Hei, naja mal eben so als komplette Netzwerk-Laie gesprochen.
Von meinem Wissensprofil bin ich der klassische FB-User. Etwas mehr an Features und Sicherheit haben wollen, steht aber dennoch auf der Wunschliste.

Und bei dem was Micha da beschreibt werde ich ja ganz hellhörig, weil ich das schon als sehr effizient betrachten würde, wenn Stecker ab, dann Port abgeschalten und was anderes anstöpseln auch egal, es bleibt abgeschalten.

Frage dazu. Nach welcher Abkürzung muss man da dann Ausschau halten, um ein solches Feature nutzen zu können, und ist das am Switch ausreichend oder muss ein angestöpseltes Gerät da auch was von den hier vielgenannten Abkürzungen können?

Wenn jemand mit dieser Idee auf mich zukäme, würde ich die SNMP Traps empfangen und entsprechend auf "Port Down" reagieren und ihn dann (ebenfalls per SNMP oder Telnet, HTTP-API, was auch immer) abschalten.
Das ein Switch dies von selbst kann, wäre mir neu. Aber wenn er es doch kann, würde mich deren (Marketing-)Bezeichnung interessieren.

100 Punkte! Es ist die Nummer mit den SNMP Traps

Meine Cisco APs kommunizieren nur mit dem Controller. Der haengt auf einem Trunk und mapped dann die einzelnen SSIDs zu VLANs.

Du brauchst ja sowieso einen Router fuers Internet. Da lauft dann die Firewall mit drauf. Wenn in Deinem EFH nichts schuetzenswert ist brauchst Du ja eh keine zu verwenden. Ich greife von hier auch aufs Firmennetzwerk zu und habe alle meine privaten Dokumente/Vertraege/Unterlagen digital.

Wie gesagt, ich verwende kein SMB :-) Ich habe hier keine Dateifreigaben fuer Windows clients, und bis auf eine VM fuer ETS und den Hikvision-Tuerstation-Config-Kram gar kein Windows.

Mir ware ein nettes freundliches Internet auch lieber. Die Relatitaet ist aber leider anders.

Doch, einen vernuenftigen Controller-basierenden AP verwenden. Dann ist der Angreifer genau in dem VLAN in dem er mit dem Controller reden koennte. Wenn er ein authorisierter AP waere. Siehe oben. Ist er aber nicht. Wenn der AP wirklich im freien haengt - was im EFH doch eher unwahrscheinlich ist - und Du hier einen Angriffsvektor siehst, dann eventuell noch zusaetzlich 802.1X.

"Brauchen" ist relativ. Ich habe hier keine Kunstwerke oder aehnliches. Kostet aber ja auch nicht die Welt. Meine Frau freuts wenn wir weg sind und sie schauen kann was die Katzen grad machen. 4 Aussen-Kameras + Kamera in der Tuerstation, 3 im inneren Bereich. Verwaltet via Networkoptix NX Wittness. Is vielleicht auch ein Spleen, aber Sicherheitstechnik hat mich schon immer interessiert.

Bei dem was "da draussen" abgeht ist mir der Aufwand nicht zu hoch. Ich hab ein OpenBSD Gateway und ein sehr uebersichtliches PF Regelwerk in einer Textdatei. Ich entscheide wer was darf und welche Dienste am Gateway selbst laufen, nicht "Herr Fritz". Ich hab ueber die Jahre sonst noch mit Cisco ASA, IOS, Zywall, Fortinet und Linux Firewalls zu tun gehabt. OpenBSD & PF ist fuer mich hier optimal.

Es wird leider immer schlimmer und Menschen arbeiten immer oefter auch von zuhause aus. IT Security wuerde ich im EFH nicht vernachlaessigen.

Nein, es macht schon lange keinen Spass mehr. In Zeiten wo ganze Callcenter voll mit Betruegern sind, abertausende Script Kiddies mit sehr "aggresiver' Software unterwegs sind und hochkomplexen IT Systemen wo es taeglich exploits gibt ist Sicherheit echt muehsam geworden. Aber was ist die alternative? Alles offen wie ein Scheunentor?
Aber es hat ja jeder die Wahl. Wenn man 20-30 Geraete im EFH betreibt die eine Netzwerkschnittstelle haben, sollte man doch ernsthaft ueber Firewalling und Trennung auf Switching-Ebene nachdenken.
Wenn man glaubt das man das alles nicht braucht und eh alles nicht so wild ist, dann hat man vielleicht ploetzlich ein BCU passwort auf ein paar KNX devices welches man nicht kennt :-)

Du hast mit vielem, was du schreibst, absolut recht. Leider greifst du die meisten Fragen von mir nicht auf. Vor allem den Punkt, dass ein Otto-Normaluser all diese Absicherung, die du getrieben hast, nicht umsetzen kann und es daher auch nicht viel bringen würde, ihm das zu empfehlen.

