ComputerBase Menü
Aktuelles

Netzwerk trennen - Zugriff auf Überwachungskamera durch VLan?

D

driver222

Ensign
Registriert
Dez. 2004
Beiträge
173
Hallo,

habe eine Überwachungskammera per Lan am Netgear ProSAFE Plus Switch JGS524PE angeschlossen. Außerdem sind an diesem Switch auch meine anderen Geräte (PC, Fernseher, usw.) angeschlossen.
Dieser Switch ist wiederum am Port 1 der Fritzbox 7590 angeschlossen.

Ist es mit dieser Hardware möglich, die Überwachungskamera intern in einen anderen Adressbereich (z.B. 192.168.1.2) zu betreiben, damit eine 3.Person über MyFritz (DynDns) nur auf die Kamera zugreifen kann und auf die andere Geräte im anderen Adressbereich (z.B. 192.168.1.1) nicht zugreifen kann?
Ist das über VLan möglich, was der Switch ja könnte?

Hätte noch einen Switch Netgear GS108E.

Vielen Dank
Vielen Grüße
Driver
 
Dafür brauchst du einen Layer 3 Switch oder zusätzlich eine Firewall/Router welche die Netze per ACL oder eben Firewall Regeln abkapselt.
Die Fritzbox kann das nicht.
 
Am Einfachsten wäre es, einfach eine Portweiterleitung zum Webinterface der Kamera zu machen. Natürlich sollte dann die Kamera selbst ausreichend abgesichert sein, durch sichere Zugangsdaten mindestens. Von außen hat dieser Dritte dann Zugriff auf die Kamera, aber auf nichts anderes in deinem Netzwerk. Dein lokales Netz ist sowieso hinterm NAT, macht also von extern keinen Unterschied, wie viele VLANs du intern hast.
 
Einen Layer 3 Switch ist mir glaube ich zu teuer, was ich so gesehen habe.

Portweiterleitung hätte ich in der Fritzbox schon eingerichtet. Ich kann also über die MyFritz (DynDns) xxxxxxxx@myfritz.net und den Port auf die Kamera von außerhalb zugreifen.

Den Zugriff auf die Kamera möchte ich jemand anderen noch geben. Wenn ich ihn aber die Adresse xxxxxxxx@myfritz.net:Port gebe kann er auch auf meine anderen Kameras oder z.B. über Lan schaltbare Steckdosenleiste zugreifen, wenn er die Ports dieser Geräte weiß (durch durchprobieren).

Das möchte ich vermeiden.

D.h. der Netgear Switch JGS524PE hat zwar VLan, aber kann ich nicht für mein Vorhaben gebrauchen?
 
driver222 schrieb:
Den Zugriff auf die Kamera möchte ich jemand anderen noch geben. Wenn ich ihn aber die Adresse xxxxxxxx@myfritz.net:port gebe kann er auch auf meine anderen Kameras oder z.B. über Lan schaltbare Steckdosenleiste zugreifen, wenn er die Ports dieser Geräte weiß (durch durchprobieren).
Zum Vergrößern anklicken....
Hast du denn für die anderen Geräte auch explizit Ports an der Fritzbox freigegeben?
 
Ich glaube eine richtige Firewall ist schon nötig, um das ganze halbwegs sicher umzusetzen. Die Fritzbox kann mit VLANs soweit ich weiß garnicht umgehen - jedenfalls nicht vom Nutzer einstellbar. Man kann mit dem Layer 2 Switch den Gastzugang auf ein VLAN legen, das bringt aber nichts für den Zugriff von außen.

Mit pfsense/opnsense lässt sich eine Firewall relativ günstig aufbauen, man muss allerdings trotzdem ein wenig investieren. Die Firewall selbst braucht ein x86_64 System mit bestenfalls zwei lan ports (sowas wie ein gebrauchter Futro S920 + Dual Port Intel Netzwerkkarte reicht dicke) und man muss eventuell noch ein Modem vorschalten, je nach Anschluss. Damit kann man dann beliebig viele VLANs erstellen und auch das routing zwischen denen realisieren. Ich würde für die Person, die Zugriff von außen braucht einen VPN Zugang nur auf das VLAN Netz mit der Kamera einrichten.
 
driver222 schrieb:
Den Zugriff auf die Kamera möchte ich jemand anderen noch geben. Wenn ich ihn aber die Adresse xxxxxxxx@myfritz.net:port gebe kann er auch auf meine anderen Kameras oder z.B. über Lan schaltbare Steckdosenleiste zugreifen, wenn er die Ports dieser Geräte weiß (durch durchprobieren).
Zum Vergrößern anklicken....
Und ein VLAN ändert daran deiner Meinung nach was genau? Der Zugriff von außen auf ein Gerät durch einen NAT-Router wie Fritzbox und Co erfolgt IMMER durch eine Portweiterleitung und dieser ist es herzlich egal wo das Ziel der Weiterleitung liegt.

