LAN vor unberechtigtem Zugriff schützen?

Warum sollten cams nicht aufzeichnen dürfen? So lange man keinen öffentlichen Bereich aufnimmt, welchen ich bei mir aus lende sollte mir keiner verbieten Aufzeichnungen zu machen…

Ich meine das Recht am eigenen Bild… Wenn Du dann noch einen unübersehbaren Hinweis vor dem gefilmten Bereich aufgestellt hast, solltest Du auch der sicheren Seite sein. Aber wie gesagt, das hat hier nichts zu suchen und kann ja jeder machen wie er denkt…

Viele Grüße
JayJay

Kannst du dein Szenario bitte etwas genauer beschreiben, @JayJayX ?

Mir ergibt sich gerade noch nicht, warum man kritische Infrastruktur in ein “offenes” Netz einbinden sollte. Ich würde ein eigenes Netz aufziehen und das abschotten (feste IP zB) und den Zugang maximal über eine Firewall in das andere Netz zulassen.

Vielleicht braucht man es auch gar nicht zulassen, denn man könnte ja ggf den FTP auch dort einbinden oder den Zoneminder Server.

Zusätzlich würde ich ein Script laufen lassen, was meine Kameras überwacht, also wegen mir die aller 5 Sekunden anpingt. Wenn da was schief geht, Netzwerk dicht machen. Geht theoretisch auch mit Automagic und Co., da kannst du mit nem Plug via Webhook den Switch killen.

Aber wie gesagt, ohne tatsächlich dein Szenario und Bedarf zu kennen.

Im Moment habe ich die Cams ja über WLAN laufen, also alles gut soweit. Da ich aber schon einige Geräte aus dem WLAN Netz geschmissen habe, dachte ich, ich könnte das auch mit meinen Cams machen… Die übertragen eigentlich nur Live-Bilder.

Womit wir dann wieder bei VLAN/Switch mit einer Firewall/Router wären, oder?

Viele Grüße
JayJay

2 vernünftige Switches sollten reichen.

Was wären “vernünftige” Switches? Habe mir vor kurzem erst einen 16 Port Switch unmanaged gekauft… Der fällt dann eher nicht darunter :crazy_face:

Viele Grüße
JayJay

Das Stichwort wäre hier tatsächlich Managed Switch. Je nach Geldmenge dann auch sehr tiefgreifend einstellbar und somit regulierbar.

Ist ja bald wieder Black Friday :smirk:

Ich konnte ja nicht wissen das ich mein LAN mal irgendwann in die unsichere Zone verlegen werde :smiley: Kannst Du da was besonderes Empfehlen? Nicht das ich irgendeinen Mist kaufe…

Viele Grüße
JayJay

Ich habe leider keine ausreichende Erfahrung bei dem Thema, um allgemein gültig Hardware zu empfehlen. Immerhin muss dann deine komplette Infrastruktur deine gewählte Lösung unterstützen - nützt ja nix, wenn der Router kein VLAN kann, aber alle Switches…nur so als Beispiel.

Ich kann leider nur bei der Theorie Denkansätze liefern. Wenn ich mal viel Zeit hätte und ggf. dich als Unterstützung physisch bei mir, dann würde ich mal mein Netzwerk auf deinen Anwendungsfall umbauen und alles testen.

Wobei du das ggf auch mal in klein probehalber aufbauen kannst und dann im Fehlerfall das Rückgaberecht in Anspruch nehmen kannst. Also zB 2x 4 Port Managed kaufen und testen und bei Erfolg dann die großen Dinger mit POE erst holen.

1 „Gefällt mir“

So wie ich das auf die schnelle gelesen habe, kann die FB kein VLAN, zumindest nicht von Haus aus…
Ich bleibe erst mal beim WLAN, sammele noch Infos und überlege mir dann ob sich der Aufwand lohnt. Ehrlich gesagt habe ich es mir als Laie viel einfacher vorgestellt…

Danke für die Denkansätze :wink:

Viele Grüße
JayJay

1 „Gefällt mir“

Du weißt ja, Sicherheit ist nie Einfach.

Probiere mal folgendes: alle Cams an einen Switch, nur die Cams die du als angreifbar/zugänglich hältst. Den Switch dann an einen smarten Plug. Automagic einen Flow erstellen der genau die Cam(s) aller t Sekunden anpingt. Ping nicht erfolgreich dann Webhook auslösen und der killt den Plug am Switch. Damit sind alle Cams aus dem Netz.

4 „Gefällt mir“

Oder Kamera mit 802.1X sowie einem Radius-Server, integriert zum Beispiel im Unifi-Universum und bei vielen anderen Herstellern auch…

Gruß

Michael

Warum so kompliziert, wenn es auch einfach geht? Alle Cam’s an einen Switch. Das ‘normale’ Netzwerk an einen anderen Switch. Die beiden Switches mit einer Firewall (kein Router - reine Firewall) verbinden, die nur den einen Port durchlässt, den die Cams benötigen. Da kann jeder alles an die Aussenkabel hängen. Damit kommt er trotzdem nicht auf den Server und auch nicht in’s Internet. MAC-Filter, fixe IP’s etc. kann man noch zusätzlich machen, wenn man möchte.

3 „Gefällt mir“

Ich freue mich, dass du meiner obigen Lösung zustimmst :wink:

1 „Gefällt mir“

Oder statt der Standalone-Firewall einen Server mit Firewall dazwischen (mehr Funktionen in einem Gerät).