Leider habe ich auch aus deinem Beitrag keine Angriffsvektoren entdecken können, die du mit deinem Setup begegnen willst. Eine Firewall schützt ja nicht Geräte untereinander im gleichen VLAN und ich sehe das Risiko nachwievor stärker bei Geräten wie dem Smartphone, Tablet, etc., die sowieso im internen Netz hängen. Diese Geräte sind bereits hinter der Firewall und wenn ein solches Gerät kompromittiert ist, dann ist es schon zu spät. Und ein Whitelisting wirst du bei deiner Firewall nicht betreiben (womöglich noch für jede Webseite einzeln). Daher erneut meine Frage: Gegen welche Angriffsvektoren sicherst du ab und wie? Was macht dein Netz besser als ein 0815-Netzwerk mit nur einer Fritzbox (als Beispiel, es kann auch ein X-beliebiger Router sein, der alle Ports zum I-Net zumacht außer 443 und 80)?

Halte ich für eine gute Idee. Dass du das mit SNMP machst, ist klar, aber wie konkret, wenn ich fragen darf?

Mein Visu Rechner empfängt standardmässig die SNMP Traps von den Switchen (darüber kann ich auch die Ports in der Visu schalten). Kommt auf gewissen Ports die Meldung, Link Down, schickt der Visu Rechner den Abschaltbefehl für den Port.

Es muss ja ein "Normaluser" nicht alles selbst machen. Es wird auch nicht jeder KNX User seine Installation selbst betreuen. Da geht man ja auch zum SI, Elektriker usw wenn man es nicht selbst kann. Eine VLAN Konfiguration und "SOHO" Router/FW Administration ist durchaus im Bereich des moeglichen fuer einen technisch versierten User. Gerade mit den vielen Moeglichkeiten die der Markt (oder auch die Open Source Community) hergibt.

Daher teilt man ja die Geraete nach Gruppen in unterschiedliche VLANs ein. Eine IP Kamera benoetigt keinen Zugriff auf die anderen VLANs. Ausserdem will man evt. nicht allen Geraeten Zugriff ins internet erlauben. Das beugt schon sehr vielen Problemen vor. Zwischen den VLANs kann man ja wieder auf der Firewall festlegen was erlaubt ist.

Deshalb ja der Ansatz das interne Netz nochmal in einzelne VLANs aufzuteilen. Das Tablet meiner Frau z.B. braucht genau Internet und sonst gar nichts. Wenn Du jedem Geraet volle Vertrauensstellung einraeumst, ja dann kannst Du Dir die VLANs auch sparen.

- Geraete die keinen Internet Zugriff brauchen bekommen keinen. Das verhindert schon mal viele Dinge wie unerwuenschtes "telefonieren nach hause", nachladen von Schadcode (siehe auch aktuelle log4j Luecke), backdoors, etc
- Geraete sind in Gruppen unterteilt und die bekommen ein eigenes VLAN (z.B. GMA & comXline, IP Cams, APs, Multimedia wie Verstaerker, Fernseher, etc, Gastnetz, Homeoffice, Haustechnik, Sprechanlage, Management und internes Netz). Dazu noch policy filtering auf der Firewall zwischen diesen Netzen. Je nach Vertrauensstellung des VLANs geht da halt dann mehr oder weniger. Das Verhindert den Zugriff auf sensitive VLANs wie Homeoffice von weniger Vertrauenswuerdigen Geraeten wie IP Kameras mit Software einer grossen Volksrepublik. Das Gastnetz braucht keinen Zugriff aufs KNX interface. Die Heizung braucht nicht im gleichen LAN zu haengen wie mein Fileserver mit sensitiven Dokumenten wie Gesundheitsunterlagen, Dienstvertraegen, Versicherungsdokumenten usw. Das kannst Du beliebig weiter denken. Durch sinnvolle Gruppierung und policy based filtering auf VLAN-Ebene braucht man nur eine Handvoll Regeln um das umzusetzen. Da muss man dann nicht fuer jedes Service jeden Port explizit freischalten.

Ich habe den Eindruck dass Du Dir selbst einreden willst dass ein mehr an Sicherheit eh nichts bringt. Es wird aber mit den Jahren nicht besser werden, wo inzwischen Staubsauger und Kaffeemaschinen im LAN haengen. Die updatefreudigkeit der Hersteller solcher Geraetschaften ist ja hinlaenglich bekannt. Da laufen dann uralte Stacks. Und es ist halt auch nicht schwarz/weiss. Je sicherer, desto muehsamer. Da stimme ich Dir voll und ganz zu. Wir reden ja auch nicht von Fort Knox. Aber eine gewisse "Grundsicherheit" verhindert eben viele Probleme schon von vorne herein. Nicht umsonst hat heutzutage sogar Windows eine eingebaute Firewall, viele Dienste auf Linux/Unix lauschen per default nur mehr auf localhost, usw. Man ist lange weg von Konzepten wo das eine Gateway das ganze lokale Netz schuetzt und dahinter alles erlaubt ist. Hinter der NAT kann man sich immer weniger "verstecken", wo gefuehlt jedes zweite Geraet eigenstaendig Verbindungen zu irgendwelchen Cloud Diensten aufbaut und ganze Betriebsysteme auf IoT Geraeten laufen.
Es ist ja bei KNX nicht anders. Macht man eine eigene Aussenlinie? Verwendet man ein Security device? KNX Secure am Kabel? Linienkoppler mit Filtertabelle oder alles offen? Forwarding fuer den tunneling port? Je sicherer desto mehr Aufwand (dummy GAs fuer Visu verknuepfen, usw). Aber das muss eh jeder selbst entscheiden.

"Von selbst" können es die meisten switche nicht, 802.1x benötigt ja serverkomponenten oder man strickt sich selbst was mit snmp traps

Es gibt min einen Hersteller der das alles auf einem Switch erledigen kann, mikrotik. Die Switche welche RouterOS (kann man im zweifel entweder wirklich als router oder eben als switch laufen lassen) unterstützen lokal eine radius instanz und dot1x serverkomponenten (letztlich 802.1x implementierung). Damit lässt sich 802.1x vollständig umsetzen wenn man mag

Ansonsten findet man in einigen heimnetzen auch sowas wie openwrt, mit dem man das auch machen könnte.

Und wenn eh schon ein server läuft würde ein kleiner radius, pki+ und nac/nap lösung auch nicht wirklich heu fressen

ob mans braucht ist ne andere frage

je nach eingesetzter firewall helfen dns filter, nps o.ä. durchaus datenabfluss o.ä. zu verhindern bzw das nachladen von code einzuschränken indem bekannte cc systeme geblockt werden....

Dabei wollte der TE einfach nur einen Switch...

Jetzt braucht er eine IT-Ausbildung, eine zweite Person im Haushalt mit ebensolcher Ausbildung - und alle anderen Menschen, die nur eine Fritte als Tor ins böse Netz haben stehen schon mit eineinhalb Beinen in der IT Hölle...

Ich kann an der Stelle dem TE nur raten, auf keinen Fall einen Switch zu kaufen, den Kaffee mit der Hand zu brühen, den TV an nichts als eine Satellitendose anzuklemmen und mit dem gesparten Geld und der gewonnenen Lebenszeit etwas Schönes anzufangen.

Ich bin zwar kein IT'ler arbeite aber in der Automationsbranche und habe etwas "Grundwissen", daher finde ich die fachlich detaillierten Ausführungen sehr informativ und interessant, auch wenn ich ab und an bei gewissen Zusammenhängen Google bemühen muß um es zu verstehen.

Mein Beitrag war auch nicht (ganz) ernst gemeint. Wobei ein bisschen Wahrheit...

Wie so oft ist es vermutlich der gesunde Mittelweg. Um den zu finden ist es schon nützlich die "Extreme" zu kennen.

Oder man geht gleich Richtung Zero Trust Model

Ist eigentlich ein spannendes Konzept, aber keine Ahnung, wie das privat umgesetzt werden kann.

Vertraue niemandem!