Sicherheit IP-basierter HW

[Heimel]

Hallo!

IoT- / IP-basierte HW findet sich in den unterschiedlichsten Ausprägungen. Was mich dabei grundsätzlich interessiert:
Wie handhabt Ihr das mit dem IP-Adressraum?
Ist das der gleiche wie Eure übliche HW, oder ein separater, um das Netzwerk besser gegen unbeabsichtigte Zugriffe (aus dem Familienumfeld) zu sichern? Also z.B. 192.168.178.xxx für PCs etc. und 192.168.188.xxx für Haustechnik wie Lampen etc.?
Bzw. wie schätzt Ihr die Sicherheit i.a. davon ein?

Heimel

[pcbastler]

Eine generelle Empfehlung wird es da wohl nicht geben, ist auch eine Frage des Aufwands.
Ich hab alles in einem Netz, aber per DHCP die Adressen nach Gerätetypen sortiert (PCs bekommen .100-119, Multimediageräte .120-129, mobile Geräte ab .130, Netzwerkgeräte ab .200)
Noch reicht ein Segment dazu aus

Um den Internetzugriff für einzelne Geräte zu unterbinden reicht die Kindersicherung der Fritzbox.

[Wernieman]

Kommt wirklich auf den Anspruch drauf an, auch "wie" die Gräte angeschlossen sind. Wenn ich ich WLAN fähige IoT hätte, würde ich ein eigenes WLAN und VLAN (Mein Switch kann es) aufbauen und es definitiv trennen. Eine Trennung nur duch IP ist eigentlich etwas "dürftig".

Bis jetzt habe ich, mangels Geräte, auch nur mit unterschiedlichen IP-Bereichen und der FritzBox Kindersicherung gearbeitet. (z.B. braucht der Drucker nicht ins Netz zu sprechen)

Btw:
Es ist Lustig, wenn ein Drucker in der "Kindersicherung" ist .... nur damit er nicht ins Netz kommt ...

[helmut]

Noch reicht ein Segment dazu aus.

Die Groesse eines IP-Subnetzes ist von der Netzmaske abhaengig. Mittlerweile (seit wann eigentlich?)
erlaubt sogar AVM diese in den FBen zu aendern.

würde ich ein eigenes WLAN und VLAN (Mein Switch kann es) aufbauen und es definitiv trennen. Eine Trennung nur duch IP ist eigentlich etwas "dürftig".

ACK. Werner, ich weiss dass Du den zusaetzlich noetigen Router mit sinnvollen Filterregeln konfigurieren
kannst; eine 100-prozentige Trennung will sicher niemand haben. Diesen Aufwand sollten wir netztechnisch
weniger erfahrenen Nutzern aber nicht verschweigen. Auch Switches mit tagged VLANs sind sinnvoll,
beduerfen allerdings auch eines erhoehten Aufwands.

Gruss Helmut

[JudgeDredd]

Also ich habe hier alles in VLAN separierten Netze aufgeteilt und wo es möglich ist auch eine zertifikatsbasierte 802.1x Port-auth.
Ist in der Tat mit etwas mehr Aufwand verbunden,  was sich aber wieder über ein AD gut konfigurieren lässt.

Richtig ist natürlich auch, das sich sowas mit Konsumer-HW schlecht machen lässt.

[helmut]

wo es möglich ist auch eine zertifikatsbasierte 802.1x Port-auth.

Du schreibst ja selbst: Wo es moeglich ist. In einem IOT-Netz duerfte das nur ein winziger Bruchteil
der Klienten das koennen. Fuer den Privatgebrauch halte ich das fuer masslos uebertrieben. Selbst
in einem grossen Betrieb mit staendig wechselnden Nutzern ist das wegen Klientenseite nur sehr
schwer durchsetzbar.

was sich aber wieder über ein AD gut konfigurieren lässt.

Kann sein, aber M$-Software ist mir persoenlich zu kompliziert

Gruss Helmut

[JudgeDredd]

Kann sein, aber M$-Software ist mir persoenlich zu kompliziert

Samba4 ist Dein Freund

[Prof. Dr. Peter Henning]

Worin bitte sollte ein Sicherheitsproblem für das Schalten einer Lampe bestehen ?

LG

pah

[Wernieman]

- auch samba4 ist Windows ... ;o)

- Das Problem ist nicht der Schalter oder das Schalten, aber ein WLAN-Fähiges Gerät sollte updatebar sein (Nur bei Netzzugriff!). Bei den meisten IP-Basierten Systemen ist das genau das Problem (

[Heimel]

Vielen Dank für die konstruktiven Antworten!

Ich fasse für mich mal zusammen:

• Eine Trennung in ein eigenes Subnetz wird bevorzugt.
• Daraus ergibt sich allerdings mehr Aufwand, z.B. auch in HW.

Auch Switches mit tagged VLANs sind sinnvoll, beduerfen allerdings auch eines erhoehten Aufwands.

Na ja, FHEM ist auch nicht gerade leichte Kost - da kommt es darauf auch nicht mehr an ... 

Richtig ist natürlich auch, das sich sowas mit Konsumer-HW schlecht machen lässt.

