Den Freak der sich über deine TürKo ins Netzwerk hängt wirst lange suchen müssen…., da ist ein offenes WLAN schon anfälliger. Ansonsten klassisch Dingdong in 2Draht ohne Cloud Gedöns

Man kann (User vento66 macht das z.B. so) einen Managed-Switch einsetzen, welcher seinen Port Uplink Status über snmp 'twittert'. Darauf dann reagieren und sobald er auf 'down' geht, schaltet man den Port ab. Auch MAC-Adress-Filter halten den 0815 Bastler durchaus ab. Theoretisch gibt es dafür auch ein Netzwerkkonzept (IEEE 802.1x/RADIUS), welches aber absolut Kanonen auf Spatzen ist.

KLAR der Standard-Hausfriedensbrecher wird das nicht machen.
Für das subjektive Sicherheitsgefühl macht das aber schon was aus. Dabei muss man auch auf den Rest der Familie acht geben.

Cloud ist sowieso nicht geplant.

Wunsch wäre trotzdem das ganze irgendwie abzusichern. Ich bin mir sicher es gibt da Möglichkeiten, nur was sind die Möglichkeiten?

Eventuell ein Reed-Kontakt der den POE Stromlosschaltet, wäre die Einzige Möglichkeit die mir eingefallen wäre.

Das werde ich mir mal ansehen. Ist das eine Funktion des Switch oder braucht es dahinter noch eine Logik?
Gibts hier tipps für einen POE den man dazu verwenden kann oder kann ich da jeden beliebigen Managed-Switch verwenden?

Muss die Türklingel da auch was können?

Wie lange muss die down Zeit denn dauern damit dass anschlägt?

EDIT:
Hab da schon viele Infos im Web und in meinem schlauen Buch.
Danke - sehr guter Tipp!
Hab leider zu schnell mit meinen Fragen geschossen SRY

Der Switch muss die Basis Funktionalität mitbringen (Port Infos über SNMP Traps verschicken). Dahinter muss eine Logik geschaltet werden (die du für KNX ggf. sowieso hast wie IP-Symcon, Edomi, Gira HomeServer, etc.), welches das auswerte und dann den Steuerbefehl 'switch Port aus' oder noch stärker im KNX integriert 'Netzteil des Switches vom Strom trennen'.

Oder in fertig, fällt mir gerade auch noch ein Gerät ein:
https://produits.amphitech.fr/php/wp...PoEPLUS_DE.pdf
Das kenne ich aber nur von der Messe. Ich habe einige alte Geräte von Aphitech im Einsatz und kann über den damit verbundenen Support nur positiv berichten.

Hallo,

anbei mal mein Erfahrungsbericht (aus Sicht eines ITlers), da ich bei unserem Hausbau 2017 vor selbiger Aufgabenstellung stand.

Aktive Netzwerkkomponente:
Am saubersten ist einen Switch mit Port Security zu verwenden und einfach nur eine bestimmte MAC-Adresse zulassen. Solche Switche sind aber nicht unbedingt billig.

Vorbereitung:
Ich habe damals ein Netzwerkkabel (Verlegekabel) und ein 6x2 JYSTY reingelegt. Heute würde ich wohl einfach ein Duplexkabel nehmen.

Sprechanlage selbst:
Von Baudisch gibt es Türsprechstellen mit oder ohne Kamera, die mit Sabotagekontakt im AP/UP-Kasten und einem LAN-Secure-Modul in Gebäudeinneren (E-Verteiler, Serverschrank, Netzwerkschrank, ...) ausgestattet werden können. Wird die Frontplatte abgenommen (gewaltsam oder gewaltlos), löst der Kontakt aus und das LAN-Secure-Modul schaltet die die Leitung ab. Die Baudisch-Anlagen sind allerdings in eine Telefonanlage zu integrieren oder in eine FritzBox, sie sind nicht eigenständig mit App usw. ... Allerdings bieten sie mit Relaiskontakten auch die Möglichkeit, in die Gebäudesteuerung integriert zu werden, daher die Empfehlung ein paar Adern mehr zu planen.

Lösung insgesamt:
Ich habe solch eine Baudisch-Lösung mit Kamera verbaut. Durch die Anbindung an eine 3CX-Anlage (vorher FritzBox), hab ich die Anlage auch immer am Handy. Über die Relais signalisiere ich das Klingeln am Bus. Der Gira Homeserver macht dann das Kamerabild im Vollbild auf und er schickt mir eine Mail mit einem aktuellen Kamerafoto.

Ansonsten sehe ich das ähnlich, dass offene WLANs ein größeres Risiko darstellen als verdeckte Netzwerkschnittstellen im Außenbereich. Spätestens wenn Kameras im Einsatz sind, wird sich das Risiko minimieren, dass sich da einer zu schaffen macht.

Vielleicht hilfts dir ;-)


Grüße Flo

Vernünftig wäre eine Aufteilung des Netzwerkes.
Wenn die Türklingel in einem separaten VLAN ist, und nur genau dort hin kann, wo sie hindarf, dann sieht man nach dem Einklinken - außer sich selbst - nicht viel.

Dem würd ich aber widersprechen. Bei den meisten Geräten steht die MAC hinten drauf, und wie schnell eine MAC geklont ist, solltest Du als iTler eigentlich wissen.

Klar, wenn die MAC auf dem Gerät drauf steht, das abgebaut wird, dann kann man sie auch klonen.

Wenn nicht natürlich auch.... Wenn ich auf Netzwerkebene Hacken will, ist das das kleinste Problem.

Warum? Ich habe bisher mit Duplexkabeln noch nie das Gefühl gehabt besser zu fahren als mit zwei getrennten. Aber da hier im Forum oft die Duplex erwähnt werden habe ich wohl nur einfach was übersehen.

Danke für die Infos,

Das mit der MAC-Adresse ist so eine Sache. Das hatte ich mir auch schon überlegt und komme zu einem ähnlich Schluss wie vento66

Mit VLAN nehme ich mir eine gewisse Variabilität des Netzes. Keine Frage durch aus realisierbar, in meinem Fall aber eher aufwändig, zumindest für mich.

Das mit dem Kontakt und dem Stromlosschalten des POE klingt schon wirklich einfach und für mich leicht umsetzbar.
Zusammen mit SNMP-Traps ist mehr als ausreichend.

Noch eine reine Verstäntnissfrage:
Viele klingeln haben ja keinen Netzwerkstecker sondern müssen verdrahtet werden.
Was wenn jetzt jemand die Verdrahtung nicht löst, sondern ein Angriffsgerät auf die bestehenden Litzen hängt und erst anschließend die Klingelanlage trennt. Also dass quasi für kurze Zeit 3 Geräte auf einem Kabel hängen.
Würde der Fehler irgendwo auftauchen/erkennbar sein?
Und das alles bitte ohne eine WENN WENN WENN Diskusion loszulösen. Frag mich nur was passiert wenn 3 Geräte auf einem Kabel hängen

Entweder taucht einen neue MAC am Switch auf, wenn beide die gleiche haben passiert nichts. Nur das Kamerabild wird dan wohl nicht vefügbar sein, und dein SIP Server sollte meckern, das ein SIP Teilnehmer fehlt.

kann man aber auch abfangen

sip.png

Verstehe...

Also der Kontakt wird auf alle Fälle implementiert.
Die ein oder andere Regel noch hinterher.
Wenn dann noch jemand in das System kommt dann interessiert er sich vermutlich nicht mehr für ein EFH