Der Titel hieß nun mal "Netzwerk-Entwurf für ein sicheres Smarthome", da gehören einfach bestimmte Eckpunkte untrennbar dazu.

Worauf ich hinaus möchte: Eine Fritzbox ist ab einem gewissen Sicherheits-Level raus. Das will die Fritzbox nicht sein, da sie laut AVM ein Produkt für den Heimbereich ist, also für die Oma, die ab und an ihrem Enkel via Tablet/WLAN ein paar Zeilen schreibt und ein paar Bilder austauscht. Genau dafür ist sie gemacht und das ist auch Ok so. Sobald du aber im internen Netz anfängst, empfindliche Infrastruktur zu betreiben, und da gehören Smarthome/Facility Services nun mal dazu, ist der Grenzbereich der Fritzbox recht schnell erreicht.

Dass alle Punkte für dich zutreffen müssen, war nicht meine Intention. Sie können es aber werden, je tiefer du dich damit beschäftigst.
Beispiel Kabel-Boxen: diese sollten, mit einer Firewall im Nachgang, im Bridge-Modus betrieben werden und das kann durchaus auch eine Fritzbox sein.

Dass man beliebige Subdomains haben kann, sobald man der domain master ist, sollte klar sein. Damit ziehen auch Subnetze und VLANs mit ein. Spätestens, wenn ich mehr Subnetze, als physikalische Ports zur Verfügung habe, brauche ich einen Trunk und ab da geht es definitiv mit VLANs weiter, ob ich das will oder nicht. Theoretisch kann das schon recht früh los gehen, wenn ich z.B. nur zwei Ports habe.

Ich habe lediglich eine Liste der Möglichkeiten zusammen getragen aus meiner Fritzbox Vergangenheitsbewältigung, die eben nicht damit klappen oder eben nicht ohne Modifikation der Firmware/configs, was einem Code freeze entspricht, der wiederum nach Erscheinen eines Patches sofort ein Sicherheitsproblem darstellt.
Und genau darum handelt es sich in diesem Fred, oder?

Die 3CX kann VP8 und VP9, da sich zwischen VP9 und AV1 nicht mehr viel tut, könnte es auch dabei bleiben oder AV1 kommt höchstens noch dazu.
Die 3CX ist in der Standardversion kostenlos und läuft unter Debian sowohl auf x64 als auch ARM. Die 3CX-Onboard-Firewall trägt auch zu einem sicheren Smarthome bei, daher sollte das erwähnt werden. Wenn du ohne VPN via 3CX App auf deinem iPhone die Kamera der 2N sehen möchtest, muss die 2N VP8/VP9 können. Die nächste Generation kann das und die kommt in QII raus. Sobald Kameras, SIP und Videotelefonie ins Spiel kommen, bist du raus aus dem Spiel, wenn du auf die Fritzbox setzt.

Ab dem Zeitpunkt beschäftigst du dich mit richtigen Firewalls und bleibst vermutlich bei pfSense hängen, da der pf (=Paket Filter) von FreeBSD baumförmig IP Strukturen abarbeiten kann in einer wahnsinnigen Geschwindigkeit und das merkst du letztendlich an der Internetgeschwindigkeit. Nicht zu verachten ist auch der pfBlockerNG, der alle Formen von GeoIP-Blocking und Blacklists beherrscht und verlustreichen Traffic gar nicht erst bis zu den Services durch lässt.
Ich nenne es "den Internet-Turbo einschalten". Man kann sich das mit der Fritzbox nur alleine aus diesem Grund schon mal sparen.
Die pfSense-Community ist extrem hilfreich, die Dokumentationen sind perfekt, sich alle Wünsche zu erfüllen und dennoch Spaß zu haben. Wegen was anderem macht man das ja gar nicht.

WLAN-Gäste hast du nicht? Dann braucht man auch keine Voucher und kein Captive Portal. Wenn doch, würde ich mir überlegen, wie lange ich meinen WLAN-Zugang öffnen möchte. Das Thema lautet wie noch mal? Genau.

Die Antwort zum VPN: IKEv2 und OpenVPN ist kein Begriff? Frag mal Onkel Windows, ob er sich mit IKEv1 zufrieden gibt, wenn du natives VPN auf der Windows-Möhre haben möchtest. Nö, geht nicht ohne Client.
Hardware-Verschlüsselung hat auch direkt etwas mit Performance zu tun. Kann die Hardware das nicht, wird es zähflüssig und deshalb ist ein Fritzbox-VPN nicht das, was man raus holen kann, wenn die richtige Hard- und Software-Combo läuft.

