Außen-Lan am Haus absichern

[kanuddel]

Hallo zusammen,

ich plane gerade ein paar LAN-Überwachungskameras samt NVR für mein zukünftiges Haus. Geräte habe ich noch keine Gekauft.
Nun will ich vermeiden, dass jemand, der z.B. eine Außen-Kamera runterschlägt, das Netzwerkkabel dafür nutzen kann, um in mein Heimnetzwerk zu kommen.
Ich selbst möchte natürlich über einen NVR auf die Kameras zugreifen können.
Nun stelle ich mir das so vor:

Ich habe einen MANAGED Switch 1 an dem der NVR ist und die Geräte im Haus.
Der nicht-Managed POE-Switch 2, an dem sollen nur die Kameras sein.
Nun stelle ich mir vor, dass ich in Switch 1 festlege, dass Port X ausschließlich mit Port Y kommunizieren darf. Port Y Darf aber mit jedem Port kommunizieren, da ich ja auf den NVR zugreifen können möchte.

Löse ich so mein Problem?

Wenn nicht, muss der NVR an Switch 2 sein und dieser Managed? Oder bin ich total auf dem Holzweg?

Vielen Dank für alle die mir hier helfen möchten,

kanuddel

 

[RalphS]

Stichwort Triple-A ("AAA") und 802.1x.
Das muß die Hardware unterstützen.

 

[madmax2010]

kameras und co in ein eigenes vlan.
ggf nur die MAC Adressen erlaubter devices aussen auf den Ports zulassen

 

[rezzler]

kameras und co in ein eigenes vlan.
ggf nur die MAC Adressen erlaubter devices aussen auf den Ports zulassen

Aber wie kommuniziert er dann von seinem eigentlichen Netzwerk mit dem NVR?

 

[eRacoon]

Würde auch einfach die Kameras in ein eigenes VLAN packen und MAC Adressen blocken außer die der Kameras. Dann kannst du das auch theoretisch mit einem Switch machen.
Zwischen die VLANs kannst du dann noch eine Firewall mit passenden Rules packen.

 

[madmax2010]

Aber wie kommuniziert er dann von seinem eigentlichen Netzwerk mit dem NVR?

mit ins vlan, ebenfall whitelisten

würde ich ohnehin nicht in ein von aussen erreichbares netz legen wollen, tbh

 

[Das MatZe]

Gibt's da nicht auch Lösungen, dass Ports bei Connection-Loss auf Disable schalten, ergo nicht mehr Nutzbar sind, bis sie administrativ wieder aktiviert werden?

 

[kanuddel]

Also wenn ich das richtig sehe, wäre Switch2 der Managed Switch, der Dann eben nur die MAC Adressen der Kameras auf den jeweiligen Ports zulässt und an dem auch der NVR hängt?

Bzw würde das Ganze dann auch mit nur einem Switch machbar sein, aber ein 48-Port Managed POE Switch ist ja nicht bezahlbar.. Mein Haus hat 21 Netzwerkdosen. Mit Zuleitung zu dem Switch und weiterer Zuleitung für den "Switch 2" für die Kameras also ziemlich perfekt mit 24 Ports ausgenutzt.

 

[Raijin]

Wenn man den Port im Außenbereich in ein VLAN packt und dieses als DMZ konfiguriert - es ist also nur ein Verbindungsaufbau zur DMZ erlaubt - kann der Angreifer von außen herzlich wenig tun. Der Sinn einer DMZ ist, dass alle Geräte darin lediglich antworten können, aber ihrerseits keine eigenen Verbindungen initiieren dürfen.
Im Falle einer Kamera hieße das aber, dass die Kamera nur dann ihr Material selbsttätig auf einem NVR ablegen kann, wenn dieser ebenfalls in der DMZ sitzt. Ruft der NVR die Bilder der Kamera jedoch zB via RTSP-Stream von der Kamera ab, kann der NVR auch im Hauptnetzwerk sitzen, weil die Kamera nur antwortet.



PC ------(Hauptnetz)--> Firewall >--(DMZ)------> NVR <------> Kamera

oder

PC ------> NVR ------(Hauptnetz)--> Firewall >--(DMZ)------> Kamera


Angreifer:

(Hauptnetz)--| Firewall ||||||<--(DMZ)------ Angreifer


Richtung >> ist erlaubt
Richtung << wird geblockt



Man kann sowas auch über die Port Security in einem managed Switch regeln, aber da steckt der Teufel im Detail. Es kommt darauf an welche Möglichkeiten die Port Security konkret bietet, da sie auf MAC-Adressen basiert, die sich binnen Sekunden fälschen lassen, teilweise sogar mit Bordmitteln des Betriebssystems. Wenn der Angreifer also die Kamera abzieht und ihre MAC-Adresse ausliest bzw. spoofed, merkt die Port Security im Switch nichts davon, weil es danach aussieht, dass das Gerät einfach nur neugestartet wurde.

Allerdings muss man auch dazu sagen, dass der gängige 08/15 Angreifer in 99,999% aller Fälle erstmal einfach nur seinen Laptop anklemmt - mit falscher MAC - und dann schnappt die Falle schon zu.

 

[Roesi]

Mit einer kleinen ipfire wäre dies umsetzbar.

 

[kanuddel]

PC ------(Hauptnetz)--> Firewall >--(DMZ)------> NVR <------> Kamera

Verstehe ich das richtig: Wenn ein Gerät aus dem Hauptnetz von einem Gerät in der DMZ etwas anfrägt bzw. eine Verbindung aufbaut, dann darf das Gerät (für eine gewisse Zeit) in der DMZ auch Daten zum Hauptnetz schicken, ansonsten nicht, bzw nur innerhalb der DMZ. Stimmt das so?

 

[thom53281]

Würde auch einfach die Kameras in ein eigenes VLAN packen und MAC Adressen blocken außer die der Kameras.

MAC-Filter halten nur die Leute draußen, die ehrlich sind. Man hat die Kameras vor Ort und kann die MAC der Kamera ohne Probleme auslesen.

Das einfachste wäre, die Kameras und den NVR in ein eigenes VLAN zu packen oder den Switch gar nicht mit dem restlichen Netz zu verbinden. Will man drauf zugreifen, Netzwerkkabel umstecken oder einen Port am Switch temporär in das selbe VLAN packen.

Ansonsten hab ich sowas afair vor Jahren mit einem Zwischenrouter und fixen Routen über den WAN-Port gelöst. Weiß aber grad im Moment nicht mehr wie.

 

[Raijin]

Verstehe ich das richtig: Wenn ein Gerät aus dem Hauptnetz von einem Gerät in der DMZ etwas anfrägt bzw. eine Verbindung aufbaut, dann darf das Gerät (für eine gewisse Zeit) in der DMZ auch Daten zum Hauptnetz schicken,

Jein.

Das läuft in etwa so ab:

Gerät A im Hauptnetz
Gerät B in der DMZ

Fall 1: A ---> B
========≈=======================
A sendet eine Verbindungsanfrage an B

Firewall erkennt neue Verbindung --> connection state NEW
Firewall lässt Anfrage durch, da Hauptnetz ---NEW--> DMZ erlaubt ist

B erhält Anfrage und sendet eine Bestätigung an A

Firewall erkennt die Bestätigung als Teil der neuen Verbindung --> connection state ESTABLISHED
Firewall lässt Bestätigung durch, da DMZ ---ESTABLISHED---> Hauptnetz erlaubt ist

Verbindung ist vollständig hergestellt und wird durch die Firewall überwacht.


Fall 2: B --> A
========≈=======================
B sendet eine Verbindungsanfrage an A

Firewall erkennt neue Verbindung --> connection state NEW
Firewall blockt die Anfrage, da DMZ ---NEW---> Hauptnetz nicht erlaubt ist



Das Konzept einer DMZ sieht also vor, dass von dort ausschließlich Antworten auf aktive Verbindungen erlaubt sind, jedoch keine eigenen Verbindungen aufgebaut werden dürfen. Es muss also immer eine Verbindungsanfrage vom Hauptnetz vorausgehen und dann dürfen auch nur auf dieser aktiven Verbindung Pakete von diesem einen Gerät in Richtung Hauptnetz zur Quellgerät fließen.
Ein Webserver in der DMZ darf also seine Webseite ausliefern, wenn er angesurft wird, aber sonst nichts.

Somit kann ein Angreifer im Garten nicht von sich aus aktiv von der DMZ in das Hauptnetz eindringen. Er müsste beispielsweise den Webserver der Kamera faken, um darüber in irgendeiner Form Schadcode in das aufrufende Gerät - zB dein PC - einzuschleusen.

100%ige Sicherheit wirst du aber nie erreichen, weil es nur eine Frage des KnowHow, des Aufwands und der Zeit ist. Aus einer DMZ auszubrechen ist aber schon nicht ohne und dazu muss der Angreifer sich auch einen greifbaren Nutzen davon erhoffen. Die Wahrscheinlichkeit, dass das jemand auf sich nimmt, um deine Urlaubsbilder zu klauen, geht gegen null - es sei denn du heißt Taylor Swift, o.ä.

 

[Gorasuhl]

Wie sähe es mit 2 physisch getrenten Netzwerken aus?
Dazu bräuchte man ein NVR mit 2 Netzwerkcontrollern. Über einen kommunizieren die Kameras mit dem Gerät und der zweite ist ans Heimnetz angebunden.
Dann würden externe Angreifer zumindest erstmal nur bis zum NVR kommen und hätten Zugriff auf die Datenströme der Außenkameras.

Um was für ein Gerät handelt es sich beim bestehenden Switch1 genau?

Falls das alles über ein Netz laufen soll, nicht am Switch sparen. Die einfachen TP-Link, Netgear und Co. erlauben auf allen Ports Zugriff auf den Switch (unabhängig von der Einstellung in der Weboberfläche). Die Diskussion dazu gabs in einem anderen Thread vor ein paar Monaten schon mal.
Das lässt sich leider nicht ganz so trivial ändern und man sollte die Liste nach jedem Firmwareupdate prüfen bzw. ggf. auch wieder anpassen. Das System ist bei vielen, günstigen Switches halt "broken by design".
Das Problem existiert schon seit einer halben Ewigkeit und es gibt diverse Beiträge in den Foren bei Netgear und Co. dazu (Link).


Welche Zugriffe sollen möglichst vermieden werden, also nur der Zugriff auf das private Netzwerk oder auch auf die weiteren Außenkameras?
Mit einer, wie von @Raijin vorgeschlagen, DMZ wird das ganze Netz dahinter gepackt und da braucht man für den zweiten keinen Managed Switch.
Wenn die Außenkameras geschützt werden sollen kann man das z.B. über Kameras mit SRTP statt dem üblichen RTSP lösen. Ansonsten wird der Datenstrom unverschlüsselt ins Netzwerk übertragen und dieser kann von weiteren Teilnehmern eingesehen werden.

 

[kanuddel]

@Raijin danke, gut erklärt. Ich habe es jetzt verstanden. Es geht mir auch nicht um 100% Sicherheit, aber ein gewisses Maß an Sicherheit sollte es schon sein. Und das erreiche ich mit einem Managed 24 Port Switch für Innen und einen Unmanaged x-Port PoE Switch für die Kameras ja auch.

@Gorasuhl aktuell bin ich noch in der Planung der ganzen Sache. D.h. ich kann mich jetzt auf die Suche nach den passenden Switches machen. Wer also Geräte empfehlen kann, gerne. Aktuell habe ich schon einen 24-Port (unmanaged) Switch von TP Link (DGS-1024D) der an der Fritzbox hängt und ein anderes, gewerbliches Gebäude versorgt. Der künftige Switch1 kommt dann ebenfalls an die Fritzbox für das Haus. (Ja, das Netzwerk geht über zwei Gebäude die sich einen Internetanschluss teilen)

 

[Ranayna]

Man muss sich aber auch mal den Aufwand fuer einen potenziellen Netzwerkeindringling vorstellen:

Erstmal muss jemand die Kamera von der Wand schlagen. Ok, Vandalismus passiert, und ein Einbrecher duerfte da auch interesse dran haben.
Dann hast du da aber erstmal ein wahrscheinlich abgerissenes Netzwerkkabel an der Wand haengen. Da muss man dann erstmal wieder einen Stecker/Dose dran kloeppeln.

Wer betreibt denn so einen Aufwand, um in ein privates Netzwerk einzubrechen?
Wer die Kamera von der Wand haut, wird ein paar Minuten spaeter aller Wahrscheinlichkeit ein Fenster einschlagen und versuchen dir die Bude auszuraeumen.

