"fremde" Geräte an LAN-Anschluss verhindern

[Ic3HanDs]

- Port Security bringt nix, da man MAC-Adressen spielend Ändern/fälschen kann

Ja es geht, aber ein Typ der vorbeiläuft und sich denkt "Boah das teste ich eben" ob ich den hacken kann wenn ich mich da anschließe und in sein Netz komme weiß sowas erst einmal nicht.

Wenn man nur Stumpf zwischen den VLAN's routet, kann man sich das VLAN auch sparen. Da kann dann genauso jeder mit jedem im Netz kommunizieren.

Jein, du hast unterschiedliche Netze und er braucht erstmal das Gateway. Dieses kannst du ohne PW der Kamera jedoch nicht auslesen und musst dann eben wieder mit Wireshark tracen um das Gateway zu bekommen. Bedeutet mehr Aufwand und mehr Sicherheit gegen so Kiddies bzw. Idioten die sowas als Mutprobe oder so machen. So Leute mit großer Fresse und nix dahinter eben.

Und wie ich schon am Anfang mal geschrieben habe sehe ich auch das es eine Firewall dazwischen geben muss welche sehr sehr restriktiv ist.

wenn ich den bisherigen Geräten bzw. deren Ports eine VLAN-ID zuweise

Deine Geräte brauchen keine VLan ID. Auf dem Switch kannst du den entsprechenden Port einfach auf das VLan untagged legen. Deine Geräte senden ganz normal und der Switch hängt dann erst ein VLan Tag an.

 

[Raijin]

Der Switch ist übrigens ein Netgear JGS524PE, glaube kaum das der Layer 3 kann / ist. Es müsste also wie Raijin geschrieben hat, noch ein VLAN-fähiger Router her. Dieser würde die Fritzbox dann aber lediglich ergänzen, oder?
Sträube mich noch etwas dagegen, dass ganze Netz umzukrempeln und mich ggf. selbst auszusperren. Ich habe z.B. keine Ahnung was passiert, wenn ich den bisherigen Geräten bzw. deren Ports eine VLAN-ID zuweise.

Der Netgear ist nur ein Smart Managed Switch, der kann nux routen.
Ein VLAN-Router wie zB der besagte ER-X, ein MikroTik oder auch Geräte mit pfSense, etc. steht dann mit einem (LAN-)Bein im Hauptnetzwerk und mit dem anderen Bein im Kameranetzwerk bzw. deren VLANs. Man kann sich das vielleicht einfacher vorstellen, wenn man von physischen LANs ausgeht, also zB ein Router für einen Untermieter, der seinen eigenen Switch anklemmt. VLANs sind nur die virtuelle Repräsentation dessen, auf einem gemeinsamen VLAN-Switch. Dieser Router bildet dann die Grenze bzw. den Übergang zwischen den beiden Netzwerken.

Die Endgeräte bekommen übrigens gar nichts von den VLANs mit, weil sie zB mit der VLAN-ID niemals in Berührung kommen, das regelt alles der Switch.

 

[rocketworm]

Wenn es für die Kameras einen eigenen Switch gibt, kann man sich die VLAN's auch komplett sparen und den Switch direkt mit dem zweiten Interface der Firewall verbinden.

Ja es geht, aber ein Typ der vorbeiläuft und sich denkt "Boah das teste ich eben" ob ich den hacken kann wenn ich mich da anschließe und in sein Netz komme weiß sowas erst einmal nicht.

Bedeutet mehr Aufwand und mehr Sicherheit gegen so Kiddies bzw. Idioten die sowas als Mutprobe oder so machen. So Leute mit großer Fresse und nix dahinter eben.

Also vor ca. 15 Jahren gab auch schon Kiddies welche smart genug waren, die WEP-Verschlüsselung (WPA gab es damals nicht) in der Nachbarschaft zu knacken und auf den Damals noch sehr üblichen Win 9X Rechnern Rumzufuhrwerken. Und Kiddies die Sowas überhaupt versuchen, werden es sicher nicht tun ohne die Basics zu kennen. Wahrscheinlich sind es eher findige Nerds.

 

[Ic3HanDs]

WEP knacken ist keine Kunst.. Tool starten und fertig. Keine Ahnung wo da wissen benötigt wird. Und viele dieser Leute wissen auch garnicht was eine MAC-Adresse ist etc. Die wundern sich einfach nur wieso es nicht geht.

 

[rocketworm]

WEP knacken ist keine Kunst.. Tool starten und fertig. Keine Ahnung wo da wissen benötigt wird. Und viele dieser Leute wissen auch garnicht was eine MAC-Adresse ist etc. Die wundern sich einfach nur wieso es nicht geht.

Natürlich ist es keine Kunst. Aber ein IP-Scan ist es auch nicht. Und das ändern von MAC-Adressen auch nicht.

Ich gebe dir recht, das es Leute gibt, die keine Ahnung von so einem Kram haben. Mal ganz davon abgesehen, dass es rel. unwahrscheinlich ist, dass da überhaupt jemand bei geht, halte ich es für gewagt zu behaupten, das "viele" der Netzwerkeinbrecher keine Ahnung haben. Wer soetwas macht, macht das eher gezielt. Die Kinder vom Nachbarn die es einmal ausprobieren, klar die kann man wahrscheinlich ignorieren, da diese vermutlich beim ersten Misserfolg das ganze aufgeben.
Was heisst denn für dich viele von denen haben keine Ahnung? 10%? 50%? 70%?, muss mann dann keine Angst mehr vor denen haben die Ahnung haben?
Trump hat auch keine Ahnung und ne große Klappe. Aber er darf trotzdem ein Land Regieren und mit nem Armageddon-Koffer durch die Gegend rennen.

 

[h00bi]

Warum ballert man sich Kameras ans Haus wenn man nicht mal mitkriegt dass jemand an einer der Kameras rumfummelt? Für was soll die Kamera denn dann gut sein? Damit du morgens gucken kannst welcher Hund nachts in deinen Garten kackt?

Decke einfach den möglichen Blindbereich jeder Kamera mit einer weiteren Kamera ab. Es stellt sich doch niemand in den Sichtbereich einer Kamera und fummelt an deinem Netzwerk rum.

 

[Ic3HanDs]

Was heisst denn für dich viele von denen haben keine Ahnung? 10%? 50%? 70%

Das sind für mich eher über 95%. Und ich denke die meiste Angst muss zumindest in diesem privatem Bereich auch vor solchen Leuten haben die keine Ahnung haben und es einfach ausprobieren. Nur weil man Ahnung von Computern hat, heißt das nicht das man weiß wie es im Hintergrund funktioniert. Nur weil man IP-Adressen kennt hat man noch lange keine Ahnung was im Hintergrund passiert und wie das genau funktioniert.

Dazu kommt noch das man solche Sicherheitstechniken kennen muss, sonst wird es recht schwer auf diese als Problem zu kommen.

Klar muss man noch Angst haben vor denen mit Ahnung, aber ich denke die Leute mit Ahnung haben nicht wirklich Interesse daran in den meisten Fällen.

Aber das kommt noch dazu: Wenn ein Einbrecher sich über einen toten Winkel daran zu schaffen machen kann bringt die ganze Überwachung nichts. Weil ich den im Zweifel dann auch nicht auf der Kamera sehe. Denn ohne Netzwerk nachher kein Bild.

 

[Raijin]

Wenn es für die Kameras einen eigenen Switch gibt, kann man sich die VLAN's auch komplett sparen und den Switch direkt mit dem zweiten Interface der Firewall verbinden.

Es gibt ja bereits einen VLAN-fähigen 24er Switch im Zentrum. Ein separater Switch für die Kameras steht so wie ich das mitbekommen habe nicht zur Debatte bzw schon ein zusätzlicher Router ist eigentlich unerwünscht.
Am Router selbst braucht man aber im Prinzip keine VLANs mehr, das ist richtig. Die VLANs splitten also effektiv nur den 24er Switch in zB 18+6 Ports auf und jeweils ein Port aus dem 18er bzw 6er Block ist dann der Uplink zum EdgeRouter / MikroTik, der dann wiederum zwischen beiden Netzwerken routet.

 

[Hayda Ministral]

Ich hänge noch an den Kommunikationsbeziehungen. Wohin darf die Kamera selbst eine Verbindung aufbauen? Direkt ins interne Netz oder nur ins Internet zum Diensteanbieter?

 

[klabbi81]

Ich hänge noch an den Kommunikationsbeziehungen. Wohin darf die Kamera selbst eine Verbindung aufbauen? Direkt ins interne Netz oder nur ins Internet zum Diensteanbieter?

Am besten beides: ins Internet damit ich unterwegs die Bilder der Kameras abgreifen kann und ins interne Netz, um selbiges plus erweiterte Einstellungen auch aus dem internen Netz tun zu können

 

[LastManStandlng]

Wenn der schlimme Finger sein Gerät mit der Kamera verbindet kann er die Mac adresse eh auslesen, und wer sich so in ein Netzwerk schleichen wollte der kann es noch einfacher bei bekannter mac adresse...
Selbst sollte die Kamera ein Zugriffschutz in jeglicher form haben, es wäre dennoch ein leichtes. Genau genommen wer sich einigermaßen damit auskennt kann auch durch abreißen der Kamera/Kabel. Und einem Stecker rohling das Kabel wieder steckbar machen. Also egal wie du es machst...!
Am aller schwersten wäre es wenn die Kameras unzugänglich wären Digital würde es da wohl weniger wiederstand geben aber physisch.
Den Computer Nerds sind alles kleine dürre Hämpflinge oder stark übergewichtig und schwerfällig
"sagt Hollywood."- denen glaube ich das sofort

 

[Hayda Ministral]

@klabbi81:
Gedankenspiel: erlaube den Kameras per FW nur und ausschließlich die Kommunikation zum Internetservice. Greife selbst ebenfalls nur über den Internetservice auf die Kamera zu.

@All: wäre das zielführend?

 

[Raijin]

wäre das zielführend?

Nein. Wie auch? Eine Firewall kann ein Endgerät wie zB eine Kamera maximal anhand der IP oder der MAC identifizieren. Beides kann man mit Windows Bordmitteln binnen Sekunden ändern. Und was ist, wenn der Eindringling sich explizit eine andere IP verpasst und/oder die MAC von zB einem PC aus dem Netzwerk einstellt? Dann denkt die FW erst recht, dass alles ok ist.

Ausserdem hat die Firewall rein gar nichts mit LAN-internem Traffic am Hut. Eine Verbindung zum NAS geht beispielsweise maximal über den Switch des Routers, aber die Firewall sitzt ausschließlich zwischen WAN und (W)LAN und sieht nicht ein einziged Datenpaket, das durch den Switch läuft.

Eine Firewall kann nur Netzwerke trennen bzw. deren Zugriff reglementieren. Im 08/15 WLAN-Router sind das eben das WAN und das lokale Netzwerk. Innerhalb der Netzwerke hat eine Firewall keinerlei Einfluss. Daher müsste der TE ja wie vorgeschlagen ein separates Kamera-Netzwerk erstellen, zB mit VLANs. Ein Router bzw. eine Firewall zwischen Kamera- und Hauptnetzwerk würde dann schlicht und ergreifend das komplette Kamera-Netzwerk reglementieren, also auch einen potentiellen Eindringling an einem Kamerakabel.