Managed Switch: Ein bestimmtes Gerät zulassen

[TKing]

Guten Tag,

ich habe eine Frage. Aktuell baue ich ein Dreifamilienhaus, indem ich auch wohne. Unten ich, oben wird vermietet. Ich habe ein Netzwerkkabel von meinem Abstellraum zum Heizungskeller ziehen lassen (Heizungsteuerung etc.). Mein Problem ist jetzt: Jemand könnte sich theoretisch über das Kabel ins Netzwerk einklinken.
Ist es möglich, dass man genau diesen Netzwerkanschluss am Switch (Managed?) nur für ein bestimmtes Gerät (in dem Fall die Heizung) erlaubt?

Viele Grüße

 

[Sithys]

Wieso hat der Mieter Zugang zum Heizungsraum? Ich glaube nicht, dass das so üblich ist. Bei keiner Wohnungsbaugesellschaft oder in sonstigen Mieter <-> Vermieter Verhältnissen die mir gerade im Bekanntenkreis so einfallen hat irgendjemand einen Schlüssel für den Heizungsraum. Für den Kellerraum, ja. Aber Du hast explizit von einem Heizungsraum gesprochen und ich wüsste nicht, was der Vermieter dort verloren hat. Der geht noch runter, weil ihm das Wasser zu kalt ist und dreht da an den Knöpfen rum, wenn ihr im Urlaub seid...

 

[MoraX]

Ein MAC-Filter ist eine mögliche Lösung. Allerdings kann jeder mit etwas krimineller Energie diesen austricksen.
Wenn du es richtig machen willst, dann häng das Gerät in ein eigenes VLAN mit Authentifizierung nach IEEE 802.1X

 

[Lawnmower]

Wenn es Managed ist ein eigenes VLAN machen und die Steuerung bzw den Anschluss da dort "einsperren" ohne Zugriff auf das reguläre LAN und ggf auch nicht auf Internet. Das ist bei solchen Heimautomationsgeräten sowiso sinnvoll damit die nicht unkontrolliert im LAN rumschnorcheln oder nach Hause telefonieren (Ausnahmen auf Firewall definieren).
Zusätzlich kannst Du Geräte noch nach MAC Adresse filtern - aber das ist nicht sehr sicher.

 

[Matusalem]

Manche Switches unterstützen einen MAC-Filter. Sprich man kann einstellen das nur ein Gerät mit einer bestimmten MAC-Adresse Daten über einen bestimmten Port des Switches senden darf. Soweit mir bekannt unterstützt aber nicht jeder managed/smart-managed/web-managed Switch solch eine Funktion, sprich man muss vor dem Kauf genauer recherchieren.

Eine ähnliche Funktion gibt es auch in vielen Internet-Routern. Damit wird aber nur geregelt welche Geräte in das Internet dürfen.

 

[wbjc2007]

Puh, also, da bräuchtest Du schon einen Switch der nur bestimmte Ports und eine bestimmte Adresse zulässt und z.B. DHCP nicht an den Anschluss nach unten durchlässt. Eigentlich Aufgaben einer Firewall - wenn Du da wirklich bedenken hast, dann besorg' Dir eine FRITZ!Box und hänge die als Router bzw. Firewall dazwischen.
Vielleicht ist es aber einfacher jeweils das Kabel zu ziehen und/oder den Zugang zu dem Raum zu beschränken...

 

[Benzer]

Ich würde das ja nicht logisch lösen wenn du selbst nicht so die Ahnung davon hast. Gerade wenn es um Heizung und Mieter geht.
Entweder die Mieter bekommen keinen Zugriff auf den Raum, oder die LAN Dose inkl. Port an der Heizung wird gegen Zugriff geschützt.
Ohne Steuerung von Außen macht es durchaus Sinn den Mietern (bei nur zwei / drei Stück) Zugang zur Heizung zu gewähren. So habe ich früher als Mieter schon mal einen Fehlerlampe an der Heizung entdeckt und der Schaden konnte behoben werden noch bevor die Mieter oder der Vermieter etwas gemerkt haben.

 

[wbjc2007]

Wirklich "sicher" ist nur eine Firewall mit richtigem Routing, meiner Meinung nach.
Die andere Frage ist halt, ob man das wirklich braucht. Bei uns ist es so, dass der Vermieter einen Wohnungsschlüssel von uns hat, und wir einen Wohnungsschlüssel vom Vermieter - schon alleine wegen den Katzen die ständig irgendwo rumlaufen! :-D
Will sagen: Wenn das Vertrauen nicht gegeben ist, dann würde ich wirklich eine gute Sicherung vornehmen - ansonsten ist das Thema IT-Sicherheit wohl eher theoretischer Natur.
Ggf. könnte man ja im eigentlichen DSL-Router auch die Heizung an das "Gastnetz" hängen...

 

[TKing]

Das ging ja schnell :-) Hätte jetzt nicht erwartet, dass es nicht irgendwie schnell und einfach möglich ist.

Das mit dem Raum ist so eine Sache. In der Regel haben die Mieter keinen Zugang dahin, aber es gibt auch noch einen weiteren Anschluss im Keller und der Garage.

Also Netzwerktechnischen Hintergrund habe ich auf jeden Fall, aber dieses Thema beschäftigt mich jetzt irgendwie und hier kenne ich keine "smarte" Lösung. Mac Adresse könnte man theoretisch in einer Netzwerkkarte ändern oder?

Noch habe ich keinen Switch: Könnt ihr einen bezahlbaren und guten Switch empfehlen?

 

[Zero_Official]

in disem falle hilft weder vlan/mac-filter noch IEEE 802.1X
da ichbezweifle das heizung radius bietet.
ich würde wlan brigde an heizung klemmen[20€) und klienen AP (30€) am swich im kelles setzen und beides über wpa2 verbinden..

 

[TKing]

Wirklich "sicher" ist nur eine Firewall mit richtigem Routing, meiner Meinung nach.
Die andere Frage ist halt, ob man das wirklich braucht. Bei uns ist es so, dass der Vermieter einen Wohnungsschlüssel von uns hat, und wir einen Wohnungsschlüssel vom Vermieter - schon alleine wegen den Katzen die ständig irgendwo rumlaufen! :-D
Will sagen: Wenn das Vertrauen nicht gegeben ist, dann würde ich wirklich eine gute Sicherung vornehmen - ansonsten ist das Thema IT-Sicherheit wohl eher theoretischer Natur.
Ggf. könnte man ja im eigentlichen DSL-Router auch die Heizung an das "Gastnetz" hängen...

Gastnetzwerk wäre ja auch eine Lösung

 

[0x8100]

mac-filtering oder vlans helfen bei diesem szenario nicht bei der sicherheit. der switch muss an den ports, an denen potenziell der mieter rankommt, die clients mittels 802.1x authentifizieren. kann die heizung das nicht (wovon ich ausgehe) müsste zwischen heizung und switch noch ein supplicant zwischengehängt werden.

 

[wbjc2007]

ich würde wlan brigde an heizung klemmen[20€) und klienen AP (30€) am swich im kelles setzen und beides über wpa2 verbinden..

Na, also, bevor ich 2 Geräte einbaue, die untereinander per WLAN parlieren bau ich doch oben im Serverschrank gleich einen Router ein - wenn er in den Raum kommt, kommt er auch an die WLAN-Geräte...

 

[Xes]

Lässt sich das eventuell physikalisch regeln? Ich weis ja nicht wie das bei euch aussieht, aber eventuell lässt sich ja um die Anschlussstelle z.B. ein kleines abschließbares 19" Rack montieren, in welches du die kritischen Geräte packst.

 

[Domi83]

Also wenn ich mich nicht irre, erwähnte mal jemand in der Berufsschule (IT Ausbildung), während eines Sicherheitskurses, dass es Managed Switche gibt, bei denen man hinterlegen kann das die Ports zu sind. Wird ein Port benötigt, schaltet man in ein und sobald der Stecker gezogen ist, wird der Port wieder dicht gemacht.

Das ist eine Sicherheitsfunktion, damit man nicht "mal eben" sein Notebook (oder was auch immer) an einen verwendeten Port klemmen kann. Welche Geräte dies allerdings unterstützen und was so etwas kostet, möchte ich jetzt so gar nicht sagen. Da dürfte aber der eine oder andere hier im Forum ein passendes Gerät im Hinterkopf haben, denke ich mal

 

[wbjc2007]

Einen Stecker zu ziehen habe ich auch schon in Betracht gezogen - wenn jetzt aber die Heizung permanent mit irgendwelchen Apps in Verbindung steht ist das eher nicht praktikabel.

 

[Matusalem]

Die vielleicht wichtigste Frage ist wieviel Energie und Missbrauchspotential zu erwarten ist? Welcher Schaden könnte für Dich entstehen wenn das Netzwerk missbraucht wird, welche Kosten entstehen bei welchen Lösungen?

Oft hat man dabei als Privatanwender mehr Angst als nötig und übersieht das andere Gefahrenquellen für das eigene Heimnetzwerk viel wahrscheinlicher sind.

Annehmend Du machst gar nichts, wie wahrscheinlich ist es das ein Mieter die Netzwerkanschlüsse ausnutzt?
Annehmend Du setzt einen MAC-Filter ein, der von einem Fachmann relativ leicht ausgetrickts werden kann, wie wahrscheinlich ist es das ein Mieter über die Kenntnisse und Energie verfügt das auszunutzen?
...

In der Realität reichen bei Privatanwendern (typisches Profil: geringer Schaden, geringes Risiko) einfache Lösungen aus, wie ein MAC Filter, es muss nicht 99,999% sicher sein. Wenn man nun noch regelmäßig sein Datenvolumen prüft, bzw. die Liste der Geräte im Auge behält welche in das Internet gehen dann ist das Risiko für Dich wahrscheinlich auf ein akzeptables Maß gesenkt. Zur Not kann man mit einem freien Tool hin- und wieder das Netzwerk auf unbekannte Teilnehmer scannen. Ja auch das ist alles keine Garantie, doch da stellt sich wieder die initiale Frage, mit welcher Wahrscheinlichkeit man einen asozialen Profi als Mieter erwartet oder einen netten Durchschnittsmieter, welcher weder die Begriffe IP und MAC kennt und eigentlich nur gut mit Dir auskommen möchte.

 

[DonConto]

Einen Managed Switch brauchst du auf jeden Fall für dein Vorhaben. Die richtige Lösung wäre 802.1x auf dem Switchport zu konfigurieren. Das wird aber deine Heizung nicht können - und das müsste sie dann. Die einfachere Lösung wäre ein MAC Filter am Switchport. Das lässt sich zwar mit etwas Aufwand umgehen, aber ich würde mir einfach mal die Frage stellen wer sowas machen könnte und wieso er daran Interesse hat. Ich denke in dem Fall kann man das Risiko eingehen.

 

[Freakbaer]

Wie wäre es denn mit der einfachsten möglichkeit:
LAN Dose bei der Heizung demontieren und das Patch Kabel der Heizung und LAN Kabel zum Switch hiermit verbinden: klick (das Teil kann auch noch ins Heizungsgehäuse gelegt werden)

Ziemlich unwahrscheinlich das ein Mieter dies demontiert und eine Buchse oder Dose dort montiert um in dein Netzwerk zu kommen.

Hier ist wohl sehr viel Angst und misstrauen im Spiel

 

[Zero_Official]

Na, also, bevor ich 2 Geräte einbaue, die untereinander per WLAN parlieren bau ich doch oben im Serverschrank gleich einen Router ein - wenn er in den Raum kommt, kommt er auch an die WLAN-Geräte...

Es gibt noch eine Lösung, an die Heizung von aussen zugreifen, wrd meistens von fortgeschrittenen anwendern gebraucht um zb. ip cams nicht ins heimnetz zu lassen.
wie kostenintensiv du es treiben wills weiss ich nicht, ich habe dafür gast vlan/wlan der nur ins internet darf.
Ddns einrichten, port an ip weiterletung und eventuell acl definieren, schon kannst du über zb: heizung.dyndns.com:8000 zugreifen.