Man kann Portweiterleitungen maximal auf eine bestimmte Quell-IP einschränken, um zB nur den Zugriff aus dem Büro, o.ä. zu erlauben. Das setzt aber voraus, dass die Quelle eine statische IP hat. Bei Firmen eher die Regel, bei Privatanschlüssen eher nicht.

Das heißt, dass Portweiterleitungen nicht das richtige Mittel sind, um deine Anforderungen zu erfüllen - zumindest nicht bei einer Fritzbox. Bei einem fortgeschrittenen / semiprofessionellen Router könnte man zB noch mit Portknocking arbeiten, um die übrigen Ports hinter einer Aktivierungssequenz zu verstecken.

Ich bin aber grundsätzlich kein Freund von zig Portweiterleitungen auf x-beliebige Geräte bin, weil die Sicherheit des Netzwerks dann zu 100% an der günstigen Chinakamera für 70€ vom Black Friday, dem smarten Heizungsthermostaten o.ä. hängt. Gerade IP-Kameras sind nicht selten ab Werk unsachgemäß konfiguriert und selbst wenn man das korrigiert, ist in keinster Weise sichergestellt, dass ein Hersteller von Kameras auch nur einen Funken Ahnung von IT-Sicherheit hat. Zum Teil unverschlüsselt, veraltete Standards, keine adäquaten Sicherheitseinstellungen in der GUI - wenn überhaupt....

Daher rate ich dringend zur Nutzung eines VPNs. So hat man am eigenen Router entweder gar keine Weiterleitung, weil der Router selbst das VPN regelt, oder eben nur eine einzelne Weiterleitung zum VPN-Server im Netzwerk. Dieser kann dann zB auch Regeln definieren welcher VPN-User welche Berechtigungen hat, inkl. der Zugriffsfreigabe auf einzelne oder eben alle Kameras. VLANs braucht man dazu nicht einmal, sondern kann dies auch innerhalb ein und desselben Subnetzes anhand der Geräte-IP festmachen.
pfSense wurde ja bereits genannt, das wäre ein Betriebssystem für einen VPN-Server bzw. eine Firewall, die eben genau das tun kann.


Prinzipiell möchte ich aber sagen, dass bei mir sowieso niemand Zugang zu meinem Netzwerk bekommt, wenn ich demjenigen nicht traue. Ergo hat bei mir maximal die Familie Zugriff und das obwohl ich ausschließlich via VPN von außen zugreife. Sobald ich mir die Frage stelle ob Person X dies oder jenes unerlaubt nutzen oder gar Sicherheitsmaßnahmen umgehen könnte, kein Zugriff, nix, gar nix - nicht mal eine Kamera, die eine weiße Wand filmt..
 
Oh je, hatte mir das alles einfacher vorgestellt.

Was ein VLAN so genau macht, muß ich zugeben habe ich dann nicht ganz verstanden...


Grundsätzlich vertraue ich dieser Person schon, könnte aber trotzdem ruhiger schlafen, wenn nur auf die Kamera zugriff hätte.
Um es genauer zu beschreiben. Es handelt sich um den Nachbarn und wir haben einen gemeinsamen Ablageort für unsere Pakete (DHL, GLS,...). Angeschlossen bei mir auf dem Grundstück. Nachbar soll aber auch auf die Kamera schauen können.

Grundsätzlich greife ich von unterwegs auf die anderen Netzwerkgeräte, wie zB. auf meinen "Smarthome-Raspberry", über eine VPN-Verbindung z.B. vom Smartphone darauf zu. Nur in meinem "Paketfall" geht das ja nicht.
Bei einer weitere Kamera habe ich auch die Portweiterleitung eingestellt (in Fritzbox - Freigaben - Portfreigaben)

Selber greife ich von unterwegs auf beide Kameras (Paktekamera und die andere) über eine App vom Smartphone aus darauf zu. Hier wäre es mir zu umständlich, immer vorher eine VPN Verbindung aufzubauen.
 
Ich verstehe nach wie vor nicht, warum derjenige auch auf andere Geräte außer der Kamera Zugriff haben sollte. Und abcdef@myfritz.net ist keine DynDNS-Adresse, sondern klingt eher nach dem Benutzernamen zur Fernanmeldung an der eigenen Fritzbox.
 
driver222 schrieb:
Hier wäre es mir zu umständlich, immer vorher eine VPN Verbindung aufzubauen.
Zum Vergrößern anklicken....
Komfort und Sicherheit sind nun mal gegenläufig. Je sicherer umso unkomfortabler und umgekehrt.

Die unverschlossene Tür mit Klinke ist einfacher und somit komfortabler zu öffnen als die verrammelte Tür mit 3 Schlössern und Riegeln.

Wenn es dir zu "umständlich" ist, eine VPN-Verbindung herzustellen - wir reden hier über ca. 3 Klicks und ggfs ein Passwort - ist dir Sicherheit ganz offensichtlich nicht viel wert. Dabei ist es egal was du meinst was sie dir wert ist, diese Aussage spricht für sich!

Demnach kannst du deine Bauchschmerzen bezüglich deines Nachbarn getrost ignorieren, weil das dein kleinstes Problem ist. Solange dein Nachbar kein IT-Spezialist, Informatiker oder Programmierer ist, kann er auf die anderen Kameras nicht zugreifen sofern du wenigstens das Minimum an Sicherheitsvorkehrungen getroffen hast, ein halbwegs starkes Passwort. Das ändert aber nichts daran, dass ein Mensch mit entsprechendem Knowhow und ausreichender krimineller Energie im worst case nicht nur auf deine übrigen Kameras Zugriff bekommen kann, sondern darüber dein ganzes Netzwerk infiltriert.........
 
driver222 schrieb:
Was ein VLAN so genau macht, muß ich zugeben habe ich dann nicht ganz verstanden...
Zum Vergrößern anklicken....
VLAN stattet die Ethernet-Pakete einfach mit einem zusätzlichen Tag aus, womit diese dann einem virtuellen Netzwerk zugeordnet werden. Das erlaubt, mehrere seperate Netzwerke auf einem Kabel laufen zu lassen.
 
Eigentlich bin ich schon für Sicherheit.

Die Kameras sind natürlich mit Passwort geschützt. Jedoch kann man doch auf das Kamerabild zugreifen, wenn ich den Port habe und z.B. die myFritz-Adresse. Falls man nur die Fritzbox-Adresse hat (wie in meinem Fall der Nachbar) könnte man doch durch probieren den Port herausfinden.
Der Zugriff auf die Kamera erfolgt z.B. durch abcdef@myfritz.net:8080. Das Myfritz ist ein Angebot von AVM als DynDns Ersatz.

Nur die Ports der Kameras habe ich freigegeben. Bisher habe ich niemanden die myFritz-Adresse gegeben. Somit war die Abwägung zwischen Sicherheit und Komfort für diese Nutzung mehr Richtung Komfort damit ich mit der KameraApp schnell auf die Kamerabilder zugreifen kann.

Für die anderen Sachen Smarthome, NAS, usw. ist mir Sicherheit wichtiger und ich habe keine Ports Freigegeben und nutze hier die VPN Verbindung.

Der Nachbar kennt sich eigentlich gut mit Computer aus und kann auch einfache Sachen Programmieren. Ich vertraue ihn schon, wollte aber hier trotzdem auf Nr. Sicher gehen.
 
Deine IP ist mitnichten nur durch myfritz oder andere DDNS-Dienste "bekannt". Zu jeder Sekunde laufen im www massive Portscans durch Skriptkiddies und dergleichen. Die geben nur einen IP-Bereich ein und der Bot scannt der Reihe nach jede IP in diesem Bereich durch und prüft diverse Ports. Das passiert permanent, zu jedem Zeitpunkt. Während du das hier liest, kommt so ein Bot bei deiner IP vorbei, prüft zB auf 8080 und versucht ggf schon, einzudringen. Mindestens wird er seinem Besitzer aber eine Info geben, dass dieser Port zum jetzigen Zeitpunkt auf deiner aktuellen IP offen und somit potentiell angreifbar ist.

Es ist also ein gefährlicher Trugschluss, dass man nur auf deine Kameras zugreifen bzw. es versuchen kann, wenn man deine myfritz-Adresse kennt. Für einen gezielten Angriff - zB von dem Kerl, dem du beim Supermarkt das letzte Klopapier weggekauft hast - mag das beinah richtig sein, aber gefühlt 99,999% aller Angriffe im www sind nach dem Prinzip Schrotflinte aufgebaut, also einfach mittenmang und gucken was/wen man trifft. Heißt im Klartext: Dem Skriptkiddie ist es egal wer du bist solange es Bikinifotos von deiner Frau von der Gartenkamera abgreifen kann (oder eben von NAS und Co).

JEDE Portweiterleitung ist ein potentielles Angriffsziel, zu jedem Zeitpunkt. Es mag Monate, Jahre, Jahrzehnte nix passieren, aber das ist wie mit einer Feuerversicherung: Einmal reicht, egal wann es passiert...
 
Das mit dem Portscans war mir so nicht bekannt.
Also gibt es die sichere Variante nur mit den VPN und evlt. mit der Software pfSense?

Aber das würde mein Vorhaben (mit dem Nachbarn) noch komplizierter bzw. für mich nicht umsetzbar.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 171 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz