Intercom/AP LAN kabels beveiligen / isoleren. RADIUS?

Beste Tweakers,

Ik ben bij een vriend thuis zijn netwerk aan het opzetten en al gaande de weg kwamen er een aantal vragen bij mij naar boven waar ik graag over zou sparren.
Ik heb toevallig gisteren de eerste inrichting van zijn Unifi gedaan, maar komen nog wel wat hardware toevoegingen aan.

Huidige situatie:
- Ziggo router voor alle routing ( , I know wordt binnenkort vervangen)
- Unifi Switch 16P 150W
- 4x UAP AC-PRO waarvan er 2 buitenhangen
- Loxone systeem, bedenk de meest uitgebreide setup en hij heeft het. Belangrijk hier voor mij is de Intercom unit die via POE+ wordt gevoed vanuit de switch.
- Mogelijk ook nog een standalone NVR, maar dat weet ik ff niet zeker.

Ik heb tot op heden een Secure LAN en een guest LAN (met guest policies) ingesteld. Deze laatste zit nog niet op een eigen VLAN, maar dat komt nog zodra er een degelijke router is. Er staat nog een IOT VLAN op de planning en wellicht moet je hier ook nog denken aan een apart VLAN voor zijn LOXONE.

Mijn vraag is nu: hoe beveilig je de LAN kabels die buiten hangen?

• Optie 1: DHCP uit, alles static IP, MAC filter op de port van de kabel die buiten hangt. Dit kan wel voor de Intercom, maar MAC filter op de poort werkt niet voor APs. Daarbij kan je volgens mij met een man-in-the-middle vrij eenvoudig het eea sniffen en dan spoofen.
• Optie 2: Waarschijnlijk zit de oplossing in een RADIUS server. Dit zal voor de APs werken, maar ik kan nergens terugvinden of dit dan ook met LOXONE kan. De ellende echter van RADIUS is natuurlijk dat veel clients (zeker IOT clients) niet met 802.1x overweg kunnen.

Waarschijnlijk is dit allemaal enorme overkill voor een thuisnetwerk en is denk het makkelijkste om de LOXONE op een afgeschermde VLAN te zetten, zonder toeters en bellen. Stel je schroeft de intercom open en plugt in, dan heb je alsnog credentials nodig om in LOXONE te kunnen komen.

Wat betreft de APs is de fysieke barriere dat ze op ruim 3m hoogte hangen.

Ideeën, suggesties?

Thanks!

To_Tall schreef op woensdag 7 oktober 2020 @ 22:44:
Waarom zou je geen Mac filtering kunnen toepassen op een AP?? Je AP heeft een eigen Mac. Die wordt geregistreerd.

Anyway. Layer1 is haast niet te beveiligen. Mac adressen kun je spooffen. Heb je het Mac adress wat gewoon op de ap is vermeld ben je al de Sjaak.

Je kunt idd wel MAC filter op je AP toepassen, maar niet op de port waar je AP op zit. Dat is wat ik bedoelde. Volgens mij kan dan geen enkele client meer verbinding maken met je AP omdat er maar 1 MAC op die port geaccepteerd wordt.

Sowieso je ap’s een apart vlan geven. Zo kunnen ze niet 123 bij je andere netwerk componenten komen anders dan je ap’s. Ja andere vlans staan untag die zou je kunnen sniffen. zorg dus ook dat alleen de noodzakelijke vlans beschikbaar zijn op dat lijntje.

Je zou ook nog kunnen dedectereb of een ap disconnected is geweest en de port schutten.

De APs (ook die buiten hangen) komen sowieso op hetzelfde VLAN, dus dat lost dan niets op toch?

Ben(V) schreef op donderdag 8 oktober 2020 @ 12:38:
Vind je het niet een beetje overdreven te denken dat iemand een netwerk kabel doorknip, daar connectors op maakt en dan ter plekke je netwerk gaat proberen te hacken?

Ik geef toe, de threat is bijzonder laag , maar ik was iig benieuwd naar de verschillende oplossingen die er voor dit soort vraagstukken zijn. Al is het alleen maar om er zelf weer wat van te leren.

Ik denk dat ik maar eens begin met een separaat VLAN voor de intercom, dhcp uit met static IP en een Mac filter op de poort waar de intercom in zit.