Netzwerk-Segmentierung - macht ihr das?
-
Hallo zusammen,
ich wurde von einem ITler mal angesprochen, ob ich in meinem Netzwerk für die ganzen Schalter, Sensore usw. die per Wlan eingebunden sind eine Netzwerk-Segmentierung mache. Also eine Trennung des IoT-Netzwerks vom Hauptnetzwerk. So könte dann ein kompromittierte Smart-Steckdose nicht auf mein Netzwerk zugreifen.
Macht ihr das? Wenn ja, gibt es da einen sinnvollen "Fahrplan"?
Grüße
ManfredDie Natur braucht nicht unseren Schutz, sie braucht unsere Abwesenheit.
-
H Homoran verschob dieses Thema von ioBroker Allgemein
-
es kommt drauf an ob du diese Möglichkeit hast.. mit NUR einer Fritte mahr als 2 Netzwerke aufzubauen und diese voneinander zu trennen ist unmöglich.. und das ist schon abentuerreich (mit dem Gastnetzwerk)
aber ja ich mache das so.. ich habe 4 davon. alles über Unifi UDM Pro gemanaged
zigbee hab ich, zwave auch, nuc's genauso und HA auch
-
Hallo zusammen,
ich wurde von einem ITler mal angesprochen, ob ich in meinem Netzwerk für die ganzen Schalter, Sensore usw. die per Wlan eingebunden sind eine Netzwerk-Segmentierung mache. Also eine Trennung des IoT-Netzwerks vom Hauptnetzwerk. So könte dann ein kompromittierte Smart-Steckdose nicht auf mein Netzwerk zugreifen.
Macht ihr das? Wenn ja, gibt es da einen sinnvollen "Fahrplan"?
Grüße
Manfred -
es kommt drauf an ob du diese Möglichkeit hast.. mit NUR einer Fritte mahr als 2 Netzwerke aufzubauen und diese voneinander zu trennen ist unmöglich.. und das ist schon abentuerreich (mit dem Gastnetzwerk)
aber ja ich mache das so.. ich habe 4 davon. alles über Unifi UDM Pro gemanaged
-
Bei mir ist auch alles ein großes Netz für ioBroker und den Geräten sowie Handys & Co.
Viele Apps für Geräte, z.B. Klimaanlage funktionieren nur wenn diese im gleichen Netzwerk sind und so die Geräte automatisch finden können.
Das so ein einzelner Zwischenstecker gehackt wird - so einfach von außen geht das schon mal nicht, wenn über die Herstellercloud.
Da würde ich eher versuchen, Cloudfrei zu arbeiten, weshalb ich z.B. gerne Tasmota einsetze, aber auch Shelly geht ohne Shelly-Cloud auch lokal sehr gut. ZigBee sowieso, bei Tuya kommt es auf das Gerät an, manche sind nicht lokal steuerbar.Ohne Herstellercloud hat auch den Charme, das einem egal sein kann wenn dieser meint seine Cloud abschalten zu müssen.
ioBroker@Ubuntu 24.04 LTS (VMware) für: >260 Geräte, 5 Switche, 7 AP, 10 IP-Cam, 1 NAS 42TB, 1 ESXi 15TB, 4 Proxmox 1TB, 1 Hyper-V 48TB, 14 x Echo, 5x FireTV, 5 x Tablett/Handy VIS || >=160 Tasmota/Shelly || >=95 ZigBee || PV 8.1kW / Akku 14kWh || 2x USV APC 750W kaskadiert || Creality CR-10 SE 3D-Drucker
-
Hallo zusammen,
ich wurde von einem ITler mal angesprochen, ob ich in meinem Netzwerk für die ganzen Schalter, Sensore usw. die per Wlan eingebunden sind eine Netzwerk-Segmentierung mache. Also eine Trennung des IoT-Netzwerks vom Hauptnetzwerk. So könte dann ein kompromittierte Smart-Steckdose nicht auf mein Netzwerk zugreifen.
Macht ihr das? Wenn ja, gibt es da einen sinnvollen "Fahrplan"?
Grüße
Manfredich glaube auch, das es sehr aufwändig ist.
Die meisten consumer geräte (router,switches) bieten auch nicht so die Konfigurationsmöglichkeiten an, da muss man dann zu profigeräten greifen, die dann um einiges teuerer sind. ok beim router könnte man auf openwrt oder so gehen, was auch schon viel möglichkeiten hat.soviel ich mich noch aus vergangene Projekte erinnern kann, wird im Profibereich eher auf VLANs oder interne VPNs gesetzt. Dazu muss man dann aber sehr virtuos mit dem/den firewalls umgehen können. der bestimmt letztendlich welche päckchen wohin weitergegeben werden darf.
broadcasts (was oft zum erkennen der geräte im netzt verwendet wird funktioniert nur innerhalb eines netzwerksegments) und multicasts müsste dann auch entsprechend gefiltert werden.
Meine Adapter und Widgets
TVProgram, SqueezeboxRPC, OpenLiga, RSSFeed, MyTime,, pi-hole2, vis-json-template, skiinfo, vis-mapwidgets, vis-2-widgets-rssfeed
Links im Profil -
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
- Fritzbox: 192.168.130.1
- Server und AccessPoints: 192.168.130.xxx
- Stromzähler, Wallbox, Solar etc.: 192.168.135.xxx
- Geräte Kind 1: 192.168.140.xxx
- Geräte Kind 2: 192.168.145.xxx
- inventwo: 192.168.150.xxx
- Smarthome Aktoren indoor: 192.168.160.xxx
- Smarthome Aktoren outdoor: 192.168.165.xxx
- Meine Geräte: 192.168.170.xxx
- Geräte meiner Frau: 192.168.175.xxx
- DHCP: 192.168.200.xxx
#TeamInventwo
• Autodarts by inventwo
• FoxESS Cloud by inventwo
• vis-inventwo & vis-2-widgets-inventwo
• vis-icontwo & vis-2-widgets-icontwo -
ich glaube auch, das es sehr aufwändig ist.
Die meisten consumer geräte (router,switches) bieten auch nicht so die Konfigurationsmöglichkeiten an, da muss man dann zu profigeräten greifen, die dann um einiges teuerer sind. ok beim router könnte man auf openwrt oder so gehen, was auch schon viel möglichkeiten hat.soviel ich mich noch aus vergangene Projekte erinnern kann, wird im Profibereich eher auf VLANs oder interne VPNs gesetzt. Dazu muss man dann aber sehr virtuos mit dem/den firewalls umgehen können. der bestimmt letztendlich welche päckchen wohin weitergegeben werden darf.
broadcasts (was oft zum erkennen der geräte im netzt verwendet wird funktioniert nur innerhalb eines netzwerksegments) und multicasts müsste dann auch entsprechend gefiltert werden.
@OliverIO sagte in Netzwerk-Segmentierung - macht ihr das?:
broadcasts (was oft zum erkennen der geräte im netzt verwendet wird funktioniert nur innerhalb eines netzwerksegments) und multicasts müsste dann auch entsprechend gefiltert werden.
es kommt auf die Marke an.. unifi kann das inzwischen..
-
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
- Fritzbox: 192.168.130.1
- Server und AccessPoints: 192.168.130.xxx
- Stromzähler, Wallbox, Solar etc.: 192.168.135.xxx
- Geräte Kind 1: 192.168.140.xxx
- Geräte Kind 2: 192.168.145.xxx
- inventwo: 192.168.150.xxx
- Smarthome Aktoren indoor: 192.168.160.xxx
- Smarthome Aktoren outdoor: 192.168.165.xxx
- Meine Geräte: 192.168.170.xxx
- Geräte meiner Frau: 192.168.175.xxx
- DHCP: 192.168.200.xxx
-
Bei mir ist auch alles ein großes Netz für ioBroker und den Geräten sowie Handys & Co.
Viele Apps für Geräte, z.B. Klimaanlage funktionieren nur wenn diese im gleichen Netzwerk sind und so die Geräte automatisch finden können.
Das so ein einzelner Zwischenstecker gehackt wird - so einfach von außen geht das schon mal nicht, wenn über die Herstellercloud.
Da würde ich eher versuchen, Cloudfrei zu arbeiten, weshalb ich z.B. gerne Tasmota einsetze, aber auch Shelly geht ohne Shelly-Cloud auch lokal sehr gut. ZigBee sowieso, bei Tuya kommt es auf das Gerät an, manche sind nicht lokal steuerbar.Ohne Herstellercloud hat auch den Charme, das einem egal sein kann wenn dieser meint seine Cloud abschalten zu müssen.
@BananaJoe sagte in Netzwerk-Segmentierung - macht ihr das?:
Das so ein einzelner Zwischenstecker gehackt wird - so einfach von außen geht das schon mal nicht, wenn über die Herstellercloud.
Wenn schon Smartphones von Herstellern aus der zweiten Reihe direkt ab Werk mit installierten Backdoors geliefert werden, könnten auch Smart Plugs schon ab Werk mit entsprechenden Werkzeugen als Add-On in der Firmware ausgerüstet sein... insbesondere, wenn man es sich direkt aus China schicken lässt ....
Ich mache mir da aber auch keinen größeren Kopf darüber ...
Ist alles derzeit noch ein großes Netz ....
Mit der Fritzbox wird es schwierig, da etwas Sinnvolles hinzubekommen ...
Und Ubiquiti ist eine US-Firma.... ob man da viel besser geschützt ist, als mit china Zeug
-
Ich fand das auch etwas übertrieben. Bei mir dürfen auch nur ein paar ganz wenige Geräte überhaupt "nach hause telefonieren". Mess-Stecker, Wlan-Schalter usw. die habe ich in der Fritzbox den Internetzugang gesperrt. Ich glaube auch, das der Rechner oder das Handy mit dem im Internet gewühlt wird, viel gefährdeter sind.
-
Ich hab 5 VLANs und entsprechend viele WLANs, aber da ist keins für Smart Home Geräte oder so.
Einerseits reicht mir das schon an Komplexität und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid. Damit wäre es eh aussichtslos das Konsequent durch zu ziehen.Persönlicher Support
Spenden -> paypal.me/J3YC33 -
Ich hab 5 VLANs und entsprechend viele WLANs, aber da ist keins für Smart Home Geräte oder so.
Einerseits reicht mir das schon an Komplexität und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid. Damit wäre es eh aussichtslos das Konsequent durch zu ziehen.@Jey-Cee sagte in Netzwerk-Segmentierung - macht ihr das?:
und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid.
Darf aus dem "keiner" Personenkreis jeder in beliebige der 5 VLANs.... ?
Bei WIFI nutzt man ja unterschiedliche SSIDs und hoffentlich auch unterschiedliche Credentials für die VLANs.
Bei den LAN-Ports sieht es aber schon anders aus ... Wenn die LAN-Ports auf "normalen" LAN Dosen in den Büros hängen, ist das Aufwand, da Grenzen zu setzen hoch (Radius? MAC-Whitelists)
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 13) on Proxmox 9.1.5)
Linux pve 6.17.9-1-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.20 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@Jey-Cee sagte in Netzwerk-Segmentierung - macht ihr das?:
und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid.
Darf aus dem "keiner" Personenkreis jeder in beliebige der 5 VLANs.... ?
Bei WIFI nutzt man ja unterschiedliche SSIDs und hoffentlich auch unterschiedliche Credentials für die VLANs.
Bei den LAN-Ports sieht es aber schon anders aus ... Wenn die LAN-Ports auf "normalen" LAN Dosen in den Büros hängen, ist das Aufwand, da Grenzen zu setzen hoch (Radius? MAC-Whitelists)
@MartinP 3 VLANs sind für die Mietparteien, heißt das geht mich nix an was dahinter passiert.
Zwischen den VLANs kann keiner hin und her. Aber die "keiner" Fraktion hat die Angewohnheit Dinge aus und um zu stecken wenn etwas nicht funktioniert wie sie das erwarten. Also wäre jede Restriktion über das minimum hinaus eher Kontraproduktiv. -
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
- Fritzbox: 192.168.130.1
- Server und AccessPoints: 192.168.130.xxx
- Stromzähler, Wallbox, Solar etc.: 192.168.135.xxx
- Geräte Kind 1: 192.168.140.xxx
- Geräte Kind 2: 192.168.145.xxx
- inventwo: 192.168.150.xxx
- Smarthome Aktoren indoor: 192.168.160.xxx
- Smarthome Aktoren outdoor: 192.168.165.xxx
- Meine Geräte: 192.168.170.xxx
- Geräte meiner Frau: 192.168.175.xxx
- DHCP: 192.168.200.xxx
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
@Beowolf sagte in Netzwerk-Segmentierung - macht ihr das?:
Macht ihr das? Wenn ja, gibt es da einen sinnvollen "Fahrplan"?
Ich habe 4 VLANs und trenne so sauber meine Netze.
- VLAN für Kabelgeräte
- VLAN für Internes WLAN
- VLAN für Gast WLAN
- VLAN für IoT
Mit Firewall Routing kann ich aber trotzdem einzelne Dienste erreichen.
So kann ich zb. iobroker im IoT Netz von meinem Kabel Netz erreichen. -
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
@Beowolf sagte in Netzwerk-Segmentierung - macht ihr das?:
Macht ihr das? Wenn ja, gibt es da einen sinnvollen "Fahrplan"?
Ich habe 4 VLANs und trenne so sauber meine Netze.
- VLAN für Kabelgeräte
- VLAN für Internes WLAN
- VLAN für Gast WLAN
- VLAN für IoT
Mit Firewall Routing kann ich aber trotzdem einzelne Dienste erreichen.
So kann ich zb. iobroker im IoT Netz von meinem Kabel Netz erreichen.@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
Meine Recherche dazu:
Sehe ich das falsch?
#TeamInventwo
• Autodarts by inventwo
• FoxESS Cloud by inventwo
• vis-inventwo & vis-2-widgets-inventwo
• vis-icontwo & vis-2-widgets-icontwo -
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
Meine Recherche dazu:
Sehe ich das falsch?
-
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
Meine Recherche dazu:
Sehe ich das falsch?
Das stimmt schon, aber wenn das Netz wächst, dann steigt auch der Broadcast Traffic.
Nächster Nachteil ist auch, dass du nicht sauber steuern kannst. Heißt jeder kann mit jedem "reden".
Bei VLAN Trennung kannst du hier sauber den Riegel vorschieben.
-
Das stimmt schon, aber wenn das Netz wächst, dann steigt auch der Broadcast Traffic.
Nächster Nachteil ist auch, dass du nicht sauber steuern kannst. Heißt jeder kann mit jedem "reden".
Bei VLAN Trennung kannst du hier sauber den Riegel vorschieben.
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
Bei VLAN Trennung kannst du hier sauber den Riegel vorschieben.
Das geht aber auch nur bei entsprechend vorhandener Hardware/Infrastruktur. Diese effizient zu nutzen ist sicher kein Fehler, aber für jemand der aktuell mit ner Fritte mit Gäste-WLAN und "dummen" Switchen arbeitet sind VLAN's wohl eher eine sinnfreie Überlegung, es sei denn er investiert richtig in andere Hardware. Das aber extra deswegen bzw. nur für VLAN's zu machen, weil es eben "toll" ist dass man es kann, dürfte jede anständige Kosten-/Nutzen-Rechnung ad absurdum führen.
Ich habe selber ein umfangreiches Unifi-System und auch bewusst zumindest die "Amazon-Schnüffler" in ein eigenes VLAN gepackt, aber eben auch nur weil die Infrastruktur eh da ist und ein komplettes 2-Familienhaus incl. Gäste-WLAN mit Voucher-Zugang damit gemanaged wird.
Markus
Bitte beachten:
Hinweise für gute Forenbeiträge
Maßnahmen zum Schutz des Forums -
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
Bei VLAN Trennung kannst du hier sauber den Riegel vorschieben.
Das geht aber auch nur bei entsprechend vorhandener Hardware/Infrastruktur. Diese effizient zu nutzen ist sicher kein Fehler, aber für jemand der aktuell mit ner Fritte mit Gäste-WLAN und "dummen" Switchen arbeitet sind VLAN's wohl eher eine sinnfreie Überlegung, es sei denn er investiert richtig in andere Hardware. Das aber extra deswegen bzw. nur für VLAN's zu machen, weil es eben "toll" ist dass man es kann, dürfte jede anständige Kosten-/Nutzen-Rechnung ad absurdum führen.
Ich habe selber ein umfangreiches Unifi-System und auch bewusst zumindest die "Amazon-Schnüffler" in ein eigenes VLAN gepackt, aber eben auch nur weil die Infrastruktur eh da ist und ein komplettes 2-Familienhaus incl. Gäste-WLAN mit Voucher-Zugang damit gemanaged wird.
@Samson71 sagte in Netzwerk-Segmentierung - macht ihr das?:
Das geht aber auch nur bei entsprechend vorhandener Hardware/Infrastruktur
....und entsprechend vorhandenem KnowHow!
Support us
466
Online32.7k
Benutzer82.5k
Themen1.3m
Beiträge