iobroker u. a. IoT Geräte abschotten - Frage dazu...

A Former User

@android51

allsoooooo.... um das richtig zu machen.. brauchst du
a) etwas mehr Netzwerk Grundkentnisse - was sind Vlans, was sind firewalls, was sind traffic&firewall Rules
b) schreib dir ein Netzwerk-Design, welche Devices nur lokal sind, welche nach draussen senden muessen, und schaue dann, wo du dein iobroker platzierst, der ist nichtnur lokal, der mag auch updates machen, also muss er, sofern du nicht jedesmal deine Firewall rules aendern willst, auch raus senden..
c) die richtige Netzkwerk Hardware, nur managed switchs, wifi AP's mit vlan support, firewall, gateway, etc.

Mit AVM Hardware nicht umzusetzen, vergiss das.

A Former User

@nashra sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:

VLan kann die Fritzbox nicht, das muß deswegen über die Switche realisiert werden.

Da sowohl VLANs für das Heimnetz als auch für das Gästenetz erzeugt werden sollen, die Fritzbox nicht VLAN-fähig ist, muss der Switch sowohl an das Heimnetz der Fritzbox (z. B. Port 2) als auch an das Gästenetz (Port 4) angeschlossen werden.

was

a) schnell dazu fuehrt, dass du dir irgenwas was brueckst - dann hast du eine Netzwerkschleife
b) alles nur verkabelt sein kann

Nashra

@ilovegym sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:

@nashra sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:

VLan kann die Fritzbox nicht, das muß deswegen über die Switche realisiert werden.

Da sowohl VLANs für das Heimnetz als auch für das Gästenetz erzeugt werden sollen, die Fritzbox nicht VLAN-fähig ist, muss der Switch sowohl an das Heimnetz der Fritzbox (z. B. Port 2) als auch an das Gästenetz (Port 4) angeschlossen werden.

was

a) schnell dazu fuehrt, dass du dir irgenwas was brueckst - dann hast du eine Netzwerkschleife
b) alles nur verkabelt sein kann

Das lässt sich in der Fritte einstellen, der 4er ist dann Gastnetz und da passiert gar nichts.
Das VLan muß in den Switchen dann entsprechend eingestellt werden.
Aber, da sollte man dann auch wirklich Ahnung von der Materie haben und
ich würde so einen Krampf nicht mit einer Fritte machen, da gibt es bessere Hardware
die sowas dann auch richtig händelt zB Unifi.

Wildbill

@android51 sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:

@asgothian
Zwei Netzwerkkarten sind meiner Meinung nach überflüssig. Der iobroker soll sich auch nur im abgeschotteten Bereich bewegen. Warum soll der auf das Hauptnetzwerk zugreifen.
Der iobroker sollte aber schon auf das Hauptnetz oder zumindest im „abgeschotteten“ Netz auf das Internet zugreifen können. Wie willst Du sonst Updates einspielen oder mal einen neuen Adapter installieren?
Also ja, iobroker sollte in beiden Netzen sein, dann spart man sich das Gefrickel, in einer Firewall irgendwelche Löcher zu stechen, damit iobroker raus kommt. Und mit Routen muss man dann auch nix tun, da der iobroker ja nativ beide Netze sieht.

Ich habe bei mir iobroker in Proxmox, und da hat er 3 virtuelle Netzwerkkarten. Eine für das Smarthome-Netz, in welchem die Geräte im Normalfall keine anderen Netze sehen, geschweige denn Internet, eine für das normaloe Netz, damit iobroker Internetzugang hat und auch Zugriff auf ein paar Dinge. welche ich im normalen Netz habe und ein Proxmox-internes Netz für die Kommunikation mit den Containern für influx, redis, mosquitto und so, damit der Verkehr den Proxmox-Host erst gar nicht verlässt.

Als Router einen Edgerouter 4.

Gruss, Jürgen

EDIT: Mit einer Fritzbox und eventuell einem managed switch würde ich solche Versuche erst gar nicht anstellen. Ich würde mich als angehenden Netzwerk-Profi bezeichnen, aber dasd wäre mir zu kompliziert.

Asgothian

@android51 sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:

@asgothian
Zwei Netzwerkkarten sind meiner Meinung nach überflüssig. Der iobroker soll sich auch nur im abgeschotteten Bereich bewegen. Warum soll der auf das Hauptnetzwerk zugreifen.
Vielmehr benötige ich eine Option, mit meinem Rechner (Hauptnetzwerk) auf den IoT Bereich zugreifen zu können. Möchte ja schließlich auf den iobroker zugreifen.
Gibt es dafür eine Lösung?
Ich merke schon, IoT und VLANs sind keine guten Freunde.

Was ich konkret erreichen möchte, ist, dass ich dem ganzen IoT Kram sicherheitstechnisch nur bedingt traue und daher die Angriffsmöglichkeiten weitestgehend vom Hauptnetzwerk trennen möchte.

Ja, 2 physikalische Netzwerk Karten sind nicht unbedingt notwendig, ggf. Tun es auch 2 interfaces auf der gleiche Karte. Wenn es allerdings um Sicherheit geht bist du mit 2 getrennten Karten besser als 2 interfaces - dann kannst du 2 physikalisch voneinander getrennte Netzwerke auf machen, anstatt nur “logisch” voneinander getrennte Netzwerke zu haben.

A.

mcm1957

Wenn ich hier immer wieder Fritzbox und Gastnetz lesen:

Nach meinem Wissensstand erlaubt die Fritzbox keinerlei Datenaustausch vom "Hauptnetz" mit dem Gastnetz. Wenn der ioBroker Host im Gastnetz hängt erreichst du ihn von deinem "Hauptnetz" aus nicht. Wenn er im normalen Netz der Fritte hängt erreicht er keine IOT im Gastnetz.

Ja, theoretisch müsste es gehen den ioBroker Hiost mit 2 Netzwerkinterfaces in beide Netze einzubinden. Davon hab ich aber bisher abgesehen, da ich zumindest mir nicht zutraue den Pi so einzurichten dass er dann nicht gleich Gast- und Normalnetzt 1:1 verbindet ...

Android51

Okay, danke dir die Rückmeldungen. So kompliziert habe ich mir das nicht vorgestellt.
Ich dachte, ich könnte ein unmanged switch an den lan 4 der fritzbox hängen und zusätzlich alle IoT Devices, die wlan haben über den wlan Gastzugang verbinden. Ich dachte, dann hätte ich alles nach meiner Vorstellung im Gastzugang abgeschottet.
Alternativ hätte ich mir ein managed switch geholt und darüber VLANs eingerichtet. Dann habe ich aber noch kein vlan WiFi.
Gut, ich glaube, ich stelle mir nochmal intensiv die Frage, wie wichtig mir das ist und welchen Aufwand ich dafür betreiben möchte. Denn nach den ersten Antworten kann der iobroker zwar raussenden, aber nichts von außen reinkommen. Also schon relativ safe.
Stellt sich nur die Frage, was mit so tv Geräten, Kameras, Google home etc. ist, die sich zurzeit im Netzwerk befinden. Was können die anrichten, wenn man das kritisch betrachtet?

mcm1957

@android51 said in iobroker u. a. IoT Geräte abschotten - Frage dazu...:

Okay, danke dir die Rückmeldungen. So kompliziert habe ich mir das nicht vorgestellt.
Ich dachte, ich könnte ein unmanged switch an den lan 4 der fritzbox hängen und zusätzlich alle IoT Devices, die wlan haben über den wlan Gastzugang verbinden. Ich dachte, dann hätte ich alles nach meiner Vorstellung im Gastzugang abgeschottet.

Ja, nur kommst du dann mit deinem Handy das im normalen WLAN hängt nicht mehr ran ...

Außerdem hat das Gast Netz der Fritte m.W. nach keine Möglichkeit fixe Adressen via DHCP einzustellen.

Homoran

Das ganze Thema ist mit erheblicher Vorsicht zu genießen.

Wenn man sich mit der Materie nicht wirklich auskennt, ist die Gefahr beim Versuch etwas besonders sicher zu machen, dass man sogar ein Loch in das bisherige reisst.

Asgothian

@android51 sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:

Okay, danke dir die Rückmeldungen. So kompliziert habe ich mir das nicht vorgestellt.

Stellt sich nur die Frage, was mit so tv Geräten, Kameras, Google home etc. ist, die sich zurzeit im Netzwerk befinden. Was können die anrichten, wenn man das kritisch betrachtet?

Das hängt davon ab wie weit du der Firmware traust. Wenn der Router (FRITZ!Box) richtig eingerichtet ist bekommst du keine ungefragten Verbindungen von außen in dein Netz. Wenn aber eines der Smart Geräte über eine back-door in der Firmware verfügt kann sie durchaus in deinem Netz Schindluder treiben. Vom abhören des Netzes und versenden nach irgendwo hin bis zum infizieren von Windows Rechnern über Schwachstellen in Windows oder installierten Programmen.

Wohlgemerkt - kann - die meiste Firmware ist ok. Es gibt eher wenig echte “Bad actors”. Aber möglich ist das. Sich dagegen zu schützen ist allerdings aufwändig und kommt oft mit Komfort Verlust einher. Dem Smart-tv den Weg in das Internet zu verbieten sichert das Netz gegen das Gerät ab, macht es aber gleichzeitig auch weniger smart - als Beispiel.

Am Ende ist es eine Vertrauensfrage. Weißt du von wem die Firmware stammt, vertraust du denen und glaubst du das die netz Zugriffe notwendig sind.

Ein Beispiel wie ich es mache:

• das Smart TV wurde dumm gemacht - einfach per Mac address Filter auf der FRITZ!Box - kein Zugriff aufs externe Netz, sowie via blacklist auf dem adguard - keinen namensauflösung per DNS.
• Die wenigen smarten wlan Geräte die ich habe arbeiten mit den gleichen Einschränkungen, und sind damit lokal gezwungen - kriegen aber auch keine Firmware Updates.
• Für den Medien-Konsum hab ich einen dedizierten Medien-Player - der darf ins Netz.
  Smart-Geräte mit “Remote API” (sonoff mit original Firmware, TuYa wifi und so weiter) hab ich keine - absichtlich nicht - da fehlt das Vertrauen vollständig.
• Die eine wlan Kamera die ich habe ist auch vom Netz und vom DNS abgekoppelt. Diese kann ich nur lokal nutzen (rtsp stream)
• Voice-assistants die immer lauschen gibt es bei mir aus Prinzip nicht - ich mag keine Wanzen.

A.
P.s. die Einstellungen sind auf mich und mein Paranoia-Level angepasst - ich will damit mit Nichten schreiben das andere das so machen müssen.