Hallo

Stand vor der selben Frage, schau mal hier: https://knx-user-forum.de/forum/%C3%B...ne-l%C3%BCfter

Ich habe mittlerweile die beiden empfohlenen Zyxel Switch (http://www.zyxel.com/de/de/webapp/pr...px?s=237&lang=) gekauft und bin zufrieden. Mit dem 8-fach POE Switch für 90€ bist Du auf jeden Fall deutlich günstiger. 1 POE Injector kostet ja schon mindestens 20€.

Markus

Hallo,

es kommt natürlich darauf an wieviele Ports dein Switch benötigt.
Ich habe einen D-Link DGS-1210-24 (24 Ports ohne PoE) und einen D-Link DGS-1210-08P (8 Port mit PoE) im Einsatz.
Somit habe ich meine WLAN Access Punkte und die Kameras auf dem 8 Port liegen und den Rest auf dem 24 Port.
Verbunden habe ich die Switche mittels LWL Modul. (kann man auch per Patchkabel machen, ich brauchte aber den Port auf dem PoE Switch)

Die Kosten halten sich im Rahmen:
24 Port: ca. 130 euro
8 Port PoE: ca. 100 euro

Kommt halt drauf an was man braucht, es gibt auch einen 24 Port Switch mit PoE oder andere Kobinationen.

Gruß
Lars

ich hab einen PLANET Switch seit ein paar Jahren im Einsatz...
problemlos

Danke schonmal für die Hinweise. Der Zyxel-Hotline-Mitarbeiter am Telefon gerade meinte, damit das ganze funktioniert müssten auch mein DSL-Router, meine Wlan-APs und meine anderen Switche Vlan-fähig sein (so im Sinne von alles austauschen). Das wundert mich jetzt.

Zum Verständnis: Ich dachte, wenn ich z.B. 8 Kameras an einen einfachen 8fach-Switch hänge, die alle im gleichen Vlan sein sollen, dann könnte ich den Billig-Switch einfach an einen Port des gemanagten Switches hängen und diesem beibringen "Port 7 ist Teilnehmer des Vlan A". Weder die Kameras, noch der Billig-Switch wüssten dabei etwas vom Vlan. Denkfehler?

Mir scheint als ob hier 2 Dinge verwechselt werden:

Möchtest du 2 verschiedene VLANs haben um 2 komplett getrennte Netz-Segmente zu erhalten?
Dann reicht dir ein gemanagter Switch.

Möchtest du Kommunikation zwischen den Netz-Segmenten gestatten?
Dann benötigst du zusätzlich ein Element welches zwischen den Segmenten routet, bzw. einen Layer-3-Switch.

Dass ungemanagte Switche bzw. das Nicht-Einteilen seiner Haustechnik in Vlans prinzipiell ein Sicherheitsproblem sind halte ich für Unsinn. Das hängt immer von der Anforderung und den Gegebenheiten ab.

Das ist so richtig.

Hmm, nehmen wir an, es gibt folgende Geräte (mal etwas vereinfacht ggü. der Realität):
1) Homeserver (Gira / WG / ...)
2) NAS-Laufwerk, welches alle Daten enthält und auch den Videoserver stellt
3) Arbeits-PC, von dem aus die gesamte Wartung und Installation läuft.
4) IPad (Als Visu-Tableau, zum Internetsurfen, Filme schauen etc.)
5) DSL-Router
6) IP-Kamera
7) Notebook eines Besuchers

Jetzt soll der PC auf alles zugreifen können, das Ipad auch, der Besucher nur bei Bedarf entweder ins Internet oder auf das NAS kommen. Aber dann geht es schon los: Die IP-Cam soll Ihrerseits nur auf das NAS-Laufwerk schreiben können. Aber wenn der HS in seiner Visu das Kamerabild darstellen soll, muss er doch im Zweifel auch auf die Cam zugreifen können (also gleiches Vlan), oder? Grübel... Kann jemand mal darauf aufbauend ein Beispiel aufzeigen, wie man mit Vlans soetwas behandelt?

Wie bereits oben geschrieben:
2 Komponenten die in verschiedenen VLANs sind können erst einmal nicht miteinander kommunizieren. Also gar nicht.
Du brauchst eine Komponente im Netzwerk, die zwischen deinen verschiedenen VLANs den Datenverkehr abhängig von voreingestellten Policies regelt. Das was du möchtest macht für gewöhnlich eine Firewall/Portfilter

Wo siehst du denn dein Sicherheitsproblem?

Ein Netzwerk mit VLANs zu segmentieren ist keine einfache Aufgabe...

Danke. Eine sehr gute Frage. Und die wirft mich zurück auf meine Eingangsfeststellung - ich habe das Konzept von Vlan noch nicht richtig verstanden.

Ich habe im Forum (finde es hier nicht mehr wieder) für mich mitgenommen, dass es - insbesondere, wenn man Fernzugriff, VOIP, NAS im Netz etc. betreibt - von geradezu existenzieller Wichtigkeit sei, einen managed Switch zu verwenden um alles in Vlans zu segmentieren. Sonst wäre das Ganze bei einem Sicherheitsbug z.B. in der IP-Kamera, dem Smart-TV oder was auch immer sofort ein riesen Sicherheitsproblem, weil ein Angreifer darüber rein und von dort aus dann auf das gesammte interne Netz zugreifen könne.

Wie gesagt: So in etwa habe ich das für mich verstanden. Nicht aber, wie das im Details aussieht bzw. wie man das dann genau mit Vlans verbessern kann. Habe nun schon zig Stunden im Web gesurft, Einführungen dazu gelesen und div. Videos dazu angeschaut, aber ausser das ich nachts jetzt vom OSI-Schichten-Modell träume habe ich noch kein schlüssiges Konzept für mich entdeckt.

du sprichst (schreibst) mir aus der Seele...
Ich bin keine IT'ler und meine Elektrotechnik-Kenntnisse umfassen leider nicht die ganzen Fachsimplereien und Wortbrocken die zeitweise herumschwirren...
Das Netzwerk Zuhause funktioniert - zumindest für meine Zwecke - soweit dürfte die Hardware schon passen (die CAT Verbindungen habe ich natürlich schon gemessen - schließlich liegt das Ding ja in der Firma und will auch am Wochenende beschäftigt werden)
Diese IT-Brocken-Sprache, die manchmal als Antwort auf fragen kommt ist für mich eher
Ist nicht böse gemeint - wenn sich Spezialisten unterhalten haben die eine eigene Sprache und haben ein bestimmtes gemeinsames Wissen. Für mich als Non-IT'ler sind loop-back-schutz, und Konsorten nur "spanische Dörfer". Das Lesen und Stöbern im WWW trägt meistens auch nur zur Verwirrung bei

Also der Netzwerkguru bin ich auch nicht, aber ich versuche es mal zu erklären.

Normales LAN:
Alle Geräte im gleichen LAN sind miteinander verbunden, sehen einander, können miteinander reden. Wenn Du jetzt z. B. eine IP-CAM im Außenbereich hast, hat man von diesem Kabel grundsätzlich Zugriff auf alle Geräte im Haus.
Wenn der Smart-TV eine Verbindung in Internet hat und eine Sicherheitslücke hat, kommt man ggf. nicht nur auf den Smart-TV von außen, sondern auf Dein gesamtes Netzwerk.

V-LAN (virtuelles LAN)
Ein V-LAN "tut" jetzt so, als wenn es physikalisch ein eigenständiges LAN wäre. Also Deine IP-CAM hat dann sozusagen ein eigenes Kabel zum Router und von dort ins Internet, aber kein Verbindung zu den restliche Geräten im Haus. Hat Dein Smart-TV eine Lücke, dann kann man den mit V-LAN noch genauso leicht hacken wie vorher, aber man kommt von dort nur auf Geräte im gleichen V-LAN. Ein V-LAN macht also virtuell dass, was ansonsten physikalisch komplett getrennte Netzte machen würden.

Hi Uwe!

diese Ausführung trifft es schon sehr gut.

Allerdings würde jetzt ja der Eindruck entstehen, dass wenn man VLANs macht die Geräte nicht mehr in der Lage wären mit einander zu kommunizieren.

Dies stimmt im Grunde ja auch. Nun werden sich jetzt dann viele Fragen....mh und wie sehe ich dann das Bild meiner IPCam in meiner Visu, wenn die nicht miteinander "reden" können?

Hier ist noch zu erwähnen, dass man mittels eines Routers oder eines sog. Layer 3 Switches sehr wohl die VLANS mit einander reden lassen kann. Man kann dies aber, und hier kommt der eigentliche Sicherheitsgewinn, regeln wer mit wem "reden" darf.

Sprich Visu aus VLAN 0 darf auf den Stream der IPCam aus VLAN 1 zugreifen, aber z.B. nicht andersrum...

Gelegentlich frage ich mich ob sich die User in den Medizinforen damit rumschlagen müssen wie man die gerade plötzlich und unerwartet aufgetretene pulsierende Blutung bei der Abtreibung auf dem heimischen Küchentisch kurzfristig gestoppt kriegt.

