Finde auch, dass es zu komplex ist. Ich bin ein Fan des Ansatz von K.I.S.S. (keep it simple and smart oder stupid) sein.
Dennoch möchte ich dir ein paar Denkanstöße mit auf den Weg geben, wenn du es "sicher" haben willst.
Letztlich würde ich dort ansetzen und an deiner Stelle überlegen wie vertrauenswürdig die Endgeräte sind.
Arbeitsmittel: Ob du dafür ein zusätzliches VLAN brauchen kann ich nicht beantworten. Ich verwende einfach mein Gast Netz dafür. Letztlich muss (bei mir) nur der Laptop ins Netz.
Sonderfälle.
Was soll von wo nach wo.
Dann überlegst du dir, wie dein Inter VLAN Routing aussehen soll.
1. Das sichere Netz (nennen wir es LAN) muss vermutlich nach IoT und MGMT, aber nicht nach Gast
2. IoT muss womöglich nicht nach LAN und schon gar nicht nach Gast oder MGMT
3. MGMT muss vielleicht nach LAN, aber sicher nicht nach IoT oder Gast.
Wenn du die Sicherheit weiter erhöhen willst (und was oft gar nicht betrachtet wird):
1. Die ausgehenden Firewallregeln einzuschränken. Oft - für daheim quasi Standard - darf alles ungehindert nach draußen. Das ist aber eigentlich etwas was du meiner Meinung nach angehen solltest (Ansatz: So viel wie nötig, wie wenig wie möglich). Nicht jedes bzw. jedem (IoT) Gerät etwa muss oder sollte nach draußen einfach alles erlaubt sein. Zum Bsp. könnte nur das websurfen oder mailen erlaubt, alles andere untersagt werden.
Netzwerkkomponenten sollten vielleicht gar nicht ins Internet kommen oder jedenfalls nicht wenn nicht explizit erlaubt (für Updates z. Bsp.).
Das einzuschränken ist aber mit einigem Aufwand verbunden. Du musst dir überlegen was brauchst du, was willst du und dann gibt es noch ganz praktische Probleme da oft nicht klar dokumentiert ist was insbesondere IoT Geräte wirklich brauchen um zu funktionieren. Im dümmsten Fall stellen diese Geräte ohne Cloud ihren Dienst ein oder erlauben keinen Zugriff oder Updates mehr.
Das bekommt man alles in den Griff, bedeutet aber Aufwand. Ob du das betreiben willst, musst du selbst entscheiden.
2. UPnP abschalten
Aber auch das bedeutet Aufwand. Gerade für Konsolen wie die Xbox, PlayStation oder Switch müssen notwendige Ports für Multiplayer manuell geöffnet werden. Hiflt aber zu verhindern, dass Rechner - die warum auch immer - ein Problem haben wahrlos Ports in deiner Firewall von außen nach innen öffnen könnten.
Viel Vernügen beim Basteln!
Dennoch möchte ich dir ein paar Denkanstöße mit auf den Weg geben, wenn du es "sicher" haben willst.
Letztlich würde ich dort ansetzen und an deiner Stelle überlegen wie vertrauenswürdig die Endgeräte sind.
- Management VLAN, klar für Netzwerkkomponenten
- Als vertrauenswürdig ansehen würde ich sowas wie dir bekannte Computer, Tablets, Smartphones, Konsolen usw. sehen, 2. VLAN
- Weniger vertrauenswürdig / fragwürdig würde ich IoT Geräte sehen, insbesondere solche mit Cloudzwang.
Arbeitsmittel: Ob du dafür ein zusätzliches VLAN brauchen kann ich nicht beantworten. Ich verwende einfach mein Gast Netz dafür. Letztlich muss (bei mir) nur der Laptop ins Netz.
Sonderfälle.
- Bei den Geräten wie TV, AV-Receiver, smarten Lautsprechern etc. wurde ja schon angesprochen, dass die wg. AirPlay & Co. besser im gleichen Subnetz sind, da diese Protokolle mitunter etwas schwierig im Handling sind. Im Grunde gehören sie in der Theorie dann zur Kategorie IoT, machen dort aber Ärger.
- Drucker sind mitunter auch einigermaßen problematisch (werden lange Zeit eingesetzt, haben mitunter diverse Sicherheitslücken). Hier musst du für dich einfach eine Entscheidung treffen wie du damit umgehen willst.
Was soll von wo nach wo.
Dann überlegst du dir, wie dein Inter VLAN Routing aussehen soll.
1. Das sichere Netz (nennen wir es LAN) muss vermutlich nach IoT und MGMT, aber nicht nach Gast
2. IoT muss womöglich nicht nach LAN und schon gar nicht nach Gast oder MGMT
3. MGMT muss vielleicht nach LAN, aber sicher nicht nach IoT oder Gast.
Wenn du die Sicherheit weiter erhöhen willst (und was oft gar nicht betrachtet wird):
1. Die ausgehenden Firewallregeln einzuschränken. Oft - für daheim quasi Standard - darf alles ungehindert nach draußen. Das ist aber eigentlich etwas was du meiner Meinung nach angehen solltest (Ansatz: So viel wie nötig, wie wenig wie möglich). Nicht jedes bzw. jedem (IoT) Gerät etwa muss oder sollte nach draußen einfach alles erlaubt sein. Zum Bsp. könnte nur das websurfen oder mailen erlaubt, alles andere untersagt werden.
Netzwerkkomponenten sollten vielleicht gar nicht ins Internet kommen oder jedenfalls nicht wenn nicht explizit erlaubt (für Updates z. Bsp.).
Das einzuschränken ist aber mit einigem Aufwand verbunden. Du musst dir überlegen was brauchst du, was willst du und dann gibt es noch ganz praktische Probleme da oft nicht klar dokumentiert ist was insbesondere IoT Geräte wirklich brauchen um zu funktionieren. Im dümmsten Fall stellen diese Geräte ohne Cloud ihren Dienst ein oder erlauben keinen Zugriff oder Updates mehr.
Das bekommt man alles in den Griff, bedeutet aber Aufwand. Ob du das betreiben willst, musst du selbst entscheiden.
2. UPnP abschalten
Aber auch das bedeutet Aufwand. Gerade für Konsolen wie die Xbox, PlayStation oder Switch müssen notwendige Ports für Multiplayer manuell geöffnet werden. Hiflt aber zu verhindern, dass Rechner - die warum auch immer - ein Problem haben wahrlos Ports in deiner Firewall von außen nach innen öffnen könnten.
Viel Vernügen beim Basteln!