In dem ganzen Kontext ist auch ein anderer Aspekt wichtig: Steck die Kabel unbedingt in Leerrohre, gegebenenfalls flexiblen Kabelschlauch, bis zum Verbindungspunkt in die Kamera. Insbesondere wenn die Kabel von der Sonne beschienen werden hast du sonst in ein paar Jahren eine durch UV Licht zerstoerte Isolierung.

Der künftige Switch1 kommt dann ebenfalls an die Fritzbox für das Haus. (Ja, das Netzwerk geht über zwei Gebäude die sich einen Internetanschluss teilen)

Unbedingt fuer die Verbindung der beiden Gebaeude eine Glasfaserstrecke verwenden! Sonst kann es zu diversen elektrischen Problemen fuehren, bis hin zu Zerstoerung der Hardware auf einer oder beiden Seiten, durch unterschiedliches Erdungspotential.

 

[Skysnake]

Alternativ wäre noch die Möglichkeit eines managed Switches, der nen snmp trap versendet, wenn nen Link Down geht. Wenn man dann noch nen Rechner hat, der diesen trap empfängt, dann kann man den Port sperren.

Ich meine es gibt auch Switche sie Ports nach nem Link Down sperren können.

Lar ist das dann hässlich weil man immer wieder den Port freischalten muss wenn es nen Power cycle gab, aber so hat man die Leute wirklich aus dem Netz draußen. Denn die Kamera muss weg damit ein Angreifer was machen kann und dann schlägt man halt schon zu.

Erfordert aber natürlich stabile Hardware, sonst macht man das ganz schnell wieder aus

 

[kanuddel]

Unbedingt fuer die Verbindung der beiden Gebaeude eine Glasfaserstrecke verwenden! Sonst kann es zu diversen elektrischen Problemen fuehren, bis hin zu Zerstoerung der Hardware auf einer oder beiden Seiten, durch unterschiedliches Erdungspotential.

Oh, das ist mir völlig neu, danke.

D.h. ich brauch in beiden Gebäuden je ein Gerät wie dieses: https://www.tp-link.com/de/business-networking/accessory/mc200cm/ , welche ich dann über ein Glasfaser Erdkabel miteinander verbinde? Stimmt das so?

 

[Raijin]

Wer betreibt denn so einen Aufwand, um in ein privates Netzwerk einzubrechen?
Wer die Kamera von der Wand haut, wird ein paar Minuten spaeter aller Wahrscheinlichkeit ein Fenster einschlagen und versuchen dir die Bude auszuraeumen.

Da bin ich voll bei dir. Deswegen meinte ich ja, dass so ein Angriff von außen eher nicht beliebig (un)wahrscheinlicher Beute gilt.

Eine Firma oder eine prominente Person mag so angegriffen werden, weil man es auf sensible Daten abgesehen hat, aber eher nicht Otto Normal. Der Aufwand steht in keinem Verhältnis zur Beute. Denn eines ist klar: Selbst wenn jemand sich die Mühe macht, an das Kabel der Kamera zu kommen und das Netzwerk anzugreifen, ist so ein Angriff nicht in 5 Minuten erledigt. MAC spoofen geht schnell, ja, aber selbst ohne DMZ müsste der Angreifer zB immer noch die Sicherheit des NAS, o.ä. überwinden, um an die Daten zu kommen. In dieser Zeit hockt der Angreifer dann mit Laptop im Garten und am Ende hat er ein paar Fotos von einer Party am Ballermann? Wohl kaum

Nichtsdestotrotz kann man natürlich mit einer DMZ oder einem fähigen managed Switch vorbeugen. Allerdings muss man auch bedenken, dass Netzwerksicherheit nicht durch das simple Anklicken eines Hakens in einer GUI erreicht wird. Man muss sich mit der Materie auseinandersetzen und zB eine Firewall, Port Security, etc korrekt konfigurieren können.

 

[Ranayna]

@kanuddel: Richtig, das guenstigste sind solche Medienwandler wie du ihn verlinkt hast.
Man muss nur darauf achten das diese zum Fasertyp passen den man verlegt, und auf beiden Seiten den gleichen Wandler verwenden.

Oder aber, da du wenn du eine NAC implementieren willst so oder so managebare Switche brauchst, nimm welche die SFP Slots haben. Dann reichen 2 identische SFP Module auf beiden Seiten. Der Aufpreis sollte minimal sein.