Ankündigung

Einklappen
Keine Ankündigung bisher.

Separates WLAN IOT

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Separates WLAN IOT

    Hallo zusammen,

    ich würde gerne IOT-Kram, wie etwa Kameras, in ein separates WLAN packen. Mit der UDM SE kann ich neben den vorhanden für "Zuhause", "Arbeit" und "Gäste" problemlos ein "IOT" Netz einrichten, frage mich nun aber, was ich beachten muss, damit weiterhin die "KNX-Komponenten" (ISE Remote Access oder Control4) funktionieren. Müssen die im "Zuhause" bleiben, oder wie kann ich die ins IOT-Netz einbinden, so dass sie uneingeschränkt ihre Funktion übernehmen können? Ich bin über die Suchfunktion nicht fündig geworden, vielleicht hat aber jemand Anmerkungen oder eine Empfehlung für einen Leitfaden. Ich würde ganz grob wie folgt vorgehen:

    1. Netzwerksegmentierung
    - Erstellung eines separates VLAN für das IoT-Netzwerk und Zuweisung eines eigenen Subnetzes. Fixe IP-Adressen für die Geräte.

    2. Firewall-Regeln / Monitoring
    Um sicherzustellen, dass die KNX-Komponenten und andere Smart Home Geräte weiterhin funktionieren, würde ich die Kommunikation zwischen dem IoT-VLAN und dem Hauptnetzwerk zulassen und entsprechende Firewall-Regeln erstellen.
    Den Zugriff auf das Internet würde ich auf die benötigten Ports und Protokolle beschränken und die eingebauten Sicherheitsfunktionen der UDM SE wie IDS oder IPS verwenden.

    Ein funktionierendes VPN ist bereits vorhanden. DNS-Server (ein pi hole) läuft auch. Muss ich was bzgl. Multicast-Traffic, IGMP Snooping beachten?​

    Besten Dank.
    Zuletzt geändert von hennesstehauf; 30.08.2024, 11:00.

    #2
    Die Frage ist erstmal ob das Sinn macht KNX Geräte in ein IOT Vlan zu packen. Ich würde eher sagen nein. Im IOT Netzwerk hängt bei mir IOT Wifi Kram wie TP-Link Steckdosen, Thermomix etc.

    primär würde ich danach gehen werde Geräte müssen nie miteinander kommunizieren. Bei manchen Geräten wie beim Thermomix ist es zB so dass er eh nur Internet kann und nichts weiter. Dem kannst du problemlos alles andere sperren.

    Das Segmentierung in VLANs birgt auch immer die Gefahr dasss am Ende manches nicht mehr richtig funktioniert. Zwar gibt es heute auch Protokolle welche auch VLAN übergreifend funktionieren aber ändert nichts daran dass VLAN Segmentierung wenn man es gescheit machen will nicht einfach nur "click und fertig" ist sondern man dort schon tiefere Kenntnisse von IP Netzwerken verstehen muss..

    ggf würde es auch Sinn machen "Zuhause" in 2 Netzwerke zu unterteilen. Einmal das "normale" und einmal dann eines dafür um den Privaten Arbeitsrechner und NAS/Server vom Rest zu trennen.

    Son Zeug wie DLNA nutze ich in Windows eh nicht. Aber am Ende wird man nur glücklich mit eine auf einen selber zugeschnittene Lösung.
    Zuletzt geändert von ewfwd; 30.08.2024, 12:12.

    Kommentar


      #3
      Der Gira S1 baut einen Tunnel zu seinem Server auf, braucht also Zugriff darauf über das Internet. Das wird beim ISE Remote Access nicht anders sein.

      Kommentar


        #4
        Das ist ja kein Problem. Du kannst für jedes VLAN ja selbst festlegen in welches Netzwerk man von da aus kommt und in welches nicht. Das grundsätzliche Problem ist dass vom komfort her es das beste ist alles im selben Netz zu betreiben. ggf tastet man sich auch langsam da ran mit den VLANs falls man keine Erfahrung hat.

        "Work" VLAN ist meist unkritisch. Einziger Nachteil da sind mitunter so etwas wie Drucker zuhause die sich dann in einem anderen Netzwerk befinden könnten..

        Kommentar


          #5
          Danke für die Rückmeldungen. Ich habe mal ein IoT-VLAN aufgesetzt und taste mich langsam heran, werde aber vermutlich die genannten Geräte erstmal im "Standardnetz" lassen und das IoT v. a. für Kameras und dergleichen verwenden. Freue mich aber natürlich dennoch weiterhin über Tipps.

          Kommentar


            #6
            Was sind denn eigentlich die Feindbilder, die du mit einem VLAN vermeiden möchtest?
            Bei einer Kamera könnte ich mir folgende Feindbilder vorstellen.

            1. Sobald die Kamera mit der Hersteller-Cloud verbunden ist, landen möglicherweise alle Bilder auf dessen Servern.
            Um dieses Problem zu vermeiden, ist ein VLAN nicht notwendig, das kann man auch anders lösen.

            2. Die Kamera kennt das WLAN Passwort und kann dieses an den Hersteller senden.
            Wenn man das Problem 1 gelöst hat, ist wohl auch Problem 2 gelöst.

            Das deutlich größere Problem ist vermutlich, dass immer mehr Geräte nach Hause telefonieren wollen,
            bzw. ohne Cloud nur mehr eingeschränkt oder gar nicht mehr funktionieren.
            Dagegen würde nur die strikte Vermeidung solcher Geräte helfen, was aber immer schwieriger wird.

            Wenn es also Geräte gibt, die auf die Cloud angewiesen sind, dann könnte ich mir vorstellen, dass ein IoT VLAN durchaus Sinn ergibt.
            Das Gäste-WLAN wäre möglicherweise auch geeignet, aber vermutlich nicht so übersichtlich da dieses von der Idee her eher komplett isoliert ist.

            Da aber die IoT Geräte oft auch mit einem Home-Server kommunizieren sollen, muss die Konfiguration des VLAN alle Anforderungen sauber abdecken.
            Ich könnte mir vorstellen, dass genau aus diesem Grund ein IoT VLAN noch nicht so häufig eingesetzt wird.

            Kommentar


              #7
              Alle IoT Geräte in ein VLAN ist eine gute Idee. Bei mir kommen dort alle nicht vertrauenswürdigen Geräte rein, Geräte mit komischer Cloud, Geräte wo ich mich nicht um Updates kümmere oder der Hersteller sich nicht kümmert, usw, das könnte sein HUE, Waschmaschine, Staubsauger, Waage, Thermomix…. IoT darf keine selbstständigen Verbindungen in andere VLAN aufbauen. Sind also erstmal eingesperrt. Aus anderen VLAN ist der Zugriff jedoch möglich.

              KNX hat nichts im IoT verloren.

              Nun hat man aber das Problem, das der ganze Consumer Cloud Quatsch meist Multicast, Broadcast zur Einrichtung benötigt. Sprich man muss in dem VLAN zur Einrichtung sein und spätere Kommunikation dann über die cloud. Sollte eine direkte Kommunikation möglich sein, können andere VLAN auf das IoT ja zugreifen, solange es Unicast ist. Manchmal benötigst du jedoch Multicast und bestimmte Ports wie bei Sonos oder Drucker. Dann wird es schwieriger und es wird ein MDNS, Relay und Firewall regeln benötigt. Wobei nach meiner Definition diese Geräte nicht in IoT hängen sondern 1x in Medien VLAN und 1x im Endgeräte.

              Wichtig. Vieles ist möglich muss aber nach Jahren noch problemlos überschaut und betreut werden können.

              Kamera kommt drauf an was du hast. Cloud Kameras oder richtige eigenständige. Entsprechend die Entscheidung.

              Kommentar


                #8
                Zitat von Axel Beitrag anzeigen
                Nun hat man aber das Problem, das der ganze Consumer Cloud Quatsch meist Multicast, Broadcast zur Einrichtung benötigt.
                ja und das macht eine trennung fast ausgeschlossen - leider.

                mein Fazit ich trenne nicht mehr, da alle kritischen Anwendungen bereits über eine Authentifizierung verfügen. Ausnahme KNX (noch)
                OpenKNX www.openknx.de | OpenKNX-Wiki (Beta)

                Kommentar


                  #9
                  Grundsätzlich stimmt das. Wenn du aber beispielsweise ein NAS hast und das rein nur SMB Freigabe macht kann man das durchaus in ein eigenes Netzwerk packen.

                  Aber das "Hauptzeug" wie Tablet, Smartphone, Smarte Steckdosen, Airplay usw da macht es schon Sinn die möglichst in einem Netzwerk zu haben um potentiellen Problemen aus den Weg zu gehen.. Wobei es mittlerweile auch Techniken gibt die Netzwerkübergreifend funktionieren, so schlimm wie "damals" ist es mittlerweile nicht mehr, aber wenn man sich nicht auskennt wird man durch die Trennung am Ende nur mehr Ärger als ein Plus an Sicherheit haben..

                  Kommentar


                    #10
                    Zitat von scw2wi Beitrag anzeigen
                    Was sind denn eigentlich die Feindbilder, die du mit einem VLAN vermeiden möchtest?
                    IoT devices haben meist miserable Schutzvorkehrungen, so dass man so leicht das Netzwerk infiltrieren kann. Bei mir ist alles getrennt, klappt selbst mit Sonos, würde ich aber privat in Zukunft aufgrund des Aufwands trotzdem nicht mehr unbedingt machen. Ich denke zunehmend wird der Trend dazu gehen auch lokale Netze nicht als sicher anzusehen.

                    Kommentar


                      #11
                      Zitat von Hubertus81 Beitrag anzeigen
                      Wenn du aber beispielsweise ein NAS hast und das rein nur SMB Freigabe macht kann man das durchaus in ein eigenes Netzwerk packen.
                      Warum, da macht man die Authentifizierung an und gut ist. In Zeiten on ZeroTrust etc. sollte in keinem Netzwerk unauthentifiziert gearbeitet werden. Bei mir arbeitet alles mit mDNS, also müsste ich wieder per Multicast Proxy alles brücken. Ich sehe keinen Grund im EFH diesen Aufwand zu betreiben. Klar wäre es geil wenn ein extra Netz zu haben, aber idr erhäht es nicht die wirklich die Sicherheit sondern macht nur alles kompliziert und anfälliger.

                      Mein Motto betrachtet alle Gerät in einem Netzwerk als Untrusted!
                      OpenKNX www.openknx.de | OpenKNX-Wiki (Beta)

                      Kommentar


                        #12
                        Zitat von traxanos Beitrag anzeigen
                        Warum, da macht man die Authentifizierung an und gut ist. In Zeiten on ZeroTrust etc. sollte in keinem Netzwerk unauthentifiziert gearbeitet werden
                        Man hat dadurch einfach nochmal ne zusätzliche Sicherheit

                        Kommentar


                          #13
                          Zitat von ewfwd Beitrag anzeigen
                          Man hat dadurch einfach nochmal ne zusätzliche Sicherheit
                          gepaart mit taqusenden von nachteilen. und wenn nur ein gerät durch die firewall auf den port für smb zugreifen darf/muss, ist diese zusätzliche sicherheit sogar auch dahin.
                          OpenKNX www.openknx.de | OpenKNX-Wiki (Beta)

                          Kommentar


                            #14
                            Aso weil ich zB EINE Mac+IP Kombo und nur einen Port durch die Firewall durchlasse ist das quasi IDENTISCH mit der Nichtexistenz einer Firewall...

                            Es ist ne zusätzliche Hürde wie ich bereits schrieb nicht mehr und nicht weniger. Und jaja, IP, MAC kann man alles clonen weiß ich alles, muss "man" aber auch erstmal machen. Und wie schon geschrieben: Zusätzliche Hürde.

                            Was bei mir Fakt ist ist: Dass ich die SMB Freigabe nur auf meinem Notebook, Table und iPhone benötige..
                            Zuletzt geändert von ewfwd; 01.09.2024, 22:30.

                            Kommentar


                              #15
                              Kannst du alles gerne so machen wird aber praktisch für 99,9999999999% unpraktisch sein. Daher macht es auch nahezu niemand im privat Bereich an.

                              aber die Aussage das alle Dienst im Netzwerk ein Auth haben sollten, ist imho der wichtigste Tipp. Soviel machen Netzwerkfreigaben ohne auth. und das sehe ich als echtes Risiko.
                              Zuletzt geändert von traxanos; 01.09.2024, 22:40.
                              OpenKNX www.openknx.de | OpenKNX-Wiki (Beta)

                              Kommentar

                              Lädt...
                              X