Ich gebe da mal immer meinen Eingangsbereich als Beispiel.
Da habe ich den Steinel iHF montiert.

Auf der einen Haus seite habe ich einen Windfang und der hat noch ein Überdach so dass das Dach insgesamt symmetrisch auf der Hausseite verteilt ist.
Hauseingang in den Windfang hat ne kleine Treppe. Im Überdach sind Spots und an den Hausecken hängt je ne große Laterne.

Mit dem einen Melder lasse ich bei Bewegung im Überdachbereich und vor der Türe die Spots im Überdach leuchten. Gehe ich in Richtung Gartentor schaltet der Melder die eine Laterne zu gehe ich in Richtung Garten schaltet er die andere Laterne zu. Gehe ich vom Garten am Haus vorbei schaltet er auch ab Reichweite die Gartenlaterne und dann weiter die andere zur Strasse. Komme ich von der Strasse und gehe ins Haus gibt es nur das Überdach-Licht oder die Gartenlaterne.
Das geht alles aus einem intelligenten KNX-Melder. Mit Baumarktmeldern am Binäreingang bräuchte ich da einige mehr von um sowas abzubilden.

Wenn die Industrie "Secure" irgendwo drauf schreibt, ist das immer erstmal höchst verdächtig. Und oft genug eben nicht sicher sondern teurer und komplexer.

KNX gehört idealer Weise in ein eigenes Netzwerksegment auf das man nur mit VPN oder einem dedizierten Kabel drauf kommt. Man macht sowas ganz gerne mal mit VLANs. Das kann der von dir favorisierte Chinakracher-Router übrigens nicht.

Übrigens: Vollkommen unabhängig vom KNX-("Secure"-)Protokoll kann es auch einfach sein, dass ein Hersteller eine Backdoor in seinen Produkten vorhält. Da hilft alle Verschlüsselung auf der Leitung nix. Siehe ganz aktuelles Beispiel: https://blog.recurity-labs.com/2019-04-12/knx.html

Selbst IT-Spezialisten, die nicht im Netzwerkbereich tätig sind, wissen oft nicht, was ein VLAN ist. Derartiges Wissen kann man also nicht von einem normalen Endnutzer erwarten, geschweige denn es einzurichten und zu warten. Beides ist nicht wirklich trivial.

Ich kann auch deinen abfälligen "Chinakracher-Router" Seitenhieb nicht wirklich nachvollziehen.
Die allermeisten Router der Consumer / SOHO Klasse können keine VLANs, einschließlich der in Deutschland weit verbreiteten FritzBox bis hin zum teuersten Modell der Reihe.

Davon abgesehen, denke ich dass ein KNX-Router im heimischen LAN gut aufgehoben ist. Angreifer können selbstverständlich auch über Geräte von Markenherstellern ins Netzwerk eindringen, wie der von dir verlinkte Artikel zeigt. Viel wahrscheinlicher ist in meinen Augen jedoch eine Hintertür in normaler Software, die du z.B. auf deinem PC installierst (vom Betriebssystem mal abgesehen!). Das geht für den Angreifer viel leichter und hat meist auch eine größere Zielgruppe. Selbst Konzerne werden eher auf der Schwachstelle "Benutzer" angegriffen als mit kompromittierter Haustechnik.

Die allermeisten Router der Consumer / SOHO Klasse sind aus diesem Grund nicht geeignet um ein Netzwerk sicher zu machen. Klar bringt NAT eine Grundsicherheit für willkürliche Zugriffe aus dem Internet. Aber das ist ja nicht die einzige Bedrohung.

Okay, es kennt sich nicht jeder mit VLANs aus. Ist aber nicht so komplex, kann man sich an einem Nachmittag anlesen. Zum ausprobieren kann man mal mit einem RouterBoard hex lite starten. Es gibt übrigens keine Pflicht, All-in-One-Geräte einzusetzen. Nicht jedes gute DSL-Modem ist auch ein guter Router.

Generell: Warum sollten die Sicherheits-Empfehlungen da aufhören wo die durchschnittlichen Kenntnisse enden und bei dem was die Industrie für Privatanwender vorsieht?
Schlag hier mal im Forum vor, eine Consumer-Alarmanlage, eine Consumer-Brandmeldeanlage oder einen Consumer-Überspannungsschutz für ernsthaften Objektschutz zu verwenden. Kann man machen, sieht im Prospekt auch gut aus, ist aber halt nicht das was es sein sollte.

Vielen Dank für das Beispiel aus der Praxis. Leider fällt mir solch eine Kombination bei mir nicht ein. Sprich, gerichtete Bewegungen, verschiedene Szenen etc.
Vielmehr benötige ich mehrer BWMs um die entsprechenden Seiten des EFH abzudecken und dann soll eig "nur" Licht angehen...aber gut, ich überlege mal weiter bzw. lass mich gern weiter inspirieren

...find ich jetzt auch etwas überspitzt...als ob du nen 1.500 EUR Cisco Router zuhause rumstehen hast (...die btw, mit Sicherheit auch asiatische Bauteile verwenden und/oder gleich zusammen setzen lassen...)

Außerdem habe ich doch geschrieben -> Layer3 Switch? ...was sagst du denn dazu?

Wenn Du den ordentlich bedienen kannst ist es ein Schritt in die richtige Richtung.

Nein, Cisco ist leider auch kein rühmliches Beispiel. Aber ich habe in der Tat einen einfachen und recht alten Linux-Server hier, der VLAN und VPN macht und damit geht vieles was bei den fertigen Geräten in der Preisklasse nicht geht. Außerdem läuft OpenHAB auf diesen Server und damit kann OpenHAB auf das KNX zugreifen. Und dazu habe ich dann einen etwas dickeren Switch, der VLAN tagging unterstützt. (Und in meinem Fall dann auch noch Fiber Link um mit einem anderen Gebäude zu kommunizieren.)
Die Modellangabe in deinem Posting war iirc auch nicht ganz eindeutig, jedoch zeigte eine kurze Suche nach der genannten Bezeichnung eben nur einen Router, der quasi nix zusätzliches kann.

Nicht falsch verstehen: Mein Internet-Zugang wird auch von einem Gerät dieser Klasse aufgebaut. Aber dort ist das WLAN aus, die zwangsweise enthaltene Telefonie aus und der dort integrierte 4-Port-Switch wird auch nicht benutzt, zumindest nicht für das interne LAN. Das Gerät hat halt für meine Verbindung das passende Modem drin, nur in Sachen Sicherheit ist das Gerät Kacke. Außerdem wäre das WLAN im Technik-Keller eher unsinnig, dazu platziere ich lieber passend Access-Points im Haus.


Oh, diesen Beitrag hatte ich sogar ganz übersehen. Na du bist ja dann schon ganz alleine auf VLANs gekommen.

Ich mag den Begriff "Layer 3 Switch" persönlich nicht. Layer 3 ist IP, wenn man da switching unterstützt, ist man eigentlich ein Router. Aber das was die Industrie als Layer 3 Switch anpreist, kann meistens nur ganz triviale Routing-Funktionen und man traut sich daher nicht "Router" drauf zu schreiben.
Ich hab hier auch einen so genannten Layer 3 Switch, der mir eben die VLANs separiert aber er kann z.B. kein NAT von einem VLAN ins andere. Sein Routing funktioniert also nur dann, wenn die Clients jeweils einzeln passende Routing-Tabellen haben. Und dann ist es ungefiltert, so dass es für die Sicherheit nix bringt (wer ins andere VLAN will und seine Routingtabelle richtig setzt, der wird geroutet, wer das nicht macht nicht. Das ist für diesen Anwendungsfall Security by obscurity und erschwert die legitime Nutzung. Ich nutze diese Funktion daher nicht, auch wenn ich diese Erkenntnis zugegebenermaßen erst nach dem Kauf hatte.

Ein Layer3-Switch, der ungefähr das macht was du benötigst könnte wirklich RouterBoard sein. Schau dir das mal an. Man erschrickt kurz was das Ding alles kann, die Oberfläche ist auch entsprechend komplex aber damit kannst du halt NAT und Filtering machen. Ich nutze den momentan um das Gäste-LAN/WLAN sauber vom Rest zu trennen. Lustigerweise ist der RouterBoard dazu nur mit einem einzigen Kabel an meinen Switch angeschlossen, da er zwischen den VLANs routet und über das Kabel eben unterschiedlich getaggte Pakete gehen.

Security kosten viel Zeit, viel Geld und es ist immer ein Gesamtkonzept! Die meisten verlieren einfach den Überblick und sind mit der Security Technik überfordert. Und es gibt nichts Unsichereres in der IT als die beste Firewall, die niemand von dem Betreiber bedienen kann und die Logs etc. nicht beachtet.

Es bringt Dir nichts den besten Tresor auf dem Grundstück zu haben, wo jeder frei drauf rumlaufen kann.

Erst einmal vielen Dank fürs Feedback!
Von Mikrotik habe ich bereist in anderen (Admin-)Foren gelesen, aber mich noch nicht damit beschäftigt, danke für den Hinweis.
Kannst du auch speziell ein Modell empfehlen?

Deshalb wäre mir die Variante auch sehr angenehm, einen sauber eingerichteten (Routingfähigen-)Switch als "Sicherheits-Modul" zu betreiben.
Das würde mir für mein Sicherheitsgefühl in Sachen Netzwerk (inkl. KNX IP Gateway) reichen.

Das ist aber noch gefährlicher! Hauptsache ich hab die Super-Duper Firewall und ein gutes Sicherheitsgefühl dabei. In Wirklichkeit ist das Ding ggf falsch konfiguriert, und dadurch anfälliger als eine Fritzbox mit Standardeinstellungen.

Ich denke nicht

Außerdem hab ich ja gesagt

Wenn dein Switch VPN Routing beherrscht, und sauber konfiguriert ist...... Nicht jeder sogenante L3 Switch kann auch VPN Routing.

Genau so sehe ich das auch. Ein per default möglichst sicher voreingestelltes Consumer-Gerät kann ohne Fachwissen sicherer sein als ein schlecht konfiguriertes Business Gerät.

Darf ich fragen, welches Gerät Dir hier so vorschwebt?

Erst dachte ich an NETGEAR GS724T-400EUS ProSAFE (oder ähnlich), bin aber gerade erst dabei mich richtig einzulesen.

Aber der Satz hat mich auch a bissl zum nachdenken gebracht und stimmt soweit, die meisten liegen doch eher im L2 bzw. L2+ .
Jedoch kann ich hier noch nicht vollends bewerten, ob dies nicht bereits ausreichend (für mich) ist.

Stichwort: Dementsprechend gibt es keinen wirklichen Favoriten. Ich bin aber über jeden Tipp sehr dankbar!

z.B.: