Auch wenn wir hier nun schon etwas vom Thema abdriften:
Wenn eine statische IP eingetragen wurde: Notebook mit Wireshark an die VTO stöpseln, Strom dran. Voilà, schon hab ich die IP vom ersten Request (Gratious ARP,...).
Vergiss es Alter, ich bin wohl durch den ganzen Ärger mit dem VDP total im Arsch und kann nicht mehr denken. Du hast natürlich vollkommen recht, ich soll Dich auch ganz lieb vom OSI Schichtenmodell grüßen. Das kommt davon, wenn man die eigene Ausbildung vergisst, weil man seit 15 Jahren nicht mehr als ITler unterwegs ist. Unauffälliger, kleiner, geiler und einfacher – aber natürlich massiv teurer – als ein Notebook ist da natürlich ein schönes Fluke. Irgendwie blende ich aus, dass wir auch vor der Tür vollen Hardwarezugriff auf das LAN bieten und nicht nur über das Internet. Bin verstrahlt, sorry.
Mein Vertrauen in Switche habe ich etwas verloren, nachdem ich einmal (immerhin nur einmal) den Fall hatte, dass ein Switch einfach die VLAN-Konfig verlor und alle Devices plötzlich mit dem Modem im LAN hingen. Sowas bleibt im Gedächtnis und hinterlässt ein ganz mieses Gefühl.
Wie Du auch schon angedeutet hast, ist das alles für einen Privathaushalt voller Overkill, weil irgendwelche durch die Lande ziehenden Banden vielleicht mal ne Sidle kurzschließen, aber sonst eher auf Brecheisen und Lockpicker setzen. Zugriff auf das LAN bedeutet ja noch lange nicht, dass man die Smarthomezentrale dazu überreden kann, den Schlossantrieb zu öffnen. Das dauert alles länger als zwei Minuten, die die wohl maximal einplanen, um in ein Haus einzudringen.
Wer in sicherheitssensiblen Bereichen als Geheimnisträger arbeitet, Bürgerrechtler oder Politiker ist, für den mag aber ein MAC-Adressenfilter durchaus sinnvoll sein. Dann sollte er aber auch die passive Sicherheit auf einen deutlich höheren Level setzen und sich seine(n) Türzylinder nicht gerade im Internet oder vor Ort bestellen.