Es kommt immer auf den Durchsatz an. Für einfache Webanwendungen mag das gehen, aber mehrere Benutzer, eigene Cloud und die Videovorführung des letzten Urlaubs bei einem Kumpel im Keller und schon weißt du, was ich meine. Schon mal erlebt, wie eine Fritzbox überhitzt in die Rebootschleife ging?
Jage einfach mal anständigen Traffic drüber und weg ist sie.

Wenn du von Außen auf das interne Netz zugreifen möchtest und das wirst du wollen, kommt auch irgendwann deine eigene Domain, feste IP, letsencrypt, ins Spiel, vielleicht kommt auch noch der Geschmack auf, einen UCS betreiben zu wollen und schon hast du die erste Subdomain.
Das geht schneller, als du denkst.

Anwendungen, die sinnvoll sind, gibt es genug: du bist früher dran, als gedacht, du verspätest dich, du hast was vergessen, Sprachsteuerung, da gibt es genug...

Man kann jetzt sagen, nö will ich nicht, brauche ich nicht, aber dann braucht es auch kein Smarthome, keine Elektrik, kein Wasser aus dem Hahn.
Offenes Feuer und ein paar Kerzen haben es Jahrhunderte getan.

Vielleicht kehre ich ja auch dahin wieder zurück.

Du meinst es sicher gut, aber wenn ich das hier alles lese, dann frage ich mich, ob ich nicht irgendwie komplett auf Internet verzichten kann.

Abschalten, alles abschalten, los, alle gleichzeitig...3...2...1 bamm

Es ist leider so, dass das Internet zwei Seiten hat, so wie alles.
Die gute und die böse Seite. Die böse Seite möchtest du nicht in deinem Netz haben.
Wenn du auf die gute Seite verzichten kannst, brauchst du dir um die böse keine Gedanken mehr machen.

Das ist der günstigste Weg, zweifellos.

Ich habe die letzen Seiten grob überflogen und dabei einen Aspekt nicht gesehen: "Wartung". Je komplexer die Struktur, umso wartungsaufwändiger. Den Aufwand für regelmäßige Updates, das Anpassen der Konfiguration bei neuen oder ersetzen Geräten, etc.... sollte man bedenken und fest einplanen.

Man sollte auch bedenken, dass diese Tätigkeiten nicht nur dann anfallen, wenn man grade Bock auf IT-Verwaltung hat, sondern dann wenn's nötig ist und das ist oft wenn es einem am wenigsten in den Kram passt. Falls mal was nicht läuft, hängt auch ganz schnell der Haussegen schief. Auch sollte man bedenken, was passiert wenn man z.B. mal krankheitsbedingt ausfällt. Wer pflegt dann das System?

PS: Ich schreibe das gerade aus dem Eindruck, dass ich am Wochende einen Nachmittag damit verbracht habe meinen etwas vernachlässigten Netzwerk-Server (Openmediavault, pihole, Plex, VPN, Backup-Dienst) zu aktualisieren. Das ist echt nicht viel, ich habs gut dokumentiert, aber trotzdem: irgendwas geht dann doch immer schief.

Automomatisierung via cron, ansible, docker & Co. = Das sind deine Freunde...
Immer alles schön aktuell halten und das Ganze ad-hoc. Das geht nur schief, wenn man a) zu lange nichts macht und b) zu viel auf eine Kiste packt.

Abgesehen davon ging das am Thema vorbei.
Es ging um den Netzwerkentwurf des sicheren Smarthomes und nicht um das mit dem geringsten Aufwand.
Zudem ist das alles mit sehr geringem Aufwand hin zu bekommen, wenn die Komponenten richtig ausgewählt sind.

Sicherheit gegen Risiko durch Bequemlichkeit eintauschen ist keine Lösung, um das Ziel zu erreichen.

Kam mir zwischenzeitlich auch noch in den Sinn, dass auch diese Aspekte mit in die Anforderungen aufgenommen werden müssen:

• Wartbarkeit (ggf. speziell auch durch den Smart-Home-Besitzer selbst)
• (Minimale) Lebensdauer der Infrastruktur
• Maximaler Kostenrahmen (sollte i.d.R. nicht teurer werden als die Immobilie selbst) über Nutzungsdauer incl. Setup-Aufwand
• ... und bestimmt noch weitere Anforderungen die noch nicht berücksichtigt wurden

Die Automatisierung, automatisiert sich aber auch nicht von alleine selbst. Und dann hast Du eine weitere Stelle an der es klemmen kann (und irgendwann wird). Für ein individuelles Setup ist der Overhead für Automatisierung tendenziell recht hoch. Docker und Sicherheit wäre übrigens auch noch mal ein Thema für sich...


Allein die Existenz dieser Diskussion zeigt schon, dass es nicht um den minimalen Aufwand geht. Die realisierbarkeit mit "sehr geringem Aufwand" halte ich auf jeden Fall für sehr optimistisch, wenn man sich nicht tagtäglich mit der Konfiguration von Netzwerkinfrastruktur beschäftigt. Ich sehe auch noch nicht, dass es hier jemandem primär um die Bequemlichkeit geht.

Ziel sollte ein möglichst hohes realistisch erreichbares Sicherheitsniveau sein, das ist nicht zwingend das selbe wie das technisch maximal erreichbare Sicherheitsniveau. Bei fehlender Kompetenz oder Zeit, kann die technisch beste Lösung am Ende sogar zu einem verringerten Sicherheitsniveau führen.

richtig. Aber wenn eine Lösung beim Thema Sicherheit 11 von 10 möglichen Punkten hat, dann sehe ich da gleichzeitig das Risiko, dass die Wartung so komplex ist, dass es irgendwann vernachlässigt, vergesse, ignoriert wird und dann bist Du schnell bei < 5 von 10 Punkten. Man kann das Thema Wartbarkeit in der Realität nicht außen vor lassen. Gerade nicht im privaten, weil sich wohl kaum einer eine ISEC Abteilung leistet, die sich um alles kümmert.
auch richtig. Aber wie so oft im Leben muss man einen vernünftigen Kompromiss finden. Es gibt auch in der Wirtschaft sichere Rechenzentren und hoch-sichere Rechenzentren und solche, die noch besser abgesichert sind. Auch das ist immer ein Kompromiss aus Anforderungen und Kosten.

Man kann fürs private vielleicht so was wie einen "Mindestschutz" definieren, also was man vernünftiger Weise (da wird's schon schwierig) auf alle Fälle machen respektive vermeiden muss. Und dann gibt's die nächste Stufe, ich sag mal "Empfehlung für alle, die einen durchgängig gut Schutz wünschen".
Stufe 3 dann meinetwegen die Profi-Lösung für IT-Profis (die aber von Otto-Normalverbraucher nicht mehr überschaubar/wartbar ist)

Der naechste kommt jetzt mit ITIL. Sorry, aber fuer einen Switch und ein Gateway im Privathaushalt wird kaum wer ein automatisiertes config management einfuehren. Da steht der Aufwand in keiner Relation zum Nutzen. Am Switch spielt man im Regelfall nicht alle paar Tage herum, an den Firewall rules auch nicht. Da reicht es doch auch die Einstellungen nach Aenderung zu sichern. Aber jedem das seine..

Irgendwie habe ich den Eindruck, dass einige so ein Upgrade noch nicht gesehen haben und den Aufwand überbewerten.
Bei einer pfSense meldet mir das Teil, welche packages Updates haben, dann ist das ein Klick und fertig. Auch pfSense an sich lässt sich so updaten.
Bei meinen gestackten Cisco-Switchen lade ich die neue Firmware hoch und alle daten sich ab. Das Gleiche bei den Ruckus APs: die fragen, ob sie updaten sollen und dann ist das erledigt.
Die Container date ich in Portainer ab und prüfe mit Harbor, alle anderen VMs und Linux-Büchsen werden mit apt-get dist-upgrade/full-upgrade beglückt.
Natürlich kann ich das auch automatisch via cron updaten lassen aber auch so ist das kein Ding.

Ich kenne generell 2 sehr unterschiedliche Update Methoden, automatische Updates vs. manuelle Updates.

Als Profi wählt man vermutlich nur die manuellen Updates, darf aber darauf dann auch nicht vergessen.
Bei automatischen Updates kann es schon mal passieren, dass so ein Update auch schief läuft, und völlig unerwartet dann gar nichts mehr geht.

Am liebsten wäre es mir, wenn ich an ein verfügbares Update erinnert werde, und das dann auf Knopfdruck möglichst automatisch durchläuft, wie es oben bereits beschrieben wurde.

Der Aufwand für Upgrads ist bestensfalls noch im Durchschnitt klein. Realistischer wäre allerdings der Median. Mit ein bisschen Glück läuft das in 90-99% der Fälle genau so wie Du es beschrieben hast.

Ein Upgrade kann zu 3 Ergebnissen führen:

1. Erfolgreich
2. Scheinbar erfolgreich
3. Offensichtlicher fehlschlag

1. hätten wir gerne, 2. können wir regelmäßig nicht (sofort) ohne größeren Aufwand von 1 unterscheiden. Bei 3 haben wir also also sogar Glück im Unglück, weil wir sofort wissen dass es ein Problem gibt. 2 ist extrem gefährlich. Wenn wir nun mit automatisierten Tests entgegenwirken wollen, dann entfernen wir uns ganz deutlich von einer möglichen Überbewertung der Aufwände.

Und wer schaut dann drauf, dass es glatt läuft? Wenn Du 10 Systeme hast die Du updaten willst und das in 99% oder Fälle ohne Probleme läuft, dann bleibt Dir nach jeweils 10 Updatezyklen noch eine Wahrscheinlichkeit von 37% (0.99^(10*10)) das das fehlerfrei funktioniert. Ist also nur eine Frage der Zeit. Wenn Du viele Systeme hast und eine komplexe Konfiguration dann steigt die Wahrscheinlichkeit ganz deutlich, dass es in Deiner Infrastruktur mal böse knallt. Mit vollautomatisierten Updates ohne jegliche Kontrolle sitzt Du auf einer Zeitbombe. Kann man als Optimist natürlich weg-lächeln...

Es gibt keine 100% Sicherheit, die gibt es nie.
Die Konfigurationen sind für mich nicht komplex, sondern Standard. Wie man das anders machen kann, verstehe ich eh nicht.

Automatisieren bedeutet, die humanoide Fehlerquote zu minimieren. Gerade mit steigender Anzahl der Systeme steigt auch der Grad der Automatisierung an, daher reduzierst du doch die Wahrscheinlichkeit eines Fehlers auf nahezu 0. Die Berechnung oben enthält das gar nicht.

Es ist aber allemal sicherer upzudaten, als es nicht zu tun, auch ohne Staging, Testsysteme und eigene Repos.
Sobald ein Security Patch raus kommt, ist bekannt, was dieser Patch fixt und spätestens ab diesem Zeitpunkt bist du Freiwild, falls das ein kritischer Bug sein sollte und du den nicht aufspielst. Ich schätze das Risiko eines erfolgreichen Hackerangriffs höher ein, als einen fehlerhaften Patch.

Mit 0815-Konsumer-Produkten bekommt man das Risiko nur nicht mit und ist sich der Gefahr nicht bewusst.
Durch aktuelle pandemiebedingte Homeoffice-Zeiten sind die Angriffe innerhalb eines Jahres laut unseren Firewall-Logs auf ~400% angestiegen.
Wenn ich hier manchmal lese, was die Leute nach Außen alles frei geben, dann wundert mich auch diese Diskussion hier nicht.

Das Thema Wartung ist daher kein Argument gegen sichere Systeme. Das eine hat mit dem anderen nichts zu tun.
Es ist völlig egal, ob ich ein 0815-Konsumer-Produkt mit beschränkten Möglichkeiten im Internet betreibe oder eine Open-Source Enterprise-Lösung. Beides MUSS zwingend auf Stand gehalten werden und zwar Ad-hoc nachdem der Patch erscheint.
Automatisiere ich das, ist das der bessere Weg. Falls es tatsächlich mal knallen sollte, kann ich das im zweiten Fall auch wieder reparieren.

Bei Konsumer-Ware, Closed-Source-Produkten und proprietärem Frickelzeugs kann ich das mit sehr hoher Wahrscheinlichkeit möglicherweise nicht und man ist dem Hersteller ausgeliefert.
Man hat aber glücklicherweise von vornherein die Wahl, auf was man sich einlassen möchte.

Automatisierung ist dann sinnvoll, wenn Du die selbe Aufgabe immer und immer wiederholen müsstest. Also einer großen Anzahl von identischen oder mindestens gleichartigen Systemen. Wir diskutieren hier nun aber über Infrastruktur im Privathaushalt und nicht Rechenzentren. Vielleicht war es also nachlässig, nicht explizit zu schreiben, dass die Betrachtung sich auf unterschiedliche Systemen bezieht. Sollte aber eigentlich auch aus dem Kontext der vorangegangenen Diskussion klar werden.

Es hat hier doch keiner die Notwendigkeit von Updates in Abrede gestellt, sondern nur die Aussage nach der das keinen nennenswerten Aufwand verursachen würde

Interessanterweise bietet gerade die von Dir so "verhasste" FritzBox schon von Haus aus eine solche Automatisierung bei der Installation von Sicherheitsupdates (AFAIR in der Standardkonfiguration aktiv). D.h.: Wenn die außen steht dann ist das Thema fehlende Sicherheitsupdates durch Ignoranz/Fehlende Zeit für Updates und oder deren Automatisierung schon vom Tisch.

Wieso verhasst? Die Fritzbox hat ihre Berechtigung, keine Frage. Wer schnell im Rahmen des Produktes ohne sich tieferes Wissen aneignen zu müssen, eine relativ günstige Lösung sucht, die Telefonie, VPN und Internetzugang unter einer Haube vereint, ist damit super bedient.

Der Fred heißt aber nun mal "Netzwerk-Entwurf für sicheres Smarthome", da ist der Betrachtungswinkel ein anderer und da lande ich eben nicht bei der Fritzbox, da es die Voraussetzungen dafür nicht erfüllen kann und dafür ist die Fritzbox auch nicht gedacht. Das Teil hat den Fokus der maximalen Abdeckung im Heimbereich ohne viel technischen Schnickschnack drum herum.

Es gibt aber eben Leute, die sich an den thermischen Problemen der Fritzbox stören, denen maximale Freiheit und Konfigurierbarkeit wichtiger ist und die gerne das Letzte raus kitzeln wollen. Die können nichts mit einer Fritzbox anfangen, da sie schlicht nicht geeignet ist für diesen Personenkreis. Zu dieser Gruppe gehöre ich eben auch. Für mich ist die Fritzbox die Nr. 1 im Consumerbereich, sie ist aber im Business- und Security-Bereich fehl am Platz. Dafür ist sie schlicht nicht ausgelegt und auch nicht zu empfehlen.

Im Endeffekt kann sich jeder selbst raus suchen, wo er seine technischen Grenzen zieht. Für die meisten wird es wohl besser sein, bei der Fritzbox zu bleiben, da sie eventuell mit richtiger Technik überfordert wären und die Gefahr recht groß ist, etwas völlig falsch zu konfigurieren. Aber selbst das ist mit einer Fritzbox nicht ausgeschlossen.

Absolut nicht. Im Gegenteil, ich spreche aus Erfahrung.

Dabei meine ich gar nicht primär die regelmäßigen Security-Patches. Da sind wir uns ja einig, das die zeitnah gemacht werden müssen. Und die laufen tatsächlich überwiegend problemlos.

Ich hab da eher das "Gesamtsystem" im Sinn. Da gibt es einfach unzählige Abhängigkeiten, die der ein oder andere Profi vielleicht sofort überblickt, aber wir sprechen von einer Netzwerkinstallation im EFH, da ist nicht jeder Profi. Auch nicht jeder der technik-affine ist und mehr als eine Fritzbox hat/will. Ich bin sicher auch so einer. Fritz ist mir zu wenig, IT allgemein ist schon mein Gebiet, aber ich bin kein Netzwerkprofi.
Kleines Beispiel: Ich hab bisher nur IPV4 aktiv, wollte mal zusätzlich IPV6 aktivieren. Gut, muss man im EFH nicht zwangsweise haben. Aber da kommt natürlich auch die Neugierde dazu. Also IPV6 erst mal am Router aktiviert. Kurzer Blick auf einen Client hat gezeigt, dass der sich ne gültige IPV6 Adresse geschnappt hat. Erst mal so belassen. Am nächsten Tag konnten die Kinder im HomeSchooling nicht mehr auf ihre Daten zugreifen. Der Server hatte zwar auch eine gültige IP, aber er macht auch DNS und da hat irgendwas noch nicht geklappt. Hab V6 dann erst mal wieder abgedreht.

Sicher, selbst schuld, aber ich wollte damit die Komplexität aufzeigen, die eben schnell dazu führt, dass eine kleine Schraube dazu führt, das ein großes Teil runter fällt. Und manchmal ist man ja zu Änderungen gezwungen, sei es HW-Defekt oder HW-Upgrade oder SW-Änderung, da keine Wartung mehr etc. pp.