ElabNET Technik Forum

Hi

Mich würde interessieren ob und wie ihr VLAN nutzt, insbesondere unter dem Aspekt der Sicherheit der KNX/Smarthome-Komponenten.

Ich hatte mal einige Zeit VLAN's im Einsatz, um die KNX und Smarthome-Systeme vom Rest zu trennen, aber irgendwie klemmte es dann immer irgendwo. Hatte z.B. HUE auch im gleichen VLAN wie KNX, konnte aber dann natürlich mit dem IPAD und der HUE-App nicht ohne weiteres darauf zugreifen. Oder das Drucken vom IPAD, weil beide in unterschiedlichen VLAN's (und damit z.B. der Drucker nicht gefunden wurde). Wäre sicher alles irgendwie gegangen, aber der Aufwand war mit dann doch zu gross.

Aktuell habe ich ein Gäste-WLAN, welches komplett vom restlichen Netz getrennt ist, den Rest aber alles in einem Netz.

Danke und Gruss
Dani

Hallo Dani,

wir Du schon erkannt hast, ansich wären getrennte Netze eine tolle Sache zur Separierung, gerade insbesondere der Haustechnik, aber praktisch ist es ein ziemlicher Aufwand, gerade auch weil man mit den normalen PC / Tablett / Smartphone dann doch darauf zugreifen muss und damit wieder Verbindungen notwendig sind, die das wieder konterkarieren.

Es ist nicht so, dass es nicht geht, mit einem gemanagten Layer-3 Switch bekommt man das hin und wenn er dann noch Firewall-Funktionen hat bekommt man dann auch alles abgeblockt, aber man wird dadurch der hauptamtliche Netzwerk-Admin für zuhause.

Ich denke der Ansatz "Gäste ins getrennte Gäste-WLAN" und die eigenen Geräte im eigenen Netz ist da ein pragmatischer Ansatz. Einen Sicherheits-Fetischisten wird das nie reichen, aber der muss halt dann in den sauren Apfel beißen und alles trennen und filtern. Man muss das halt wollen.

lg

Stefan

StefanW hat geschrieben: ↑Do Mai 23, 2019 8:38 pm
Ich denke der Ansatz "Gäste ins getrennte Gäste-WLAN" und die eigenen Geräte im eigenen Netz ist da ein pragmatischer Ansatz. Einen Sicherheits-Fetischisten wird das nie reichen, aber der muss halt dann in den sauren Apfel beißen und alles trennen und filtern. Man muss das halt wollen.

Ist es eigentlich technisch möglich (und ggf bereits für eine spätere Version vorgesehen), den Zugriff auf den KNX Bus über den TW auf bestimmte MAc Adressen zu beschränken? Dies wäre ja dann zur Absicherung vom KNX Bus schon mal nicht schlecht.

lg
Dani

Ich frage mich da immer sofort: reicht im Heimnetzwerk User + Passwort auch nicht mehr aus?

Robert

Robert_Mini hat geschrieben: ↑Fr Mai 24, 2019 7:49 am Ich frage mich da immer sofort: reicht im Heimnetzwerk User + Passwort auch nicht mehr aus?

Sobald fehlerhafte Software ins Spiel kommt, nein. Multiple Lines of Defense.

Ich habe in meinem - overengineerten - Heimnetz für jeden * ein eigenes VLAN, und die KNX-IP-Linie hat natürlich ihr eigenes. Die möglichen Herausforderungen, die daraus entstehen, sind in diesem Thread schon beschrieben worden. Wenn man den Willen hat, sich da hineinzufuchsen ist das eine Qualifikation die selten ist und einem vielleicht auch beruflich weiterhilft.

Also: Spielkinder vor.

Grüße
Marc

Ich vertraue dem Wolf.
Aber jedem das seine - ich stehe leider mit LAN auch ohne VLAN auf Kriegsfuß.

Robert

Robert, das hat wenig mit Vertrauen in den TWS zu tun. Im Heimnetz tümmeln sich immer mehr Geräte.
Viele Hersteller haben das Thema Sicherheit nicht so hoch auf der Agenda, da es viel Kostet.
Musst ja nur Mal bei zB Heise.de die Sicherheitslücken bei IoT Devices suchen.
Wenn jetzt die 5€ China-Cam (China nur als Beispiel, betrifft natürlich alle unsicheren Produkte) offen wie ein Scheunentor ist und diese Cam im gleichen Netzwerksegment wie KNX-TP hängt, dann ist dies ein Angriffsvektor.

VG Alex

Ich sperre für unseriöse oder wichtige Geräte (z.B. KNX Router) den Internetzugriff per Fritzbox. WLAN Geräte sind großteils nur im Gastnetz.

Ein eigenes VLAN wäre zwar wünschenswert, aber bisher habe ich den Aufwand gescheut.

Gruß
Andreas

exkanzler hat geschrieben: ↑Sa Mai 25, 2019 1:44 pm Ich sperre für unseriöse oder wichtige Geräte (z.B. KNX Router) den Internetzugriff per Fritzbox. WLAN Geräte sind großteils nur im Gastnetz.

Du darfst halt nicht vergessen, dass in einem unsegmentierten Netzwerk _ein_ übernommenes Gerät reicht, um sich von diesem weitre hangeln zu können.

Grüße
Marc

@Robert_Mini hatte ja eigentlich auf @danik's Frage bzgl. MAC-Beschränkung im TWS geantwortet.

Konkret diese sehe ich aber als wenig hilfreich, für den normalen User sogar eher als Gefahr, sich selbst auszusperren. Man muss immer min. zwei MACs eingetragen haben, falls einer der Rechner/Smartphones/etc. ausfällt. Sonst kommt man nicht mehr drauf und muss hoffen, dass das Wartungs-VPN offen ist, damit Elabnet helfen kann.

Weiterhin ist es möglich, die MAC zu ändern - inzwischen oft einfach über die Treibereinstellungen. Also hilft nur, den TWS in ein VLAN zu packen und dann den Zugriff in dieses VLAN zu steuern.