O.K., das muss man also mal kalkulieren:
Auf der einen Seite sind viele IoT-Geräte (LED-Controller, Temp.fühler, etc.) recht preiswert, aber wer diese in einem eigenem Subnetz betreiben möchte, muss dafür die passende HW zusätzlich beschaffen. Oder Alternativ auf eine andere Übertragungstechnik setzen.

Worin bitte sollte ein Sicherheitsproblem für das Schalten einer Lampe bestehen ?

Als (nicht ganz unbedarfter) Laie antworte ich mal:

• Ich möchte nicht, dass Freunde, Bekannte dieses Haushalts mit ihren Smartphones meine Lampen etc. schalten können.
• China IoT-Geräte können so nicht mein "sensibles" Datennetzwerk stören.
• In dieser Gegend kommen Einbrüche leider öfter vor und die Einbrecher werden auch immer intelligenter. Homeautomatisierung ist für mich nicht nur Bequemlichkeit, sondern sollte auch einen Beitrag zu Sicherheit leisten. Die Hürde, dass jemand von außen mein Licht schalten kann, sollte hoch sein (daher vermeide ich auch einfache 433MHZ IT-Geräte).

Das Problem ist nicht der Schalter oder das Schalten, aber ein WLAN-Fähiges Gerät sollte updatebar sein (Nur bei Netzzugriff!). Bei den meisten IP-Basierten Systemen ist das genau das Problem (

Meinst Du mit Netzzugriff Zugriff via Internet? Der ist nicht geplant - auf keinen Fall gibt es bei mir Cloudanbindung.

[Wernieman]

WLAN<>Cloud

Für Cloud brauchts Du eine Netzverbindung, DAS meinte ich aber nicht. Wenn Du ein normales Gerät im deinem Haus-Netz hast, sollte es keine Sicherheitslücken habe. Bekanntlich ist aber Software durch Menschen geschrieben, enthält also solche. In folge dessen muß0 sie dann ubgedatet werden. (Wenn es denn ein Update gibt).

Das ein Gerät nicht ins INetz kann, ist keine "Lösung", da es auch Angriffe über "Bande" gibt, also z.B. über den Browser eines PCs, der im gleichen Netz hängt.

Du hast Recht, das auch schon FHEM da nicht super sicher ist, nur (zum Glück):
- Läuft FHEM (mittlerweile) nicht als root und hat (hoffentlich) nicht zu viele Rechte
- Ist es nicht zu sehr verbreitet ;o)
Wenn aber jemand weiß das ICH Fhem habe und er MICH angreifen will, habe ich ein Problem.##

P.S. Die hier Angesprochene Trennung der Netze habe ich nicht umgesetzt, auch wenn mein Switch es könnte. Habe einfach (noch) zuwenig Netzgeräte, welche ich einsperren müsste.

[Xell1984]

Hab meinen ersten Wemos D1 mini hier (noch nicht im Einsatz). In dem Zuge habe ich mir Gedanken gemacht. Ich hab hier von Ubiquiti 2x Access Points (Nr. 3 kommt im Frühling für draußen), die Controllersoftware, eine USG (Firewall, etc.) und auch einen VLAN Tauglichen Switch, wobei das alles über die USG läuft. Zum Thema Komplexität: Hier geht es schon los das man als "engagierter" Heimanwender evtl. Fehlkonfigurationen vornimmt und Denkt alles ist gut und eigentlich hat man am Ende "alles offen" stehen. Hatte zur Sicherheit nämlich noch einen Kumpel gebeten der das Beruflich macht einmal drüber zu schauen.. war mir lieber. Grade was das Thema Firewall Regeln betrifft.

Für die IoT Geräte wollte ich mir ein zusätzliches Netz aufbauen (ist mit meiner Hardwarekonfiguration ja möglich).

Zum Thema Fritzbox. Wenn man eine der größeren Boxen und hat einen VLAN Tauglichen Switch dann kann man über LAN Port 4 das Gastnetzwerk als "abgeschirmtes" Netz nutzen. Allerdings entfällt dann das Gastnetzwerk. Oder

[helmut]

Zum Thema Fritzbox. Wenn man eine der größeren Boxen und hat einen VLAN Tauglichen Switch dann kann man über LAN Port 4 das Gastnetzwerk als "abgeschirmtes" Netz nutzen.

Das kann funktionieren, aber ich wuerde dann den (Linux-)Rechner dafuer hernehmen, auf dem
fhem laeuft. Dem verpasst Du auf seinem Interface ein zusaetzliches VLAN das Du auf Deinem
Switch entsprechend verteilst. Du sparst sowohl einen Port an der FB wie auch am Switch,
vermeidest die Gefahr von Loops und kannst gezielt dafuer sorgen, dass einzelne Geraete fuer
zum Beispiel Updates (zeitlich begrenzten) Zugang nach aussen bekommen.

Den DHCP-Server auf diesem Rechner wuerde ich die Adressen fuer dieses VLAN in Abhaengigkeit
von den MAC-Adressen verteilen lassen. Das entspricht dem Haekchen bei "Diesem Netzwerkgerät
immer die gleiche IPv4-Adresse zuweisen" in der FB.

In der FB erstellst Du einen Routing-Eintrag fuer das geschottete Netz. Habe ich noch etwas
vergessen?

Gruss Helmut