Moin …
Da mein Pokeys im Heizraum ja fleißig seine Arbeit verrichtet, mache ich mir Gedanken
darüber, wie ich mein LAN Anschluss der zum Heizraum führt absichere … Der Heizraum
ist nur von außen zugänglich …
Da ich über Router und so´n Zeug wenig Ahnung habe, stelle ich hier mal die Frage.
Was nehme ich da ?? Wenn es geht was einfaches … 
Sollte wohl irgendwie über MAC Filter
oder so gehen …
Gruß Holger
wo läuft das Kabel lang? Außen für jeden zugänglich?
Moin …
Das Kabel läuft durchs Haus … aber die Heizraum Tür ist nicht
so das Sicherste …
welches Modell ?
MAC-Filter sind keine sonderlich sichere Lösung.
Für jemanden, der genug kriminelle Energie hat, eine Türe aufzubrechen um in ein Netzwerk einzudringen, für den ist ein MAC-Filter eine Lachnummer, genauso wie eine nicht-angezeigte WLAN-SSID
Ich würde mal den Haupt-Knackpunkt beseitigen und eine ordentliche Türe einbauen.
Ausserdem ist Sicherheit auch etwas „Bedrohungsabhängig“ - wie wahrscheinlich ist es denn, das jemand bei Dir eindringt um in Dein LAN zu kommen ? Das ist ja doch ne Menge Aufwand - kann man in deinem LAN denn so interessante Dinge finden ?
Der Aufwand für Sicherheit sollte in Korrelation zur Bedrohung stehen:
Ein Juwelier und ein Kiosk haben wohl auch beide eine Alarmanlage - ich bin mir aber sicher, dass der Juwelier mehr Geld dafür ausgegeben hat…
Im Zweifelsfall gibt es abschliessbare LAN Kabel…
Und ansonsten schliesse ich mich dem an was Tuxtom gesagt hat: lieber in eine sichere Tür investieren.
Viele Grüße
Martin
Ich wage mal die Behauptung wer zu dir kommt und deine Tür aufbricht hat es nicht auf deine Urlaubsbilder abgesehen… :rolleyes: Und wenn ich auf Schabernack aus wäre würde ich an deiner Heizung fummeln statt stundenlang mit dem Laptop auf den knien in deinem Keller zu hocken bis mir die Füße einschlafen. 
Für die Absicherung eines einzelnen Strangs mit (semi-)professioneller Hardware bekommste schon ne halbe Stahltür.
Toni
Die einzige Möglichkeit ohne großen Aufwand wäre
den DHCP am Router ausschalten und alle IP-Adressen im Haus von Hand vergeben.
Dann aber auch den Adressbereich am Router ändern.
Sonst probiert der Angreifer die Standardadressen 192.168.178.xxx , 192.168.0.xxx , 192.168.2.xxx
und ist dann trotzdem schnell drin.
Es sei den du hättest einen teueren Router der auch VLAN etc. unterstützt. Was aber kein Standardrouter kann
Dann bekommt jemand der sich an den Port hängt keine IP-Adresse und müsste
dann erstmal raten welches Class-C Netz dahinter hängt.
MAC-Adressenfilter können die meisten Router ja auch nur über WLAN.
und ein MAC-Filter ist auch nicht besonders sicher. Wenn der einmal eine IP hat kann der auch die
MAC vom Pokey auslesen und dann diese simulieren.
Da ja kein PC dran hängt ist auch die Möglichkeit ein VPN einzurichten nicht gegeben.
Wenn es dann noch sicherer sein muss, dann bliebe noch die Möglichkeit einen IPfire Proxy (freeware)dahinter zu hängen.
der kann alles mögliche ausfiltern. Da läuft aber dann ein kleiner PC die ganze Zeit
Oder ein zuätzlicher Router zwischen Heizraum und Hausnetz, der DHCP abgeschaltet hat, und nur die Portweiterleitungen für den Modbus macht. Ausgehend muss der dann eine Firewall haben die alles außer Modbus blockt.
Dann kann im Haus auch DHCP eingeschaltet bleiben.
Allerdings ist das schon recht kompliziert von der Einrichtung her.
Da muss ich selbst als IP-Fachmann schon meinen Hirnschmalz tüchtig anstrengen
um das ans Laufen zu bekommen.
Ich habe sowas ähnliches mal gemacht weil bei mir jemand ein Büro gemietet hatte und meinen Internetzugang
mit benutzt hat. Und der sollte ja nicht in mein Netz schauen können.
Die Frage ist und bleibt aber, lohnt der Aufwand. Ist dein Netz wirklich so interessant das jemand mit richtig guten Kenntnissen im „Hacken“ dein Kabel anzapft ?
Ich denke die Geschichte mit dem DHCP abschalten sollte für den normalsterblichen der mal in dein Netz schauen will reichen.
Vielleicht machst du einfach einen Alarmkontakt an die Türe, der wenn ausgelöst einen kleinen Netzwerkswitch, der
in der Wohnung vor dem Kabel zum Heizraum liegt abschaltet. Du kannst ja in IPS einen Schalter machen der diesen
überbrückt wenn du in den Heizraum musst.
Gruß Udo
Moin …
hat sich erledigt …
Habe mir eine zusätzliche Tür Verriegelung bestellt … Ne Stahl Tür ist es ja … Nur das Schloss machte mir Sorgen.
Es geht ja auch nicht darum das jemand meine Urlaubs Fotos anschaut, sondern mein IPS WF startet und meine
Haustür öffnet …
kriminelle laufen hier nicht so viele rum, habe jedenfalls nichts in der Umgebung gehört.
Aber alles was leicht zugänglich erscheint ist verlockend …
Ich kann mich noch an mein erstes Auto erinnern … da steckte immer der Schlüssel …
Da wurde nie was geklaut …
Gruß Holger …
Edit: verdammt 4min zu spaet…
da ja schon fast alles gesagt wurde… ich aber auch mitreden moechte
Die Frage ist doch wieviel Zeit haben die Einbrecher?
Warum sollten sie im Netzwerk was suchen, wenn es doch im Haus Sachen zum Anfassen und mitnehmen gibt?
Wenn es ein Profi ist, der ins Netzwerk will, kann er das auch von Hawaii machen und muss nicht in deinen Heizungskeller.
Punkte 1-2(3), sind auf jeden Fall ein wenig mehr Sicherheit ohne Kosten!
Ich bin auch eher ein Freund von Außenhautsicherung (neue Tuer mit Pilzkopfverriegelung) oder ein Panzerriegel von Abus ran und die Tuer ist wesentlich sicherer, jedenfalls gegen Aufhebeln.
Hier im Forum wird ja schon die Fritzbox von Ferne gesteuert wird, warum nicht einfach mit einem Tuerkontakt (hast ja sowieso den PoKeys in der Naehe) einen LAN-Port der Fritzbox deaktivieren, evtl. hat da jemand eine Loesung, Kosten auch wieder gleich null.
Da wir hier aber in einem Hausautomations-Forum sind, hab ich mal schnell die ultimative Loesung gebaut und das Schaltbild angehangen 
P.S: das muss nat. auf Seiten des Routers/Switch installiert werden, sonst crimpt der Einbrecher noch einen Stecker drauf
Schoenes Wetter heute…
@superuser002
Wenn du übers Webfront die Türe öffnen kannst, dann würde ich aber trotzdem
ein paar Vorkehrungen treffen.
So habe ich auch die Steckdose an der Terrassentüre abgeschaltet damit ich dem Einbrecher
nicht noch den Strom zum aufbrechen liefere. Wobei es ja inzwischen alles mit Akku gibt und das
auch keinen mehr abhält.
