Du hast grundsätzlich nicht verstanden, was L3, also IP-Verkehr, macht. Wo der Unterschied zwischen L2 und L3 ist und was ein Router macht und was er nicht macht.
Du haste einen Switch. Daran ist
1. IOT-Gerät und es bekommt eine IP aus dem Netz 192.168.0.0/24
2. Eine Workstation und es bekommt eine IP aus dem Netz 192.168.1.0/24
Jetzt glaubst du, dass IOT und WS nicht miteinander reden können. Und das ist ein Trugschluss.
Wenn eine "Spezialsoftware" auf dem IOT-Gerät drauf ist, dann kann es ohne weiteres erkennen, das an dem Switch Verkehr aus dem Netz 192.168.1.0/24 aktiv ist. Es kann auch grob erkennen, dass es sich bei der WS z.B. um ein Windows Gerät handelt und welche IP-Adresse und MAC-Adresse es hat. Es kann daher ohne weiteres auf MAC-Ebene mit der WS kommunizieren und ggf. bekannte oder unbekannte Angriffsvektoren ausnutzen.
Wenn L2 nicht zielführend ist, kann es sich jetzt also selbständig eine IP aus dem Netz der WS (192.168.1.0/24) geben. (und weiterhin die IP aus 192.168.0.0/24 behalten. In dem Moment kann das IOT-Gerät L3-Angriff auf die WS ausführen.
Das alles geschieht ohne Wissen des Routers (da kein Paket in Richtung Router geht) und auch ohne das Wissen der Firewall (da auch dahin kein Paket muss). Das liegt daran, dass der gesamte Verkehr über den Switch geht, da sämtlicher Verkehr als Unterbau immer L2 verwendet und das Switch anhand der MAC-Tabelle die Pakete von links nach rechts schiebt. In dem Fall also von IOT-Geräte-Port zum WS-Port.
Damit kannst du also nicht verhindern, dass das IOT-Gerät mit der WS Verbindung aufnimmt.
Jetzt hoffst du darauf, dass die WS so sicher ist, dass ein Angriff auf die WS keinen Erfolg hat. Woher nimmst du dieses Wissen? Woher weißt du, dass der SMB-Stack von Windows kein Hintertürchen hat? Woher weißt du, dass dein RDP-Server der WS, den du gerne verwendest sicher ist? Wie erkennst du, dass es einen "default"-User gibt, der irgendwie "reingepatcht" ist?
usw. usf.
Das alles kannst du also nur verhindern, wenn du es schaffst, dass L2-Verkehr, von der Infrastruktur, entsprechend geleitet wird.
Und klar, am sichersten wäre es, wenn man jedes Gerät isoliert. Kann man auch machen. Kann oder will man das nicht, dann gruppiert man die Geräte so, dass ein Angriff den möglichst kleinsten Schaden verursacht.
Man kann dann also z.B.
ein Servernetz machen, da ist dann NAS, Home-Automationsserver und VM-Server drin
ein "Arbeitsnetz" machen, da ist dann WS und Laptop usw. drin
ein Hausautomationsnetz für alles Geräte im Haus, IOT usw.
ein Netz für Gäste, damit man denen WLAN zur Verfügung stellen kann
Diese Netze kann man auch über WLAN genauso getrennt anbieten.
Aller Verkehr wird über VLANs getrennt und der Router regelt den Verkehrsweg bzw. die dort integrierte Firewall kann bis hoch auf L7 den Verkehr regeln.
Ob man das nun braucht, hängt immer vom eigenen Sicherheitsanspruch ab. Diese ganzen BOT-Netze, die es so gibt, die bestehen aus Endgeräten, die beim Consumer in der Wohnung stehen. Mit dem Trend zu IOT, sprich jeder Ofen und Mikrowelle wollen Inet haben, wird die fehlende Softwarepflege ein Problem. (das ist aufwendig, kostet Geld, ich habe das Geld des Kunden aber schon, also wozu sollte ich dem jetzt noch Updates liefern? Kann ja nen 5er im Monat nehmen, den aber keiner ausgeben will...)
Ergo haben wir mehr und mehr Geräte, die immer gesprächiger werden, aber keiner sorgt dafür, dass die nicht zu viel und das Richtige quatschen.
Und VLANs war schon vor 20 Jahren ein Thema. Das Zeug gibt es nämlich schon seit 1998. Nur hätte man dazu evtl. eine richtige ITler-Ausbildung machen müssen...
Und zu deinem befreundeten Admin:
Viele können sich Admins nennen. Viele glauben auch, dass sie alles richtig machen. Bis es knallt. Dann holt man sich professionelle Hilfe und die sagen einem dann, dass man die letzten 15 Jahre gepennt hat und durch den Invest von 5000EUR einen Schaden von 500k EUR hätte verhindern können.
In Firmen bieten sich VLANs immer an.
1. weil es die Geräte eh können (oder sollten, gibt auch Admins, die schwören auf Fritzboxen)
2. der Aufwand einer Konfiguration eines Fachmannes bei ca. 1 Tag liegt inkl. Konzeptionierung
3. man so bestimmte Geräteklassen isolieren kann (z.B. Festrechner, Server, Laptop+Smartphones, Privatsmartphones)
Und dadurch kann man Geräte, die sich oftmals außerhalb der eigenene Securityperimeter befinden, von den Geräte im Securityperimeter abgrenzen und kann somit den Verkehr kontrollieren.
Aber ja, ich gebe dir recht. Nutzen muss man sowas nicht und viele sind, genauso wie du, auch garnicht in der Lage, gewillt sowas aufzusetzen oder wissen überhaupt, dass es sowas gibt. Am Ende wundern sich aber alle, warum der GTA-Online Server gerade nicht geht. Und warum geht er nicht? Weil eine Vielzahl an Geräten, die eben wilde Sau spielen können auch gerade wilde Sau spielen.
Die genannten Geräte sind nur beispielhaft, damit du was zum Nachvollziehen hast. Die lassen sich durch beliebige andere Netzwerkgeräte ersetzen.
Auch die Anzahl der Geräte ist nur eine Beispielzahl. Das ist beliebig skalierbar. Von 2 Geräte bis 200mio Geräten.
Auch bei 2 Geräten kann es ggf. Sinn machen. Weil du z.B. einen E-Zähler von den Stadtwerken hast, der über Inet mit deinem Versorger spricht. Du willst aber tunlichst verhindern, dass der mit einem Laptop sprechen kann. Auch willst du, dass diese Kiste auch nur mit dem Versorgerserver spricht und mit sonst garnichts im Internet.
Für all das braucht man mehr also nur nen Router, der unkonfiguriert läuft und nen einfachen Switch.
Und wie gesagt, den Anspruch muss jeder für sich selber bewerten. Aber spätestens, wenn der WIFI-Lichtschalter, die wichtigen Daten des NAS gekillt hat, weil das NAS offen wie ein Scheunentor war und jemand den Lichtschalter ferngesteuert hat, dann wird man sich erstens fragen, wie das sein kann. Einfach wird es dann, wenn man es einfach hinnimmt >>die völlig Ahnungslosen haben ein sehr einfaches Leben<<, schwer wird es, wenn man versteht, dass der Lichtschalter Scheibe gespielt hat und man es hätte verhindern können, da man ja eigentlich wusste, wie es geht.
Also ja, IT-Security ist aufwendig und kostet mal mehr, mal weniger Geld, hat aber auch einen Mehrwert, insbesondere in einer Welt, deren Komplexität man im Ganzen nicht mehr überblickt, aber man in den eigenen Perimetern diese Komplexität steuern kann. (Komplexität bezieht sich auch auf Kommunikationskomplexität)
Nicht umsonst ist das Thema IT-Security ein schnell steigender Zweig, mit Konzepten der große Securitylieferanten, die VLANs z.B. einfach garnicht mehr betrachten, das man das als gegebenen Standard ansieht.
...kriegst Du das alles gebraucht aus der Bucht/günstig, wie zB den Switch?
Mensch und soweit ich weiß, richtet man IP/MAC-Filter zentral auf dem/der Router/Firewall ein und nicht auf den Einzelgeräten, insb. wenn diese keine eigene Firewall haben.
