Teil-Isolation bestimmter IP-Geräte - Kamera Sicherheit

B

Blondjonny

Kabelverknoter(in)
Hallo Forum!
Also vorab, ich bin nicht der größte Spezialist was Hardware betrifft, aber bilde mich gerne fort! :D

Ausgangssituation:
Wir bekommen eine neue Alarmanlage und Videoüberwachung.
Die Alarmanlage und 3 IP-Kameras werden später zusammen an einem Poe-Switch angeschlossen.
Wahrscheinlich der hier: D-Link Gigabit Switch: Amazon.de: Computer & Zubehor
An dem Switch hängt dann auch die Alarmanlage, der Videorekorder (NVR216 - Produkte - Synology - Network Attached Storage (NAS)) und ein Devolo Dlan adapter 1200+, welcher den Switch zum restlichen Netzwerk und Internet inkl. aller PCs und NAS verbindet.
Es ist wichtig, dass der Switch Internetzugang hat, da über eine App/ im Browser das Video gestreamt und die Alarmanlage scharf gestellt wird.

Das Problem:
Es liegen ja draußen die Ethernet-Kabel (Cat 7 - overkill ich weiß) für die IP-Kameras, welche relativ leicht zugänglich für jedermann sind. Theoretisch kann jeder X-beliebige dann daherkommen und das Kabel aus einer Kamera ausstecken und an sein Laptop knipsen. Dann wäre er ja problemlos in meinem Netzwerk?! (Die Kameras sind ca 2m weit oben und die Kabel sind lang genug, dass man sie nach unten ziehen könnte)

Die Frage:
Können die "Leitungen" der IP-Kameras von dem restlichen Netzwerk isoliert werden, sodass bloß die IP-Kameras auf den Videorekorder zugreifen können. Die Kameras brauchen ja nur Zugriff auf den Videorekorder und nicht aufs Internet, das Streamen übernimmt er ja selbst...

Ich wäre über jede Hilfe/ Vorschlag sehr erfreut!
 
Wie wäre es, wenn du jeder Kamera eine statische IP zuweist und alle anderen IP's blockst? Müsste man im Router/der Firewall einstellen können.
Problem ist, dass sich auch ein möglicher Angreifer diese IP zuweisen kann und von daher sollte man das am besten mit MAC Adressen verwirklichen.
 
Mit einem vernünftigen Switch konfigurierst du sowas über Portsecurity.

Je nach Gusto kannst du dann auswählen zwischen
- restricted - alle unbekannten MAC Adressen sind gesperrt
- shutdown - wird eine unbekannte MAC Adresse angeschlossen, wird der Port automatisch deaktiviert

In beiden Fällen kannst du dir da auch gleich per SNMP Trap eine Info drüber zukommen lassen.

Dazu brauchst du aber wie schon gesagt einen managed switch, der das entsprechende Feature beherrscht.
 
Andere Frage.. wie gross ist das Gefährdungspotential dass jemand sich zwischen die Kamera hängen will? Ich meine, von PC Hardware verstehe ich auch nicht das meiste, von Arealsicherheit und ähnlichen Dingen schon.. Wenn du schon einen derartigen Aufwand treiben willst um die "Nachbarskinder" beim Äpfel klauen zu filmen frag ich mich ernsthaft warum dann die Kameras so dilettantisch montiert werden? Aussenliegende Kabel etc...

Is jetzt die Frage, brauchst du so ne Anlage, oder willst du sie einfach... :huh: Weil so is das nix ganzes und auch nix halbes...
 
Erst einmal vielen Dank für all die Antworten!!!
Ich denke, dass ich mit dann einen managed Switch besorgen werde. Den hier? - TP-Link TL-SG221P 8-Port Gigabit Desktop PoE Smart: Amazon.de: Computer & Zubehor

Kuhprah schrieb:
Andere Frage.. wie gross ist das Gefährdungspotential dass jemand sich zwischen die Kamera hängen will? Ich meine, von PC Hardware verstehe ich auch nicht das meiste, von Arealsicherheit und ähnlichen Dingen schon.. Wenn du schon einen derartigen Aufwand treiben willst um die "Nachbarskinder" beim Äpfel klauen zu filmen frag ich mich ernsthaft warum dann die Kameras so dilettantisch montiert werden? Aussenliegende Kabel etc...

Is jetzt die Frage, brauchst du so ne Anlage, oder willst du sie einfach... :huh: Weil so is das nix ganzes und auch nix halbes...
Zum Vergrößern anklicken....

Das Gefährdungspotential ist mini-minimal, das ist mir bewusst. Jedoch will ich einfach mal Nummer sicher gehen, da die Alarmanlage etc daran hängt..
Sorry das mit der Verkabelung habe ich wohl nicht so gut erklärt. Also wir haben im EG. eine Holzverschalung ums Haus, dahinter wurde das Kabel verlegt ..keine aussenliegende Kabel - Nur an den Stellen, wo die Kameras befestigt werden und das Kabel rauskommt. Das ich so eine Kamera Anlage mir anschaffe steht außer Frage, die kommt und es handelt sich leider nicht nur um "Nachbarskinder"- schön wäre es! :D

poweruser181 schrieb:
imho sind MAC Adressen genau so leicht zu kopieren wie IP Adressen... So kommst nicht wirklich weiter. Mal an n VLAN gedacht?
Zum Vergrößern anklicken....

Danke für den Hinweis! Der oben genannte Switch kann dies ja auch umsetzen!
 
VLAN´s sind gut und schön. Nur brauchst du dann einen entsprechenden Router um die VLAN´s zu verbinden. Sonst können sich diese nicht "unterhalten". Diese ist aber bei dir Voraussetung, da du den Videostream und das Aktivieren der Alarmanlage benötigst.

Am einfachsten wäre ein USB - LAN Adapter für den NVR216. Da könntest du dann zwei unterschiedliche Netze betreiben.
 
poweruser181 schrieb:
imho sind MAC Adressen genau so leicht zu kopieren wie IP Adressen... So kommst nicht wirklich weiter. Mal an n VLAN gedacht?
Zum Vergrößern anklicken....

Portsecurity kannst du bei entsprechenden Switchen auch so konfigurieren, dass ein Port grundsätzlich erstmal keinen Traffic zulässt, sobald auf Layer 1 die Verbindung einmal getrennt war.

MAC Adressen an sich sind btw. nicht ganz so einfach zu kopieren wie IP Adressen. Letzteres ist eine reine Konfigmaßnahme, ersteres setzt gezielte und in Deutschland in diesem Einsatzszenario strafrechtlich relevante Tools voraus. Nichtdesto trotz gebe ich Kuprah hier recht: Netzsicherheit zu designen beginnt man auf Layer 1.
 
ic3man1986 schrieb:
VLAN´s sind gut und schön. Nur brauchst du dann einen entsprechenden Router um die VLAN´s zu verbinden. Sonst können sich diese nicht "unterhalten". Diese ist aber bei dir Voraussetung, da du den Videostream und das Aktivieren der Alarmanlage benötigst.

Am einfachsten wäre ein USB - LAN Adapter für den NVR216. Da könntest du dann zwei unterschiedliche Netze betreiben.
Zum Vergrößern anklicken....
Ich glaube es ist nicht ganz einfach einen Lan-Adapter mit dem Synology Gerät zum laufen zu bringen. Ich habe ein wenig recherchiert, es gibt ein paar skurrile Guides wo man sich per ssh ins NAS einloggen muss. Es ist aufjedenfall möglich einen Wlan-Stick dran zuhängen..warum es mit einem USB-LAN Adapter nicht so leicht ist, weiß ich auch nicht. :D

Zurückkommend zum Router:
Ich habe oben einen Speedport W921V stehen, welcher als Router fungiert (Wlan ausgeschaltet, wird als Modem/Router genutzt). Daran hängt ein Asus rt ac87u als Access Point und eine Synology DS415play. Von dort würde es dann weiter über Devolo Dlan1200+ nach unten zum Switch -> Alarmanlage, Kameras und dem Synology NVR216 gehen. Also kann ich Vlan vergessen - mein "Router" unterstützt es ja also nicht? Ich weiß was Vlan ist, habe es jedoch noch nie selber benutzt.

Virikas schrieb:
Portsecurity kannst du bei entsprechenden Switchen auch so konfigurieren, dass ein Port grundsätzlich erstmal keinen Traffic zulässt, sobald auf Layer 1 die Verbindung einmal getrennt war.

MAC Adressen an sich sind btw. nicht ganz so einfach zu kopieren wie IP Adressen. Letzteres ist eine reine Konfigmaßnahme, ersteres setzt gezielte und in Deutschland in diesem Einsatzszenario strafrechtlich relevante Tools voraus. Nichtdesto trotz gebe ich Kuprah hier recht: Netzsicherheit zu designen beginnt man auf Layer 1.
Zum Vergrößern anklicken....
Da gebe ich dir voll und ganz Recht!
Ich versuche Layer 1, also zB. die Netzwerkkabel so weit wie möglich zu sichern...es geht hier eigentlich auch viel mehr darum, was alles möglich ist. Das Risiko ist wie gesagt sehr gering. :D
Aber Software um MAC Adressen zu fälschen ist nicht das schwerste, wenn man kali linux kennt.
Nun gut ich denke Vlan kann ich wohl vergessen und mich dann über Portsecurity absichern!
Frage: Können die Ports so konfiguriert werden, dass sie nur "schreiben" können und nicht "lesen", da die Kameras nur senden und nichts empfangen. Evtl. wäre das ja die Lösung!? :)
 
Virikas schrieb:
MAC Adressen an sich sind btw. nicht ganz so einfach zu kopieren wie IP Adressen. Letzteres ist eine reine Konfigmaßnahme, ersteres setzt gezielte und in Deutschland in diesem Einsatzszenario strafrechtlich relevante Tools voraus. Nichtdesto trotz gebe ich Kuprah hier recht: Netzsicherheit zu designen beginnt man auf Layer 1.
Zum Vergrößern anklicken....

MAC Adressen kann man unter jedem Linux genauso einfach ändern wie IP Adressen, mit einem Tool das bei jedem Linux mitgeliefert wird (ifconfig), und das ist strafrechtlich ganz sicher nicht relevant.

Kleb die Stecker an den Kameras fest, am besten mit etwas, wofür es auch entsprechende Lösemittel gibt, falls du Sie mal austauschen möchtest. :D (So machen wir das bei der Rechenzentrumsüberwachung, allerdings gehts da nicht ums Eindringen sondern mehr ums Abschalten)

BTW: Nur senden tun die Kameras auch nicht, die wollen schon wissen, ob die Pakete auch angekommen sind.
 
Zuletzt bearbeitet:
Virikas schrieb:
Portsecurity kannst du bei entsprechenden Switchen auch so konfigurieren, dass ein Port grundsätzlich erstmal keinen Traffic zulässt, sobald auf Layer 1 die Verbindung einmal getrennt war.

MAC Adressen an sich sind btw. nicht ganz so einfach zu kopieren wie IP Adressen. Letzteres ist eine reine Konfigmaßnahme, ersteres setzt gezielte und in Deutschland in diesem Einsatzszenario strafrechtlich relevante Tools voraus. Nichtdesto trotz gebe ich Kuprah hier recht: Netzsicherheit zu designen beginnt man auf Layer 1.
Zum Vergrößern anklicken....
Käse. Warum sollte das strafrechtlich relevant sein? Gibt sogar ganz reguläre Anleitungen dazu
Windows 7: MAC-Adresse andern – geht das? - CHIP und unter win XP z.B. hast nicht mal ein tool oder so gebraucht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Kondar
Synology NAS im Ausland nur mit 60KB/s erreichbar
Antworten
11
Aufrufe
784
Gast1772925001
G
Kuhprah
Switch "hängt" sich auf, wie Belastung reduzieren?
2
Antworten
20
Aufrufe
12K
rschwertz
R
doodlez
FritzOS 8.0 Externe Geräte Problem
Antworten
7
Aufrufe
14K
Gast1733526604
G
W
DLan oder WLAN?
Antworten
4
Aufrufe
8K
warawarawiiu
W
Noxxphox
Beratung zu Powerline System + Smart Home (gleicher Hersteller / integriert?)
2 3
Antworten
41
Aufrufe
13K
Noxxphox
Noxxphox
Oben Unten
Zurück