ComputerBase Menü
Aktuelles

"fremde" Geräte an LAN-Anschluss verhindern

K

klabbi81

Ensign
Registriert
Feb. 2018
Beiträge
136
Hallo,

es gibt zu meiner Frage zwar schon ein eigenes Thema hier im Forum, jedoch war das nicht zielführend.
Ich habe vor, diverse Überwachungskameras um das Haus zu montieren und per Netzwerkkabel anzuschließen.
Nun haben die Kameras die Steckverbindungen der Netzwerkkabel leider direkt an der Kamera, so dass die
Anschlüsse der Kabel sich nicht hinter der Fassade wo die Kameras angebracht sind, "verstecken" lassen.
Theoretisch könnte also jemand das Kabel aus der Kamera ziehen, es mit einem Laptop verbinden und auf
mein Heimnetzwerk zugreifen. Wie gesagt: theoretisch. Wie realistisch das ist, bitte ich mal außen vor zu lassen.
Um eben genau dies zu verhindern, könnte man ja bspw. die Kameras in ein eigenes VLAN packen, mein Switch
kann das. Richtig sicher ist auch das nicht, des Weiteren weiß ich nicht, wie meine bisherigen Geräte reagieren,
wenn ich sie plötzlich in ein eigenes VLAN schiebe. Ein weiterer Nachteil wäre, dass ich vermutlich bspw. mit dem
Handy per WLAN aus dem eigenen Netz nicht mehr auf die Kameras komme, was die Konfiguration etc. stark einschränkt.
Sinnvoller würde ich eine Lösung finden, bei der die im Einsatz befindliche Fritzbox 7590 generell alle Geräte im Netz
sperren würde, die bspw. unbekannt sind. Das geht (meines Wissens nach) für Geräte, die per WLAN verbunden sind,
nicht aber per LAN (die dann ja sowieso am Switch und nicht an der Fritzbox hängen). Zusätzlich ist diese Sperre vermutlich basierend auf der MAC-Adresse, die sich ja auch leicht fälschen ließe.
Die Kameras werden über P2P (quasi ein Server vom Anbieter INSTAR) für mich zugänglich, da ich die Teile nicht
im Internet hängen habe.
Nun gibt es noch Möglichkeiten, in dem man in der Fritzbox ein Gastnetz anlegt. Ob sich das mit dem P2P-Dienst
verträgt, müsste ich testen. So richtig das wahre ist das alles nicht. Wäre für Ideen oder Anregungen dankbar. RADIUS und IEEE 802.1X können die Kameras / Switch übrigens leider nicht.
 
Moin,

pflege doch einfach die bekannten MAC Adressen als gültige Geräte.

CYA_D0c

Edit: Sorry hab deinen Part mit der MAC überlesen ;)
Edit2: Du kannst natürlich selber die MAC Adresse der Geräte ändern und dann die geänderten zulassen, deine generierten wären dann wahrscheinlich nicht zu einfach herauszufinden.

Allerdings ist es natürlich kein 100% Schutz, es ist wie immer eine Frage des Antriebs desjenigen der unbedingt in dein Netz möchte.
 
  • Gefällt mir
Reaktionen: LastManStandlng
Den MAC Filter kannste vergessen. Sollte sich wirklich einer an die Kabel der Kameras hängen, ist es für den ein leichtes die MAC-Adresse der Kamera auszulesen und per MAC-Spoofing so zu tun als wäre er die Kamera.
 
Also mehr als MAC Filter plus eigenes VLan wirst nicht machen können. Zusätzlich eben sehr restriktives Routing von deinem Netz in das der Kameras (IP beachten, nur die benötigten Ports, je nach System System Profiling). Dann wäre ein Angreifer erstmal nicht direkt in deinem Lan und kommt auch erstmal nur auf entsprechende Systeme die deine Firewall zulässt und auch nur auf entsprechende Ports. Switch etc sollte ja auch ein eigenes VLan bekommen. Dann kannst du von intern auf die Kameras und Konfig der Switche etc. Aber aus dem Kameranetz geht nur Daten zu eben dem Videoserver.
 
du möchtest authentifizierung mittels 802.1x
 
  • Gefällt mir
Reaktionen: konkretor, DiedMatrix, charmin und eine weitere Person
D0c_cR4Zy schrieb:
deine generierten wären dann wahrscheinlich nicht zu einfach herauszufinden.
Zum Vergrößern anklicken....
Macht leider keinen Unterschied. Wenn du dich direkt mit der Kamera verbindest gibt diese dann eben die generierte MAC raus.
 
Er hat doch schon geschrieben das seine Geräte kein 802.1X erlauben..
 
Danke für die bisherigen Antworten. Die Segmentierung mittels VLAN würde ich gerne erstmal lassen, dazu kenne ich mich noch zu wenig mit dem Thema aus und befürchte, die jetzige Infrastruktur zu zerschiessen. RADIUS und 802.1X kommen wie gesagt nicht in Frage; dazu müsste ich die Kamera und den Switch tauschen. Eine andere Möglichkeit bzw. sowieso eine gute Idee wäre, alles andere im Netz so dicht wie möglich zu machen (was es sowieso schon ist); sprich, Weboberflächen vom NAS, Receiver, Drucker, Scanner etc. "sichere" Kennwörter zu verpassen und den Standardadmin-Zugang zu deaktivieren. Aber eine wirklich tolle Lösung ist das auch nicht.
 
Ohne VLans ist das eh so eine Sache. Wirklich kompliziert sind die nicht und helfen schon ungemein. Wenn du Routest ist das alles auch kein Thema und es bleibt erreichbar.
 
Gehen die einzelnen Kameras (bzw deren Ethernetports) ohne Umwege zu einem zentralen Patchfeld? Wenn ja, dann würde ich vorschlagen, dass du dir einen zweiten Switch holst, an diesen dann alle Kameras anschließt und dann einen einfachen Router, der VPN kann dazu nimmst.
Wenn du auf die Kameras zugreifen willst verbindest du dich mit dem internen VPN und kannst drauf.
 
Das was du willst ist ein Enterprise Feature und mir ist keine Alternative zu 802.1x bekannt. Aber unter den Stichwörtern "Lan Security" und "Port Security" solltest du genügend Lösungen finden.
 
  • Gefällt mir
Reaktionen: DiedMatrix
deveth0 schrieb:
Gehen die einzelnen Kameras (bzw deren Ethernetports) ohne Umwege zu einem zentralen Patchfeld? Wenn ja, dann würde ich vorschlagen, dass du dir einen zweiten Switch holst, an diesen dann alle Kameras anschließt und dann einen einfachen Router, der VPN kann dazu nimmst.
Wenn du auf die Kameras zugreifen willst verbindest du dich mit dem internen VPN und kannst drauf.
Zum Vergrößern anklicken....
Genau, die Kabel gehen in einen Netzwerkschrank auf ein Patchfeld.
Einen extra Switch und Router würde ich gerne meiden, zumal die VPN-Funktionalität sowieso nicht gegeben ist (habe keine öffentliche IPv6-Adresse bei meinem Internetanbieter und wenig Lust auf externe Mapping-Dienste angewiesen zu sein).
 
ist das euer Privatgrundstück? wie hoch hängen die Kameras? wieviele Leute sind so im Durchschnitt auf deinem /eurem Grundstück unterwegs? und wer von den Leuten hat dann auch noch einen Laptop mit Netzwerkanbindung dabei? und wie lange würde es dauern, bis du es merkst, das einer in deinem Garten sitzt und surft?
Ich weiss, es geht um die mögliche Technik, aber ist schon sehr... ähm, selten bzw. unwahrscheinlich, oder?
noch dazu gibts doch eh fast überall kostenloses wlan..
 
😁 ot/ein
Du brauchst eine zusätzliche Kamera die die Rückseite filmt ot/aus

Hänge die Kameras über 2 Meter hoch, dann wird es schwierig ohne Leiter.... oder Bau dir ein abschliessbares Gehäuse.
 
charmin schrieb:
Das was du willst ist ein Enterprise Feature
Zum Vergrößern anklicken....
So sieht's aus. Mit Consumer-Hardware sind solche Szenarien selten umsetzbar, da nun mal irgendwo der Rotstift angesetzt werden muss. Für den preisbewussten Käufer sind aber fehlende Sicherheitsfeatures vertretbarer als zB eine schlechtere Auflösung, etc.

VLANs wären aber wie schon erwähnt ein adäquater Schutz. Deine Sorge, dass dir dazu die Kenntnisse fehlen, bezöge sich aber letztendlich auf jedwede fortgeschrittene Lösung gleichermaßen.

Wenn du alle Kameras in ein eigenes VLAN packst und vom übrigen Netzwerk trennst, kann der potentielle Eindringling schon mal nur dein Kamera-VLAN kompromittieren. Im worst case kann er also die Bilder der übrigen Kameras abgreifen. Theoretisch könnte sich also ein Spanner aus der Nachbarschaft an das LAN-Kabel einer Kamera anklemmen und deine Frau beim Duschen beobachten (sofern du ne Kamera in der Dusche hast). Auf den Rest des Netzwerks, zB das NAS, käme der Eindringling aber nicht, da sich dies in einem anderen VLAN befindet. Um dort eindringen zu können, müsste er den Router bzw. die Firewall überwinden, der/die zwischen den VLANs sitzt - und genau hier liegt der Knackpunkt. Mit einer Fritzbox kommst du hier nicht weit weil die keine VLANs kann. Du benötigst demnach noch einen VLAN-fähigen Router *) wie zB MikroTik oder auch EdgeRouter (zB ER-X @ 50€). In diesem Router definierst du dann Regeln, die zB nur Antwort-Traffic aus dem Kamera-VLAN ins Hauptnetzwerk erlauben, beispielsweise wenn eine Kamera-Software die Streams von den Kameras abruft. Sollten die Kameras hingegen ihre Daten nur aktiv auf ein NAS, o.ä. hochladen, würde man eben nur exakt diese Uploads erlauben.

*) oder einen Layer3-Switch mit Inter-VLAN-Routing
 
Moin,
vielleicht mal eine ganz andere Frage: wie wäre es denn mit abschließbaren Kästen um die Kameras, die auch das LAN Kabel so einschließen, das man ohne den Kasten zu entfernen keinen Zugang hat?
Alles andere sehe ich ich mit Deinem derzeitigen Equipment nicht so richtig.
Allerdings könntest Du Deine Geräte auch z.B. via PRTG überwachen. Dann bekommst Du sofort einen Alarm, wenn irgendwas mit dem Anschluß nicht stimmt.
Ciao, Radulf
 
Zuletzt bearbeitet:
klabbi81 schrieb:
Genau, die Kabel gehen in einen Netzwerkschrank auf ein Patchfeld.
Einen extra Switch und Router würde ich gerne meiden, zumal die VPN-Funktionalität sowieso nicht gegeben ist (habe keine öffentliche IPv6-Adresse bei meinem Internetanbieter und wenig Lust auf externe Mapping-Dienste angewiesen zu sein).
Zum Vergrößern anklicken....
@deveth0 sprach von einem internen VPN. D.h. du installierst auf deinem Laptop einen VPN-Client und verbindest diesen dann mit der LAN-IP des VPN-Routers, von dem er sprach.

Die Wahrscheinlichkeit, dass sich jemand so Zugang verschafft, ist allerdings grundsätzlich relativ überschaubar. Wie schon geschrieben wurde sind Kameras jenseits der 2 Meter nur schwierig zu erreichen. Prinzipiell reicht es ja nicht, einfach nur Zugang zu einem LAN-Kabel zu haben, sondern man muss ja auch etwas damit anfangen können. Wenn dein NAS, etc. mit halbwegs vernünftigen Passworten geschützt ist, müsste der Angreifer schon eine Weile auf seiner Leiter mit dem Laptop auf dem Arm rumstehen.

Ich denke VLANs sind vom Aufwand her vollkommen ausreichend, sowohl von der Einrichtung als auch von der potentiellen neuen Hardware her. Dein Switch kann ja bereits VLANs wie du sagtest, d.h. du bräuchtest nur noch zB einen EdgeRouter-X für 50€ sofern der Switch selbst nicht sogar schon Inter-VLAN-Routing beherrscht. VLANs an sich sind kein Hexenwerk. Man definiert VLAN-IDs, weist sie den Router-/Switch-Ports zu und verpasst dem Netzwerk ein neues Subnetz. Dem Router (oder L3-Switch) sagt man dann wie oben bereits erwähnt einfach nur noch was zwischen Haupt- und Kamera-LAN darf und was nicht, fertig.
 
OK, Fassen wir mal zusammen:
- 802.1x können die Komponenten nicht
- Port Security bringt nix, da man MAC-Adressen spielend Ändern/fälschen kann
- VPN Router ist sicher auch quatsch, da ich mir nicht vorstellen kann dass man bei IP Kameras das LAN nur zum konfigurieren nutzen will. Man will ja sicher auch den Stream oder Bilder automatisch irgendwohin senden oder Alarme absetzen. Wenn ich nur auf SD Karten in den Kameras aufzeichnet kann man sich die Dinger auch sparen. Kamera von der Wand kloppen und weg sind die Karten.

Ic3HanDs schrieb:
Ohne VLans ist das eh so eine Sache. Wirklich kompliziert sind die nicht und helfen schon ungemein. Wenn du Routest ist das alles auch kein Thema und es bleibt erreichbar.
Zum Vergrößern anklicken....
Wenn man nur Stumpf zwischen den VLAN's routet, kann man sich das VLAN auch sparen. Da kann dann genauso jeder mit jedem im Netz kommunizieren.

In einer Firma mit Hochsicherheitsanforderungen, wäre es nur wirklich sauber wenn man 802.1X, + 2 VLAN's mit einer Firewall dazwischen kombiniert.

Ansonsten reicht es auch mit 802.1X allein oder mit zwei VLAN's+Firewall und auf dieser nur die benötigten Ports auf die entsprechenden Hosts durch zu lassen. Allerdings benötigt der TE dann wiederum eine Firewall.
 
Vielen Dank für die Antworten. Ich werde die Sache mit den VLANs dann mal weiter verfolgen. Der Switch ist übrigens ein Netgear JGS524PE, glaube kaum das der Layer 3 kann / ist. Es müsste also wie Raijin geschrieben hat, noch ein VLAN-fähiger Router her. Dieser würde die Fritzbox dann aber lediglich ergänzen, oder?
Sträube mich noch etwas dagegen, dass ganze Netz umzukrempeln und mich ggf. selbst auszusperren. Ich habe z.B. keine Ahnung was passiert, wenn ich den bisherigen Geräten bzw. deren Ports eine VLAN-ID zuweise. Muss mich wohl mal intensiver mit dem Thema beschäftigen.
Und ja, dass jemand Unbefugtes diesen Weg nutzt, um in das Heimnetzwerk einzudringen, ist unwahrscheinlich (wie ich mehrfach selber schrieb). Es geht auch nicht darum, dass jemand auf meine Kosten im Internet surft :-)
Das Grundstück ist privat und ich habe quasi alle Freiheiten. Nun ist es aber so, dass eine Kamera bspw. an einer Garage hängt, die man (wenn man nicht gerade kleiner als 1.60m ist) durch bloßes ausstrecken der Arme erreichen würde. Die beiden anderen Kameras wären ebenso leicht erreichbar. Da jetzt noch einen Kasten drum zu bauen würde ich dann aber auf der anderen Seite doch etwas übertrieben finden. :-)
Ergänzung ()

Finde ich übrigens interessant, dass es zig Seiten zu Überwachungskameras etc gibt, aber zu meinem Thema mit dem Netzwerkkabel findet sich kaum etwas. Vielleicht bin ich diesbezüglich auch einfach etwas paranoid :-D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz