dodo-r
Goto Top

Mobotix T25 IP-Türsprechanlage - Sicherheit im Netzwerk nach Verlegung von LAN im Außenbereich

Hallo!
Ich habe mir eine Mobotix T25 IP-Türsprechanlage mit eingebauter Kamera gekauft. Dazu wird ein LAN Anschluss bei der Außenstation benötigt.

Siehe Link

Jedoch würde ich gerne diesen Anschluss absichern, so dass bei einer Sabotage mit dem nach Außen verlegten Anschluss keine Möglichkeit besteht auf das Netzwerk zuzugreifen.
Momentan wird lediglich eine MAC-Filterung des Routers verwendet, wobei die Außenstelle freigegeben wurde.
Ich würde später gerne auch IP-Kameras anschließen, gibt es da eine Möglichkeit um den Zugriff auf das Netzwerk von Außen zu verhindern und von Innen (PC, iPhone, iPad) den Zugriff zur Cam trotzdem zu gewährleisten?
Momentan wird ein Cisco RV180 Router mit einem Cisco SG200 Switch verwendet.

Hat jemand Tipps?
Danke
dodo-r

Content-ID: 346950

Url: https://administrator.de/contentid/346950

Ausgedruckt am: 19.11.2024 um 03:11 Uhr

ashnod
ashnod 22.08.2017 um 08:59:36 Uhr
Goto Top
Moin ...

wenn du alles was nach Außen geht in ein eigenes Netz (VLAN) legst, kannst du zumnidest den Zugriff von Außen auf die restlichen Ressourcen verhindern, den Zugriff von Intern steuern und bist mit relativ wenig Aufwand dabei.

Sanfte Grüße
dodo-r
dodo-r 22.08.2017 um 09:06:32 Uhr
Goto Top
Hallo, danke für die schnelle Antwort.
Also sprich am Switch den verwendeten Port als VLAN konfigurieren?
ashnod
ashnod 22.08.2017 um 09:19:50 Uhr
Goto Top
Also schon ein komplettes zweites Netz anlegen, nur VLAN-Port am Switch wird dir nicht reichen ...

Ich bin mir nicht sicher in welchem Umfang der RV180 VLAN's unterstützt.

Wenn der Router das kannst solltest du dort starten.

Du brauchst zumindest an einer Stelle ein Gerät das die Netze routen und verbinden kann (ACL/Firewallregeln).

Für Details lohnt sich immer ein Blick in die Wissensbeiträge von @aqui wie z.B. > VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

VG
tikayevent
tikayevent 22.08.2017 um 09:55:33 Uhr
Goto Top
In jedem Fall ein eigenes Netz und MAC-Security mit dauerhafter Abschaltung des Ports bei Erkennung einer falschen MAC. Vielleicht hat Mobotix etwas ähnliches wie Behnke Telecom im Angebot. Es gibt von Behnke zwei Adapter, einer für an die Sprechstelle, einer für die Switchseite des Kabels. Darüber läuft eine Sabotagelinie und wenn diese unterbrochen wird, schaltet der Adapter auf der Switchseite den Port komplett ab.
aqui
aqui 22.08.2017 um 10:04:54 Uhr
Goto Top
Momentan wird lediglich eine MAC-Filterung des Routers verwendet
Aber ja wohl kaum für einen LAN Port, oder ?
Billige Consumer Router supporten sowas lediglich für den WLAN Zugang aber seltener bei einem LAN Port zumal die einzelnen Ports des integrierten 4 oder 5 Port Switches in der Regel nie einzeln konfigurierbar sind mit z.B. einem Mac Filter usw. wie es bei besseren managebaren Switches der Fall ist.
Kann er das aber dennoch ist das auf alle Fälle ein gangbarer Weg indem du den Switchport wo diese Sprechstelle per LAN angeschlossen ist so konfigurierst das sie kein automatische Lernen der Mac Adresse dort am Port macht sondern ihr die Mac vorgibst.
Damit müsste ein Angreifer dann schon diese Mac genau klonen um Zugriff zum Netzwerk zu bekommen was den Aufwand aber erheblich vergrößert. Es ist also eine gewisse Sicherheit sofern der Router sowas wirklich supportet.
Noch wasserdichter bekommst du es mit einem VLAN plus der Mac Filterung.
Denkbar wäre auch eine Port Security mit dem 802.1x Standard, was dann aber den Konfig Aufwand erheblich erhöht und fraglich ist ob das für eine einzelne Sprechstelle lohnt.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Letztlich ist es dann wieder eine Frage wie wichtig dir die Sicherheit generell ist.
dodo-r
dodo-r 22.08.2017 aktualisiert um 13:40:26 Uhr
Goto Top
Hallo!
Also die MAC-Filterung bezieht sich auf alle Geräte.

Ich verwende einen Cisco RV180 Router mit 4 Ports (am WAN Eingang die Internetanbindung).
An diesem Router sind an zwei Ports zwei Switches angeschlossen.
Switch A (Managed) im Büro, Switch B (Unmanaged) im Wohnzimmer.

Nun würde ich gerne die IP-Kameras an einem eigenen (noch nicht vorhandenen) POE Switch C im Büro anschließen.
Danach müsste ich im Büro den vorhandenen und den neuen Switch konfigurieren (VLAN).

Ich habe mir mal die folgende Seite angesehen, wo die VLAN Erstellung meiner Meinung gut erklärt wird. Link

Aber wo kommt dann die Anbindung an der Router hin? An Switch A oder C oder an beide?
img_1191
ashnod
ashnod 22.08.2017 aktualisiert um 13:46:35 Uhr
Goto Top
ich habe grade mal geschaut - https://www.cisco.com/c/en/us/products/collateral/routers/rv180-vpn-rout ...

demnach kann der RV180 mit VLAN's umgehen.

In diesem Sinne legst du die VLAN's zuerst auf dem Router an, auf dem jeweiligen Switch must du die VLAN's unter der gleichen ID anlegen (soweit du diese auf dem Switch nutzen willst). Das erklärt dir aber auch die Anleitung von @aqui gut.

Edit: An welchen Switch oder direkt an den Router ist relativ egal, du musst nur schauen das die VLAN-ID für deine Aussengeräte an dem Switch ankommt.
dodo-r
dodo-r 22.08.2017 aktualisiert um 13:49:19 Uhr
Goto Top
Also der Switch C auf der Zeichnung dient nur als IP-Kamera-Switch hier sollte kein Zugriff auf das restliche Netz möglich sein. Von Switch A, Switch B oder dem Router sollte jedoch schon Zugriff auf die angeschlossenen Geräte von Switch C möglich sein.

Wie erfolgt dann die Anbindung an der Router?
dodo-r
dodo-r 22.08.2017 aktualisiert um 14:00:24 Uhr
Goto Top
Ich habe jetzt mal Screenshoots vom Router Menü gemacht...
Was genau muss ich da dann einstellen?
2
3
1
ashnod
ashnod 22.08.2017 um 14:00:44 Uhr
Goto Top
Zitat von @dodo-r:
Also der Switch C auf der Zeichnung dient nur als IP-Kamera-Switch hier sollte kein Zugriff auf das restliche Netz möglich sein. Von Switch A, Switch B oder dem Router sollte jedoch schon Zugriff auf die angeschlossenen Geräte von Switch C möglich sein.
Wie erfolgt dann die Anbindung an der Router?

Oki, du musst dich gedanklich von der Hardware und deren Anschluß trennen!

Die VLAN's bestehen rein virtuell und können die gleiche Hardware zeitgleich nutzen.

Grundsätzlich sind alle VLAN's getrennt un es gibt keine Verbindung zwischen diesen.

Die Verbindung zwischen den VLAN's musst du immer erst herstellen z.B. über Routing (RV180 kommt ins Boot) oder über ACL's.

Auf deinem Switch C kannst du also z.B. beliebig alle VLAN's verteilen ohne das diese eine Verbindung miteinander haben.
ashnod
ashnod 22.08.2017 um 14:06:27 Uhr
Goto Top
Zitat von @dodo-r:
Ich habe jetzt mal Screenshoots vom Router Menü gemacht...
Was genau muss ich da dann einstellen?

Zunächst lässt du mal die VLAN-ID1 wie sie ist und rührst diese nicht an!

Zuerst weiter VLAN's nach belieben anlegen z.B.:

VLAN10 - Arbeitszimmer - mit TAG auf alle Anschlüße
VLAN20 - Wohnzimmer - mit TAG auf alle Anschlüße
VLAN30 - Draussen - mit TAG auf alle Anschlüße

geht auch anders aber evtl. wird dir das damit klarer....
dodo-r
dodo-r 22.08.2017 um 14:07:55 Uhr
Goto Top
Ah. Ok verstehe! Danke! Also hatte ich einen Denkfehler.
Aber wie kann ich dann vom Netzwerk auf das VLAN zugreifen also die Verbindung herstellen...
dodo-r
dodo-r 22.08.2017 um 14:13:13 Uhr
Goto Top
So..
unbenannt
ashnod
ashnod 22.08.2017 um 14:42:44 Uhr
Goto Top
passt schon so .....

kannst ja mal schauen ob du hiermit weiter kommst ... ist direkt auf den rv180 zugeschnitten:

https://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=5c88bff7683e4ee3874 ...

und vielleicht springt noch jemand mit gutem Gedächtnis ein, weil ich glaube das mit dem Inter-VLAN-Routing bei den RVxxx Versionen lief irgendwie fehlerhaft.
dodo-r
dodo-r 22.08.2017 um 15:03:20 Uhr
Goto Top
Vielen Dank für die Hilfe. Werde ich versuchen. Hoffe ich sperre mich nicht selbst aus face-wink
Netgear24
Netgear24 31.08.2018 um 11:18:32 Uhr
Goto Top
Wir Installieren selbst jedes jahr mehrere hundert Mobotix Kameras bei uns in der Firma. Aus erfahrung kann ich dir folgendes mitgeben.

Nutze den Diebstahlschutz, Bitte aber Zuerst die Kabel des Gehäuses raus. Ansonsten hast du keine Chance mehr an die Kamera ranzukommen ohne diese zu zerstören. Dies ist bereits ein rechter Hardware Schutz. Wenn du zusätzlich noch MAC Filtering auf dem Switch aktivierst, bist du schon recht sicher.