Ankündigung

Einklappen
Keine Ankündigung bisher.

Netzwerk-Entwurf für sicheres Smart-Home

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #76
    Wenn man 5 Menschen bzgl. Netzwerkinfrastruktur fragt, bekommt man 8 Lösungen. Einerseits sind die Anforderungen sehr unterschiedlich, andererseits die Wissensstände.

    Ich persönlich mag Flexibilität und quelloffene Lösungen und schaue schon auf das PL-Verhältnis.

    Zu einem eineindeutigen Ergebnis wird diese Diskussion aber wohl nicht führen ...

    Kommentar


      #77
      Zitat von tobiasr Beitrag anzeigen
      Jeder vernünftige Mensch würde nach dieser Aktion nie wieder ein Auto aus dem Haus ** kaufen.
      Du solltest keine Vergleiche mit Bereichen anstellen, wo dein Hintergrundwissen unzureichend ist.
      Wenn du beim Thema IT bleibst, haben alle hier mehr davon. Beim Thema Motoren könnte ich dir noch einiges beibringen, aber besser nicht hier.

      Zitat von tobiasr Beitrag anzeigen
      Netzwerkgeräte "auf morgen" vorausplanen ist quasi unmöglich.
      Kauf lieber ein etwas günstigeres Gerät, dass du guten Gewissens in wenigen Jahren austauschen kannst, statt dich dann Jahrelang an dem sündhaft teuren Gerät festhalten zu müssen.
      Da hast du mich missverstanden. Ich suche nicht ein Geräte das 20 Jahre lang alle meine Wünsche erfüllt.
      Aber es hätte mir passieren können, dass ich Geräte auswählen, ohne auf die TK-Funktion zu achten,
      und dann hätte ich bereits nach wenigen Tagen neue Geräte kaufen müssen. Das will ich vermeiden.


      Zitat von fbirkholz Beitrag anzeigen
      Hallo, bei den möglichen Entwürfen am Threadstart fehlt mir noch folgendes:

      Modem=> L3-Switch mit PoE (als Core) => VLAN => managed L2-Switche => PC, Server, NAS, W-LAN, Mesh AP, Telefonanlage, KNX, SIP-Türstation, Video, Streaming
      bei mir ist das ganze sogar noch um ein Load-Balancing/Failover für eine zweite Leitung erweitert: Modem 1 / Modem 2 => Load-Balancer => L3-Switch.....
      Das Thema Failover habe ich schon öfters gelesen, scheint auch nicht so komplex zu sein.
      Den Vorteil des L3-Switch verstehe ich schon weniger, trennst du damit Routing-Aufgaben in HW (Switch) + SW (Router) auf?

      Die Anzahl deiner VLANs wirkt auf mich recht unübersichtlich. Haben die alle unterschiedliche Einstellungen, oder geht es dir nur darum, nie mehr als 1 Gerät in einem VLAN zu haben?

      Zitat von jayem0 Beitrag anzeigen
      Zu einem eineindeutigen Ergebnis wird diese Diskussion aber wohl nicht führen ...
      Ich bin mir gar nicht sicher, ob sie das muss.
      Mir würden schon Antworten in der Art reichen: Achte darauf, dass die Geräte den Standard 802.nxyz können, damit kann man ....

      Bis jetzt hab ich schon mal so viel mitbekommen.
      1. Die FB ist die schlechteste Wahl, funktioniert aber eigentlich ganz gut.
      2. Jede andere Wahl wäre zwar wesentlich besser, da kann man aber auch sehr viel falsch machen, und dann ist es noch schlechter.
      3. Das Thema ist derart komplex, das kann man in einem Forum eigentlich gar nicht wirklich behandeln.

      Ich glaub, ich werd' anfangen, Informatik zu studieren. Dieses Wissen benötigt man ja in Zukunft auch, um moderne Autos zu bedienen.

      Kommentar


        #78
        Zitat von scw2wi Beitrag anzeigen
        Du solltest keine Vergleiche mit Bereichen anstellen, wo dein Hintergrundwissen unzureichend ist.




        Es geht dabei überhaupt nicht darum, ob die Motoren gut, schlecht oder genau richtig sind. Auch nicht ob ich was von Motoren verstehe oder nicht.
        Es geht darum, dass hier (oder nimm irgendein anderes Beispiel, solltest du dich beim Thema Motoren auf den Schlips getreten fühlen) offenbar bewusst eine Verbrauchertäuschung hingenommen wurde und danach alle weiter machen wie vorher.

        Thema Telefonie: Deine Anforderungen waren ganz klar Netzwerk. Das kannst du mit allen diesen Produkten erfüllen. Das Problem: Du hast im Grunde keine konkrete Anforderung gestellt, sondern mögliche Lösungsvorschläge dargelegt und dich dabei in der möglichen Komplezität verrant und deine Anforderungen ein wenig aus dem Auge verloren.

        Wenn du wissen willst wie DEIN Problem gelöst werden kann, komm mit konkreten Anforderungen um die Ecke völlig losgelöst von Umsetzungs-Hypothesen.

        Kommentar


          #79
          Zitat von scw2wi Beitrag anzeigen
          Ich glaub, ich werd' anfangen, Informatik zu studieren.
          Mach das nicht. Das Thema Netzwerktechnik hat bei mir gerade einmal 1,8 % des Studiums betroffen (Anzahl Prüfung Netzwerktechnik / Anzahl Prüfungen insgesamt). Das hilft dir für die Praxis nicht sonderlich

          Kommentar


            #80
            Zitat von cobrito Beitrag anzeigen
            Das hilft dir für die Praxis nicht sonderlich
            Es würde mir zumindest helfen, meine Anforderungen zu verstehen - bzw überhaupt erst einmal kennen zulernen.

            Kommentar


              #81
              Zitat von scw2wi Beitrag anzeigen

              Es würde mir zumindest helfen, meine Anforderungen zu verstehen - bzw überhaupt erst einmal kennen zulernen.
              Vielleicht ist weniger manchmal mehr. Welche Anforderungen hast du an dein Netzwerk, was soll erlaubt sein und was nicht? Wie definierst du Sicherheit?

              Hieraus eine Topologie ableiten (was ist woran angeschlossen). Hieraus entsprechend dann eine wirtschaftliche Lösung erstellen, die mit deinen Vorkenntnissen umsetzbar ist, sodass sie deinen Anforderungen entspricht.

              Hierbei können wir dir (konkret) helfen - eine generische Antwort wird es aber nicht geben, dazu ist das Thema einfach zu individuell.

              Kommentar


                #82
                Zitat von tobiasr Beitrag anzeigen
                Es geht darum, dass hier offenbar bewusst eine Verbrauchertäuschung hingenommen wurde ...
                Obwohl ich ja eigentlich solche OT-Diskussionen nicht sehr mag noch eine kurz OT-Frage zwischendurch.
                Wer glaubt ernsthaft daran, dass die Verbrauchsangaben von Hybrid-Fahrzeugen irgend einen Bezug zur Realität haben?
                Das ist Verbrauchertäuschung wie es ärger nicht geht. Ich bin darüber aber eigentlich nicht gar so unglücklich, da in AT die Normverbrauchsabgabe durch diese Täuschung extrem niedrig ausfällt.

                Werbung wird leider immer auch Täuschung sein, und Täuschung hat leider in letzter Zeit deutlich zugenommen. Eigentlich müsste ich daher sämtliche Produkte am Markt konsequent boykottieren und in eine Höhle übersiedeln, statt ein EFH zu planen.

                Zitat von tobiasr Beitrag anzeigen
                Thema Telefonie: Deine Anforderungen waren ganz klar Netzwerk.
                Ich hab einfach nicht mitbekommen, wie sehr TK und Netzwerk miteinander verknüpft ist, obwohl das ja eigentlich offensichtlich ist.
                Aber genau das ist ja der Punkt, der mich beschäftigen. Ich schaff es einfach nicht, meine Anforderungen zu beschreiben, da sie mir selbst so unklar sind.

                Kommentar


                  #83
                  Zitat von jayem0 Beitrag anzeigen

                  Welche Anforderungen hast du an dein Netzwerk, was soll erlaubt sein und was nicht? Wie definierst du Sicherheit?
                  Aktuell kenne ich 2 meiner Anforderungen:
                  1. VLAN sollen die Geräte (Router, Switch, AP) können
                  2. L3-Router benötige ich keinen
                  (Edit: hätte natürlich L3-Switch heißen sollen)

                  Das ist zwar noch etwas dürftig, aber schon mal ein Anfang, oder nicht?

                  Die 2. Frage ist schon deutlich schwieriger zu beantworten: Was soll nicht erlaubt sein?
                  Ich kann mir unter dieser Frage einfach so wenig vorstellen.

                  Die 3. Frage ist noch eine Stufe schwieriger: Wie definierst du Sicherheit?
                  Ist das eine Prüfungsfrage aus der Schule?

                  Ich kenne keine Stufen der Sicherheit, deshalb stelle ich jetzt mal ein Fantasie-Modell für Sicherheit auf.
                  1. Low-Level (a la FB): Alles ist erlaubt, nichts ist verboten.
                  2. Mid-Level (gut abgesichert, aber mit genügend krimineller Energie kommt man überall rein)
                  3. High-Level (ein Stab an Sicherheitsexperten hat monatelang am Konzept getüftelt und mit einer mehrstufigen FW-Kaskade umgesetzt.
                  Ich bin mir ziemlich sicher, dass ich Mid-Level möchte.
                  Zuletzt geändert von scw2wi; 15.02.2021, 22:06. Grund: L3-Router => L3-Switch

                  Kommentar


                    #84
                    Zitat von scw2wi Beitrag anzeigen


                    Ich kenne keine Stufen der Sicherheit, deshalb stelle ich jetzt mal ein Fantasie-Modell für Sicherheit auf.[LIST=1][*]Low-Level (a la FB): Alles ist erlaubt, nichts ist verboten.
                    Alles ist erlaubt ist nicht korrekt. Die FB hat eine Stateful Firewall, die alles blockt was rein möchte. Es sei denn, es wird mit geöffneten Ports gearbeitet. Von hinter FB ins Internet ist jedoch alles erlaubt. Man kann zwar über Profile gewisse Protokolle sperren, nur diese sind dann auch innerhalb des "FB-Netzes" gesperrt.

                    Also eine vernünftige Sicherheit erreicht man schon so mein Empfinden mit einer FB, Pi-Hole, L3-Router zum Routen, VLAN, ACLs zur Begrenzung des Traffics nach draußen und innerhalb der Netze und WLAN-AP(´s) nach Wahl mit VLAN-Fähigkeit oder nicht, ist Geschmacksache.

                    Der Basteltrieb wird bedient, es bleibt handelbar und kann bei Interesse/Bedarf auch noch Redundanzen schaffen.

                    Kommentar


                      #85
                      Zitat von scw2wi Beitrag anzeigen

                      Aktuell kenne ich 2 meiner Anforderungen:
                      1. VLAN sollen die Geräte (Router, Switch, AP) können
                      2. L3-Router benötige ich keinen
                      Punkt 1: Warum diese Anforderung?
                      Punkt 2: Doch, garantiert. (Jeder Router arbeitet auf L3, auch die FB)

                      Kommentar


                        #86
                        Da kommen wieder einige Anforderungen zusammen, die so im Zusammenhang nicht ganz passen:
                        - Warum muss der Router VLAN können? die größte Falle ist das aktivieren von VLAN in einem Router. Wieso __darf__ es nicht über dedizierte Netzwerkbuchsen sein? Einfach und für jedermann verständlich. Nimm hier als Beispiel die von mir verhasste Fritzbox: für jeden klar ersichtlich, dass an Port 4 der Anschluss für das Gastnetz ist.
                        Natürlich impliziert das nicht das Gegenteil "VLAN sind Böse". Aber den Zwang zur VLAN-Unterstützung halte ich für etwas strikt.

                        - Keinen L3-Router: Super vereinfacht: L1: Kabel, L2: Ethernet (Switch), L3: IP (Router) Ohne Router und dessen Unterstützung von Layer3 kein Zugang in fremde Netze -> kein Internet. Wobei dies seine einzige Aufgabe ist

                        - Die Definition von Sicherheit: Hier geht es viel weniger um eine Schul-Definition, sondern um deinen Wunsch was darf gehen und was nicht.
                        Beispiel: Gäste dürfen nur ins Internet und nicht auf meinen Fileserver. Jetzt die Besonderheit: Auch nicht auf "Seiten für Erwachsene" weil der Gastzugang idr. den Freunden der Kinder gegeben wird. Gegenfrage: WARUM dürfen die Gäste, die idr. keine Hacker sind, nicht in dein Netz mit dem Fileserver? Denn der Fileserver ist ja für sich schon sicher. Du schließt deine Haustür ja auch weiterhin ab, obwohl du ein Gartentörchen hast.
                        - Gibt es Kabelgebundene Gast-Anschlüsse? Und falls ja, müssen die auch mit den Gast-WLAN Geräten kommunizieren? Hintergrund der Frage: Einige Accesspoints bieten "in sich", völlig ohne VLAN und andere Optionen schon Netzwerk-Zugangsfilter und "tunneln" die Verbindung der Gastgeräte an deinem Netz "vorbei" ins Internet.

                        - VPN Einwahl: Ist die wirklich notwendig? Für den Zugriff auf die Visu bietet das grundsätzlich keinen Vorteil (verglichen mit HTTPS und sicherer Authentifizierung).

                        - IoT Geräte: Welche sind das, wofür sind die gut, mit wem dürfen die sprechen? Brauchen die Internet oder auf keinen Fall? Muss ich die zusätzlich von meinen Netzwerkgeräten isolieren (wenn sie kein Internet haben) oder reicht eine simple Firewall Sperre auf IP (ggf. MAC) Basis gegen den Internetzugriff?

                        - Android Geräte: Müssen die in mein Heimnetz oder reicht denen auch Zuhause "nur" Internet und der Zugriff auf die KNX Visu kann auch von Intern über den selben "externen" Weg erfolgen.

                        - Telefon: DECT (wie viele Basen und Mobilteile), Türstation (deren Zugriffsschutz ins Netzwerk), Schreibtisch-Telefone, Softphone, interne Kommunikation? Dedizierte Sperr-/Freilisten je Apparat?

                        Kommentar


                          #87
                          Du kannst es ganz einfach mit Deiner Haustüre vergleichen... ( Verglasung schußsicher ?? )
                          Is nix zu holen, schau eventuell mal jemand rein. Das Interesse und die Gewalt eher gering.

                          Hast Du ein Waffen oder Rauschgiftlager im Keller, werden schon ander Kalliber aufgefahren.....

                          So würde ich anfangen, die eigenen Anforderungen zu beurteilen.
                          Gruß, JG

                          Kommentar


                            #88
                            Zitat von scw2wi Beitrag anzeigen
                            Aktuell kenne ich 2 meiner Anforderungen:
                            1. VLAN sollen die Geräte (Router, Switch, AP) können
                            2. L3-Router benötige ich keinen
                            Das ist zwar noch etwas dürftig, aber schon mal ein Anfang, oder nicht?
                            Nöö weil das ist keine Anforderung an effektiven Nutzungsszenarien, sondern schon wieder ein Gedanke an HW-Lösungen.

                            Das was tobiasr in #86 für Fragen gestellt hat, das musst Du dich fragen.

                            Es ist wie beim KNX selbst. Du stellst ja auch nicht die Anforderung, ich will einen 4 Zonen PM an der Decke. Sondern du überlegst Dir eher ahh ich habe den Raum und dort bewege ich mich vonn da nach hier und dann sollen dort und woanders Lichter angehen, aber anders wenn ich über dort nach hier komme.
                            Eine Lösung könnte dann ein 4 Zonen PM sein.

                            Insofern definiere was sind deine Anforderungen wegen der Trennung / Zusammenführung bzgl. Funktionen / Geräten / Informationsströmen in deinem Netzwerk. Dann ergeben sich die notwendigen Fähigkeiten der Geräte und dann kannst die passende HW gemäß Deiner Vorlieben nach Benutzeroberfläche, Einheitlichkeit der Bedienung, Budget auswählen bzw. hier Nachfragen bzgl. Empfehlungen.
                            ----------------------------------------------------------------------------------
                            "Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten."
                            Albert Einstein

                            Kommentar


                              #89
                              scw2wi wenn Du nicht weisst was Du brauchst oder brauchen koenntest, dann bleib halt bei dem was Du hast. Du wirst ja jetzt auch schon eine "Internetbox" haben. Fein. Dann verwende die. Wenn Du dann genau weisst was Du gerne haettest, und Deine Anforderungen aeusserst, dann kann man auch eine sinnvolle Empfehlung abgeben. Sonst wird das hier nichts..

                              Kommentar


                                #90
                                Zitat von scw2wi Beitrag anzeigen
                                Aktuell kenne ich 2 meiner Anforderungen:
                                1. VLAN sollen die Geräte (Router, Switch, AP) können
                                2. L3-Router benötige ich keinen
                                Das ist zwar noch etwas dürftig, aber schon mal ein Anfang, oder nicht?
                                Nein. Da beginnst Du mit dem zweiten Schritt (dem wie), noch bevor das was überhaupt klar definiert ist. Anforderung sollten erst mal unabhängig von einer konkreten technischen Umsetzung formuliert werden, so lange sich nicht bestimmte technische Anforderungen aus angrenzenden Systemen oder Umgebung ergeben (wobei das dann auch wieder nur eine Abkürzung dafür ist, dass eine Verbindung mit diesen möglich sein soll, ohne deren Schnittstellen zu verändern).

                                Deine eigentliche Anforderung (nachfolgend nun auch erst mal nur ein spontaner Entwurf, in dem bestimmt noch was fehlt) besteht darin,
                                1. eine lokale Netzwerkinfrastruktur für ein EFH aufzubauen
                                2. Clients sollen über LAN oder WLAN angebunden werden
                                3. (Ausgewählten) Clients soll ein Zugang zum Internet ermöglicht werden
                                4. Der Internetzugang soll über DSL/Kabel/FTTP/Einhorn-Magic erfolgen. Ein späterer Wechsel des Zugangswegs soll möglich sein. Eine Hochverfügbarkeit ist nicht erforderlich (auf baulich getrennte Zuleitungen kann daher verzichtet werden).
                                5. Nutzung der Telefoniedienste des ISP
                                6. Anforderungen an Anzahl der Nebenstellen und Einsatzort der Telefonieendgeräte (wobei dort zunächst offen bleiben sollte ob diese über Netzwerk oder auf andere Art angebunden werden sollen)
                                7. Ggf. Anforderungen an Nutzung IP-TV vom ISP
                                8. Client(typen) und erlaubte Kommunikation
                                  1. KNX-Interface - darf Mails übers Internet versenden, darf internen NTP nutzen, Zugriff nur von Automatisierungsserver und Configurations-PC
                                  2. PV/WP/KWL - darf internen NTP nutzen, Zugriff nur von Automatisierungsserver und Konfigurations-PC
                                  3. TKS - ?
                                  4. Kameras - darf auf NVR zugreifen, Zugriff nur von .... und Konfigurations-PC
                                  5. NVR - Zugriff nur von Kameras und Konfigurations-PC
                                  6. NAS - Zugriff von PCs (bzw. Teilgruppe), TV, ...; Zugriff soll mit maximaler Geschwindigkeit möglich sein
                                  7. "Server" - ?
                                  8. PCs - Voll Zugriff aufs Internet, Kommunikation mit anderen PCs; Sonderfall Konfigurations-PC
                                  9. Smart TV - Eingeschränkter Zugriff aufs Internet, Zugriff aufs NAS
                                  10. Mobile Endgeräte - ?
                                  11. Geräte von Besuchern - Zugriff aufs Internet, ggf. mit Limitationen, keinerlei Zugriff auf andere Clients
                                  12. Arbeits-Hardware - ?
                                9. Ein Zugriff auf Clients soll aus dem Internet nicht möglich sein, sofern nicht ausdrücklich konfigugiert; Die solche Konfiguration muss auf das technisch erforderliche Minimum eingeschränkt werden können.


                                Kommentar

                                Lädt...
                                X