Verschiedenes > Off-Topic

IOT-Netzwerk

(1/4) > >>

Horti:
Guten Abend,

wir hatten mal kürzlich an einem virtuellen Stammtisch eine Diskussion über Smarthome/IOT und wie man am besten seine Infrastruktur gegen Gefahren, die in diesem Umfeld lauern, absichert.

Mein Smarthome beschränkt sich im Moment (noch) auf FHEM/piVCCU und HomeMatic (IP), aber aus der Family kommen immer häufiger Rufe nach Gerätschaften, die es dem Vernehmen nach in jedem anderen Haushalt mittlerweile gibt, nur nicht bei uns: Alexa, SmartTV, Smarter Saugrobotor natürlich bedienbar über App u.s.w.

Mein erster naiver Ansatz wäre, all diese Geräte zumindest in ein eigens Netz zu sperren und dafür zu sorgen, dass sie zwar aus dem eigenen Netz erreichbar sind, aber umgekehrt in dem eigenen Netz kein Unheil anrichten können. Ich habe mehrere Abende lang nach einer Anleitung gesurft, bin aber immer noch nicht wesentlich weiter bezüglich der Frage "wie mache ich es denn nun konkret?" Vorhanden ist eine FritzBox mit einigen daran hängenden Switches und 2 WLAN-APs, die zwar beide mit OpeWRT laufen, aber vermutlich für ernste Aufgaben zu alt/schwachbrüstig sind. Gäste-WLAN kann wohl jedes der 3 Geräte, aber es geht ja nicht nur um WLAN und dann muss es ja auch AP-übergreifend sein, und dann auch noch Zugriff aus dem Haupt-Netz? Fragen über Fragen...

Hat jemand eine Anleitung bzw. eine Quelle, die nicht unbedingt bei Adam und Eva anfängt aber auch nicht unbedingt für absolute IT-Cracks gedacht ist?

Danke im Voraus!

KölnSolar:

--- Zitat ---wie man am besten seine Infrastruktur gegen Gefahren, die in diesem Umfeld lauern, absichert
--- Ende Zitat ---
So gut wie unmöglich.  :'(
Leider haben die üblichen WLAN-Geräte die folgenden Eigenschaften:
- funktionieren nur über die Cloud, also kein reiner lokaler Betrieb möglich.
- sie sind Datensammler. Gerne funken sie Dinge wie WLAN-Kennung u. Passwort, sowie MAC des Routers(über die sich mehr oder weniger dessen Standort ermitteln lässt).

Also Obacht bei der Gerätewahl.

An Alexa kommt man kaum vorbei.

Bei meinem Sauger hab ich es geschafft ihn mit FHEM ins lokale Netz zu zwängen. Müsste bei allen Ecovacs funktionieren. Bei Xiaomi ist es modellabhängig.

TV ? Böse Quasseltaschen.  :'( Sensorik(Cam, Mikro, Geste...), Fernwartung... würd ich meiden/abschalten. Mit pi-hole wenigstens ein paar Standarddomains sperren. Vielleicht sogar Netzzugang sperren, solange man das Netz nicht wirklich z.B. zum Streamen benötigt


--- Zitat ---natürlich bedienbar über App
--- Ende Zitat ---
Genau das ist das Argument für die Gerätehersteller und der Freibrief für ihr böses Tun.  :'(

Absicherung: separates WLAN, keine Ports nach außen öffnen

Martin Fischer:
Auch wenn eine Fritzbox für solch Zwecke nicht die Hardware erster Wahl ist, habe ich das bei mir dennoch damit umgesetzt. Ich hatte noch mehrere Fritzboxen liegen und damit eine Routerkaskade aufgebaut. Damit habe ich 4 Netze aufgespannt sowie mit entsprechenden Smartswitches VLANs konfiguriert.

Fritzbox 7490 "Edge" (orange)
Netzwerk 192.168.1.0/24 LAN/WLAN
IP extern: Provider
IP intern: 192.168.1.1
IoT Komponenten wie Amazon Echo(s), Google Nest Mini, AirPurifier, Rasenmäher, HUE, Surveillance Server, IP-Cams, Birdcam, etc.
plus Gastnetz 192.168.179.0/24 LAN/WLAN (hellblau)

Fritzbox 7490 "Home" (blau)
Netzwerk 192.168.10.0/24 LAN/WLAN
IP extern: 192.168.1.2
IP intern: 192.168.10.1
Internetzugang via "eigenem Anbieter Fritzbox Edge"
Notebooks, Smartphones, Tablets, Hostserver für Virtualisierung, NAS, Smart-TVs, Bue ray Player, SAT Receiver, Kodi, Drucker, etc.

Fritzbox 4040 "Grid" (grün)
Netzwerk 192.168.100.0/24 LAN/WLAN
IP extern: 192.168.1.3
IP intern: 192.168.100.1
Internetzugang via "eigenem Anbieter Fritzbox Edge"
FHEM Main Server (virtualisiert), div. FHEM "Satelliten" auf Raspberry PI, HMLANs, CUN, CUNO, etc.

Mittels gezielter Portfreigaben auf den "Home" und "Grid" Boxen kann dann auch netzübergreifend zugegriffen werden. Auf den FHEM Server 192.168.100.101 z.B. via 192.168.1.3:8080. Aus den "inneren" Netzen, also "Home" und "Grid" kann bequem auf die IoT Geräte im "Edge" Netz zugegriffen werden. Sind dann halt Geräte in meinem "privaten Internet" / DMZ.

Auch wenn Smart-TVs und auch Smartphones, Tablets, etc. mindestens genau so gesprächig sein "können", wie andere IoT Geräte sind diese denoch in meiner "privaten" Umgebung. Der Zugriff auf Inhalte und Median auf dem NAS ist dann etwas bequemer. Irgend ein Tot muss man halt sterben ;)

Läuft bei mir seit Jahren ohne irgendwelche Probleme. In den Jahren haben sich so einige Komponeten angesammelt. Ich habe gerade mal in mein IPAM geschaut: aktuell sind 116 IP Adressen über die Netze verteilt vergeben... upsala...  :o

Horti:
@Martin:
Das könnte eine Möglichkeit für mich sein, Router-Kaskaden findet man ja sofort, wenn man nach den Stichwörtern sucht. Aber genau dieses "mit entsprechenden Smartswitches VLANs konfiguriert" bzw. "Mittels gezielter Portfreigaben", da wird es dann ganz schnell dünn :(

@Markus:
- Bei meinem Samsung TV, gekauft letzten Sommer, verweigere ich die Zustimmung zu AGB, damit wird wohl nicht nach Hause telefoniert, aber damit liegen auch die ganzen smarten Funktionen brach. Wäre ja nur halb so schlimm, aber der "Akzeptieren"-Knopf ist so einladend platziert, dass es schon an ein Wunder grenzt, dass bis jetzt noch niemand drauf geklickt hat :)
- Bei dem Samsung-Roboter wird es wohl ein RoboRock werden, da habe ich leider keinerlei Mitspracherecht :) Hier muss ich dann einen Kompromiss zwischen WAF und Sicherheit finden

KölnSolar:

--- Zitat ---es wohl ein RoboRock
--- Ende Zitat ---
Die Modellpalette ist groß. Die Hacker-community auch.  ;) Vielleicht lieber ein älteres(gehacktes) Modell wählen. Gerade Xiaomi macht sich sehr unbeliebt als Datensammler.  :'( Wenn sich die Wahl lokal betreiben lässt, dann bereits Obacht bei der Ersteinrichtung:
- unkritisches WLAN, sonst sind die Daten für immer in China
- Router nutzen, der nicht 24/7 im Netz hängt, sonst weiß der Chinamann(*in  ;D ;D ;D)  auch noch, wo das WLAN zu finden ist.

Und allgemein kann ich nur tools wie z.B. pi-hole oder Wireshark(mit Dump[versteckte Funktionalität] der Internetaktivität aus der Fritte) empfehlen, um überhaupt mal ein "Bild" zu bekommen, was da an Unmengen Kommunikation abläuft.


--- Zitat ---verweigere ich die Zustimmung zu AGB, damit wird wohl nicht nach Hause telefoniert
--- Ende Zitat ---
Glaub ich fast nicht. :'( Mediathek nicht möglich ? Kein Digitaltext ?
Um wenigstens mein SamsungAV/DLNAController nutzen zu können  ;), sperr den Netzzugang in der Fritte.  8) Ich pflege da mittlerweile einen bewussteren Umgang. Selbst sowas wie eigentlich ausgediente Geräte, die man vielleicht als Ersatz" verwahrt, werden bei Außerbetriebnahme gesperrt(oder Neugeräte wie der airpurifier  ;D)

Navigation

[0] Themen-Index

[#] Nächste Seite

Zur normalen Ansicht wechseln