6
IP Cam außen am Haus Zugriff sichern über Firewall ACL
Hallo,
ich bin neu hier und hoffe auf ein paar Tipps. Ich muss vorausschicken, dass ich mich er seit kurzem mit dem Thema befasse und mich erst noch einlesen muss. Seit also nachsichtig.
Darum geht es:
Ich habe mir für die Überwachung von Haus und Büro 3 IP-Dome-Kameras von Digitus zugelegt.
Da ich WLAN aus diversen Gründen Nachts nicht laufen haben möchte, sind die Kameras per Ethernetkabel und PoE angeschlossen.
Die Kameras sind zwar so befestigt, dass man nicht ohne weiteres ran kommt, dennoch sind natürlich die Ethernetkabel vor die Tür geführt, wodurch jemand Zugriff auf mein Netz erlangen kann.
Ich habe einiges an Hardware neu angeschafft, bin aber noch nicht soweit damit klarzukommen. Mit Vlan und ACL hatte ich bis jetzt wenig zu tun.
Als Hardware steht zur Verfügung: Lancom 1781VAW Router, Netgear GS516TP managed switch, Qnap TS 253 Nas (Arbeit), Qnap 119II Nas (Mediazeug/Kameras)
Meine Frage ist nun: Wie mache ich die Ethernet Aussen-Leitung sicher, dass niemand in mein Heimnetz kommt. Also keiner über das Kabel aussen in mein Netz kommt.
Der Switch kann Vlan und ACL. Ich hatte überlegt mit ACL eine whitelist für die drei Ethernetports für die Kameras zu erstellen, die nur die Kameradaten durchlässt, wenn diese einmal konfiguriert sind.
Kann man dies machen bzw. ist dies ausreichend sicher? Kann der geöffnete Port zum Eindringen auf das Nas genutzt werden?
Alternativ könnte man ein reines Vlan für die Kameras und den kleinen Nas machen und ein zweites für die Arbeit mit dem großen Nas. Das ist nur vom Komfort schwierig, weil man da nun zwei getrennte Netze hätte. Um von seinem PC dann auf die Aufnahmen im Qnap/Kamera zugreifen zu können, ist wieder eine Verbindung über ACL zu schaffen, die die beiden Vlans verbindet, was dann wiederum eine Sicherheitslücke darstellt.
Vielleicht kann ja jemand helfen bzw. ein Beispiel/Link nennen, was zu tun ist.
Danke
Grüße
TM
ich bin neu hier und hoffe auf ein paar Tipps. Ich muss vorausschicken, dass ich mich er seit kurzem mit dem Thema befasse und mich erst noch einlesen muss. Seit also nachsichtig.
Darum geht es:
Ich habe mir für die Überwachung von Haus und Büro 3 IP-Dome-Kameras von Digitus zugelegt.
Da ich WLAN aus diversen Gründen Nachts nicht laufen haben möchte, sind die Kameras per Ethernetkabel und PoE angeschlossen.
Die Kameras sind zwar so befestigt, dass man nicht ohne weiteres ran kommt, dennoch sind natürlich die Ethernetkabel vor die Tür geführt, wodurch jemand Zugriff auf mein Netz erlangen kann.
Ich habe einiges an Hardware neu angeschafft, bin aber noch nicht soweit damit klarzukommen. Mit Vlan und ACL hatte ich bis jetzt wenig zu tun.
Als Hardware steht zur Verfügung: Lancom 1781VAW Router, Netgear GS516TP managed switch, Qnap TS 253 Nas (Arbeit), Qnap 119II Nas (Mediazeug/Kameras)
Meine Frage ist nun: Wie mache ich die Ethernet Aussen-Leitung sicher, dass niemand in mein Heimnetz kommt. Also keiner über das Kabel aussen in mein Netz kommt.
Der Switch kann Vlan und ACL. Ich hatte überlegt mit ACL eine whitelist für die drei Ethernetports für die Kameras zu erstellen, die nur die Kameradaten durchlässt, wenn diese einmal konfiguriert sind.
Kann man dies machen bzw. ist dies ausreichend sicher? Kann der geöffnete Port zum Eindringen auf das Nas genutzt werden?
Alternativ könnte man ein reines Vlan für die Kameras und den kleinen Nas machen und ein zweites für die Arbeit mit dem großen Nas. Das ist nur vom Komfort schwierig, weil man da nun zwei getrennte Netze hätte. Um von seinem PC dann auf die Aufnahmen im Qnap/Kamera zugreifen zu können, ist wieder eine Verbindung über ACL zu schaffen, die die beiden Vlans verbindet, was dann wiederum eine Sicherheitslücke darstellt.
Vielleicht kann ja jemand helfen bzw. ein Beispiel/Link nennen, was zu tun ist.
Danke
Grüße
TM
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 322166
Url: https://administrator.de/contentid/322166
Printed on: May 7, 2024 at 16:05 o'clock
6 Comments
Latest comment
Hallo,
- Gibt es von Digitus zu den IP Kameras APPs zum Download?
so störanfällig wie WLAN.
OpenLDAP Server auf dem NAS installieren und dann ist es wenigstens etwas
sicherer!
auf das gesichert wird rein packen und dann eben einen LAN Switch kaufen
und dort alle LAN Geräte anschließen! Dann kann man sich von außen per
VPN einwählen bzw. verbinden und dann muss da auch nichts gesichert
werden mit VLANs und ACLs. Es sein denn man möchte auch im LAN
zwischen Arbeit und privatem LAN trennen.
Radius Server und wenn nicht dann mittels OpenLDAP Paket auf dem QNAP NAS
in der DMZ! Und wenn dann einmal jemand über so ein Kabel reinkommt ist er auch
nur in der DMZ drin und nicht im LAN.
MAC und IP Adresse ein und ist dann doch drinnen im LAN!
Dann lieber eine richtige DMZ und gut ist es.
Gruß
Dobby
Darum geht es:
Ich habe mir für die Überwachung von Haus und Büro 3 IP-Dome-Kameras
von Digitus zugelegt.
- Mit was und von wo möchtest Du denn darauf zugreifen? (iPad, iPhone, Laptop,...)Ich habe mir für die Überwachung von Haus und Büro 3 IP-Dome-Kameras
von Digitus zugelegt.
- Gibt es von Digitus zu den IP Kameras APPs zum Download?
Da ich WLAN aus diversen Gründen Nachts nicht laufen haben möchte, sind die
Kameras per Ethernetkabel und PoE angeschlossen.
Ist ja auch gut so, denn der Anschluss via LAN Kabel ist auch sicherer und nichtKameras per Ethernetkabel und PoE angeschlossen.
so störanfällig wie WLAN.
Die Kameras sind zwar so befestigt, dass man nicht ohne weiteres ran kommt,
dennoch sind natürlich die Ethernetkabel vor die Tür geführt, wodurch jemand
Zugriff auf mein Netz erlangen kann.
Jo das sollte dann wohl eher ein Problem darstellen. Man kann aber auch einendennoch sind natürlich die Ethernetkabel vor die Tür geführt, wodurch jemand
Zugriff auf mein Netz erlangen kann.
OpenLDAP Server auf dem NAS installieren und dann ist es wenigstens etwas
sicherer!
Ich habe einiges an Hardware neu angeschafft, bin aber noch nicht soweit
damit klarzukommen. Mit Vlan und ACL hatte ich bis jetzt wenig zu tun.
Ich würde eine DMZ aufsetzen und dann dort die IP Kameras und das NASdamit klarzukommen. Mit Vlan und ACL hatte ich bis jetzt wenig zu tun.
auf das gesichert wird rein packen und dann eben einen LAN Switch kaufen
und dort alle LAN Geräte anschließen! Dann kann man sich von außen per
VPN einwählen bzw. verbinden und dann muss da auch nichts gesichert
werden mit VLANs und ACLs. Es sein denn man möchte auch im LAN
zwischen Arbeit und privatem LAN trennen.
Als Hardware steht zur Verfügung: Lancom 1781VAW Router, Netgear
GS516TP managed switch, Qnap TS 253 Nas (Arbeit), Qnap 119II Nas
(Mediazeug/Kameras)
GS110T ~99 Euro gebraucht fürs LAN und alles ist ok!GS516TP managed switch, Qnap TS 253 Nas (Arbeit), Qnap 119II Nas
(Mediazeug/Kameras)
Meine Frage ist nun: Wie mache ich die Ethernet Aussen-Leitung sicher, dass
niemand in mein Heimnetz kommt. Also keiner über das Kabel aussen in mein
Netz kommt.
Wenn die IP Kameras ein Radiuszertifikat unterstützen dann am besten mittelsniemand in mein Heimnetz kommt. Also keiner über das Kabel aussen in mein
Netz kommt.
Radius Server und wenn nicht dann mittels OpenLDAP Paket auf dem QNAP NAS
in der DMZ! Und wenn dann einmal jemand über so ein Kabel reinkommt ist er auch
nur in der DMZ drin und nicht im LAN.
Der Switch kann Vlan und ACL. Ich hatte überlegt mit ACL eine whitelist für die
drei Ethernetports für die Kameras zu erstellen, die nur die Kameradaten durchlässt,
wenn diese einmal konfiguriert sind.
Und dann? Dann zieht einer das Kabel der einen IP Kamera ab, stellt bei sich die selbedrei Ethernetports für die Kameras zu erstellen, die nur die Kameradaten durchlässt,
wenn diese einmal konfiguriert sind.
MAC und IP Adresse ein und ist dann doch drinnen im LAN!
Kann man dies machen bzw. ist dies ausreichend sicher? Kann der geöffnete Port
zum Eindringen auf das Nas genutzt werden?
Nein damit ist man nicht sicher und ja man kann auf das NAS zugreifen.zum Eindringen auf das Nas genutzt werden?
Alternativ könnte man ein reines Vlan für die Kameras und den kleinen Nas machen
und ein zweites für die Arbeit mit dem großen Nas.
Und wenn dann jemand "einbricht" ist ja doch im LAN, oder?und ein zweites für die Arbeit mit dem großen Nas.
Dann lieber eine richtige DMZ und gut ist es.
Das ist nur vom Komfort schwierig, weil man da nun zwei getrennte Netze hätte.
Um von seinem PC dann auf die Aufnahmen im Qnap/Kamera zugreifen zu können,
ist wieder eine Verbindung über ACL zu schaffen, die die beiden Vlans verbindet,
was dann wiederum eine Sicherheitslücke darstellt.
Komfort oder Sicherheit dass ist hier die Frage.Um von seinem PC dann auf die Aufnahmen im Qnap/Kamera zugreifen zu können,
ist wieder eine Verbindung über ACL zu schaffen, die die beiden Vlans verbindet,
was dann wiederum eine Sicherheitslücke darstellt.
Gruß
Dobby
Danke für die Antworten.
Mit deinen Stichpunkten werde ich mich näher beschäftigen müssen.
Zu deiner Frage: Digitus hat eine App, die Kameras müssen also nur einen Internetzugang haben.
Aufzeichnen ist damit aber nur eingeschränkt möglich, daher möchte ich die Qnap Surveillance-Station nutzen. Auf diese wird dann wieder über eine Software direkt auf dem PC/Mac im Lan zugegriffen.
Grüße
Tim
Mit deinen Stichpunkten werde ich mich näher beschäftigen müssen.
Zu deiner Frage: Digitus hat eine App, die Kameras müssen also nur einen Internetzugang haben.
Aufzeichnen ist damit aber nur eingeschränkt möglich, daher möchte ich die Qnap Surveillance-Station nutzen. Auf diese wird dann wieder über eine Software direkt auf dem PC/Mac im Lan zugegriffen.
Grüße
Tim
Hallo,
Kabel im Hause sind durch das haus selbst weitestgehend geschütz. Also bei Gewitter alle Alle Kameras vom Switch und an den Kameras trennen. Spart Ärger mit Versicherungen.
Sollte der Aufwand für ein wenig Sicherheit dir zu hoch erscheinen gibts noch 2 preiswerte Alternativen.
1: keine WebCams aussen betreiben, egal ob LAN oder WLAN
2: Deine Paranoia runterfahren.
Nur ein nicht genutztes vorhandenes Internet ist ein sicheres Internet
Gruß,
Peter
Zitat von @TimMayer:
Da ich WLAN aus diversen Gründen Nachts nicht laufen haben möchte, sind die Kameras per Ethernetkabel und PoE angeschlossen.
Ob 3 MP Kameras dein WLAN nicht überforden tuen?Da ich WLAN aus diversen Gründen Nachts nicht laufen haben möchte, sind die Kameras per Ethernetkabel und PoE angeschlossen.
dennoch sind natürlich
nein, das ist nicht natürlichdie Ethernetkabel vor die Tür geführt, wodurch jemand Zugriff auf mein Netz erlangen kann.
Und du solltest dein LAN Kabel dann auch mit Blitzschutz Module versehen. Ansonsten die LAN Kabel bis kurz vor der Kamera innerhalb deines Hauses führen damit eben kein Blitz dort etwas entsthen lässt was mehr als nur die Kamera brutzelt. Kabel im Freien haben die Angewohnheit sicvh wie eine Antennen zu verhalten und ein Blitz nimmt Antennen zum Frühstück Kabel im Hause sind durch das haus selbst weitestgehend geschütz. Also bei Gewitter alle Alle Kameras vom Switch und an den Kameras trennen. Spart Ärger mit Versicherungen. Meine Frage ist nun: Wie mache ich die Ethernet Aussen-Leitung sicher, dass niemand in mein Heimnetz kommt. Also keiner über das Kabel aussen in mein Netz kommt.
Siehe oben. Die Kabel solange hinter deine natürlich vorhandene Firewall (Feuerwand = Ziegelsteine) entlang führen, sobald es raus geht entsprechend mit Stapa Rohr (Stahlpanzer oder etwas was schwieriger zu zerstören ist) weiter führen bis zur Kamera. Damit niemand sich per Seitenschneider zugang verschaffen kann. Im LAN dann zwingend mit 802.1x arbeiten damit deine LAN Ports am Switch geschützt bleiben. Dein WLAN profitiert auch davon. https://de.wikipedia.org/wiki/IEEE_802.1XSollte der Aufwand für ein wenig Sicherheit dir zu hoch erscheinen gibts noch 2 preiswerte Alternativen.
1: keine WebCams aussen betreiben, egal ob LAN oder WLAN
2: Deine Paranoia runterfahren.
Nur ein nicht genutztes vorhandenes Internet ist ein sicheres Internet
Gruß,
Peter
sind die Kameras per Ethernetkabel und PoE angeschlossen.
Ist auch am sinnvollsten.Wie mache ich die Ethernet Aussen-Leitung sicher, dass niemand in mein Heimnetz kommt.
Indem du einfach mal die Suchfunktion benutzt !:Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das kann sogar dein gruseliger NetGear Switch und den Radius Server lässt du bequem auf deinem QNAP laufen.
Danach ist dein Netzwerk im Handumdrehen absolut wasserdicht.
könnte man ein reines Vlan für die Kameras und den kleinen Nas machen und ein zweites für die Arbeit
Wäre sinnvoll zumal man wie du die entsprechende HW hat.Das ist nur vom Komfort schwierig, weil man da nun zwei getrennte Netze hätte.
Ist natürlich völliger Quatsch aber das sei mal deiner Unkenntniss geschuldet.VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Danke für die Antworten.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Radiusserver wäre möglich, nur unterstützt die Kamera dies wohl nicht. In dem Link steht, dass man dafür eine MAC-Bypass machen kann. Ist dies genauso sicher?, die Mac Adresse der Kamera wird ja einfach zu ermitteln sein. Oder stelle ich mir dies falsch vor.
Grüße
Wie mache ich die Ethernet Aussen-Leitung sicher, dass niemand in mein Heimnetz kommt.
Indem du einfach mal die Suchfunktion benutzt !:Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Radiusserver wäre möglich, nur unterstützt die Kamera dies wohl nicht. In dem Link steht, dass man dafür eine MAC-Bypass machen kann. Ist dies genauso sicher?, die Mac Adresse der Kamera wird ja einfach zu ermitteln sein. Oder stelle ich mir dies falsch vor.
Grüße
Radiusserver wäre möglich, nur unterstützt die Kamera dies wohl nicht
Wäre auch völliger Quatsch und zeigt das du das Tutorial NICHT gelesen hast 
Es geht hier einzig um den Switchport" an dem die Kamera angeschlossen ist !!!
Der Switch prüft damit (802.1x) ob die Kamera und andere Endgeräte von dir authorisierte und berechtigte Geräte sind die in dein Netz dürfen.
Das soll verhindern das Unbefugte über die offenen Patchleitungen ggf. Zugang zum Netz und den Daten bekommen.
Also Fazit: Erst Tutorial lesen, dann nachdenken und verstehen...dann fragen !
Ist dies genauso sicher?, die Mac Adresse der Kamera wird ja einfach zu ermitteln sein
Das ist absolut sicher ! Genau deswegen wurde es entwickelt und in Netzinfrastruktur implementiertDie Mac Adresse ist immer außen am Typenschild aufgedruckt. Falls nicht wie leider oft bei billigem China Schrott kann man sie aber in Sekundenschnelle über Switch oder Router ermitteln.
