Hello!
Ich bin neu in der Gäng, meine UCG Ultra und DSL Modem sollten die nächsten Tage bei mir eintreffen und dann kann es endlich losgehen.
Aktuell komme ich von einer Fritzbox welche einfach nur ein Haupt- und ein Gastnetzwerk betrieben hat. Aufgrund der steigenden anzahl der IoT Geräte und sonstigem gedöns sowie endlich vorhandener Netzwerkleitungen in alle Räume bin ich nun auf Ubiquiti umgestiegen.
Mein Setup beinhaltet
- Unifi Cloud Gateway Ultra
- Unifi Access Point U6+
- Unifi Switch Flex Mini 2.5G
Nun möchte ich jetzt natürlich vorallem in die VLAN Thematik einsteigen, zu beginn ist weniger mehr habe ich bereits gelesen, weshalb ich mich gerade etwas an die Planung mache.
Ich hoffe ihr könnt mich da etwas unterstützen da mir noch nicht alles so klar ist.
Der Plan (noch nicht final) sieht aktuell wie folgt aus und ist erst halb ausgegoren
- Local (-> alle Switches, AP und das Cloud Gateway)
- Heimnetz (-> Desktop Hauptrechner welche immer lokal betrieben werden)
- Mobile Endgeräte (-> Laptops, Handys, Tablets... alles was auch in Fremdnetzwerken zum einsatz kommt und somit höherem Risiko ausgesetzt ist als lokale Rechner)
- HomeOffice (-> ausschließlich Arbeitslaptops)
- Guest (-> alles was Gäste so mit anschleppen und drauf rum daddeln wollen)
- IoT_local (-> alle IoT Geräte welche nicht nach Hause telefonieren sollen aber im lokalen Netzwerk eingebunden sind)
- IoT_cloud (-> alle IoT Geräte welche nur über eine Fremdcloud betrieben werden können)
- SmartHome (-> alles was SmartHome z.B. HomeAssistant betrifft)
- Media (TV, Apple TV, usw.)
Ich denke bei folgenden Dingen bin ich mir schon relativ sicher :
- Guest_VLAN -> bekommt ein eigenes SSID WLAN Netzwerk und darf ausschließlich aufs Internet zugreifen. Kein anderes Gerät muss auf dieses VLAN zugreifen
- HomeOffice_VLAN -> bekommt ein eigenes SSID WLAN Netzwerk und darf ausschließlich aufs Internet zugreifen. Kein anderes Gerät muss auf dieses VLAN zugreifen
- IoT_cloud -> bekommt ein eigenes SSID WLAN und darf ausschließlich ins Internet zurgreifen
Soweit - Sogut
Jetzt plagen mich noch Verständnisprobleme von denen ich mir eure Hilfe erhoffe. Ich hau einfach mal raus...
IoT_Cloud :
Das hier ist für Geräte gedacht wie z.B. Luftreiniger und Ventilatoren sowie z.B. Überwachungskameras welche nur über Clouddienste betrieben werden können. Dementsprechend soll also Inernetzugriff erlaubt und Zugrif AUS IoT_Cloud IN andere VLANs strikt unterbunden werden. Auch Andere VLANS müssen eigentlich nicht zwingend auf dieses VLAN zugreifen, da hier ja kein benefit entsteht (??)
Grundsätzliche Frage hierzu gibt es ein Risiko wenn z.B. AUS dem Hauptnetzwerk IN das IoT_cloud zugriff erlaubt wird umgekehrt aber nicht? Sprich welchen Sicherheitsbenefit gibt es in beide Richtungen zu blockieren anstatt nur eine Einbahnstraße zu haben?
IoT_local
Ist gedacht für alle IoT Devices welche nicht mit dem Internet kommunizieren müssen (also Internet ist blockiert) um zu funktionieren sondern im lokalen Netzwerk eingebunden werden und dann auch erreichbar sind wenn man via VPN verbunden ist. Hier wird auch eine Einbahnstraße AUS Hauptnetz und Mobile Endgeräte erlaub aber nicht umgekehrt und zusätzlich
Frage hierzu, wie managed ihr bei solchen Geräten z.B. ein Firmwareupdate ?
- Frage reicht es wenn AUS mobilem endgeräte VLAN IN Media VLAN kommuniziert werden kann um z.B. via AppleShare was auf den TV zu bringen. Oder muss bei solchen Dingen ein beidseitiger Ausausch erlaubt werden? Was ja doof wäre, da somit ja wieder kommuniziert werden kann zwischen "unsicherem" TV und dem Telefon/Laptop
Ich muss zugeben ich bin so ganz noch nicht dahinter gestiegen aber jetzt noch mehr hier zu fragen führt bei mir glaube zu Verwirrung. Deshalb warte ich mal ab ob ihr mir Licht ins Dunkle bringt bzw. eure Meinungen kund tut 
Viele Grüße gehen raus! 