Wenn die Türe außen ist, hat jemand ja genügend Möglichkeit und ggf. auch Zeit einen Zugriff
vorzubereiten.
Die Frage ist halt lohnt sich der Aufwand für einen Einbrecher und wie lange kann er unbeobachtet
sein ?
Kein Schloß hält auf Dauer einem Angriff stand. Wenn es nicht gerade ein super sicherer Zylinder ist.
und wenn du in Urlaub bist, kann es sich der Einbrecher in deinem Heizungsraum gemütlich machen
und in Ruhe probieren.
Wenn ich zerstören kann, mache ich selbst einen sicheren Zylinder in 5min auf und das ohne viel Krach.
Dann ist wohl anschließend Zylinder, Schloß und ggf. auch Türe Schrott.
Wie das geht , verrate ich hier nicht. Aber es geht mit Werkzeugen die jeder in jedem Werkzeughandel
kaufen kann. Mit ein wenig Übung kann das jeder. Gott sei Dank sind die meisten Einbrecher auf diesen
Trichter noch nicht gekommen. Aber wird auch nicht mehr lange dauern wenn es immer mehr Sicherheitzylinder
und Pilzkopfverriegelungen gibt und die Einbrecher nicht mehr mit dem Schraubendreher reinkommen.
Wobei ich davon ausgehe, das der Einbrecher der auf Wohnungseinbrüche spezialisiert ist, eher eine Akkuflex dabei hat als ein Notebook mit Netzwerksniffer etc. Woher soll der auch wissen, das du einen IPS-Server hast ?
Oder steht das an deiner Haustüre?
Ich selbst habe die Illusion vom sicheren Haus drangegeben. Für den normalen Gelegenheitseinbrecher habe ich Schutz wie Aushebelschutz und Pilzkopfverriegelung an den Fenstern. Meine Zylinder haben einen Ausbohrschutz um dem normalen Akkuschrauber stand zu halten. Damit ist der Schraubendrehereinbrecher abgehalten.
Was macht der Einbrecher denn wenn er so nicht reinkommt? Er nimmt eine Klebefolie, klebt die auf die Scheibe und schlägt diese mit einem kleinen Hammer ein. Macht so gut wie keinen Krach und dauert 2*30sek bei ISO-Glas.
Soll ich dann auch noch alle Fenster mit Verbundglas versehen ?
Gruß Udo
Also raten brauche man da nicht. Ich würde sagen unter 5s mit Wireshark reichen aus um durch die Broadcast Adresse alle übrigen Adresse zu kennen. Und mit einem IP-Scanner hat man danach auch in 10s alle aktiven Rechner gefunden …
DHCP ausschalten verzögert in den Augen Menschen die etwas Ahnung von Netzwerk haben etwas um 15s …
Gruß,
ernie
Bitte unbedingt an geeigneter Stelle einen Sackkarren o.ä. bereitstellen, daß der Einbrecher das ganze benötigte Equipment einfacher ins Haus schaffen kann … :rolleyes:
Gruß
Bruno
Was hast du denn für einen Computer? Die gibts jetzt auch schon tragbar. Hast von gehört, oder?
Na ja, Computer, Akkuflex, Aufhebel-Werkzeug, Klebefolie, Hammer, wasauchimmer … da kommt einiges zusammen
Brennschneider, Gas und Sauerstoff … ist ja ne Stahl Tür …
Ne … Ich glaube ein zusätzliches Schloss reicht …
Werde dann noch den Tür Öffner aus dem WF nehmen und per Schalter bedienen … Den benutze ich sowieso am meisten.
WF starten Türöffner drücken … bis dahin ist der Besuch ja schon wieder weg. …
Holger …
Also imho ein einfaches Verfahren für „unsichere Leitungen“:
Handelüblichen NAT Router zwischenschalten (im sicheren Bereich), der Unsichere Teil ist „Internet“ Seite. Dann kommste doch schon kaum noch rein, kannst die Sachen dahinter aber abfragen.
Jan