Wir können das ja zukünftig so handhaben dass User erst dann Fragen zu Netzwerkthemen stellen dürfen wenn sie mindestens und nachweislich z.B. "Interconnections" von Radia Perlmann gelesen und verstanden haben, alternativ Nachweis grundlegender Netzwerkkenntnisse z.B. durch eine Cisco CCNA-Zertifizierung - dann hätten sich so oder so aber wahrscheinlich 99,9 % der Fragen erledigt.

Wer sich hier ein grundsolides 1 %-"Wissen" zu einem Thema anliest und auf dieser Basis z.B. eine Kaufentscheidung trifft und meint dass er den "Rest" schon irgendwie hingebastelt kriegt soll halt machen. Offensichtlich reicht es bei etlichen Kandidaten nichtmal bis zur Wikipedia, da ist z.B. das Thema VLAN ganz ordentlich und nach meinem Gefühl allgemeinverständlich erklärt, der dritte Satz im Wikipedia-Artikel zu VLANs lautet z.B.: - und mit "nicht ... weiterleiten" ist im Bezug auf diesen Thread hier ganz ohne Fachchinesisch doch schon Einiges erklärt.

Aber um es noch allgemeinverständlicher zu erklären: VLANs haben exakt rein garnix mit Sicherheit zu tun wenn der böse Angreifer von aussen kommt, sprich z.B. aus dem Internet und dann über TCP/IP. Die Sachen die man mit VLANs im Sicherheitsbereich machen kann liegen alle im Ethernet-Bereich (OSI Layer 2) während TCP/IP ein höheres Protokoll (auf OSI Layer 3 aufwärts) ist - oder die laienkompatible Kurzfassung (fast) ohne Fachchinesisch: TCP/IP ist es absolut scheissegal ob es auf Ethernet oder auf Token Ring oder auf FDDI oder auf Arcnet angeschwommen kommt, TCP/IP schwimmt obendrauf wie Öl, egal ob auf Salz- oder Süsswasser.

Mit VLANs baust Du zwei (oder) mehr Ethernets (Ethernet-Netze) die jedes für sich existieren und nichts voneinander wissen und nicht miteinander reden können - so wie zwei KNX-Linien die nicht mit Linienkoppler / Router (!) verbunden sind. Um diese getrennten Ethernets (in dem Fall VLANs) zu verbinden kommst Du mit reinem Ethernet nicht weiter weil Ethernet als Protokoll auf OSI Layer 2 alleine keinerlei Routing-Funktionalitäten hat weil Routing schlicht und ergreifend und laienkompatibel eine Funktion ist die auf OSI Layer 3 angesiedelt ist, also braucht man ein höheres Protokoll (z.B. TCP/IP) und ein Gerät welches mehrere TCP/IP-Welten (nämlich eine auf jedem Ethernet) miteinander verbinden kann - und dieses Gerät nennt der Fachmann (und mittlerweile auch der gebildete Computerbild-Abonnent) "Router".

Ein Router alleine sorgt aber nur dafür das die (mittlerweile) TCP/IP-Geräte in einem Ethernet-VLAN mit TCP/IP-Geräten in einem anderen VLAN transparent reden können - und ohne weitere Massnahmen ist dieses "reden" keinerlei Beschränkungen unterworfen - und somit haben wir bislang einen Sicherheitsgewinn von Nullkommanichts - aber dafür ist die Welt insgesamt deutlich komplizierter geworden.

Um also "Sicherheit" zu gewinnen muss man Beschränkungen einziehen dass eben nicht mehr jeder aus VLAN A mit jedem aus VLAN B (und umgekehrt) uneingeschränkt reden darf. Das kann man ggf. auf dem Router machen (wenn der entsprechende Filter / Zugriffskontrolllisten kann) oder man ersetzt den allgemeinen Router durch einen speziellen Sicherheitsrouter, in Fachkreisen auch Firewall genannt. Damit hätten wir dann auch die Komplexität der ganzen Geschichte auf einen ganz neuen Level gehoben - und mit jedem weiteren Netz welches ins Spiel kommt wird das eine Potenz komplizierter weil sich einerseits die Anzahl der Filter vegrössert, andererseits die Anzahl der Regeln in den einzelnen Filtern grösser wird. Und dabei behalten wir immer im Hinterkopf dass ein Angreifer der z.B. die IP-Cam in VLAN A übernehmen kann damit dann auch Zugriff auf das NAS in VLAN B bekommt auf das die Kamera ihre Bilder ablädt.

Und wenn man dann noch hingeht und von aussen zig Löcher durch seinen Internet-Router (=Firewall) schiesst damit die IP-Cams in VLAN A, die NAS in VLAN B und die IP-Telefone in VLAN C möglichst bequem von aussen erreichbar sind dann kann man den ganzen Kram auch gleich wieder abrüsten weil man ausser Komplexität schlicht nichts gewonnen hat.