualisierung auch noch Licht, Rolläden oder Heizung. Das sind jetzt alles Dinge, die sind zwar ärgerlich, aber die belasten mich jetzt auch nicht so dolle, als das ich viel Geld für Sicherheitsmaßnahmen ausgeben würde. Die meisten Einbrecher sind heutzutage immer noch mit der analogen Brechstange unterwegs und hebeln Fenster und Türen auf.

Nur mal so als kleinen Gedankenanstoß.

Grüße,
Christoph

KNX Multicasts nicht

Naja wenn man mal im Netzwerk ist, könnte man ja mal Pauschal auf die Multicastadresse mit einem Script alle möglichen GA auf 1 setzen. Sieht bestimmt lustig aus! Wenn man Glück hat geht sogar die Tür auf... dann das ganze noch mal mit 0 beschreiben, dann
sollten wenigstens die Rolladen Hochfahren. (Da kommt man besser an die Fenster) und mit viel Glück ist in KNX Selbstbau-Alarmanlage auch aus. Das ist alles rein hypothetisch, und der böse Bube mit dem Brecheisen doch sehr wahrscheinlicher.

Das könnte man schon noch weiterspinnen, in Zeiten von Mini Boards die als Ethernet-Wifi Gateway agieren können (z.b. ESP32) könnte das der böse Einbrecher das Board hinter ner Außenkamera verstecken und aus sicherer Entfernung agieren.

Aber ja, in der Praxis reicht wohl ein Managed Switch mit entsprechenden Port-Einstellungen, da ja meist eher mit roher Gewalt vorgegangen wird.

Ich bin jetzt weder ein Hacker noch ein Einbrecher, aber ich könnte mir vorstellen,daß es Tools gibt, die es relativ einfach machen auf mein KNX Netz (oder GIra Server) zuzugreifen und dann einfach die Tür über das elektrische Schloss aufzumachen. Ist ja alles eine Frage der Verbreitung. Auto werden auch nicht mehr mit Brechstangen geklaut...

Ja bei nem Board dazwischen schalten bleibt das Thema PoE und das der Link unterbrochen wird.
MacFilter macht es nicht einfacher, wenn ich nun noch VLAN einsetze und hier ein paar ACL setze würde ich sagen ist die Messlatte hoch genug angesetzt.

Aber zurück zum Thema, ohne Managed Switch wird das alles schwer, bleibt nur jeweils eine SabotageKontakt der den Switch Stromlos schalten.