Das ist richtig, Kameras etc. werden eben direkt sauber und fest installiert.
Für die selten genutzte Außendose könnte solch eine Lösung dann hergenommen werden. Damit verhindert man auch die oben erwähnten Zerstörungsangriffe durch Spannungsaufschaltung von außen, weil sie wirklich physikalisch getrennt ist und nicht nur im Switch der Port deaktiviert.

Kann man.

Nein.

Also einen Port draußen, der nur bei Bedarf aufgepatcht wird, finde ich schon sehr sicher. Ich würd's aber wenn auch eher über RADIUS machen.

Du weisst, was in meinen Verträgen steht? Glaub' ich nicht.

Ich weiss ja nicht, wer jetzt dieses "Zerstörungs-Szenario" durch Überspannung ins Spiel gebracht hat, aber bei einer sachgerechten Installation endet das im Switch. Soll heissen: Es geht maximal der Switch hops. Das Risiko würde ich jederzeit eingehen.

802.1x ohne Radius, wie soll das gehen? Klar braucht es Radius und wenn es eben wirklich sicher sein soll kommst Du auch um eine CA nicht drum rum und spätestens dann hört der Spass für den nicht IT-ler auf.

Deswegen "... auch eher über RADIUS". Oder ist es uncool, nicht dauernd 802.11x zu schreiben? 😉

Kennst du einen Fall?

Es ist wirklich gut kompetente, belehrende Fachkräfte hier im Forum zu haben. Wir reden hier aber über Einfamilienhäuser und nicht über Atomkraftwerke, Gefängnisse oder Krankenhäuser. Da du aber als Cyber-Fachkraft zu stillschweigen verpflichtet bist, kommen wir hier nicht weiter. Ich kenne keinen Fall wo ein Einfamilienhaus über eine von außen zugängliche Netzwerkdose sabotiert wurde. Und du auch nicht!

Messknecht, die nennt man auch (Dumm-)Schwätzer

Ich halte das Szenario eines gezielten Angriffs auf ein EFH eines "Normalbürgers" auch für extrem unwahrscheinlich.

Bei Unternehmen ist das was ganz anderes, aber da muss ich nicht nur Außendosen schützen, sondern jeden Anschluss außerhalb der gesicherten IT-Räume..
Schließlich haben da de fakto viele Mitarbeiter, Hausmeister, Reinigung, Handwerker Zugriff...

Sofern man jetzt nicht irgendwie besonders exponiert ist als Geheimnisträger oder sonstwie...

Ich hab auch außen zugängliche Netzwerkanschlüsse für die Hikvision Cams.. unter dem Dachüberstand. Wer sich dran versuchen will...


7m Leiter mitnehmen, und ein Tx15. Viel Spaß. Belohnt wird es mit Vollzugriff auf meine Urlaubsbilder und meine Kinofilmsammlung

Hallo,

vielen Dank für die Antworten, hat mir wirklich weitergeholfen. Werde das mal so versuchen, dass ich versuche, in einer UP-Dose einen Keystone oder Kabelverbinder unterzubringen und das ganze dann mit einem Patchkabel und einem Kabelauslass-Aufsatz nach außen führe. Da bin ich dann auch flexibel, was ich dranhänge.

Ist komplizierter als ich dachte, Kabel einfach nur als Kabel durch die Dämmung nach außen zu kriegen... Habe dasselbe Problem mit Ausgängen für die Gartenbeleuchtung, werde das wohl auch über Auslassdosen machen.

Viele Grüße
Ronny

edit: P:S: Habe die Sicherheitsbedenken in Sachen Netzwerkzugriff auf dem Radar. Danke für die Hinweise aber ebenfalls. Hänge sowieso nicht gerne alles ans Internet, werde die Außenkameras wohl in einem separaten lokalen VLAN laufen lassen. Weiß nur noch nicht, wie ich es mit dem Hotspot anstelle, aber ich hoffe einfach mal auf software-mäßige Lösungen.

Schade, hatte das Thema abonniert in der Hoffnung, endlich mal eine praxistaugliche Lösung zu erfahren.

Stattdessen wieder die gleichen Antworten, wie blöd man sein muss Netzwerk aussen am Haus zu haben, damit könnte man ja dann Industriespionage betreiben oder mein neues Highlight, 230V drauf legen.

Am Ende gibts im normalen EFH nichts im LAN, was interessant ist um kriminelle Energie anzulocken. NAS ist hoffentlich per User/Passwort geschützt und die "Schlösser" hängen hoffentlich gar nicht im LAN und wenn, dann ebenfalls über Passwort geschützt (Nuki usw.).

Wenn jemand wirklich offene Ports aussen zugänglich "hätte", dann gibt es auch einfache Mittel, die gar nicht verkehrt sind:
https://www.amazon.de/LogiLink-MP0042-RJ45-Port-10x-Schlösser/dp/B071PD3ZPX/ref=sr_1_8?__mk_de_DE=ÅMÅŽÕÑ&crid=1V0IB3OVH9R3X&ke ywords=patchkabel+schloss&qid=1683025042&sprefix=p atchkabelschlos%2Caps%2C93&sr=8-8

Und wenn es (was wesentlich besser ist!) von aussen "nur" der RJ45-Stecker ist, der im AP oder in der Kamera sitzt, dann einfach mechanisch absichern. Man kann sich simpel einen Metallkasten bauen, der den AP umschließt und nur die Antennen rausschauen lässt, bei den Kameras kann man meistens das mitgelieferte Kabel aus der Kamera so verlegen, dass der Anschlussteil ebenfalls gesichert im Gebäude liegt oder auch in einem schwer zugänglichen Bereich.

Wer mehr machen will, nimmt VLANs und setzt hier nur ein kleines Setup auf mit passender Firewall-Regel.

Und wenn schon Türöffner im WLAN sind, hatte glaub jemand hier im Forum die Idee, deren Leitung auf den Binäreingang der Türsteuerung (z.B. Fuhr) einfach über einen KNX-Aktor zu trennen bei Abwesenheit.

*AP=Access Point

Um zur Ursprungsfrage zurück zu kommen:

Kameras, WLAN AP, IR-Strahler etc im Außenbereich werden bei mir immer ohne Dose angeschlossen.
D.h. Geräte wählen die einen vernünftigen Anschlussraum für eine CAT Verlegeleitung haben und im Idealfall direkt über den Kabelauslass montiert werden.
Namhafte Hersteller für Geräte im Außenbereich können das. Axis / Mobotix um nur mal ein Beispiel zu nennen.
Sollte das nicht gehen weil man komische Geräte gekauft hat, dann Dose im Innenbereich setzen wenn möglich.
Im Außenbereich (an der Fassade) möchte ich persönlich keine Dosen sitzen haben.

Über Lichtmasten nachdenken, da kann man wunderbar Kameras, IR-Strahler, und/oder WLAN integrieren und die benötigten Kabel bequem versteckt führen.
Sieht natürlich nicht überall gut aus so ein Mast. Muss halt ins Bild passen.

Ansonsten für Garage, Überdachter Freisitz und co. kann man durchaus hier und da eine RJ45 Dose vorsehen wenn man möchte.
Dazu empfehle ich:
AP: https://hager.com/de/katalog/produkt...-kat6-ap-w1-gr
UP 1 Port: https://hager.com/de/katalog/produkt...chi-kat6-w1-gr
UP 2 Port: https://hager.com/de/katalog/produkt...chi-kat6-w1-gr

Alternative: https://www.metz-connect.com/home/pr...d=1309460003-I

Spezialvariante push pull z.B.: https://www.metz-connect.com/home/pr...v4.113.de.html

Entsprechende Absicherung VLAN, Radius etc. wie bereits diskutiert wurde muss jeder selbst wissen wie es handhabt und welchen Aufwand man betreiben möchte.

Gibt es Switches die man so einstellen kann ein Port nach physikalischem Disconnect bis zur manuellen Freischaltung deaktiviert wird? Das würde ein Eindringen sehr erschweren…

Ja sowas gibt es von verschiedenen Herstellern.

Cisco z.B. kann das.
Stichwort EEM