Gute Zäune, gute Nachbarn
Getrennte Zonen im (W)LAN einrichten
Mit Subnetzen kann man schludrig programmierte IoT- und Smart-Home-Gadgets in eine eigene Netzwerkzone sperren. So sinkt das Risiko, dass andere Geräte von Schadsoftware befallen werden oder sensible Daten wie etwa elektronische Steuererklärungen in die falschen Händen geraten. Der erste unserer drei Vorschläge zur Netztrennung kostet die meisten Routerbesitzer kein Geld, sondern nur etwas Zeit.
Als einfachste Möglichkeit zur Netztrennung bietet sich das bei vielen Routern schon ab Werk vorhandene, aber noch inaktive Gastnetz an. Es lässt sich mit einem Klick einschalten, kostet nichts, genügt für einfache Installationen mit zwei Zonen, bringt aber Einschränkungen mit sich.
Eine Router-Kaskade macht etwas mehr Mühe, liefert aber bis zu vier Zonen, womit man dann auch die Besucher im Gäste-WLAN vom Internet-of-Things trennen kann. Hier fällt eine kleine Investition für einen zweiten WLAN-Router und eventuell einen zusätzlichen WLAN-Repeater an.
Die flexibelste Lösung setzt auf Multi-LAN-Router. Sie erlauben noch weit mehr Zonen, sodass beispielsweise ein Arzt sein Praxisnetz vom Gast-WLAN für Patienten, dem Netz für die Familie, jenem für das Smart Home und auch noch dem WLAN für private Besucher trennen kann. Das im vorstehenden Artikel geschilderte Cisco-ASA-Konzept lässt sich damit zwar nicht 1:1 umsetzen, aber über Firewall-Regeln annähern.
Doch zunächst zur einfachsten Lösung: Zwar ist das oft vorhandene Gast-WLAN eigentlich für Besucher vorgesehen, die man aus dem internen Netz (Stammnetz) der Familie oder Firma heraushalten will. Aber es eignet sich genauso gut, verdächtige IoT- oder Smart-Home-Geräte vom Restnetz zu isolieren, ohne ihnen den Internetzugang zu entziehen.