Das sichere, gehobene Netzwerk im Einfamilienhaus

4,90 Stern(e) 10 Votes
Tarnari

Tarnari

Du brauchst etwas, worauf der Radius-Server läuft. Bei mir ist das z.B. eine pfSense. Dann muss das zugelassene Gerät natürlich 802.1x können und die Radius-Zugangsdaten kennen. Diese Geräte haben irgendwo im Menü einen Punkt, wo du das aktivieren und Zugangsdaten eingeben kannst.

Einfach irgendwas anstecken geht da nicht - bzw. was ist eigentlich das praktische Ziel? An irgendeiner Stelle musst du das erlaubte Gerät mit dem System bekannt machen, entweder über einfache MAC-Filter oder eben über Radius-Zugangsdaten. Wie kommst du denn jetzt auf einen TV? Ich dachte, du willst außen liegende Anschlüsse absichern? An die RJ45-Buchse des Outdoor-APs am Terrassenüberstand hängt man ja eher selten einen TV oder PC? IM Haus (und ich denke, dass du ein Privathaus meinst), hat man ja normalerweise keine suspekten Gäste, die am LAN manipulieren. "Gefährdete" Ports im Gästezimmer könnte man dann auch direkt in ein eigenes VLAN sperren, das stark eingeschränkt ist.

Bei Hikvision Kameras sieht das z.B. so aus:
Anhang anzeigen 65721
Das praktische Ziel soll sein, dass die drei Ports (über der Terrasse und zwei in der Garage) durch kein von mir nicht autorisiertes Gerät genutzt werden können, die Ports aber dennoch für egal welches Gerät, welches ich möchte, genutzt werden können. In der Garage hängt das Gardena Gateway und ein AP, über der Terrasse auch ein AP. Ich möchte verhindern, dass dort jemand ein Gerät anstöpselt (egal welches) und Zugriff auf mein Netz hat, ich das für meine Geräte (egal welches) aber zulassen kann.
 
Araknis

Araknis

Ich kann mir (ohne zu recherchieren) nicht vorstellen, dass Chinakracher wie ein Gardena-Gateway Radius können. Wenn du wirklich jedes Gerät anstecken können willst, bleibt wohl nur der Weg über MAC-Filter. Sonderlich sicher ist das aber nicht, die MAC kann man mit überschaubarem Aufwand einfach vom alten Gerät ablesen und dann beliebig spoofen. Irgendwas leidet immer, Usability, Geräte-Auswahl oder Sicherheit.

"Einfach anstecken" geht aber auch beim MAC-Filter nicht, du musst die MAC-Adresse immer erst an der autorisierenden Stelle eintragen. Dafür sollte jedes Gerät nutzbar sein, das eine MAC-Adresse hat.
 
Tarnari

Tarnari

Genau das war ja meine Frage.
MAC-Filter bringt mal rein gar nix.
Wenn die Antwort auf meine Frage ist „geht nicht“, dann wäre ich ja schon weiter.
Konkret wollte ich wissen, ob ich steuern kann, welches Gerät per DHCP eine Adresse bekommt und welches nicht. Wenn das nicht geht, ok. Dann weiß ich, das mein Schlauch keiner war und ich nicht darauf stehe.
 
Araknis

Araknis

Okay, dann kurz:
Konkret wollte ich wissen, ob ich steuern kann, welches Gerät per DHCP eine Adresse bekommt und welches nicht.
Ja, kannst du.
Wenn das nicht geht, ok. Dann weiß ich, das mein Schlauch keiner war und ich nicht darauf stehe.
Geht eigentlich immer. "Gut" geht's, wenn dein Gerät 802.1x kann. "Weniger gut" geht's, wenn es nur eine MAC-Adresse hat.

Generell würde ich mal realistisch über solche Angriffsszenarien nachdenken. Mit VLANs sperrst du schon mal die Outdoor-Ports vom restlichen Netzwerk ab. Dann bleiben noch bestimmte Routen z.B. ins Internet. Und dann? Dein Besucher kann surfen. Dafür aber so einen Aufwand betreiben, wenn jedes zweite WLAN in der Nachbarschaft schlecht gesichert ist? Da würde mich eher stören, dass mir bei der Gelegenheit einer den AP oder das Gardena-Gateway klaut.
 
Tassimat

Tassimat

Generell würde ich mal realistisch über solche Angriffsszenarien nachdenken. Mit VLANs sperrst du schon mal die Outdoor-Ports vom restlichen Netzwerk ab. Dann bleiben noch bestimmte Routen z.B. ins Internet.
Seh ich ebenso. Dafür sind VLANs wie gemacht. Wenn du dann noch per Firewall den Traffic auf die Adressen beschränkst, die der Gardena usw. braucht, dann kann da keiner Blödsinn treiben.
(Oder die Datenrate auf Modemgeschwindigkeit drosseln :D)
 
Zuletzt aktualisiert 23.11.2024
Im Forum Elektrik / Elektroplanung gibt es 789 Themen mit insgesamt 13172 Beiträgen


Ähnliche Themen zu Das sichere, gehobene Netzwerk im Einfamilienhaus
Nr.ErgebnisBeiträge
1Wie Gebäude platzieren? Haus Terrasse Garage Werkstatt 24
2Gardena Irrigation Control - Automatische Bewässerung 18
3Terrasse vom Nachbar grenzt an Garage 11
4Tipps zur Gartenbewässerung gesucht 49
5Einfamilienhaus - Bayern 150m² inkl Keller, Terrasse - Kostenaufstellung 11
6Platzierung Haus, Terrasse, Carport & Co. im Baufenster 40
7Einfamilienhaus-Grundriss 170 qm für 4 Personen mit Garage 20
8Garage, Carport oder beides? 12
9Einfamilienhaus Süd-Hang Grundriss ca. 160m²- mit Keller und Garage 34
10Grundriss Einfamilienhaus mit Doppelgarage und Terrasse 19
11Mähroboter steht an - welchen nutzt ihr und was sagt Ihr dazu? 135
12Grundriss Einfamilienhaus mit Garage, eigenplanung 17
13 2 Vollgeschosse, Durchgang Garage, Hauswirtschaftsraum unter Treppe 25
14Grundriss Einfamilienhaus / Garage im EG? 10
15Bau Garage auf Grenze geht lt. Architekt nicht. 11
16Einfamilienhaus mit Einliegerwohnung & Garage 14
17Lage von Haus & Garage im Baufenster planen *Vorplanung* 129
18Terrasse auf Garage wird nur zum teil genehmigt 11
19Einfamilienhaus 145qm mit Garage ohne Keller 25
20Grundriss, längliches Einfamilienhaus, integrierte Garage kein Keller 16

Oben