kamelle
Goto Top

Penetration von Überwachungskameras

Ich will eine Überwachungskamera installieren. Die Wahl besteht zwischen einer Wlan- oder IP-Kamera.

Ich mache mir dabei Gedanken, welche der Kameratypen am leichtesten penetriert werden kann und so Zugriff auf das Netzwerk besteht, da ja selbst bei einer Ip-Kamera das Lan Kabel nach außen gefuhrt wird.

Wie könnte man das verhindern?

Content-ID: 482520

Url: https://administrator.de/forum/penetration-von-ueberwachungskameras-482520.html

Ausgedruckt am: 24.12.2024 um 17:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 07.08.2019 um 11:01:59 Uhr
Goto Top
Zitat von @Kamelle:

Ich will eine Überwachungskamera installieren. Die Wahl besteht zwischen einer Wlan- oder IP-Kamera.

Ich mache mir dabei Gedanken, welche der Kameratypen am leichtesten penetriert werden kann und so Zugriff auf das Netzwerk besteht, da ja selbst bei einer Ip-Kamera das Lan Kabel nach außen gefuhrt wird.

Wie könnte man das verhindern?

Es gibt Kameras, bei denen das LAN-Kabel im verschlossenen Gehäuse steckt, so daß man es nicht einfach abziehen und ein eigenes gerät anklemmen kann.

Außerdem muß durch bauliche Maßnahmen sichergestellt werden, daß man an das Kabel nicht ohne weiteres drankommt.

Und die Switche müssen passend konfiuriert werden, damit die Kameras sich am switch authentifizieren.

lks
Kamelle
Kamelle 07.08.2019 um 11:07:27 Uhr
Goto Top
Aber selbst dann könnte ich die Kamera demontieren, das Lan-Kabel abkneifen und mich mit Klemmen dranhängen.
Lochkartenstanzer
Lochkartenstanzer 07.08.2019 um 11:13:39 Uhr
Goto Top
Zitat von @Kamelle:

Aber selbst dann könnte ich die Kamera demontieren, das Lan-Kabel abkneifen und mich mit Klemmen dranhängen.

Deswegen die Authentifizierung am switch!

lks
Bitboy
Bitboy 07.08.2019 um 11:14:22 Uhr
Goto Top
Ja, aber halt nicht am Switch authentifizieren.
Raku1994
Raku1994 07.08.2019 um 11:14:41 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Kamelle:

Aber selbst dann könnte ich die Kamera demontieren, das Lan-Kabel abkneifen und mich mit Klemmen dranhängen.

Deswegen die Authentifizierung am switch!

lks

Hi,

Den Switch Mac Address Sticky konfigurieren. Wenn dann ein anderes Gerät drangehängt wird, sperrt der Port.

Gruß
Kamelle
Kamelle 07.08.2019 um 11:18:08 Uhr
Goto Top
Meines Wissens lässt sich die Mac-Adresse maskieren.
Raku1994
Raku1994 07.08.2019 um 11:19:16 Uhr
Goto Top
Zitat von @Kamelle:

Meines Wissens lässt sich die Mac-Adresse maskieren.

Spielt keine Rolle. Erkennt der Switch eine andere MAC-Adresse (oder halt auch keine), als die, die vorher dranhing, geht der Port zu.
140447
140447 07.08.2019 aktualisiert um 11:25:00 Uhr
Goto Top
Kamera in ein separates VLAN stecken das keinen Zugriff auf den Rest des Netzes hat, oder wenn die Kamera es supported zusätzlich 802.1x Port Based Security nutzen und die anderen üblichen Features (MAC Port-Security & Co) eines ordentlichen Business Switches dafür nutzen.
Lochkartenstanzer
Lochkartenstanzer 07.08.2019 um 11:23:25 Uhr
Goto Top
Zitat von @Kamelle:

Meines Wissens lässt sich die Mac-Adresse maskieren.

Dazu muß man sie erstmal kennen.

https://de.wikipedia.org/wiki/Port_Security

lks
erikro
erikro 07.08.2019 um 11:31:45 Uhr
Goto Top
Moin,

Zitat von @Lochkartenstanzer:
Dazu muß man sie erstmal kennen.

Wenn ich die Kamera in der Hand habe, ist das eher ein kleines Problem, die MAC des NICs der Kamera rauszufinden. Meistens muss man die Kamera noch nicht einmal irgendwo anschließen, da häufig die MAC auf dem Gehäuse steht.

Liebe Grüße

Erik
Spirit-of-Eli
Spirit-of-Eli 07.08.2019 aktualisiert um 11:36:50 Uhr
Goto Top
Moin,

wenn du auf Nummer Sicher gehen willst, empfiehlt sich eine NAC Lösung.
Eine Authentifizierung nur auf Basis der MAC ist so unsicher wie ein offenes Scheunen Tor.

Getrennte Netzbereiche sollten ja der Standard sein.

Gruß
Spirit
aqui
aqui 07.08.2019 aktualisiert um 11:46:31 Uhr
Goto Top
Die Wahl besteht zwischen einer Wlan- oder IP-Kamera.
Ist doch das gleiche ! Beide Kameras nutzen das Netzwerk und IP Kommunikation.
Dir geht es vermutlich nur um Strippe ziehen (Kupfer LAN) oder schnurloss via WLAN, oder ?
WLAN hat immer den Nachteil das du eine unsichere Bandbreite hast. Je nach Standort und dort vorhandener Feldstärke negotiated einen WLAN Kamera zwischen 1Mbit oder 20 Mbit.
Ein HD Videobilt braucht um die 5 Mbit Bandbreite. Du kannst dir sicher selber ausrechnen was passiert wenn deine WLAN Feldstärke am Kamerastandort zu schwach ist....
Kabel ist da verlässlicher. Da hast du fix immer 100 oder 1000 Mbit ohne jegliche Dynamik.
Mac Adressen lassen sich mit einem Mausklick kopieren, das ist sinnfrei damit vermeintliche Sicherheit zu schaffen.

Manche Kameras muss man gar nicht hacken, die hacken sich selber:
https://www.heise.de/select/ct/2016/4/1455783244462934
https://www.heise.de/security/meldung/Netzwerkkameras-von-Foscam-sind-na ...
Generell sind alle Kameras die einen Cloud Account erzwingen mit äußerster Vorsicht zu geniessen. Ganz besonders wenn die in Chinesien liegen. Sowas ist generell unsicher egal ob LAN oder WLAN.
Da landet man dann früher oder später immer hier.
Wenn man dann noch öffentlichen Raum filmt oder den Nachbarn dann lauert die DSGVO mit Höchststrafen...
Lochkartenstanzer
Lochkartenstanzer 07.08.2019 um 11:40:17 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @Lochkartenstanzer:
Dazu muß man sie erstmal kennen.

Wenn ich die Kamera in der Hand habe, ist das eher ein kleines Problem, die MAC des NICs der Kamera rauszufinden. Meistens muss man die Kamera noch nicht einmal irgendwo anschließen, da häufig die MAC auf dem Gehäuse steht.

Dazu muß aber die Kamer vom switch abgeklammt werden. Und der switch merkt, daß der Link weg ist. Bei passender konfiguration geht der Link nur dann wieder online, wenn der Admin freischaltet, d.h Stecker ziehen = Port gesperrt.

lks
Lochkartenstanzer
Lochkartenstanzer 07.08.2019 um 11:44:43 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Moin,

wenn du auf Nummer Sicher gehen willst, empfiehlt sich eine NAC Lösung.
Eine Authentifizierung nur auf Basis der MAC ist so unsicher wie ein offenes Scheunen Tor.

Man kann die Kamera auch mit v6 und host-to-host-IPSEC betreiben und durch Firewall sicherstellen, daß nur ein bestimmter Host erreichbar ist.

Die Frage ist doch:

Welches Gefährdungspotential besteht tatsächlich und welches sind die (realistisch) möglichen Angrifsszenarien. Dementsprechend muß man den Aufand gegen den Nutzen abwägen und entsprechend umsetzen.

lks
140447
140447 07.08.2019 aktualisiert um 11:50:17 Uhr
Goto Top
Erschütterungssensor mit Alarmschleife anbauen, und Attacker mit dem Besen von der Leiter holen face-big-smile.
aqui
aqui 07.08.2019 um 11:53:31 Uhr
Goto Top
Oder mit der Neunschwänzigen ! face-big-smile
Bitboy
Bitboy 07.08.2019 um 12:14:49 Uhr
Goto Top
Man könnte auch das Kameragehäuse unter Strom setzen. Das entleitern erledigt sich dann von selbst und man spart noch den Besen :P
Spirit-of-Eli
Spirit-of-Eli 07.08.2019 um 12:15:56 Uhr
Goto Top
Zitat von @Bitboy:

Man könnte auch das Kameragehäuse unter Strom setzen. Das entleitern erledigt sich dann von selbst und man spart noch den Besen :P

Ist nur nicht erlaubt.
140447
140447 07.08.2019 aktualisiert um 12:26:03 Uhr
Goto Top
Zitat von @Bitboy:

Man könnte auch das Kameragehäuse unter Strom setzen. Das entleitern erledigt sich dann von selbst und man spart noch den Besen :P
Und irgendwann kommt dann sowas bei raus face-big-smile
https://www.youtube.com/watch?v=oNcb5leaHEw
Lochkartenstanzer
Lochkartenstanzer 07.08.2019 um 12:28:59 Uhr
Goto Top
Zitat von @140447:

Zitat von @Bitboy:

Man könnte auch das Kameragehäuse unter Strom setzen. Das entleitern erledigt sich dann von selbst und man spart noch den Besen :P
Und irgendwann kommt dann sowas bei raus face-big-smile
https://www.youtube.com/watch?v=oNcb5leaHEw

Naja, [https://www.amazon.de/Selbstschussanlage-Selbstschussger%C3%A4t-zur-Revier-Grundst%C3%BCcksicherung/dp/B00JVQ5TS2 sowas reicht i.d.R. auch, wenn man gleichzetig in der Nähe des Eindringlings ein paar "explodierende" Paintballs plaziert. face-smile

lks
Kamelle
Kamelle 07.08.2019 um 14:48:19 Uhr
Goto Top
Wie kann die ambesten kostengünstig realisiert werden?
aqui
aqui 07.08.2019 um 18:06:25 Uhr
Goto Top
Arduino und eine Paintball Wumme von eBay...weiss doch jeder !
Spirit-of-Eli
Spirit-of-Eli 07.08.2019 um 18:28:41 Uhr
Goto Top
Zitat von @aqui:

Arduino und eine Paintball Wumme von eBay...weiss doch jeder !

Ach. Wenn schon, dann eine Drone mit automatischer Steuerung + Marker mit 1k Schuss.
maretz
maretz 07.08.2019 um 19:31:07 Uhr
Goto Top
dafür gibts metal-storm kanonen... die machen gut was weg, haben nur in DE nen kleines Problem mit der legalität... aber hey, da keiner mehr da ist der klagen kann....
Habeschi
Habeschi 09.08.2019 um 00:05:15 Uhr
Goto Top
Mal daran gedacht analoge Kameras zu verwenden? Auch wenn jemand an das Kabel kommt, kann er/sie damit quasi nichts anfangen. Ist nämlich nur Koaxialkabel und geht nur bis zum DVR