Dann hat eine Netzwerkkarte nur den Switch mit dem IP-Bereich der Cams im Zugriff (vorzugsweise mit Firewall aktiv).
Die andere hängt im Netzwerk und stellt hier das Livebild der Cams mittels Software zur Verfügung.
Hierfür reicht, je nach Anzahl der Kameras, evtl. sogar ein Pi (mit USB-Netzwerkkarte natürlich) oder ein älterer PC (Vorzugsweise mit Linux drauf - persönliche Meinung). Um den Rechner abzusichern dann noch fail2ban (um im Falle zu vieler falscher Anmeldeversuche eine Sperre zu aktivieren) installiert und gut ist (sollte eigentlich reichen).

Soll es was mehr an Sicherheit im Netzwerk sein, so kennt es eigentlich keine Grenzen. Aber nicht alles ist noch sinnvoll. Mal was noch möglich ist und relativ schnell realisiert werden kann:

  • Das Ganze noch so konfigurieren, dass ein MAC-Adressen/IP-Adressen-Abgleich durchgeführt wird und einen Alarm triggert.
  • Sobald eine gewisse Anzahl von MAC/IP-Abgleichen erfolglos war, wird beides für ein paar Minuten/Stunden gesperrt.
  • Wenn man dann die IPs noch nach dem Zufallsprinzip fest vergibt hat man noch ein Plus an Sicherheit. Denn…
  • das auftauchen einer nicht vergebener IP kann einen Alarm triggern.
  • Wenn man ganz durchdreht noch einen Honeypot (bspw. Cowrie - VIDEO DAZU) installieren, der dem Angreifer vorgaukelt er wäre im System drin und ihn so erstmal beschäftigt.
  • Das Ganze auf mehreren in diesem Netzwerk däumchendrehende PIs um zu zeigen das man definitiv zu viel Zeit/Geld hatte.
  • usw. da kann man sich halt austoben wie man will.

Ja, wie einige schon schrieben: Sicherheit erfordert immer etwas mehr an Aufwand.
Und der Aufwand richtet sich nach dem persönlichem Sicherheitsbedürfnis.

Die Lösung von @tpheine hat sicher auch was für sich und ja, der Vorschlag sichert das Netzwerk ab, aber der Preis ist: Fällt eine Kamera aus, fallen alle aus.

Also ich behaupte mal, dass @JayJayX in seinem Keller keinen Atomreaktor verbaut hat, den er a) mit einem Herde Schäferhunde sichern muss und b) der seinen Strom bereitstellt für die Mengen an zusätzlichen Geräten zur Schaltung xy mit reduntantem Netzteil… :wink:

Klar, Sicherheit ist immer relativ und mit höherem Aufwand hat man die Möglichkeit ein System sehr gut abzuschotten.

Ich denke aber, dass in diesem Fall wirklich ein Eindringling an einem kurzfristigen “Erfolg” gehindert werden soll - Und mehr auch nicht.

Dafür reicht eigentlich ein Managed Switch, in dem man die Netzwerkports konfigurieren kann.
Diesen Netzwerkport schränkst du dann in den Zugriffsports so ein, dass nur noch der Verkehr für die Cam frei ist.
Zudem mach Dir den Spass und stelle Deinen DHCP auf ein völlig unübliches Format (also nicht klassisch 24 Bit Netzwerkmaske und die üblichen Verdächtigen) und blockiere Broadcast auf dem Netzwerkport (Obacht: Die Kamera musst Du dann mit einer festen IP konfigurieren). Damit kann der Eindringlich schonmal nicht so leicht die NetzID herausfinden.

Wenn man die IP-Kameras schon so niedrig installieren muss, dass man ohne Aufwand herankommt und wenn das noch an einer Stelle ist, die auch noch gut versteckt ist, sollte man nicht unbedingt die billigsten Asia-Cams kaufen. Die Kameras, die wir im JVA und Behördenumfeld verbauen, habe immer einen Sabotagekontakt, der anschlägt, wenn man das Gehäuse öffnet, um den LAN-Stecker zu ziehen. Wenn stattdessen das Kabel durchtrennt wird, ist die IP zumindest für einige Zeit nicht erreichbar und der Switch oder Video-Server meldet den Verlust. Seit neuestem wird dort mit Software-Zertifikaten gearbeitet. Wir befinden uns hier aber nicht im Hochsicherheitstrakt von Firma XY. Wenn ich also nicht Unsummen von Geld ausgeben will, ist es besser, den Installationsort geschickt zu wählen und ggf. die Kamera entsprechend zu sichern, damit man gar nicht erst an die Kamera und das Netzwerkkabel rankommt.

Rein aus Netzwerksicht (also unabhängig davon, ob es Kameras o.ä. sind) würde ich hier auf VLANs setzen, die per 802.1X über einen RADIUS abgesichert sind.
Setzt managed Switches und einen Server (RPI zur Not) voraus.
So ein Setup erlaubt eine Konfiguration, bei der sich prinzipiell mal jedes Gerät am Netzwerk verbinden kann und abhängig von der Authentifizierung (oder halt nicht) in einem bestimmten VLAN landet, dass dann einen gewissen Netzwerkzugriff gewährt.
Konkretes Beispiel:
Eine Person ohne Zugriffsrechte (Angreifer, Gast) kann sich am LAN anstecken und landet in einem Netzwerk, dass keinerlei Zugriff oder nur direkt ins Internet liefert.
Eine Kamera landet in einem VLAN, in dem alle Kameras hängen und sonst keinerlei Zugriff irgendwohin haben und nur aus einem Managementnetz ansprechbar sind, du selbst landest in besagtem Managementnetz und hast somit Zugriff auf die Kameras.
Das Prinzip lässt sich dann analog auch im WLAN anwenden.

Sowas geht aber schon eher in Richtung Enterprise und setzt entsprechende Hardware und Konfiguration voraus, ganz trivial ist das nicht :wink: