Außenanschluss sichern

[roctions]

Liebe Community,

wir planen gerade die Sanierung unseres Hauses. Im Zuge dessen sollen auch Außenkameras und eine Doorbird über POE eingebunden werden. Nun würde ich die Außenanschlüsse des Netzwerks gerne absichern. Mir ist klar, dass ich einen managed Switch brauche. Meine Vorstellung war jetzt den jeweiligen Port per Static Mac Port Security auf die jeweilige Kamera zu begrenzen.
Meine Frage: ist das ein auskömmlicher Schutz? Gibt es daneben noch Switches, die den Port deaktivieren, wenn eine fremde MAC-Adresse versucht zuzugreifen? Wäre das dann sicher?

Sorry für die Anfängerfrage, aber es ist nicht mein Tagesgeschäft

 

[LieberNetterFlo]

MAC Filter bringen auch nicht unbedingt was, gibt ja auch MAC spoofer

Sperr doch einfach alle Außenports in ihr eigenes VLAN, dann sind sie da einsam und können auf nichts Zugreifen, außer du routest explizit, sofern das überhaupt notwendig ist.

 

[roctions]

Die Kameras sollen Zugriff auf die Synology haben und ich würde auch gerne auf den Stream direkt zugreifen können. Daher suche ich nach einer (einigermaßen) laienfreundichen und trotzdem möglichst sicheren Lösung.

 

[F31v3l]

https://de.wikipedia.org/wiki/IEEE_802.1X

Synology und QNAP bieten auf ihren Kisten einen RADIUS-Server aufzusetzen.

 

[norKoeri]

PoE […] managed Switch

Wieviele Ports und wieviele PoE-Ports brauchst Du?

Sanierung unseres Hauses

WLAN schon etwas geplant? Dann könnte man den Switch vom selben Hersteller nehmen und eine zentrale Software verwenden, aber soviel bringen tut das nicht. Lieber schauen, was lokal bei eBay-Kleinanzeigen angeboten wird.

 

[roctions]

Momentan plane ich mit 6 POE und weiteren 12 Ports. WLAN haben wir noch nicht geplant. Als Router hängt die Glasfaser-Fritzbox am Internet.

 

[LieberNetterFlo]

Die Kameras sollen Zugriff auf die Synology haben und ich würde auch gerne auf den Stream direkt zugreifen können. Daher suche ich nach einer (einigermaßen) laienfreundichen und trotzdem möglichst sicheren Lösung.

warum sollen die Kameras auf das Synology zugreifen?

Es ist doch eher anders rum, das Sysnology soll sich von den Kameras die Daten holen (und speichern). Du musst quasi verhindern dass eine Verbindung aus dem VLAN raus initiiert werden kann, aber erlauben dass aus deinem normalen LAN eine Verbinung ins VLAN initiert werden darf. Da gibts ganz viele Beispiele im Netz, z.B. mit pfSense. Google mal nach "IOT isolation"

 

[roctions]

warum sollen die Kameras auf das Synology zugreifen?

Es ist doch eher anders rum, das Sysnology soll sich von den Kameras die Daten holen (und speichern).

Das war meine laienhafte Fehlvorstellung. Gibt es Switch, die ich hinter die Fritzbox hängen kann, in denen ich die Isolierung der Cams definieren kann und nur den Zugriff der Synology zulassen?

 

[chrigu]

Bau doch die Kameras so, das niemand ohne Hilfsmittel wie Leiter an die Kabel rankommt oder in einem Käfig mit Schloss. Ich finde das verhindern des klauen der Kamera wichtiger als ein Nutzen des lanports . Habe noch nie in der Zeitung gelesen, das sich Diebe mit Laptop an einer aussenkamera Zugang zum Netzwerk verschafft haben um Familienfotos zu kopieren.
Solche Switch gibt es, mit der Bezeichnung „managed-Switch„, dort kannst du Regeln festlegen welcher Port wohin zugreifen dürfen.

 

[LieberNetterFlo]

Das war meine laienhafte Fehlvorstellung. Gibt es Switch, die ich hinter die Fritzbox hängen kann, in denen ich die Isolierung der Cams definieren kann und nur den Zugriff der Synology zulassen?

puh, Fritzbox ist bei mir schon lange verbannt ich weiß dass es mit pfSense und einem Managed Switch mit VLAN Support funktioniert.

 

[norKoeri]

6 PoE und weiteren 12 Ports

WLAN haben wir noch nicht geplant.

Dann würde ich das angehen. Also das Haus ausmessen. Als Faustregel pro Stock einen 2,4 GHz-only Access-Point und in den Lümmelecken 5 GHz-only Access-Points. Dann noch ob für die Access-Points die Bestromung über PoE sein muss oder auch Steckdose sein kann.

Glasfaser

Die nächste Frage wäre nämlich, wie schnell das Heimnetz sein sollte: Gigabit oder doch schon 2,5 Gigabit.

Angenommen es bleibt bei 6 PoE-Gigabit, dann kannst Du auch keinen kleinen Switch nur für PoE bzw. Außen nehmen, also zum Beispiel den Linksys LGS308P. Bekommst Du in eBay-Kleinanzeigen für unter 65 €. Den habe ich selbst hier. Ist so lala, aber für 802.1X schnell eingerichtet. Kannst ja damit anfangen und Erfahrung sammeln (nur Desktop oder Wand-Montage, keine Rack-Montage). Der ist schön klein und kompakt.

Brauchst Du Rack-Montage wäre der nächste der D-Link DGS-1210-08P oder DGS-1210-10P – hier auf Hardware-Version F oder neuer achten und das die Montage-Winkel dabei sind. Den bekommst Du aktuell für 62 €. Den habe ich auch, aber ist von der Bedienung her so lala-lala; allein Firmware-Updates sind eine Qual aber machbar.

Der nächste wäre daher der Zyxel GS1920-8HPv2 …

Wichtig ist noch, dass das Gesamt-Power-Budget passt, also dass die Kameras zusammen nicht zu viel saugen. Ansonsten brauchst Du die „MP“-Varianten. Für die restlichen LAN-Ports nimmst Du irgendeinen Switch je nach Tageskurs; ein paar Beispiele … wenn es unbedingt ebenfalls ein konfigurierbarer Switch sein muss, dann hier ein paar Beispiele … nimmst Du dort den DGS-1210-24 (oder diesen DGS-1210-16) und hier den DGS-1210-08P bist Du für keine 120 € dabei und hast Dir keine aktive Kühlung in Form eines Lüfters angelacht.

Gibt es Switch, die ich hinter die Fritzbox hängen kann, in denen ich die Isolierung der Cams definieren kann und nur den Zugriff der Synology zulassen?

Jein. Wie F31v3l geschildert hat, macht man das über 802.1X, also einen RADIUS-Server auf einem Heimserver aufsetzen. Und das müsste auf Deiner Synology direkt gehen. Dann brauchst Du nur noch einen Switch, der nicht nur konfigurierbar ist sondern auch 802.1X erlaubt. Und die (Außen-) Kamera müssen EAP-MD5 erlauben.

 

[roctions]

Danke für den super vielen Input. Das ist echt viel, womit man sich als Laie auseinandersetzen muss Ich würde gerne möglichst alles in ein Gerät in den Keller packen. Wäre der hier geeignet: Netgear GS324TP. Sollte ein managed switch mit POE und 24 Ports sein. Oder habe ich hier was übersehen?🙈

Ergänzung (23. April 2023)

Oder der hier von Zyxel? ZyXEL 24-Port Gigabit PoE Switch | Smart Managed | Rackmontage | 12 PoE+-Ports mit einem Budget von 130 Watt | VLAN, IGMP, QoS [GS1900-24EP] GS1900-24EP-EU0101F https://amzn.eu/d/iWAE05j

 

[norKoeri]

Zyxel bietet erst ab der 1920er-Serie auch Port-basierte Zugangskontrolle an.

Ich würde gerne möglichst alles in ein Gerät in den Keller packen

Aus reiner Neugierde: Warum?
Problem ist nämlich nicht nur der Preis sondern auch dass Du dann einen aktiven Lüfter hast. Man müsste wissen, ob es ein halbwegs intelligenter Lüfter ist, ansonsten verpustet allein der schon viel Strom.