Schade, dass Client-Zertifikate sich weder auf SoHo-Switches noch auf SoHo-Geräten durchgesetzt haben. So bleibts bei der MAC-Adresse und/oder VLANs.

Aber wie ist das mit Überspannungsschutz? Ich überlege im Patch-Schrank eine Hutschiene zu montieren mit 6mm² Erdung. Dort drauf kommen zwei Keystoneträger, dann zwei DEHN 929121 DPA M CLE RJ45B 48 und von da aus direkt auf den Switch oder auf ein Keystone-Modul TP auf TP auf dem Patch-Panel. Andere Ideen?

Und genau das ist der Schwachsinn, den hier viele mit ihren VLANs treiben, einerseits alles peinlichst genau separieren, um es dann hinten rum übers Routing doch alles wieder zu verbinden, weil sie dann doch merken, dass teilweise vieles miteinander kommunizieren muss.

Genau diese Konstellation betreibe ich seit Jahrzehnten.
Was soll denn daran schrecklich sein?

Alle Geräte können untereinander kommunizieren, und nun? Warum nicht?
Warum sollte ich denen das verbieten? Wegen der Sicherheit? Oder wegen der Geschwindigkeit des Netzwerks?

Bestimmt nicht! Ich konstruiere mir selbst doch keinen aufgeblähtes uns Hochsicherheits-Netzwerk mit getrennten VLANs, wenn es nix zu schützen gibt. Wovor soll ich denn Angst haben? Davor, dass mein Fernseher mit dem PC spricht und meine Emails unkontrolliert verteilt?

Ich schliesse ja auch nicht meine Autoschlüssel und meinen Geldbeutel bei Abwesenheit in einen Tresor der Sicherheitsstufe 5, wenn der Wert des Inhalts das gar nicht hergibt.

Das einzig Wertvolle was meine IT beherbergt, ist das Banking.
Und auch das ist das einzige, was ich schütze. Es gibt kein Internetbanking, sondern ausschließlich Banking via HBCI mit PIN. Geldgeschäfte funktionieren nur, wenn die Software gestartet ist (ebenfalls über eine PIN gesichert), die Karte im Lesegerät steckt und ich pro Transaktion lokal am Kartenleser die PIN (vom Banking) eingebe.
Das ist das einzige, was mir einen wirtschaftlichen Schaden verursachen könnte.
Diesen Schaden wird aber der Fernseher und auch eine WLAN-Kamera mittelbar nicht machen.

Sollte sich tatsächlich einer die Mühe machen, bei Millionen privaten Internetzugängen in Deutschland grade ausgerechnet die Firmware meiner WLAN-Kamera zu hacken und darüber die Software auf dem lokalen PC zu starten, dem Chipkartenleser die nicht gesteckte Karte mit sämtlichen Daten zu emulieren und dann noch die ihm unbekannte PIN zu raten und diese dann auch noch irgendwie einzugeben, dann hat er mein Tageslimit an möglicher Überweisungshöhe redlich verdient.

Für alles andere wüsste ich nicht, warum ich Geld dazu ausgeben sollte, das Netzwerk zu segmentieren. Zumindest nicht, weil es irgendjemand „schrecklich“ findet.

Daher: kläre uns doch bitte mal auf, welche Vorteile ein unterteiltes Netzwerk in Form von mehreren VLANs bringt und was daran so schrecklich ist, wenn man es nicht macht?

Und bevor ich etwas vergesse: Gastzugänge fürs WLAN hab ich abgeschafft. Entweder bringt sich der Gast ein Gerät mit, was über ausreichende Netzwerkanbindung im Mobilfunkbereich verfügt oder der genießt so extremes Vertrauen, dass ich ihn ins normale WLAN lasse.

Zurück zum Thema: Da bin ich eher bei TheOlli.
Man überlegt allen Ernstes, ob jemand IT-affines sich an der Türsprechstelle andockt, um was dann genau zu machen?
Was möchte der bei einer durchschnittlichen Familie a la „Otto-Normalverbraucher“ dann machen?
Fotos vom NAS klauen? Emails von einem laufenden PC lesen?
Oder die Türkommunikation umfangreich zu beeinflussen, um ins Haus zu kommen?

Ich stell mir grade vor, wie ein Einbrecher mit Notebook auf den Knien vor der Haustür sitzt und stundenlang krampfhaft versucht, ein Motorschloss (wenn überhaupt vorhanden) zum öffnen zu bewegen, während sein Wettbewerber schon drei Häuser mit der Brechstange geöffnet hat…

Das hat tatsächlich irgendwas von Paranoia…

Für den Einbrecher ist es irrelevant ob ein Netzwerk flach oder segmentiert ist! Wie bereits geschrieben wurde, kommt der mit der Brechstange, schnell rein, schnell raus!

Ich sehe das Risiko des Zugangs zum Netzwerk eher während einer längeren Abwesenheit wenn es den Kids des Nachbarn langweilig ist. Hier bin ich allenfalls froh ein getrenntes Netzwerk zu haben und auch auf allen Geräten im Netzwerk sichere und individuelle Passwörter zu verwenden. Aber auch da geht es eher um Reputation (Fotos und Daten vom NAS), im wirklich schlimmsten Fall um Identitätsdiebstahl, aber sicher nicht um einen Einbruch ins Haus oder die Entwendung von Wertsachen.

Fazit, aus Sicherheitssicht gegen Einbrecher stört das Kabel draussen nicht, für andere Gestalten, kann es ein Risiko sein, welches sich jedoch mit genügen Knowhow oder finanziellem Einsatz minimieren lässt. Dazu gehört aber wie auch schon geschrieben wurde ein umfassendes Konzept. Es nützt nichts super gesichertes LAN zu haben während das WLAN "offen" steht.

Ein WLAN abzusichern ist absolut kein Hexenwerk. Selbst ohne Sonderzeichen ist ein WPA-Passwort mit 12 Stellen, sofern es auf keiner Passwort-Liste steht, stand heute in realistischer Zeit nicht zu knacken, und wenn man es etwas clever anstellt dennoch einfach zu merken.
Ohne einen gewissen Aufwand, Equipment und technischem Verständnis ist so ein LAN Kabel nicht abzusichern, daher würde ich im Außenbereich wo es geht auf WLAN setzen, da ist die zuverlässig funktionierende Sicherheit schon eingebaut.

Ja, was bringt da ein vom Heimnetz separiertes VLAN für die Aussensprechstelle wenn dieses VLAN ins Heimnetz geroutet wird?

Wird es ja nicht, es bekommen ja nur die Clients Zugriff, die das auch benötigen. Da steckt ja ne Firewall dazwischen, die das regelt. Ansonsten bin ich bei Dir.

Die Clients werden identifiziert wodurch?

ip, mac, zertifikat such Dir was aus. es gibt da verschiedene Möglichkeiten. Und du kannst auch die Ziele bergrenzen, sprich Client 1 hat nur Zugang zu Rechner XX, nicht auf Rechner YY und das auch nur auf bestimmte Dienste / Ports

Und jedes Gerät dass man zwischen oder statt der Türsprechanlage anstöpselt kann sich als eben diese Anlage ausgeben und ist dann durch die Firewall im Heimnetz und darf was die Anlage darf.

Finanzieller Einsatz wofür?
Damit keine Fotos vom NAS oder Daten geklaut werden? Dafür gibt es Zugriffsrechte, mit Benutzer und Passwort, die das genau so sicher verhindern. Egal, wer wie und wo ins Netzwerk eindringt.

Und Identitätsdiebstahl? Dein Nachbar wird garantiert wissen, wie du heißt, wo du wohnst und meistens auch, wann du Geburtstag hast. Da ich ein Gewerbe betreibe, steht meine Bankverbindung auf jeder Rechnung, sonst könnte das keiner bezahlen. Genau so die Steuernummer… Und das verschicke ich sogar per Mail… Da ist es mit der Identität und deren Geheimhaltung nicht wirklich möglich.
Hat mich noch nie gestört und auch nie zu Problemen geführt. Wer Konten zur Geldwäsche (das wäre das schlimmste Szenario) in meinem Namen eröffnen will, benötigt meinen Personalausweis im Original zur Autorisierung. Den gibts nicht digital; der wurde noch nie eingescannt. Wer andere Verträge abschließen möchte; der kann das auch so tun. Name, Adresse und Geburtsdatum reichen in den meisten Fällen aus. Dazu benötigt niemand Zugriff zu meinem oder deinem Netzwerk…

Ich mag mich nicht mit Euch zu den Themen zoffen, ich halte mich als IT-er mit 30 Jahren Erfahrung im sicherheitsrelevanten Umfeld bei den EFK-Themen auch zurück.
tsb2001 erklär mal Dein Statement zu vom NAS geklauten "persönlichen" Fotos und deren Veröffentlichung oder einer von effektiven Identitätsdiebstahl betroffenen Person, dann wirst Du vielleicht verstehen wovon ich spreche.

Du hast aber schon den Unterschied von Layer 2 und 3 verstanden, oder? Schau Dir mal an welche Sicherheitsfunktionen z.B. bei ARP eingebaut sind. Achso, ja genau, es gibt keine. Sehr vielen potentiellen Problemen auf Layer 2 (wie arp spoofing) geht man mit einer getrennten broadcast domain aus dem weg. Ist ja nicht so als wuerde das VLAN extra kosten. Und einen Router hat man ja auch sowieso. Und man muss da ja nicht alles routen. Die erlaubten Verbindungen einer Gegensprechanlage sind ja doch eher ueberschaubar.

Und genauso gibt es Bugs oder Lücken in vielen Implementierungen. Bei Synology war die kacke ja auch schonmal am Dampfen.
Fakt ist ebenso dass die Geräte nicht ewig geupdatet werden du sie aber dennoch weiterhin benutzen möchtest und nicht direkt entsorgen.
Man muss natürlich den Sweetpoint finden hier, zwischen alles in einem Netz und jedes Gerät ein eigenes VLAN.
Ansatz: Mein NAS das muss ich über mein PC im Grunde nur per SMB erreichen. Aus Performance gründen macht es wenig Sinn wenn PC und NAS in getrennten VLANs sind. Da ist es schon sinnvoller wenn der PC notfalls in 2 VLANS drin sitzt (was in der Regel möglich ist). Und die eine Verbindung wird dann nur für die Verbindung zum NAS benutzt.
Fürs Smartphone kann ich dann zB routen nur das SMB Protkoll. Das ist ebenso möglich. Hier entsteht ohnehin auch net viel Traffic.
Es kommt natürlich auch stark drauf an was generell so in deinem Netzwerk sich befindet. Wenn du eh immer das „neueste iPhone“ hast und logischerweise dann immer die aktuellste Version drauf hast und auch keine dubiosen Apps drauf hast ist das Risiko natürlich ein anderes als wenn du irgendwelche billigen WLAN Steckdosen sonstwoher drin hängen hast.
Muss am Ende jeder selber wissen was er macht, welchen Aufwand es ihm wert ist usw. Die Patentlösung gibt es ohnehin nicht, kommt immer auf die Gegebenheiten an.

MAC gecloned, und nun? Die Türstation setzt ein http get ab damit KNX Server die Tür öffnet…