Netzwerkdose absichern

[Trisiel]

Hallo Zusammen,

Ich habe ums Haus rum IP Kameras mittels Kabel eingebunden. Funktioniert alles super.

Heute kam nen Kumpel zu Besuch und ich habe ihm meine Installation gezeigt. Er lachte kurz, zog das Ethernet Kabel aus der Kamera, steckte es in ein Laptop und hatte binnen Sekunden Zugriff aufs Netzwerk. Klar, ist logisch, hat mich trotzdem erschüttert.

Alle Anschlüsse/Kabel sind außer Reichweite, außer dieses eine. Wie kann ich dieses absichern?

WLAN ist an dieser Stelle keine Option.

Ich habe eine Fritzbox 6890. Wenn ich dort Lan4 für den Gastzugriff definiere kann ich mit Geräten aus dem "regulären" Netzwerk nicht auf diese Geräte zugreifen. Was für eine Kamera ziemlich schlecht ist.

Macfilter könnte eine Option sein, aber ich hab mir sagen lassen, dass es ein leichtes ist die Adresse der Kamera zu kopieren.

Hat jemand eine Idee?

Viele Grüße

 

[ryan_blackdrago]

Hardwareseitig:
-Kabel, Dose und Kamera an eine Stelle setzen (neu verlegen), wo man eine Leiter braucht
-Kabel an die Kamera fest verkleben + Geldkassette montieren und sämtliche Hardware dort hinein verbannen.
-Gehäuse für die Kamera bauen, welches ein Abziehen des Kabels verhindert
-Stacheldraht
-elektronischer Marderschutz

Softwareseitig:
MAC-Filter

 

[Nilson]

MAC-Filter

Das ist ein recht schlechter Schutz. Ein Angreifer könnte einfach die MAC der IP-Kamera kopieren und schon ist er drin.
Besser wären Verfahren wie IEEE 802.1x / RADIUS, aber das braucht entsprechende Geräte die das auch können.
https://www.elektronik-kompendium.de/sites/net/1409281.htm

 

[dermatu]

Vielleicht hilft da ein Bouncer. Wenn jemand das Kabel abzieht bekommt das neu angeschlossene Gerät erstmal keine IP vom DHCP aber das lässt sich auf normalen Routern glaube ich nicht installieren.

 

[dvor]

MAC-Filter ist leicht zu umgehen: Rechner an Kamera anschließen. Diese verrät freiwillig ihre MAC.

Der Stecker des Netzwerkkabels in der Kamera muss mechanisch gesichert werden. Höhe ist mit einer Leiter zu umgehen. Bleibt nur ein "Tresor" oder eine (selbstgebaute) mechanische Herausziehsicherung.

 

[Gorasuhl]

Falls die Leitung leicht zu wechseln ist könnte man den Stecker auch mit etwas Konstruktionskleber dauerhaft fixieren (2 kleine Punkte rechts und links am Stecker, sollte aber nichts auf die Kontakte kommen).

Wenn dann aber mal was an der Kamera ist muss man die Leitung halt mit tauschen.

 

[JustOne]

Ist auf dem Kabel POE?

Dann könntest du einen POE Switch für diese Kamera zwischenschalten und mit einem Fritz Dect200 dessen Stromverbrauch messen sowie eine automatische Abschaltung einrichten, wenn die Leistungsaufnahme kleiner xy Watt ist.

Sobald jemand das Netzwerkkabel zieht, schaltet das DECT200 aus... Netzwerk ist weg.

 

[ryan_blackdrago]

@ Nilson
Und das Buchen eines Sicherheitsdienstes, welche den Bereich bewacht, macht das Verwenden von MAC-Filter, Radius, etc. unnötig.

 

[Golgorod]

VLAN aufsetzen und die Netze ordentlich trennen - Monitor dann in beiden VLANS stopfen. Nur kann das die Fritzbox nicht.
Wäre die sinnvollste Lösung.

 

[Trisiel]

Durch eure Hinweise hatte ich gute Stichworte zum Suchen. Scheinbar gibt es nicht wirklich was, was man mit überschaubaren Aufwand bzw. ohne großen Investitionen realisieren könnte.

Dann werde ich das Kabel mechanisch absichern. Vielen Dank für eure Antworten.

Achja, zur Frage mit POE. Ich habe kein POE System.

 

[t-6]

Der Anschluss der Kamera darf nicht ohne weiteres erreichbar sein, so dass man einfach das Kabel abziehen kann, wie dein Freund demonstriert hat.

Typischerweise werden Kameras entweder auf ein Loch in der Wand gesetzt oder auf eine passende Anschlussdose. Das Anschlusskabel liegt dann (indirekt) in diesem Loch nach innen oder in der Anschlussdose. Hintergrund ist dann, dass die Kamera (aufwändig) demontiert werden muss um an dieses Kabel zu kommen.
Nebenbei: Wenn eine Kamera im Außenbereich so montiert wird dass man einfach das Kabel abziehen kann, deutet das auch darauf hin dass es an wetterfester Abdichtung mangelt. Ist schlecht bzgl. Korrosion.

Weiterhin: Kameras in ein entsprechendes Subnetz/VLAN setzen, aus dem sie nicht "raus" können.
Einzig aus Richtung des internen Netzes kann dann auf die Kameras zugegriffen werden, bspw. über einen NVR.
Das höchste der Gefühle ist, dass die Kameras DNS & SMTP Richtung Internet dürfen - um eine Email/Nachricht zu schicken dass sie gerade manipuliert werden, sofern die Kameras eine solche Funktion können.

Letzeres ist mit Fritzboxen nicht möglich.

 

[Skysnake]

Also es gibt auch sichere Wege in Software. Wenn dein Switch snmp traps auslösen kann für ein Link down eventuell kann ein externes Tool den trap empfangen und den Port disabeln.

Es gibt aber auch Switche die können das schon von sich aus. Also sobald nen Link Down geht wird der Port disabeled. Bzw es gibt auch noch ein Unlink. Also dass der Switch sieht wenn das Kabel gezogen wird. Ist aber auch der Fall wenn die Gegenseite komplett vom Strom getrennt wird.