18
Wieviele VLANs sind im Heimnetz sinnvoll?
Guten Tag zusammen.
Zukünftig möchte ich gerne die Geräte in meinem Heimnetz in verschiedene VLANs stecken. Gründe hierfür sind:
- Bessere Kontrolle, wer mit wem redet (z.B. potenziell unsichere ESP32-Chips in einfachen IoT-Geräten)
- Bessere Kontrolle, wer was ins Internet sendet (SONOS-Speaker reporten bspw. Dinge wie Temperatur, Ausrichtung etc.)
- Separates Netz für Gäste
Ich habe jetzt auf dem Papier angefangen, entsprechende Gruppen zu bilden, und stelle fest: gar nicht so einfach, eine sinnvolle Menge zu finden.
Das wäre mein Maximalausbau:
VLAN1: Admin-Netz, Management von Router und Switch
VLAN2: Gäste. Dürfen ausschl. mit dem Inet kommunizieren
VLAN3: PCs/Notebooks, Handys, Drucker
VLAN4: Medienplayer, bspw. SONOS, Denon, Apple TV, Playstation
VLAN5: Server-Anwendungen, bspw. Hypervisor, Storage/NAS, Monitoring
VLAN6: Smarthome-Zentrale(n)
VLAN7: einfache IoT-Geräte mit potenziell unsicheren Chips, die eh nur mit der Smarthome-Zentrale reden sollten.
Jetzt habe ich festgestellt: die VLANs 3-6 unterscheiden sich zwar „optisch“, aber technisch kaum:
- Aus VLAN3 sollte man auf jedes Gerät in 4 zugreifen können, damit die originalen Controller-Apps funktionieren
- Aus VLAN3 sollte man auf jedes Gerät in 5 zugreifen können – das ist ja Sinn und Zweck der dortigen Dienste.
- Aus VLAN3 sollte man auf 6 zugreifen können, sonst bringt die Smarthome-App nichts.
- Aus VLAN4 muss man ebenfalls auf 5 zugreifen können, sonst klappt bspw. ein lokaler DLNA-Server nicht, der Dateien vom Storage an Sonos füttert
- Umgekehrt sollte 6 natürlich die Player in 4 steuern können
- VLAN 3, 4, 5 und 6 brauchen Zugriff aufs Internet – 4 und 5 beispielsweise fürs Cloud-Backup oder Musik-Streaming, von Updates ganz abgesehen
Lediglich für VLAN1, 2 und 7 ist es klar: 1 hat in der Regel außer den Netzwerkkomponenten keine Clients, 2 ist auf die reine Kommunikation mit dem Inet beschränkt, 7 auf die Kommunikation mit 6.
So, und damit hat die Grübelei angefangen: gibt es große Vorteile, so viele VLANs aufzuspannen, oder sollte ich 3-6 zusammenfassen, was auch das Leben bezgl. SONOS-Broadcasts, Controller-Apps der Hersteller etc. deutlich einfach machen dürfte?
Natürlich würde ich bspw. VLAN5 den Zugriff auf die AWS-Server sperren, auf denen SONOS seine Nutzungsdaten speichert. Aber das könnte ich doch auch IP-spezifisch mit den einzelnen SONOS-Playern in der Firewall machen?
Könnt Ihr mir hier mit Argumenten weiterhelfen?
Schöne Grüße
-michacgn
Zukünftig möchte ich gerne die Geräte in meinem Heimnetz in verschiedene VLANs stecken. Gründe hierfür sind:
- Bessere Kontrolle, wer mit wem redet (z.B. potenziell unsichere ESP32-Chips in einfachen IoT-Geräten)
- Bessere Kontrolle, wer was ins Internet sendet (SONOS-Speaker reporten bspw. Dinge wie Temperatur, Ausrichtung etc.)
- Separates Netz für Gäste
Ich habe jetzt auf dem Papier angefangen, entsprechende Gruppen zu bilden, und stelle fest: gar nicht so einfach, eine sinnvolle Menge zu finden.
Das wäre mein Maximalausbau:
VLAN1: Admin-Netz, Management von Router und Switch
VLAN2: Gäste. Dürfen ausschl. mit dem Inet kommunizieren
VLAN3: PCs/Notebooks, Handys, Drucker
VLAN4: Medienplayer, bspw. SONOS, Denon, Apple TV, Playstation
VLAN5: Server-Anwendungen, bspw. Hypervisor, Storage/NAS, Monitoring
VLAN6: Smarthome-Zentrale(n)
VLAN7: einfache IoT-Geräte mit potenziell unsicheren Chips, die eh nur mit der Smarthome-Zentrale reden sollten.
Jetzt habe ich festgestellt: die VLANs 3-6 unterscheiden sich zwar „optisch“, aber technisch kaum:
- Aus VLAN3 sollte man auf jedes Gerät in 4 zugreifen können, damit die originalen Controller-Apps funktionieren
- Aus VLAN3 sollte man auf jedes Gerät in 5 zugreifen können – das ist ja Sinn und Zweck der dortigen Dienste.
- Aus VLAN3 sollte man auf 6 zugreifen können, sonst bringt die Smarthome-App nichts.
- Aus VLAN4 muss man ebenfalls auf 5 zugreifen können, sonst klappt bspw. ein lokaler DLNA-Server nicht, der Dateien vom Storage an Sonos füttert
- Umgekehrt sollte 6 natürlich die Player in 4 steuern können
- VLAN 3, 4, 5 und 6 brauchen Zugriff aufs Internet – 4 und 5 beispielsweise fürs Cloud-Backup oder Musik-Streaming, von Updates ganz abgesehen
Lediglich für VLAN1, 2 und 7 ist es klar: 1 hat in der Regel außer den Netzwerkkomponenten keine Clients, 2 ist auf die reine Kommunikation mit dem Inet beschränkt, 7 auf die Kommunikation mit 6.
So, und damit hat die Grübelei angefangen: gibt es große Vorteile, so viele VLANs aufzuspannen, oder sollte ich 3-6 zusammenfassen, was auch das Leben bezgl. SONOS-Broadcasts, Controller-Apps der Hersteller etc. deutlich einfach machen dürfte?
Natürlich würde ich bspw. VLAN5 den Zugriff auf die AWS-Server sperren, auf denen SONOS seine Nutzungsdaten speichert. Aber das könnte ich doch auch IP-spezifisch mit den einzelnen SONOS-Playern in der Firewall machen?
Könnt Ihr mir hier mit Argumenten weiterhelfen?
Schöne Grüße
-michacgn
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 569416
Url: https://administrator.de/contentid/569416
Ausgedruckt am: 17.11.2024 um 17:11 Uhr
18 Kommentare
Neuester Kommentar
Hi
IMHO reicht es doch im Heimbereich völlig VLANs für
- Gastnetz
- "normales" Netz
- Potentiell unsicheres Netz
zu haben.
Gast erklärt sich von selbst
das potentiell unsichere Netz enthält dann eben die Geräte, denen man so nicht vertraut. Irgendwelche IoT-###e oÄ, was man nicht im normalen Netz haben will. Hier regelt man dann an der Firewall, wohin die Geräte darin reden dürfen
und in das normale Netz enthält halt die anderen Geräte.
Der Aufwand um alle anderen VLANs einzeln zu Managen ist doch irrwitzig hoch und macht viel zu viele Probleme.
Ich meine, von wie vielen Geräten reden wir hier? Lohnt sich denn der ganze Aufwand?
IMHO reicht es doch im Heimbereich völlig VLANs für
- Gastnetz
- "normales" Netz
- Potentiell unsicheres Netz
zu haben.
Gast erklärt sich von selbst
das potentiell unsichere Netz enthält dann eben die Geräte, denen man so nicht vertraut. Irgendwelche IoT-###e oÄ, was man nicht im normalen Netz haben will. Hier regelt man dann an der Firewall, wohin die Geräte darin reden dürfen
und in das normale Netz enthält halt die anderen Geräte.
Der Aufwand um alle anderen VLANs einzeln zu Managen ist doch irrwitzig hoch und macht viel zu viele Probleme.
Ich meine, von wie vielen Geräten reden wir hier? Lohnt sich denn der ganze Aufwand?
1
Das folgende ist meine persönliche Meinung, basierend auf Erfahrungen der letzten 18 Jahre. Jeder der hierauf antwortet hat andere Erfahrungen und wird dementsprechend was anderes empfehlen.
Als ich angefangen habe, mich intensiver mit Netzwerken und Netzwerksicherheit auseinander zu setzen, hab ich ähnlich wie du gedacht. So viel wie möglich separieren, für jede Anwendung möglichst ein VLAN und die Kommunikation beschränken. Das ging so weit, dass ich in einem Unternehmen mit 50 Personen fast genau so viele VLAN im Einsatz hatte.
Nur merkt man dann sehr schnell, dass die Komplexität enorm steigt.
Im privaten Umfeld habe ich es nicht so weit getrieben, es waren dennoch einige VLAN. Insbesondere Heimtechnik ist darauf ausgelegt, nur schlecht mit VLAN zu arbeiten. Hier wird für die vereinfachte Benutzung viel mit Multicast gearbeitet, so dass die App auf deinem Handy dir ohne Zutun sofort deine Medienplayer zeigt oder dein Smart Home. Die meisten Systeme sehen jedoch nicht vor, manuell irgendwas einzugeben.
Wenn du jetzt z.B. Medienplayer, Serveranwendungen und Smartphones trennst, musst du dafür sorgen, dass der jeweilige Multicasttraffic entsprechend geroutet wird. Meiner Meinung nach eine sehr undankbare Aufgabe.
Bei älteren Geräten ist es noch unschöner, da wird mit Broadcasts gearbeitet, die gar nicht geroutet werden können.
Ähnliche Probleme werden dich mit der Trennung Smart Home und der dazu gehörigen Sensoren einholen.
Viele Geräte, die heute auf den Markt kommen, haben mittlerweile eine Cloudpflicht, also ohne Cloudanbindung kein oder stark beschränkter Betrieb. Wenn du also irgendwas neues anschaffst, wirst du vermutlich, so wie du es dir mit den Einschränkungen aktuell denkst, erstmal Tage lang Verbindungsprobleme analysieren.
Ich empfehle daher, einfach nur das Gästenetz abzutrennen und den Rest einfach in ein Netz. Alles andere wird dich am Ende frusten. Und wenn du jetzt schon die möglicherweise unsicheren Smart Home-Sensoren, solltest du die Zeit lieber in die Suche nach Alternativen investieren. Das gleiche gilt auch für die Datensammelwut deiner Sonos-Lautsprecher.
Du kennst vermutlich den Spruch, mit dem spaßeshalber darauf hingewiesen wird, dass besser die Männer die Anti-Baby-Pille nehmen sollten: Es ist besser die Waffe zu entladen, als auf eine Schutzweste zu schießen. Das gleiche gilt auch für das Netzwerk. Geräte, die Sachen im oder mit dem Netzwerk machen, die ich nicht will, haben im Netzwerk nichts verloren, auch nicht in getrennten VLANs.
Mir ist klar, dass es nicht das ist, was du hören willst, aber das meiste, was du aufzählst, dient deinem Komfort, den du dir aber massiv unkomfortabel machst.
Es wird dich keiner aufhalten, es zu machen, aber ich verspreche dir, du wirst es spätestens in zwei Jahren zurückbauen, egal ob vier oder sieben VLANs.
Als ich angefangen habe, mich intensiver mit Netzwerken und Netzwerksicherheit auseinander zu setzen, hab ich ähnlich wie du gedacht. So viel wie möglich separieren, für jede Anwendung möglichst ein VLAN und die Kommunikation beschränken. Das ging so weit, dass ich in einem Unternehmen mit 50 Personen fast genau so viele VLAN im Einsatz hatte.
Nur merkt man dann sehr schnell, dass die Komplexität enorm steigt.
