14
Absicherung des kabelgebundenen Heimnetzwerks
Hallo ihr,
ich erweitere in meinem Haus Schritt für Schritt das Heimnetzwerk und baue bis zu diesem Zeitpunkt auf Geräte von TP-Link. Meine nächste Anschaffung sollen 1-2 Outdoor-Access Points und ggf. auch Outdoor IP-Kameras werden.
Mit der Absicherung meines WLAN-Netzes habe ich soweit keine Probleme. Allerdings beunruhigt mich die Absicherung des LANs, da ich zeitnah an der Hauswand Ethernetkabel für die Endgeräte verlegen muss. Ich möchte vermeiden, dass sich ein Unbefugter Zugriff zu einem dieser Kabel verschafft und somit in mein gesamtes Heimnetzwerk gelangen kann (es wären dadurch auch Elemente meiner intelligenten Haussteuerung betroffen).
Könnt ihr mir hierzu Tipps/Absicherungsmöglichkeiten nennen? Wie sieht es mit dem MAC Filtering aus, das allg. nur für WLAN unterstützt wird? Sollte ich mir hierfür einen Web Managed Switched zulegen?
Vielen Dank im Vorraus.
Greg
ich erweitere in meinem Haus Schritt für Schritt das Heimnetzwerk und baue bis zu diesem Zeitpunkt auf Geräte von TP-Link. Meine nächste Anschaffung sollen 1-2 Outdoor-Access Points und ggf. auch Outdoor IP-Kameras werden.
Mit der Absicherung meines WLAN-Netzes habe ich soweit keine Probleme. Allerdings beunruhigt mich die Absicherung des LANs, da ich zeitnah an der Hauswand Ethernetkabel für die Endgeräte verlegen muss. Ich möchte vermeiden, dass sich ein Unbefugter Zugriff zu einem dieser Kabel verschafft und somit in mein gesamtes Heimnetzwerk gelangen kann (es wären dadurch auch Elemente meiner intelligenten Haussteuerung betroffen).
Könnt ihr mir hierzu Tipps/Absicherungsmöglichkeiten nennen? Wie sieht es mit dem MAC Filtering aus, das allg. nur für WLAN unterstützt wird? Sollte ich mir hierfür einen Web Managed Switched zulegen?
Vielen Dank im Vorraus.
Greg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 307353
Url: https://administrator.de/contentid/307353
Printed on: April 19, 2024 at 06:04 o'clock
14 Comments
Latest comment
Hallo,
802.1X ist dein Freund.
Ob das die TP-Link Geräte allerdings unterstützen weiß ich nicht. Das musst du im Datenblatt nachschauen.
MAC Filtering ist eigentlich auch nicht wirklich sicher. Eine MAC Adresse ist mit ein paar Mausklicks geändert.
Also lässt du am besten - sofern deine APs das unterstützen - das WLAN ebenso gegen 802.1X authentisieren.
Dann bist du auf jeden Fall auf der sicheren Seite.
Gruß
802.1X ist dein Freund.
Ob das die TP-Link Geräte allerdings unterstützen weiß ich nicht. Das musst du im Datenblatt nachschauen.
MAC Filtering ist eigentlich auch nicht wirklich sicher. Eine MAC Adresse ist mit ein paar Mausklicks geändert.
Also lässt du am besten - sofern deine APs das unterstützen - das WLAN ebenso gegen 802.1X authentisieren.
Dann bist du auf jeden Fall auf der sicheren Seite.
Gruß
Hey,
ich würde wie @michi1983 auch schon sagte, auch auf 802.1X Authentifizierung im Netzwerk setzen. Damit kannst du dann auch gleich das WLAN-Netz mit absichern.
Dann wäre es natürlich auch noch eine Überlegung von du eine Haussteuerung benutzt, das in ein eigenes Netz zu packen und bloß gewissen Geräten den zugriff zu statten wenn es sein muss.
Momentan hast du also einen der über keine Management-Eigenschaften verfügt?
ich würde wie @michi1983 auch schon sagte, auch auf 802.1X Authentifizierung im Netzwerk setzen. Damit kannst du dann auch gleich das WLAN-Netz mit absichern.
Dann wäre es natürlich auch noch eine Überlegung von du eine Haussteuerung benutzt, das in ein eigenes Netz zu packen und bloß gewissen Geräten den zugriff zu statten wenn es sein muss.
Momentan hast du also einen der über keine Management-Eigenschaften verfügt?
Hallo,
einen Alarm bekommt wenn ein WLAN AP oder eine Kamera abmontiert wird. Man kann auch VLANs mit
ACLs anlegen und dann kann dort auch keiner richtig in Euer Netzwerk rein. Ein Restrisiko bleibt aber immer.
- Kabel lose Geräte mittels Radius Server absichern
- Kabel gebundene Geräte mittels LDAP oder OpenLDAP Server absichern
und dann eben WLAN APs und Kameras kaufen die ein Radius Zertifikat halten können!
miteinbeziehen wollen und nicht nur oder als einzigen Sicherheitspunkt nutzen.
zum Einen können diese die VLANs selber routen und zum Anderen können sie mit mehreren Radius
Klienten an einem LAN Port umgehen, was hier natürlich ganz gut zum tragen kommt. Aber sie leisten
auch innerhalb oder zwischen den VLANs einen Durchsatz von nahe zu "Wire Speed" und belasten die
Firewall oder den Router nicht so sehr. Am besten ist ein NAS oder SAN was mit den Kameras auch gut
zusammenspielt als als Video Appliance.
Gruß
Dobby
Meine nächste Anschaffung sollen 1-2 Outdoor-Access Points und ggf. auch Outdoor IP-Kameras werden.
Sieht zu dass diese Radius Zertifikate unterstützen und/oder eine Alarmfunktion mitbringen damit maneinen Alarm bekommt wenn ein WLAN AP oder eine Kamera abmontiert wird. Man kann auch VLANs mit
ACLs anlegen und dann kann dort auch keiner richtig in Euer Netzwerk rein. Ein Restrisiko bleibt aber immer.
Mit der Absicherung meines WLAN-Netzes habe ich soweit keine Probleme.
Dann erleuchte uns doch einmal und sage uns wie Du das realisiert hast!?Allerdings beunruhigt mich die Absicherung des LANs, da ich zeitnah an der Hauswand Ethernetkabel für
die Endgeräte verlegen muss.
Das mag sein nur da kann man auch etwas machen, in der Regel kann man;die Endgeräte verlegen muss.
- Kabel lose Geräte mittels Radius Server absichern
- Kabel gebundene Geräte mittels LDAP oder OpenLDAP Server absichern
Ich möchte vermeiden, dass sich ein Unbefugter Zugriff zu einem dieser Kabel verschafft
und somit in mein gesamtes Heimnetzwerk gelangen kann
Klar ist ja auch verständlich nur dann muss man mitunter auch einmal tiefer in die Tasche greifenund somit in mein gesamtes Heimnetzwerk gelangen kann
und dann eben WLAN APs und Kameras kaufen die ein Radius Zertifikat halten können!
(es wären dadurch auch Elemente meiner intelligenten Haussteuerung betroffen).
Wenn die in einem anderen VLAN sind nicht gleich und sofort, aber sicherlich nach einiger Zeit.Könnt ihr mir hierzu Tipps/Absicherungsmöglichkeiten nennen?
LDAP Server und Radius Server.Wie sieht es mit dem MAC Filtering aus, das allg. nur für WLAN unterstützt wird?
Kommt auf die Switche an, und wenn überhaupt würde ich das nur zusätzlich zu anderen Punktenmiteinbeziehen wollen und nicht nur oder als einzigen Sicherheitspunkt nutzen.
Sollte ich mir hierfür einen Web Managed Switched zulegen?
ich würde zu einem Layer3 Switch wie dem Cisco SG300 oder D-Link DGS1510 tendieren wollen,zum Einen können diese die VLANs selber routen und zum Anderen können sie mit mehreren Radius
Klienten an einem LAN Port umgehen, was hier natürlich ganz gut zum tragen kommt. Aber sie leisten
auch innerhalb oder zwischen den VLANs einen Durchsatz von nahe zu "Wire Speed" und belasten die
Firewall oder den Router nicht so sehr. Am besten ist ein NAS oder SAN was mit den Kameras auch gut
zusammenspielt als als Video Appliance.
Gruß
Dobby
Hallo,
Netzwerkkkabel an der Außenwand.... die haben da nicht zu suchen....
Allein schon um ein Kaputt frieren der Kabel im Winter zu vermeiden.
Das Kabel sollte da uas der Wand kommen wo das Endgerät hängt.
wenn dann 802.1x dahinter ist hast du wenig Sorgen.
Das Ganze dann noch in ein separates Technik Netz oder ein eigens VLAN nur für die Kameras und AP's
Dafür solltest du auf jeden Fall einen managed Switch nachdenken.... Ob der Web managed sein muss oder eine saubere Console nicht die bessere Wahl ist.... das hängt von deinen Fertigkeiten ab.--
brammer
Netzwerkkkabel an der Außenwand.... die haben da nicht zu suchen....
Allein schon um ein Kaputt frieren der Kabel im Winter zu vermeiden.
Das Kabel sollte da uas der Wand kommen wo das Endgerät hängt.
wenn dann 802.1x dahinter ist hast du wenig Sorgen.
Das Ganze dann noch in ein separates Technik Netz oder ein eigens VLAN nur für die Kameras und AP's
Dafür solltest du auf jeden Fall einen managed Switch nachdenken.... Ob der Web managed sein muss oder eine saubere Console nicht die bessere Wahl ist.... das hängt von deinen Fertigkeiten ab.--
brammer
Hallo,
erst einmal vielen lieben Dank für eure kurzfristigen und sehr weiterhelfenden Antworten.
Nun habe ich schon einmal einen guten Überblick über die Möglichkeiten, wobei ich gestehen muss, noch nie mit VLAN/802.1x/Radius gearbeitet zu haben. Hier werde ich mich die nächste Zeit intensive einlesen müssen.
Mein jetziger Router (TP-Link WDR4300) beseitzt, soweit ich es verstanden habe, leider diese Funktionen nicht.
Ich tendiere dazu, mir einen ordentlichen Switch zu kaufen, der mir die Möglichkeit für 802.1x gibt. Würde das genügen?
Könntet ihr mir vielleicht noch in 1 Satz erklären, was ein sog. Radius am Endgerät ist?
Bzgl. WLAN: Ich sicheres mit WPA2 ab, was in meinen Augen genügt. Ich möchte es nur einem Außenstehenden nicht zu leicht machen, einfach per Kabel in unser Netzwerk einzudringen.
Vielen Dank.
Greg
erst einmal vielen lieben Dank für eure kurzfristigen und sehr weiterhelfenden Antworten.
Nun habe ich schon einmal einen guten Überblick über die Möglichkeiten, wobei ich gestehen muss, noch nie mit VLAN/802.1x/Radius gearbeitet zu haben. Hier werde ich mich die nächste Zeit intensive einlesen müssen.
Mein jetziger Router (TP-Link WDR4300) beseitzt, soweit ich es verstanden habe, leider diese Funktionen nicht.
Ich tendiere dazu, mir einen ordentlichen Switch zu kaufen, der mir die Möglichkeit für 802.1x gibt. Würde das genügen?
Könntet ihr mir vielleicht noch in 1 Satz erklären, was ein sog. Radius am Endgerät ist?
Bzgl. WLAN: Ich sicheres mit WPA2 ab, was in meinen Augen genügt. Ich möchte es nur einem Außenstehenden nicht zu leicht machen, einfach per Kabel in unser Netzwerk einzudringen.
Vielen Dank.
Greg
Hallo,
zwar nicht in einem Satz: https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service
RADIUS ist ein zentraler Autentifizierungs-Server, an den alle Anfragen weitergeleitet werden. Die Clients müssen nur auf RADIUS-Autentifizierung konfiguriert werden.
Und wenn man schon Kabel an der Außenwand verlegt, dann bitte im "Panzerrohr" ( zB. http://www.ebay.de/bhp/panzerrohr ). Das bietet zum einen einen gewissen Schutz vor (mutwilliger) mechanischer Beschädigung und zum anderen Schutz vor Umwelteinflüssen (UV, Feuchtigkeit).
Jürgen
zwar nicht in einem Satz: https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service
RADIUS ist ein zentraler Autentifizierungs-Server, an den alle Anfragen weitergeleitet werden. Die Clients müssen nur auf RADIUS-Autentifizierung konfiguriert werden.
Und wenn man schon Kabel an der Außenwand verlegt, dann bitte im "Panzerrohr" ( zB. http://www.ebay.de/bhp/panzerrohr ). Das bietet zum einen einen gewissen Schutz vor (mutwilliger) mechanischer Beschädigung und zum anderen Schutz vor Umwelteinflüssen (UV, Feuchtigkeit).
Jürgen
Zitat von @gregman:
[...] Ich möchte es nur einem Außenstehenden nicht zu leicht machen, einfach per Kabel in unser Netzwerk einzudringen.
Greg
[...] Ich möchte es nur einem Außenstehenden nicht zu leicht machen, einfach per Kabel in unser Netzwerk einzudringen.
Greg
Hallo,
Netzwerkleitungen würde ich nicht außen an den Wänden montieren, außer sie sind speziell für den Außeneinsatz zertifiziert (UV-stabil, frostsicher, bisssicher gegen Marder&Co. etc.). Am besten Innen verlegen und nur am Anschlusspunkt nach Außen führen und abdichten und dann das Gerät über die Durchführung setzen, so dass man erst das Gerät abschrauben muss, um an die Netzwerkleitung zu kommen.
Bei der Verlegung der Leitungen bitte ggf. an die DIN 18015-1:2007-09 und die darin erwähne Verlegung in Leerrohren denken.
Gruß
Holger
Danke für die Tipps bzgl. der Verlegung. Ich werde selbstverständlich den Kabelweg am Außenbereich minimieren und die Montage wird sowieso ein erfahrener Elektriker durchführen.
Noch eine Frage zu den Netzwerkabsicherungen: Meine 2 Gebäude verfügen aktuell insgesamt über 5 Indoor-Accesspoints und es werden, wie bereits beschrieben, noch 1-3 Outdoor-Accesspoints hinzukommen. Da ich lediglich Bedenken bei den von außen zugänglichen Kabeln habe, möchte ich hier einen Managed-Switch mit 802.1x vorschalten.
Bekommt man in der Verwaltung Probleme, wenn man den Rest des verkabelten Netzwerks nicht mit dieser Technologie absichert und das WLAN "nur" mit WPA2?
Noch eine Frage zu den Netzwerkabsicherungen: Meine 2 Gebäude verfügen aktuell insgesamt über 5 Indoor-Accesspoints und es werden, wie bereits beschrieben, noch 1-3 Outdoor-Accesspoints hinzukommen. Da ich lediglich Bedenken bei den von außen zugänglichen Kabeln habe, möchte ich hier einen Managed-Switch mit 802.1x vorschalten.
Bekommt man in der Verwaltung Probleme, wenn man den Rest des verkabelten Netzwerks nicht mit dieser Technologie absichert und das WLAN "nur" mit WPA2?
Zitat von @gregman:
Bekommt man in der Verwaltung Probleme, wenn man den Rest des verkabelten Netzwerks nicht mit dieser Technologie absichert und das WLAN "nur" mit WPA2?
Nein, bei einem Switch kannst du pro Port die 802.1X Authentisierung aktivieren, bestimmst somit also selber welches Gerät.Bekommt man in der Verwaltung Probleme, wenn man den Rest des verkabelten Netzwerks nicht mit dieser Technologie absichert und das WLAN "nur" mit WPA2?
Meine 2 Gebäude verfügen .........
Hallo,
ist die gebäudeübergreifende Verkabelung in Cu-Technik ausgeführt? Wenn JA --> böses Foul!
Nur als Stichworte: Potentialausgleichsströme, Überspannung bei Blitzschlag (auch entfernte Einschläge).
Jürgen
Die gebäudeübergreifende Verkabelung ist aktuell über DLAN (TP-Link) geregelt... Ich weiß, dass diese Art der Netzwerkkommunikation nicht sehr sicher ist, aber um diese Baustelle muss ich mich parallel auch noch kümmern. Ich kam noch nicht dazu, ein ordentliches Kabel zu verlegen.
Hallo,
Stichwort hier LWL.
Dh., gleich die richtigen Komponenten (Switch usw) kaufen --> mit SPF-Ports.
Jürgen
Stichwort hier LWL.
Dh., gleich die richtigen Komponenten (Switch usw) kaufen --> mit SPF-Ports.
Jürgen
Wie @108012 auch schon geschrieben hat würde ich zu einem Switch aus der Cisco Sg300er Serie wählen.
Und wenn du wirklich zwei Gebäude anbinden willst tust du dir selbst einen grossen gefallen da LwL zu legen, so wie @chiefteddy es auch schon geschrieben hat und warum.
Gruß
Und wenn du wirklich zwei Gebäude anbinden willst tust du dir selbst einen grossen gefallen da LwL zu legen, so wie @chiefteddy es auch schon geschrieben hat und warum.
Gruß
Moin,
Diese Rohr bietet nur Schutz gegen UV und leichte "Berührungen", wenn Schutz dann bitte Stapa Rohr verzinkte Ausführung.
Gegen einen Pflasterstein oder "Tupfer" (Hammer) brauchts dann schon schwere Ausführung und doppellaschige Schellen!
-teddy
Zitat von @chiefteddy: ...
Und wenn man schon Kabel an der Außenwand verlegt, dann bitte im "Panzerrohr" ( zB. http://www.ebay.de/bhp/panzerrohr ).zum einen
Und wenn man schon Kabel an der Außenwand verlegt, dann bitte im "Panzerrohr" ( zB. http://www.ebay.de/bhp/panzerrohr ).zum einen
Diese Rohr bietet nur Schutz gegen UV und leichte "Berührungen", wenn Schutz dann bitte Stapa Rohr verzinkte Ausführung.
Gegen einen Pflasterstein oder "Tupfer" (Hammer) brauchts dann schon schwere Ausführung und doppellaschige Schellen!
-teddy
