TheUntouchable
Cadet 3rd Year
- Registriert
- Juli 2015
- Beiträge
- 49
Um Mal auf den Sicherheitsaspekt eines separierten IoT VLANs/Subnetworks zu kommen:
In letzter Zeit ist es sehr oft vorgekommen, dass Sicherheitskameras und Co schwere Schwachstellen hatten, wodurch von außen auf diese zugegriffen werden konnte und die Leute daher direkt in deinem Heimnetz waren. Dieser ganze IoT mit Cloudanbindung Schmarn baut aus deinem Netz heraus eine Verbindung ins Internet auf und umgeht daher das NAT/Firewall, wenn das nicht explizit unterbunden wurde.
Ist jetzt wie auch immer jemand auf eines dieser Geräte gekommen, könnte er von dort aus dein Netzwerk nach den nächsten Schwachstellen durchsuchen oder auch Daten abgreifen.
Daher schmeißt man diese Geräte in ein gesondertes Netz/Netze und lässt nur den erforderlichen Traffic aus diesem Netz in andere Netze zu. Ich habe zb ein IoT und ein NoT VLAN, beim Ersten ist eine Internetverbindung nach Außen erlaubt, beim Zweiten nicht. Reden dürfen diese Netze nicht mit meinem Client VLAN, aber z.B. auf gewissen Ports mit meinem Raspmatic Docker Container im Docker VLAN
Aufpassen muss man hier bei manchen Herstellen (z.B. Unifi) die automatisch alle Kommunikation zwischen VLANs zulassen, da muss dann in der Firewall eine DenyAll Regel erstellt werden die vor die integrierten Allow Regeln positioniert wird.
Aktuelles Beispiel:
https://www.heise.de/news/Einbruchsgefahr-Ueber-80-000-Hikvision-Kameras-verwundbar-7239986.html
Man muss beim VLAN auch noch zwischen port based und tagged unterscheiden, dass wird jetzt hier dann aber zuviel
Aktuelle Switche sollten auf alle Fälle mit Tagged VLANS umgehen können auch wenn sie nicht managed sind. Ansonsten Mal nach IEEE 802.1Q schauen.
In letzter Zeit ist es sehr oft vorgekommen, dass Sicherheitskameras und Co schwere Schwachstellen hatten, wodurch von außen auf diese zugegriffen werden konnte und die Leute daher direkt in deinem Heimnetz waren. Dieser ganze IoT mit Cloudanbindung Schmarn baut aus deinem Netz heraus eine Verbindung ins Internet auf und umgeht daher das NAT/Firewall, wenn das nicht explizit unterbunden wurde.
Ist jetzt wie auch immer jemand auf eines dieser Geräte gekommen, könnte er von dort aus dein Netzwerk nach den nächsten Schwachstellen durchsuchen oder auch Daten abgreifen.
Daher schmeißt man diese Geräte in ein gesondertes Netz/Netze und lässt nur den erforderlichen Traffic aus diesem Netz in andere Netze zu. Ich habe zb ein IoT und ein NoT VLAN, beim Ersten ist eine Internetverbindung nach Außen erlaubt, beim Zweiten nicht. Reden dürfen diese Netze nicht mit meinem Client VLAN, aber z.B. auf gewissen Ports mit meinem Raspmatic Docker Container im Docker VLAN
Aufpassen muss man hier bei manchen Herstellen (z.B. Unifi) die automatisch alle Kommunikation zwischen VLANs zulassen, da muss dann in der Firewall eine DenyAll Regel erstellt werden die vor die integrierten Allow Regeln positioniert wird.
Aktuelles Beispiel:
https://www.heise.de/news/Einbruchsgefahr-Ueber-80-000-Hikvision-Kameras-verwundbar-7239986.html
Man muss beim VLAN auch noch zwischen port based und tagged unterscheiden, dass wird jetzt hier dann aber zuviel
Aktuelle Switche sollten auf alle Fälle mit Tagged VLANS umgehen können auch wenn sie nicht managed sind. Ansonsten Mal nach IEEE 802.1Q schauen.
Zuletzt bearbeitet:
