War glaube ich schon mal das Thema.
Der sicherste Weg wäre, vermutlich eine Firewall (z.b. Raspi) dazwischen klemmen und dort alles Filtern.

Ich denke mit VLAN und Mac-Filter, kannst du schon mal das meiste erschlagen für HomeUse.
Eventuell die PortSecurity am Switch aktivieren, das bei wechsel der MAC der Port deaktiviert wird.
Den VLAN-TAG im Endgerät konfigurieren und keine Untagged Packete zulassen.
Eventuell noch einen Filter im Switch konfigurieren, was zw. den VLAN zugelassen ist.

Oder - m.e. fehlersicherer weil Hardware-basiert: Sabotagekontakt an der Türsprechstelle/Kamera etc., der schaltet ein selbsthaltendes 230V-Relais an dem ein kleiner Switch hängt. Öffnet jemand z.B. mit Gewalt die TFE, fällt das Relais ab und der Switch ist stromlos und kann nur von innen manuell wieder freigeschalter werden. Da ist dann auch nichts mehr mit hacken, weil man irgendeinen Bug in der Firmware seines Routers hat. Das Kabel ist schlicht tot.

oder POF


siehe: https://knx-user-forum.de/forum/%C3%...sche-faser-pof

Nen Switch kann aber eigentlich nicht zwischen verschiedenen VLANs routen.
Ich würde alle Außengeräte in ein eigenes VLAN packen und dann pfSense als Router benutzen. Dort kann man beliebig viele DMZs definieren. Das Außen VLAN kommt in die Außen DMZ und dann kann man per Firewall festlegen wer wohin Pakete schicken darf.
Dazu Port Security am Switch aktivieren und das ganze ist ne runde Sache.

Viele Grüße,
Michael

Ist das jetzt eigentlich eine 10 Millionen Villa oder warum sich den ganzen Aufwand machen?!

Wenn Du das DHCP im Netzwerk ausschaltest, dürfte das für 90% der Bevölkerung schon ausreichen. Wenn Du es übertreiben willst, kannst auch mit MacMon oder ähnliche Tools die MAC Adresse überwachen und sobald je,and mit ner anderen MAC Adresse kommt ist der Port abgeschaltet. Klar kann die MAC Adresse geklont werden usw. aber dann nehme ich doch lieber nen Stein durchs Terrassenfenster und nehme Dein NAS mit, bevor der ganze Aufwand gemacht wird.
Achja, Radius Server könntest Du auch einsetzen, falls Dir langweilig ist ;-)

Ich würde versuchen die Kabel baulich abzusichern.
Die Dose für die Tür-Sprechstelle ist idealerweise hinter dem guten Stück oder in nem entsprechend verschlossenen Kasten.
Kameras im Außenbereich haben oft auch ne feste Anschlußleitung.
Und das Risiko dass dir hier jemand die Fassade aufspitzt und an das Kabel nen Stecker krimpt ist schon eher überschaubar.

Dosen die nicht benötigt werden, sollten nicht gepatcht sein oder am Switch deaktiviert werden.
Wenn du viel Zeit und Muse hast, kannst vielleicht versuchen die Switch-Ports über KNX UP/DOWN schalten.

Alles andere ist aufwendig und erfordert fundierte Netzwerk-Kenntnisse wenn es später funktionieren UND sicher sein soll.

Netzwerkdosen/Zwischenstecker mit Schaltkontakt wären sicher praktisch.
Mit dem Homeserver könnte man doch das Gerät anpingen und bei fehlender Antwort (oder mehreren) die Dose schalten

Bei dem ganzen Spaß dann aber bitte auch kein W-LAN. Also ich meine wirklich KEIN W-LAN. Denn jede wie auch immer geartete Verschlüsselung lässt sich mit gewissem Aufwand und/oder Zeit austricksen. Soll heißen, wenn tatsächlich übers Netzwerk eingebrochen werden soll, ist es viel unauffälliger und vermutlich auch unaufwendiger Deine Verschlüsselung zu knacken, als sich an Deine Netzwerkdosr zu hängen.

Wie gesagt: DHCP abschalten und vielleicht nicht das Standardnetz 192.xxx.xxx.xxx nehmen, dann dürfte das allgemeine Sicherheitslevel mehr als ausreichend sein. Bei einer Fritzbox kann man zudem noch einstellen, das nur bekannte Geräte zugelassen werden.

Alle die das aushebeln, kommen so oder so an Dein Netzwerk, dauert ggf. nur etwas länger ;-)

Mit Verlaub, daß ist Nonsens.
Nutzt jemand WPA2 und ein ausreichendes Passwort, welches nicht gerade im Wörterbuch steht ist nach derzeitigem Stand WPA2 nicht zu knacken.

Jede Verschlüsselung lässt sich knacken. Aber so lange es für die gewählte Verschlüsselung nichts effizienteres gibt als einen Brute Force-Angriff, kann ich damit sehr gut leben. Es wird wahrscheinlich auffallen, wenn ein fremdes Auto ein paar tausend Jahre vor meiner Einfahrt steht...

Nee, wirklich nicht. Das WLAN ist verschlüsselt, der Netzwerkverkehr auf dem LAN erstmal nicht. Dort einzubrechen ist viel einfacher, das ist gar nicht vergleichbar.

Was ist denn an DHCP so böse? Dass ich als Angreifer automatisch eine IP-Adresse zugewiesen bekomme? Wenn das nicht passiert brauche ich eben 15 Sekunden länger um mir eine passende IP-Adresse zu besorgen.

Was soll das bringen? Security by Obscurity? Nee, sowas ist nicht empfehlenswert.

Bisher gibt es überhaupt kein Sicherheitslevel.

Das bedeutet, dass die Fritzbox nur Geräte bedient, deren MAC-Adresse sie bereits kennt. Dann gebe ich meiner Netzwerkkarte eben mal schnell eine MAC-Adresse die deine Fritzbox schon kennt. Woher ich die bekomme? 5 Sekunden lauschen.

Das hebelt dir jedes Skriptkiddy aus, dafür gibt es fertige Tools.

Viele Grüße
Andreas

@andreas1

die Frage ist doch, gegen wen möchte ich mich schützen?
Wie ich geschrieben haben, der der sich einen ermaßen aus kennt öde vom Fach ist oder ein ähnliches Wissen wie Du hast, wird man mit dem Abschalten von DHCP oder ähnlichem nicht begegnen können.

Ebenfalls mal die Top 10 der Passwörter lesen und hoffen, dass das eigene nicht dabei ist ;-) tatsächlich wird jeder vom Fach vermutlich ein starkes Passwort wählen. Wieviele Endanwender verändern nicht mal das Standardpasswort oder nehmen so ein schwaches, dass es tatsächlich mit einer Wörterbuch/Brute Force suche geknackt wird.

Wie ich ich schon schrieb, ist es eine durchaus gängige Praxis den Port zu überwachen und wenn da innerhalb der ersten 5 Sekunden keine bekannte MAC Adresse kommt, diesen Port komplett abzuschalten.
natürlich kann man jetzt die Kamera oder das dort befindliche Netzwerkgerät abbauen und bevor man sich selber dran hängt, dessen MAC Adresse Klonen.
Aber mal im Ernst, wieviele solcher Fälle von Datendiebstahl oder Einbruch hat die Polizei aufgenommen?! Wenn es keine 10 Millionen Villa ist oder ich einen besonderen Schutzbedarf wird die Anzahl an möglichen LAN Einbrechern doch deutlich überschaubar sein.

Da würde ich die Wahrscheinlichkeit eines herkömmlichen Einbruchs auf ein Vielfaches schätzen.

Also erstmal eine Risikobetrachtung, Schutzbedarf festlegen und dann Maßnahmen umsetzen. Ohne die Tatsächlichen Rahmenbedingungen zu kennen, möchte ich nur vermeiden, das mit Kanonen auf Spatzen geschossen wird.

viele Grüße
David

WPA2 fürs LAN
das wärs!

Gibt es. Nennt sich PKI - allerdings müssen es deine Endgeräte unterstützen. Eine Ethernet-Leitung im Freien ist genau so zu betrachten wie der Zugang zum Internet-Router - erstmal ist das Scheunentor weit offen. Entweder komplett von Heimnetz trennen (Private/Public-Zone) oder über ein Gateway mittels Firewall das Netzwerk filtern (DMZ).

Idealerweise können alle Endgeräte TLS und haben Secure-Elemente für die Zertifikate - dann ist es schonmal sehr sicher, aber diese Geräte sind halt dann teuer.

WLAN/WPA2 ist zwar vom Protokoll her (noch) sicher, aber wenn jemand die Kameras ausschalten will dann ist das ganz leicht über Jammer möglich.

"100% Sicherheit gibt es eh nicht - man kann nur die Hürden so hoch wie möglich setzen."

Nö.

Nennt sich 802.1X und ist der Überbegriff für relativ komplexe Verfahren um den Zugriff von Clients / Usern auf Netzwerke zu kontrollieren. Im WLAN heisst das WPA2-Enterprise.

Es gibt dafür diverse Implementierungen, z.B. Cisco-proprietär LEAP, PEAP von Microsoft, RSA und Cisco oder als offener Standard EAP in diversen Geschmacksrichtungen, z.B. EAP-TLS, EAP-TTLS, EAP-FAST.

Im Prinzip läuft das (stark vereinfachend) darauf hinaus dass der Supplicant (User, Client) bei einem Authenticator (Access Point, Switch) vorspricht der die vom User gelieferten Informationen an einen Authentication Server durchreicht der dann entscheidet ob bzw. was der Supplicant im Netz darf und diese Entscheidung dem Authenticator mitteilt. So kann man einem Supplicant z.B. dynamisch ein VLAN zuweisen, egal an welchem Port der sich einstöpselt. I.d.R. läuft im Hintergrund noch ein RADIUS-Server der die User (-credentials) sowie deren Berechtigungen vorhält und wenn man das besonders schön machen will hat man im Hintergrund noch eine CA/PKI die Zertifikate für jede Komponente ausstellt bzw. deren Überprüfung während der Anmeldung ermöglicht.

Man kann das mit diversen weiteren Zutaten würzen, z.B. Smart Cards oder One Time Passwords für die Anmeldung, man kann das soweit treiben dass bei der Anmeldung geprüft wird ob auf dem Client ein aktueller Virenscanner läuft oder der Patchlevel des Clients dem Firmenstandard entspricht.

Das Thema ist komplex hoch drei. Vor ein paar Jahren war das der neueste geile Shice den jeder CIO und jeder Admin haben wollte, gefühlt 95 % sind bei der Implementierung donnernd auf die Nase gefallen und haben das für ein Schweinegeld dafür gekaufte Equipment und Consulting still und leise in die Abteilung "Lebenserfahrung" umgebucht. Damit das sauber und verlässlich funktioniert sollte man alle Dienste redundant auslegen und ein paar richtig gute Admins haben die sich im Prinzip um nix anderes wie die AAA-Infrastruktur kümmern. Weil wenn das System Schluckauf hat können alle Mitarbeiter morgens auch gleich im Bett bleiben weil ausser "Ablage machen" geht dann nix in der Firma.

Sowas in einem Wohnhaus zu implementieren ist bestenfalls was für absolute Freaks oder für Masochisten.