Im privaten Umfeld habe ich es nicht so weit getrieben, es waren dennoch einige VLAN. Insbesondere Heimtechnik ist darauf ausgelegt, nur schlecht mit VLAN zu arbeiten. Hier wird für die vereinfachte Benutzung viel mit Multicast gearbeitet, so dass die App auf deinem Handy dir ohne Zutun sofort deine Medienplayer zeigt oder dein Smart Home. Die meisten Systeme sehen jedoch nicht vor, manuell irgendwas einzugeben.
Wenn du jetzt z.B. Medienplayer, Serveranwendungen und Smartphones trennst, musst du dafür sorgen, dass der jeweilige Multicasttraffic entsprechend geroutet wird. Meiner Meinung nach eine sehr undankbare Aufgabe.
Bei älteren Geräten ist es noch unschöner, da wird mit Broadcasts gearbeitet, die gar nicht geroutet werden können.
Ähnliche Probleme werden dich mit der Trennung Smart Home und der dazu gehörigen Sensoren einholen.
Viele Geräte, die heute auf den Markt kommen, haben mittlerweile eine Cloudpflicht, also ohne Cloudanbindung kein oder stark beschränkter Betrieb. Wenn du also irgendwas neues anschaffst, wirst du vermutlich, so wie du es dir mit den Einschränkungen aktuell denkst, erstmal Tage lang Verbindungsprobleme analysieren.
Ich empfehle daher, einfach nur das Gästenetz abzutrennen und den Rest einfach in ein Netz. Alles andere wird dich am Ende frusten. Und wenn du jetzt schon die möglicherweise unsicheren Smart Home-Sensoren, solltest du die Zeit lieber in die Suche nach Alternativen investieren. Das gleiche gilt auch für die Datensammelwut deiner Sonos-Lautsprecher.
Du kennst vermutlich den Spruch, mit dem spaßeshalber darauf hingewiesen wird, dass besser die Männer die Anti-Baby-Pille nehmen sollten: Es ist besser die Waffe zu entladen, als auf eine Schutzweste zu schießen. Das gleiche gilt auch für das Netzwerk. Geräte, die Sachen im oder mit dem Netzwerk machen, die ich nicht will, haben im Netzwerk nichts verloren, auch nicht in getrennten VLANs.
Mir ist klar, dass es nicht das ist, was du hören willst, aber das meiste, was du aufzählst, dient deinem Komfort, den du dir aber massiv unkomfortabel machst.
Es wird dich keiner aufhalten, es zu machen, aber ich verspreche dir, du wirst es spätestens in zwei Jahren zurückbauen, egal ob vier oder sieben VLANs.
2
Kurz: 0-n.
Wobei deines wohl too much ist.
@tikaya: Es kann gerechtfertigt sein, meist ist es das nicht. Kommt aber tatsächlich auch - wie immer - auf das Umfeld an. Und damit hilft das spezifische nicht. Selbst prüfen und gut.
Wobei deines wohl too much ist.
@tikaya: Es kann gerechtfertigt sein, meist ist es das nicht. Kommt aber tatsächlich auch - wie immer - auf das Umfeld an. Und damit hilft das spezifische nicht. Selbst prüfen und gut.
1
Wieviele VLANs sind im Heimnetz sinnvoll?
Moin,
Soviel wie nötig, so wenig wie möglich, würde ich sagen.
Als erstes sollte man sich klarwerden, was man genau erreichen will und wieviel Aufwand auf Dauer man dafür aufwenden will, insbesondere bei einem privaten Heimnetz.
Man kann grob mit drei bis vier Netzen "anfangen" und dann überlegen, ob man wirklich mehr braucht.
Die Einteilung von Seastorm ist z.B. eine mögliche.
Ich würde z.B. in
- privates Netz mit Geräten denen man weitgehend vertraut (PC, Tablet, Notebook, NAS, etc.)
- Gastnetz, in denen Gäste reinkommen, die nciht miteinander, sondern nur ins internet (eingechränkt) kommunizieren dürfen, z.B. Web und Mail.
- ggf. eine DMZ, für Geräte/Server, die von außen erreichbar sein müssen/sollen.
- und bei Bedarf ein Netz für den ganzen IoT- und SmartTV-Unfug, um den besser zu reglementieren.
unterteilen. Dabei soltle man das immer auf den persönlichen Bedarf abstimmen, was wirklich benötigt wird und wieviel Wartungs- und Pflegeaufwand man betreiben will.
Man kann es natürlich auch auf die Spitzen treiben und jedes Gerät in ein eigenes VLAN stecken. dann hätte man die ultimative Lösung.
lks
1
Hausautomation/IoT und Gast WLAN ist ein Muss bei der Trennung. Der Rest ist in einem Heimnetz wie immer Geschmackssache.
1
Ich würde Voip ein eigenes VLAN spendieren.
Ansonsten habe ich für die Tochter ein eigenes VLAN fürs Wlan für mehr Kontrolle.
Gruß Looser
Ansonsten habe ich für die Tochter ein eigenes VLAN fürs Wlan für mehr Kontrolle.
Gruß Looser
1
Drucker sollten als potentiell unsicher betrachtet werden.
Die Software der Drucker ist oft eine Katastrophe und hat oft Code der älter als der Besitzer.
Die Software der Drucker ist oft eine Katastrophe und hat oft Code der älter als der Besitzer.
1
Ja, Jeder hat eine andere Meinung! Meine Antwort Lautet Keine VLANs!
VLANs bieten keinerlei Schutz, erhöhen die Netzwerklast,
und alle beteiligten Netzwerkgeräte müssen VLAN unterstützen.
z.B. Power-Adapter usw.
ich selbst hatte auch sieben VLANs im HomeNet, und neben der irren Administration,
kam noch das Problem hinzu das ich bei zwei Orten, auf Power Adapter angewiesen
war und diese eben kein VLAN unterstützten!
Nun wird bei mir alles über wireguard Geroutet also getrennte Netze,
Ausnahme bildet das Gaeste WLAN das habe ich gebridged über wireguard welches
somit auch am meisten Traffic erzeugt wenn ich Gaeste habe
.
Muss jeder selber entscheiden, meine Loesung ist immer noch Aufwaendig (Paranoid),
aber fuer mich einfacher zu Verwalten!
VLANs bieten keinerlei Schutz, erhöhen die Netzwerklast,
und alle beteiligten Netzwerkgeräte müssen VLAN unterstützen.
z.B. Power-Adapter usw.
ich selbst hatte auch sieben VLANs im HomeNet, und neben der irren Administration,
kam noch das Problem hinzu das ich bei zwei Orten, auf Power Adapter angewiesen
war und diese eben kein VLAN unterstützten!
Nun wird bei mir alles über wireguard Geroutet also getrennte Netze,
Ausnahme bildet das Gaeste WLAN das habe ich gebridged über wireguard welches
somit auch am meisten Traffic erzeugt wenn ich Gaeste habe
.Muss jeder selber entscheiden, meine Loesung ist immer noch Aufwaendig (Paranoid),
aber fuer mich einfacher zu Verwalten!
VLANs bieten keinerlei Schutz, erhöhen die Netzwerklast,
Das ist natürlich völliger Quatsch ! Genau zur Segmentierung sind VLANs ja da um dadurch, unter anderem, auch Sicherheit zu schaffen.Kein Mensch oder verantwortungsvoller Netzwerker betreibt z.B. ein ungesichertes Gäste WLAN zusammen in einem dummen, flachen Layer 2 Netzwerk mit seinem privaten Netz und der Hausautomation.
Warum das außerdem die Netzwerk Last erhöhen sollte musst du der Community hier auch erstmal erklären. Solch unreflektierter Unsinn zeigt eher das du wenig bis gar keine Kentnisse zur Technik und Funktion von VLANs hast...aber egal. Muss man sicher auch nicht weiter kommentieren in einem Administrator Forum.
Power LAN Adapter von z.B. Devolo und auch Billigheimer TP-Link u.a. supporten übrigens auch problemlos 802.1q Tagged Frames. Es ist also auch Unsinn zu sagen das diese pauschal kein VLAN können.
Wireguard ist eine VPN Technik einzig für den remoten Zugang. Sie hat mit lokalem VLAN Routing nicht das Geringste zu tun und ist dort auch vollkommen fehl am Platze. Das hat mit dem eigentlichen Thema hier gar nichts zu tun.
Es sollte in der Tat individuell selber jeder entscheiden. Jedenfalls im Heim Bereich. Für Gäste, Hausautomation und andere relevante Segmentierung sind VLANs zur Segmentierung aber unverzichtbar will man sein Netzwerk sicher gestalten.
Zitat von @aqui:
Power LAN Adapter von z.B. Devolo und auch Billigheimer TP-Link u.a. supporten übrigens auch problemlos 802.1q Tagged Frames.
Power LAN Adapter von z.B. Devolo und auch Billigheimer TP-Link u.a. supporten übrigens auch problemlos 802.1q Tagged Frames.
Das würde ich so nicht unterschreiben. Da muß man sich die Daten schon genau anschauen. Kann sein, daß die neueren inzwischen das alle unterstützten. Aber bis vor kurzem mußte man bei devolo z.B. die "Pro"-Produkte nehmen, um VLAN über Powerline nutzen zu können. AVM untertützt das bis heute noch nicht. TP-Link habe ich noch keine VLAN-fähigen Adapter in den Fingern gehabt, aber da bekomme ich die nur in die Hände, wenn ein Kunde die sich selbst besorgt hat und ich dann Probleme finden muß.
Prinzipiell stimmt es aber schon, daß man auch mit PowerLine VLANs nutzen kann, wenn man sich die geräte sorgfältig genug aussucht.
lks
Kann sein, daß die neueren inzwischen das alle unterstützten.
Wenigstens diese 2 Hersteller können das schon seit Jahren. Selbst mit dem Wireshark gesehen. 
Also ich habs bei mir so aufgeteilt:
-> Heimnetz
-> Developer-Netz -> Netz für Windows-Installationen und Testumgebungen
-> Gastnetz
-> IoT-Netz
-> Druckernetz (könnten auch mit ins IoT, teile die Netze aber immer hinter dem dazugehörigen Server auf und vermeide so unnötigen Broadcast)
-> Heimnetz
-> Developer-Netz -> Netz für Windows-Installationen und Testumgebungen
-> Gastnetz
-> IoT-Netz
-> Druckernetz (könnten auch mit ins IoT, teile die Netze aber immer hinter dem dazugehörigen Server auf und vermeide so unnötigen Broadcast)
1
zu 1. "VLANS segmentieren um auch Sicherheit zu schaffen"
Ja, selbst mit wireshark, "gesehen" die VLAN PAKETE in RAW!
Drucker im selben NETZWERK könnte auch alles "sehen" in RAW!
andere geräte Firmware wer weiss was könnte auch "sehen" RAW!
Sicherheit????
zu 2. Netzwerk-Traffic
VLANs ist so wie ueber Router hinweg gebridgte Netzwerke, fuert
Natuerlich dazu das Broadcasts alle ueber die Router zu den einzelnen
Standorten Transportiert werden, was auch durchaus so erwünscht
sein kann! erhöht aber den Traffic.
Besonders wenn noch geroutet wird zwischen den VLANs
zu 3.
meine Power LAN Adapter TP-Link 7 Stueck, 4 aeltere, 3 neuere nachgekauft!
Unterstuetzen kein VLANs auch nach firmware upgrades, hat viel zeit gekostet den
Fehler nicht beheben zu koennen!
Verstehe mich bitte nicht Falsch, VLAN ist fuer Segmentierung und Verwaltung,
bei Firmen IDEAL dort sind GlasfaserLeitungen um Gebaeude zu verbinden,
und dann hat es gefaelligst Tagging zu unterstuetzen, was benoetigt wird!
und die ServerRaeume sind ABGESCHLOSSEN, weil der Admin weiss das man mitlesen kann!
Ja, selbst mit wireshark, "gesehen" die VLAN PAKETE in RAW!
Drucker im selben NETZWERK könnte auch alles "sehen" in RAW!
andere geräte Firmware wer weiss was könnte auch "sehen" RAW!
Sicherheit????
zu 2. Netzwerk-Traffic
VLANs ist so wie ueber Router hinweg gebridgte Netzwerke, fuert
Natuerlich dazu das Broadcasts alle ueber die Router zu den einzelnen
Standorten Transportiert werden, was auch durchaus so erwünscht
sein kann! erhöht aber den Traffic.
Besonders wenn noch geroutet wird zwischen den VLANs
zu 3.
meine Power LAN Adapter TP-Link 7 Stueck, 4 aeltere, 3 neuere nachgekauft!
Unterstuetzen kein VLANs auch nach firmware upgrades, hat viel zeit gekostet den
Fehler nicht beheben zu koennen!
Verstehe mich bitte nicht Falsch, VLAN ist fuer Segmentierung und Verwaltung,
bei Firmen IDEAL dort sind GlasfaserLeitungen um Gebaeude zu verbinden,
und dann hat es gefaelligst Tagging zu unterstuetzen, was benoetigt wird!
und die ServerRaeume sind ABGESCHLOSSEN, weil der Admin weiss das man mitlesen kann!
Hallo zusammen,
vielen Dank für die zahlreichen Antworten - bitte entschuldigt, dass ich erst jetzt dazu komme, mich damit auseinanderzusetzen.
Ich meine, im Wesentlichen zwei recht übereinstimmende Aussagen zu finden:
- segmentiere nicht zu stark, sonst wird die Administration zu schwer bzw. die Usability geht flöten
- separiere gefährliche oder sensible Geräte ausreichend.
Es scheint eher darum zu gehen, was man unter "gefährlich" versteht, und ob man solche Geräte nicht ganz weglässt.
Für mich sind manche IoT-Geräte "gefährlich". Ich habe mir beispielsweise letztes Jahr eine Wortuhr gebastelt (sh. Mikrocontroller-Forum), die per ESP32 gesteuert wird. Die Beleuchtung ist per WLAN mit in die Zimmerszenen eingebunden. Würde ich ungerne drauf verzichten. Ebenso weiß ich nicht, wie gut Shelly-Komponenten gesichert sind (ich bevorzuge ZWAVE oder Zigbee, habe aber einige Shellys).
=> Diese unsicheren Komponenten würde ich gerne in ein separates VLAN stecken, welches ausschließlich mit der Smarthome-Zentrale kommunizieren darf.
Drucker können auch gefährlich sein - ich stimme hinsichtlich des Firmware-Alters sofort zu! Aber das trifft potenziell natürlich auch auf Mediaplayer etc zu. Hier bin ich noch nicht sicher, wie weit ich separieren werde - was bringt mir ein Netzwerkdrucker, der seine Dienste bspw. nicht mehr per Bonjour etc. anpreisen kann? Und: mit den Notebooks muss er ja wohl oder übel kommunizieren und umgekehrt - die werden im Zweifel aber das Ziel oder die Quelle eines Angriffs sein. Die Lösung wäre dann nur ein Drucker neben dem Serverschrank, oder an einem aktuellen Raspi mit CUPS.
Damit lande ich derzeit in der Tat bei der obigen Auflistung, fasse aber 3-5 zusammen in ein Netz.
VLAN1: Admin-Netz, Management von Router und Switch
VLAN2: Gäste. Dürfen ausschl. mit dem Inet kommunizieren
VLAN3-5: PCs/Notebooks, Handys, Drucker, Medienplayer, bspw. SONOS, Denon, Apple TV, Playstation, Server-Anwendungen, bspw. Hypervisor, Storage/NAS, Monitoring
VLAN6: Smarthome-Zentrale(n)
VLAN7: einfache IoT-Geräte mit potenziell unsicheren Chips, die eh nur mit der Smarthome-Zentrale reden sollten.
Die Smarthome-Zentralen werden mit Komponenten der Elektro-UV kommunizieren, so dass ich hier sichergehen möchte, dass die Firewall mitreden kann. Zugriff soll aus dem Normalnetz nur auf eine der Komponenten möglich sein, die dann an die andere Komponente oder das "böse" IoT-Netz rangeht bzw. von dort etwas erhält. Muss ich die andere Komponente pflege, würde ich gezielt das Endgerät (Notebook, PC) in das entsprechende VLAN setzen.
Wenn ich Pech habe, kriegt die eine Zentrale dann immernoch zuwenig aus dem Normal-Netz mit - dann muss ich sie wirklich doch auch in dieses integrieren und nur die andere Zentrale, die Richtung Elektro-UV kommuniziert, separieren.
Mir fehlt noch etwas Hardware, dann kann ich anfangen, das Ganze mal aufzubauen und zu testen, wie gut es im Alltag funktioniert. Ich werde berichten - es wird aber sicher einige Wochen dauern.
Danke Euch!
vielen Dank für die zahlreichen Antworten - bitte entschuldigt, dass ich erst jetzt dazu komme, mich damit auseinanderzusetzen.
Ich meine, im Wesentlichen zwei recht übereinstimmende Aussagen zu finden:
- segmentiere nicht zu stark, sonst wird die Administration zu schwer bzw. die Usability geht flöten
- separiere gefährliche oder sensible Geräte ausreichend.
Es scheint eher darum zu gehen, was man unter "gefährlich" versteht, und ob man solche Geräte nicht ganz weglässt.
Für mich sind manche IoT-Geräte "gefährlich". Ich habe mir beispielsweise letztes Jahr eine Wortuhr gebastelt (sh. Mikrocontroller-Forum), die per ESP32 gesteuert wird. Die Beleuchtung ist per WLAN mit in die Zimmerszenen eingebunden. Würde ich ungerne drauf verzichten. Ebenso weiß ich nicht, wie gut Shelly-Komponenten gesichert sind (ich bevorzuge ZWAVE oder Zigbee, habe aber einige Shellys).
=> Diese unsicheren Komponenten würde ich gerne in ein separates VLAN stecken, welches ausschließlich mit der Smarthome-Zentrale kommunizieren darf.
Drucker können auch gefährlich sein - ich stimme hinsichtlich des Firmware-Alters sofort zu! Aber das trifft potenziell natürlich auch auf Mediaplayer etc zu. Hier bin ich noch nicht sicher, wie weit ich separieren werde - was bringt mir ein Netzwerkdrucker, der seine Dienste bspw. nicht mehr per Bonjour etc. anpreisen kann? Und: mit den Notebooks muss er ja wohl oder übel kommunizieren und umgekehrt - die werden im Zweifel aber das Ziel oder die Quelle eines Angriffs sein. Die Lösung wäre dann nur ein Drucker neben dem Serverschrank, oder an einem aktuellen Raspi mit CUPS.
Damit lande ich derzeit in der Tat bei der obigen Auflistung, fasse aber 3-5 zusammen in ein Netz.
VLAN1: Admin-Netz, Management von Router und Switch
VLAN2: Gäste. Dürfen ausschl. mit dem Inet kommunizieren
VLAN3-5: PCs/Notebooks, Handys, Drucker, Medienplayer, bspw. SONOS, Denon, Apple TV, Playstation, Server-Anwendungen, bspw. Hypervisor, Storage/NAS, Monitoring
VLAN6: Smarthome-Zentrale(n)
VLAN7: einfache IoT-Geräte mit potenziell unsicheren Chips, die eh nur mit der Smarthome-Zentrale reden sollten.
Die Smarthome-Zentralen werden mit Komponenten der Elektro-UV kommunizieren, so dass ich hier sichergehen möchte, dass die Firewall mitreden kann. Zugriff soll aus dem Normalnetz nur auf eine der Komponenten möglich sein, die dann an die andere Komponente oder das "böse" IoT-Netz rangeht bzw. von dort etwas erhält. Muss ich die andere Komponente pflege, würde ich gezielt das Endgerät (Notebook, PC) in das entsprechende VLAN setzen.
Wenn ich Pech habe, kriegt die eine Zentrale dann immernoch zuwenig aus dem Normal-Netz mit - dann muss ich sie wirklich doch auch in dieses integrieren und nur die andere Zentrale, die Richtung Elektro-UV kommuniziert, separieren.
Mir fehlt noch etwas Hardware, dann kann ich anfangen, das Ganze mal aufzubauen und zu testen, wie gut es im Alltag funktioniert. Ich werde berichten - es wird aber sicher einige Wochen dauern.
Danke Euch!
Ich verrate dir Mal was...
Privat habe ich 18 VLANs und habe auch ein standortübergreifendes Netzwerk mit zentralem Internetzugang bei mir, für die gemeinsame Nutzung von Sky, Netflix, Disney+, Prime, Chromecast, 60TB Plex usw... Meine beiden besten Freunde und ich teilen uns so die Abos und Storage.
Wegen der Sicherheit im eigentlichen Sinne, mache ich das nicht. Eher wegen meiner berufsbedingten Macke.
Bezüglich Sicherheit kann ich nur immer wieder feststellen, dass Softwares und deren Speicher angegriffen wird, weil es viel einfacher ist als ein halbwegs ordentliches Netzwerkgerät zu kompromittieren.
Wie du schon richtig erkannt hast geht z. B. eine Gefahr von kleinen IOT Geräten für z. B. Smart Home aus, die Schrottfirmware haben und Server im Ausland unverschlüsselt anfunken.
Privat habe ich 18 VLANs und habe auch ein standortübergreifendes Netzwerk mit zentralem Internetzugang bei mir, für die gemeinsame Nutzung von Sky, Netflix, Disney+, Prime, Chromecast, 60TB Plex usw... Meine beiden besten Freunde und ich teilen uns so die Abos und Storage.
Wegen der Sicherheit im eigentlichen Sinne, mache ich das nicht. Eher wegen meiner berufsbedingten Macke.
Bezüglich Sicherheit kann ich nur immer wieder feststellen, dass Softwares und deren Speicher angegriffen wird, weil es viel einfacher ist als ein halbwegs ordentliches Netzwerkgerät zu kompromittieren.
Wie du schon richtig erkannt hast geht z. B. eine Gefahr von kleinen IOT Geräten für z. B. Smart Home aus, die Schrottfirmware haben und Server im Ausland unverschlüsselt anfunken.
1Moin,
ich glaube Du hast VLAns ncht verstanden, bzw nicht, wie man sie benutzt.
zu 1. "VLANS segmentieren um auch Sicherheit zu schaffen"
Ja, selbst mit wireshark, "gesehen" die VLAN PAKETE in RAW!
Drucker im selben NETZWERK könnte auch alles "sehen" in RAW!
andere geräte Firmware wer weiss was könnte auch "sehen" RAW!
Sicherheit????
Ja, selbst mit wireshark, "gesehen" die VLAN PAKETE in RAW!
Drucker im selben NETZWERK könnte auch alles "sehen" in RAW!
andere geräte Firmware wer weiss was könnte auch "sehen" RAW!
Sicherheit????
1. Wer brüllen muß hat unrecht.
2. Wer tagged Pakete an einem Gerät sieht, das isoliert werden soll, nutzt das VLAN falsch. Endgeräte haben i.d.R. immer einen untagged Port, auf dem nur die Pakete aus dem VLAN rauskommen, die für das Gerät bestimmt sind Andsere VLAN kommen da gar nicht erst raus (oder der switch ist kaputt).
3.Verbindungen auf denen Pakete von mehreren VLAns unterwegs sind normalerweise nur zwischen Wwitchen oder zu Servern/Routern, die mit mehreren VLANs kommunizieren müssen, die eh alle VLANS auf dem Segment sehen dpürfen/müssen.
Dein Drucker oder auch Deien Workstation sollte als nie andere VLANs sehen, ansonsten hast Du den switch falsch konfiguriert.
zu 2. Netzwerk-Traffic
VLANs ist so wie ueber Router hinweg gebridgte Netzwerke, fuert ...
VLANs ist so wie ueber Router hinweg gebridgte Netzwerke, fuert ...
router bridgen nicht!
Natuerlich dazu das Broadcasts alle ueber die Router zu den einzelnen
falsch.
Standorten Transportiert werden, was auch durchaus so erwünscht
sein kann! erhöht aber den Traffic.
Besonders wenn noch geroutet wird zwischen den VLANs
sein kann! erhöht aber den Traffic.
Besonders wenn noch geroutet wird zwischen den VLANs
Falsch. du hast ein falsches verständnis davon, was ein Router macht. Router leiten Brodcasts nicht weiter. Deswegen seken sie den Traffic!
zu 3.
meine Power LAN Adapter TP-Link 7 Stueck, 4 aeltere, 3 neuere nachgekauft!
Unterstuetzen kein VLANs auch nach firmware upgrades, hat viel zeit gekostet den
Fehler nicht beheben zu koennen!
meine Power LAN Adapter TP-Link 7 Stueck, 4 aeltere, 3 neuere nachgekauft!
Unterstuetzen kein VLANs auch nach firmware upgrades, hat viel zeit gekostet den
Fehler nicht beheben zu koennen!
Das prüft man vor dem Kauf. Die meisten PowerLAN-Adaper, die ich kenne, unterstützen das nicht, aber ich glaube aqui, wenn er sagt, daß es welche gibt.
Verstehe mich bitte nicht Falsch, VLAN ist fuer Segmentierung und Verwaltung,
bei Firmen IDEAL dort sind GlasfaserLeitungen um Gebaeude zu verbinden,
und dann hat es gefaelligst Tagging zu unterstuetzen, was benoetigt wird!
und die ServerRaeume sind ABGESCHLOSSEN, weil der Admin weiss das man mitlesen kann!
bei Firmen IDEAL dort sind GlasfaserLeitungen um Gebaeude zu verbinden,
und dann hat es gefaelligst Tagging zu unterstuetzen, was benoetigt wird!
und die ServerRaeume sind ABGESCHLOSSEN, weil der Admin weiss das man mitlesen kann!
Auch im Heimnetz kann man das durchaus sinnvoll einsetzen. Aber daß Sicherheit auch von dem Zugang zu der Hardware abhängt ist kein Geheimnis. Daheim hast Du aber nicht das Problem, daß die Geräte lustig sich selbst umstöpseln.
Also:
Man kann VLANs auch daheim einsetzen, muß es aber nicht. Und mach dich mal mit der korrekten Konfiguration von VLANs und Routern vertraut.
lks
Hallo,
nach einigen Experimenten wollte ich erste Ergebnisse/Erfahrungen teilen.
Ich habe in der Tat erstmal folgende Netze aufgebaut:
VLAN1: Admin-Netz, Management von Router und Switch
VLAN2: Gäste. Dürfen ausschl. mit dem Inet kommunizieren
VLAN3: PCs/Notebooks, Handys, Drucker, Medienplayer, bspw. SONOS, Denon, Apple TV, Playstation
VLAN4: Server-Anwendungen, bspw. Hypervisor, Storage/NAS, Monitoring
VLAN5: n/a
VLAN6: Smarthome-Zentrale(n)
VLAN7: einfache IoT-Geräte mit potenziell unsicheren Chips, die eh nur mit der Smarthome-Zentrale reden sollten.
Ich hatte es ja erst etwas anders geplant, fand es dann aber doch schick, die Server per Firewall zu trennen. indem ich nur gezielt einzelne Dienste in die anderen Netze geben - den UDP-Port fürs Logging gebe ich frei, die für NFS dann eher nicht.
Leider zeigt sich aber schnell, dass die Kommunikation mit Devices, die auf "1 Haushalt, 1 Netz" ausgelegt sind, in der Tat ein Problem sind. So finden die Smarthome-Zentralen nach Einrichtung des PIM schnell die SONOS-Speaker. Sobald die Speaker aber mal vom Netz getrennt sind und später wieder connecten (die laufen nicht 24/7 durch), hakt es. Sind die Smarthome-Zentralen dagegen im selben Netz, rüttelt es sich nach wenigen Minuten ein.
Auch ein DLNA-Server (getestet: Plex) in VLAN6 wird in VLAN3 gesehen - aber nur, wenn die Firewall des Windows-Clients in VLAN3 ausgeschaltet ist. Windows geht im Standard also auch davon aus, dass VLAN6 ein böses fremdes Netz ist.
(Die Mikrotik-Firewall war zur Sicherheit bei all diesen Tests ausgeschaltet, daran lag es also nicht. Multicasts kommen auch in den richtigen Netzen an. PIM ist eingerichtet mit
)
Mir ist bewusst, dass ich diese Probleme sicherlich mit etwas Aufwand heilen kann:
- Firewall in Windows besser durchlöchern
- die Kommunikation zwischen Smarthome und Sonos besser untersuchen.
So richtig gefällt mir das aber nicht: die Gefahr ist ja, dass jeder neue Dienst, der Einzug hält, erstmal zwei Tage Arbeit bedeutet, die Akzeptanz also am Ende gegen 0 geht ("Du und Dein blödes Geraffel, mit dieser Fritz!Box gab es keine Probleme!").
Und am Ende des Tages sitzt dann der Virus auf dem Windows-PC und frisst sich trotzdem vergnügt durchs Storage, auf das die Clients wenigstens teilweise ja Zugriff haben müssen. Oder sendet fleißig Kommandos an die Smarthome-Zentrale. Sprich: die größten Einfalltore (Windows bzw. unsichere Smarthome-Devices) haben am Ende ja doch Zugriff auf relevante Dienste, Firewall hin oder her.
Ganz aufgegeben habe ich noch nicht. Derzeit schwebt mir vor:
VLAN1: Admin-Netz, Management von Router und Switch
VLAN2: Gäste. Dürfen ausschl. mit dem Inet kommunizieren
VLAN3: PCs/Notebooks, Handys, Drucker, Medienplayer, bspw. SONOS, Denon, Apple TV, Playstation, Server, mit denen es sonst halt nicht besser klappt (DLNA, Smarthome-Zentrale)
VLAN4: gut trennbare Server-Anwendungen, bspw. Hypervisor, Storage/NAS, Monitoring
VLAN5: n/a
VLAN6: n/a
VLAN7: einfache IoT-Geräte mit potenziell unsicheren Chips, die eh nur mit der Smarthome-Zentrale reden sollten.
Ist nicht mehr ganz so sauber, aber ich kann ja wenigstens die Geräte, die sich problemlos etwas isolieren lassen, in ein separates Netz packen.
Alternativ (da sind wir wieder bei aufwendig) könnte ich auch überlegen, die Smarthome-Zentralen durchaus zu separieren, aber eine Art MQTT-Broker für die SONOS-Geräte in VLAN3 mit aufzunehmen, der dann stellvertretend die Kommunikation mit der SH-Zentrale führt. Wenn ich mal Langeweile habe, probiere ich das aus.
Nur mal so als Wasserstand!
nach einigen Experimenten wollte ich erste Ergebnisse/Erfahrungen teilen.
Ich habe in der Tat erstmal folgende Netze aufgebaut:
VLAN1: Admin-Netz, Management von Router und Switch
VLAN2: Gäste. Dürfen ausschl. mit dem Inet kommunizieren
VLAN3: PCs/Notebooks, Handys, Drucker, Medienplayer, bspw. SONOS, Denon, Apple TV, Playstation
VLAN4: Server-Anwendungen, bspw. Hypervisor, Storage/NAS, Monitoring
VLAN5: n/a
VLAN6: Smarthome-Zentrale(n)
VLAN7: einfache IoT-Geräte mit potenziell unsicheren Chips, die eh nur mit der Smarthome-Zentrale reden sollten.
Ich hatte es ja erst etwas anders geplant, fand es dann aber doch schick, die Server per Firewall zu trennen. indem ich nur gezielt einzelne Dienste in die anderen Netze geben - den UDP-Port fürs Logging gebe ich frei, die für NFS dann eher nicht.
Leider zeigt sich aber schnell, dass die Kommunikation mit Devices, die auf "1 Haushalt, 1 Netz" ausgelegt sind, in der Tat ein Problem sind. So finden die Smarthome-Zentralen nach Einrichtung des PIM schnell die SONOS-Speaker. Sobald die Speaker aber mal vom Netz getrennt sind und später wieder connecten (die laufen nicht 24/7 durch), hakt es. Sind die Smarthome-Zentralen dagegen im selben Netz, rüttelt es sich nach wenigen Minuten ein.
Auch ein DLNA-Server (getestet: Plex) in VLAN6 wird in VLAN3 gesehen - aber nur, wenn die Firewall des Windows-Clients in VLAN3 ausgeschaltet ist. Windows geht im Standard also auch davon aus, dass VLAN6 ein böses fremdes Netz ist.
(Die Mikrotik-Firewall war zur Sicherheit bei all diesen Tests ausgeschaltet, daran lag es also nicht. Multicasts kommen auch in den richtigen Netzen an. PIM ist eingerichtet mit
/routing pim interface
add interface=VLAN3
add interface=VLAN6
/routing pim rp
add address=192.168.3.1
add address=192.168.6.1Mir ist bewusst, dass ich diese Probleme sicherlich mit etwas Aufwand heilen kann:
- Firewall in Windows besser durchlöchern
- die Kommunikation zwischen Smarthome und Sonos besser untersuchen.
So richtig gefällt mir das aber nicht: die Gefahr ist ja, dass jeder neue Dienst, der Einzug hält, erstmal zwei Tage Arbeit bedeutet, die Akzeptanz also am Ende gegen 0 geht ("Du und Dein blödes Geraffel, mit dieser Fritz!Box gab es keine Probleme!").
Und am Ende des Tages sitzt dann der Virus auf dem Windows-PC und frisst sich trotzdem vergnügt durchs Storage, auf das die Clients wenigstens teilweise ja Zugriff haben müssen. Oder sendet fleißig Kommandos an die Smarthome-Zentrale. Sprich: die größten Einfalltore (Windows bzw. unsichere Smarthome-Devices) haben am Ende ja doch Zugriff auf relevante Dienste, Firewall hin oder her.
Ganz aufgegeben habe ich noch nicht. Derzeit schwebt mir vor:
VLAN1: Admin-Netz, Management von Router und Switch
VLAN2: Gäste. Dürfen ausschl. mit dem Inet kommunizieren
VLAN3: PCs/Notebooks, Handys, Drucker, Medienplayer, bspw. SONOS, Denon, Apple TV, Playstation, Server, mit denen es sonst halt nicht besser klappt (DLNA, Smarthome-Zentrale)
VLAN4: gut trennbare Server-Anwendungen, bspw. Hypervisor, Storage/NAS, Monitoring
VLAN5: n/a
VLAN6: n/a
VLAN7: einfache IoT-Geräte mit potenziell unsicheren Chips, die eh nur mit der Smarthome-Zentrale reden sollten.
Ist nicht mehr ganz so sauber, aber ich kann ja wenigstens die Geräte, die sich problemlos etwas isolieren lassen, in ein separates Netz packen.
Alternativ (da sind wir wieder bei aufwendig) könnte ich auch überlegen, die Smarthome-Zentralen durchaus zu separieren, aber eine Art MQTT-Broker für die SONOS-Geräte in VLAN3 mit aufzunehmen, der dann stellvertretend die Kommunikation mit der SH-Zentrale führt. Wenn ich mal Langeweile habe, probiere ich das aus.
Nur mal so als Wasserstand!
Windows geht im Standard also auch davon aus, dass VLAN6 ein böses fremdes Netz ist.
Die Winblows Firewall geht immer davon aus das Absender mit fremden IPs böse sind und blockt diese per Default. Ohne Blocking lässt sie bekanntlich nur IPs aus dem eigenen Netz passieren. Das ist schon seit Jahrzehnten so bei der Windows Firewall und sollte man eigentlich wissen. Ein gewisses Customizing ist deshalb, zumindestens bei Winblows, immer gefordert.Wie immer gilt auch hier der goldene Ratschlag sich mal den Wireshark an die Hand zu nehmen und sich den IP Traffic Flow mal genau anzusehen. Dann weiss man auch innerhalb Sekunden was man wo wie customizen muss
Langweilig alles in einem Netz zusammenstecken kann ja zur Not auch dein Hund...
Mir ist bewusst, dass ich diese Probleme sicherlich mit etwas Aufwand heilen kann:
Wahre und weise Worte...!Und dein neues Konzept ist natürlich auch absolut OK !
1
